De auditverplichting van de Wet politiegegevens: van IT-audit naar privacy compliance
Niels van der Meij, Partner | Accoris
Voor de werkgevers van buitengewone opsporingsambtenaren (boa’s) komt een belangrijke deadline in zicht: de rapportage over de verplichte IT-audit van de Wet politiegegevens (Wpg) moet uiterlijk 31 december 2022 bij de Autoriteit Persoonsgegevens zijn ingediend. Niels van der Meij van Accoris vertelt over de uitdagingen, kansen en need to knows van de Wpg-audit.
Op grond van de Wpg zijn organisaties die persoonsgegevens verwerken in het kader van de politietaak verplicht om tenminste een keer per jaar een interne IT-audit uit te voeren. Daarnaast vindt een keer per vier jaar een externe IT-audit plaats door een geregistreerde IT-auditor.
De auditverplichting geldt sinds 1 januari 2019 niet alleen voor de politie, maar ook voor de werkgevers van buitengewone opsporingsambtenaren (boa’s), zoals gemeenten, Rijkswaterstaat en vervoersbedrijven zoals de Nederlandse Spoorwegen. Ook dienstverleners van deze organisaties, zoals datacenters en applicatieleveranciers, zijn auditplichtig als zij persoonsgegevens voor opsporingstaken verwerken.
Wpg-auditplicht
“Idealiter kijken organisaties niet alleen naar de Wpg-auditplicht, maar ook naar de mogelijkheden om vanuit een verplichte audit werk te maken van de naleving van alle relevante privacyregels in de hele organisatie”, zegt Niels van der Meij, IT-auditor en partner van Accoris, een bureau met consultants en IT-auditors. ”De verplichte Wpg-audits geven een impuls aan acties om dataprotectie binnen de gehele organisatie te verbeteren. IT-auditing is immers een belangrijk middel om inzicht te krijgen in de mate van compliance aan de wet- en regelgeving.”
Een valkuil bij IT-audits is volgens Van der Meij, die tijdens het Dataprotectie & Privacy Congres van Outvie een kennissessie verzorgt over Wpg-audits voor boa-organisaties, dat er te snel en te sterk wordt gefocust op de auditcyclus en de wettelijke eisen aan de inhoud en uitvoering van de audit. “Daardoor wordt over het hoofd gezien dat er eerst actie moet worden ondernomen om maatregelen te implementeren om persoonsgegevens goed te beschermen. Het einddoel is nu eenmaal om dataprotectie en informatiebeveiliging binnen de bedrijfsvoering te borgen – de wettelijke eisen uit de Wpg zijn daar een onderdeel van.”
De stappen van een IT-audit
Wat komt er allemaal kijken bij de verplichte externe Wpg-audit? Van der Meij onderscheidt vijf stappen in het proces. “Het begint ermee dat de organisatie nadenkt over het normenkader, waarvoor beroepsorganisatie NOREA een handreiking heeft ontwikkeld. De organisatie brengt dan in kaart welke gegevensverwerkingen er plaatsvinden en waarover willen we verantwoording afleggen via de audit? Daarna gaat het erom een auditor met kennis van zaken te selecteren die van het onderzoek een zinnig en goed leesbaar rapport maakt.
De auditor voert vervolgens interviews uit met betrokkenen in de organisatie om na te gaan of de beschreven processen functioneren zoals de bedoeling is. Op basis van het opgebouwde dossier komt de auditor tot een oordeel.” Tot slot wordt er een audit-rapport opgeleverd met een verslag van het uitgevoerde werk: de resultaten, bevindingen en eindconclusie, inclusief een onderbouwing van het oordeel. In bijlagen worden doorgaans ook aanbevelingen opgenomen.
Na vier jaar wordt het gehele externe auditproces herhaald. “In de tussentijd gaat de organisatie aan de slag met de aanbevelingen en de jaarlijkse interne audits. Er worden bijvoorbeeld processen aangepast en systemen geactualiseerd om continu en aantoonbaar te voldoen aan de normen die in de eerste stap van het auditproces zijn geformuleerd. Soms vraagt dat om relatief kleine aanpassingen, maar soms zijn er ook ingrijpende veranderprojecten nodig. De aanbevelingen van de IT-auditor geven daarbij richting: we adviseren niet op detailniveau, maar maken wel de onderwerpen duidelijk waarmee je zeker rekening moet houden.”
De IT-auditor als sparring partner
Een IT-auditor evalueert de risico’s van automatiseringsprocessen van organisaties en controleert de compliance met relevante wetgeving. “Als IT-auditors zijn we graag in een vroege fase betrokken bij projecten die zijn gericht op compliance: als we tijdig meekijken, vermindert het risico dat de organisatie in een volgende auditronde voor onaangename verrassingen komt te staan”, vertelt Van der Meij over de meerwaarde van IT-auditors voor continue quality assurance. “Een IT-auditor denkt als deskundige en onafhankelijke sparringpartner proactief mee over de verbetering van processen en procedures, systeeminrichting, beveiliging en juridische eisen om te voldoen aan privacywetgeving, en stelt de organisatie daarmee in staat om dataprotectie structureel te verbeteren.”
Een IT-auditor levert in een quality assurancerol een belangrijke bijdrage aan het succes van verbeterplannen die een organisatie na een audit opstelt en uitvoert. “We kijken allereerst naar de verbeterplannen in relatie tot de problematiek waar de organisatie mee te maken heeft”, vertelt Van der Meij over de werkwijze van Accoris. “Maar we kijken ook naar de beste mogelijkheden om maatregelen te implementeren.
Stelt de organisatie de juiste prioriteiten? Wordt er gestart met relatief eenvoudige aanpassingen, terwijl de grote issues blijven liggen? Worden er structurele verbeteringen doorgevoerd die verder gaan dan de Wpg-verplichtingen? Is er voldoende oog voor de verschillende wettelijke kaders die van invloed zijn op de procedures en het beleid? Zijn alle risicovolle processen goed in beeld, zodat de diverse invalshoeken – van privacy en beveiliging tot efficiency en kostenreductie – worden meegenomen? Door regelmatig een auditor te raadplegen, zet de organisatie de juiste stappen om privacyvraagstukken aan te pakken – en daarmee ook aan de Wpg te voldoen.”
IT-auditing als opstap naar effectief privacy management
“Ga aan de slag vanuit het brede perspectief van persoonsgegevensbescherming, en houd de einddoelstelling van privacy en security steeds goed in beeld”, geeft Van der Meij als advies aan organisaties die bezig zijn met Wpg-audits. “Zet de juiste mensen in en maak voldoende capaciteit vrij. Door voor belangrijke verbeterpunten specifieke projectplannen te formuleren – en daar ook echt tijd en effort in te steken – wordt een Wpg-audit een opstap naar effectief privacy management waarmee de hele organisatie daadwerkelijk in control komt. En dáár doen we het natuurlijk voor.”
Het Dataprotectie & Privacy Congres 2022, dat plaatsvindt op 6 en 7 oktober in Amsterdam, focust op het structureel borgen van dataprivacy compliance. Hoe blijven de risico’s steeds in beeld en wat is er nodig om compliance goed te organiseren en integreren in organisatieprocessen? Experts delen de actuele inzichten en best practices en beantwoorden uw vragen. Kijk voor meer informatie en het volledige programma op de website van Outvie en volg op 7 oktober de kennissessie van Niels van der Meij van Accoris.
Dataprotectie & Privacy
Tijdens de 12e editie van dit actualiteitencongres hoort u visies, aanpak en best practices...
Auditing Privacy
De training Auditing Privacy leert u hoe u de accountability van een organisatie onder...
Download de brochure Dataprotectie & Privacy congres
Share
