Deel deze pagina met anderen

Een nieuwe privacy-audit, wat buitengewoon?

In Nederland zijn ongeveer 23.000 buitengewoon opsporingsambtenaren (boa’s) werkzaam. Boa’s voeren taken uit in domeinen als openbare ruimte, milieu, welzijn en infra, onderwijs, openbaar vervoer, werk, inkomen en zorg en generieke opsporing. Boa’s werken vanuit hun functie en taken met zeer privacygevoelige gegevens, waaronder politiegegevens. Vanaf begin 2019 vallen deze gegevens onder het regime van de Wet politiegegevens (Wpg).

De Wpg schrijft voor dat twee jaar na inwerkingtreding van de wet en vervolgens eens in een periode van vier jaren de verwerkingsverantwoordelijke de uitvoering van de regels laat controleren door een privacy audit.

Dit betekent dat u dit jaar, in 2021, voor het eerst een externe privacy audit moet laten uitvoeren. We kunnen het ons voorstellen dat bovenstaande buitengewoon nieuw voor u is. Privacy is toch geregeld in de AVG? Daarom brengen we u in deze blog op de hoogte over:

→ Wat is de Wpg?
→ Waarom is de Wpg voor mij relevant?
→ Wat kan ik zelf doen?
→Wat blijft er daarna nog over?

Wat is de Wpg?

De privacywetgeving heeft de laatste jaren veel aandacht gehad, vooral door de ingang van de Algemene verordening gegevensbescherming (AVG) per 25 mei 2018. Tot de inwerkingtreding van de AVG verwerkten boa’s politiegegevens onder het regime van de Wet bescherming
persoonsgegevens (Wbp).

In de AVG (artikel 10) is opgenomen dat persoonsgegevens met betrekking tot strafrechtelijke veroordeling en strafbare feiten vrij vertaald alleen in registers mogen worden bijgehouden onder toezicht van de overheid van een lidstaat.

Om aan deze bepaling invulling te geven, is de Wet politiegegevens (Wpg) in 2019 aangepast en is het Besluit politiegegevens buitengewoon opsporingsambtenaar (Bpg boa) per 6 februari 2019 in werking getreden. Vanaf dat moment verwerken boa’s politiegegevens onder het regime van de Wpg.

Waarom is de Wpg voor mij relevant?

Als er in uw organisatie boa’s werkzaam zijn, moet u voldoen aan de Wpg. In het ‘besluit boa’s’ bent u als werkgever van de boa aangewezen als verwerkingsverantwoordelijke. Hierdoor bent u verantwoordelijk voor het treffen van relevante beheersmaatregelen die u moet (laten) controleren.

Wat kan ik zelf doen?

Als werkgever van boa’s is de documentatieplicht erg belangrijk voor het aantoonbaar voldoen aan de Wpg. Deze documentatieplicht is uitgebreid en bevat onderwerpen als:

→ een Data protection impact assessment (DPIA);
→ vastlegging van Bevoegde Functionarissen;
→ logging, et cetera.

U moet inzicht verkrijgen in hoe deze en andere onderwerpen in uw organisatie geregeld zijn en tijd reserveren om vastlegging van ontbrekende onderwerpen uit te werken. Daarnaast moeten er interne en externe audits plaatsvinden.

Interne audit

U kunt zelf uw interne audit verzorgen. De interne audit moet, ter voorbereiding op de externe privacy audit, tenminste jaarlijks plaatsvinden. Met de verplichte eerste externe audit in 2021 betekent dit dat u ook in 2021 een jaarlijkse interne IT-audit moet uitvoeren.

De interne IT-audit richt zich op het op systematische wijze toetsen of aan de bepalingen van de Wpg op adequate wijze uitvoering is gegeven. Hiertoe beoordeelt u de opzet, het bestaan van maatregelen en procedures die in de borging van de wettelijke eisen moeten voorzien. Daarnaast beoordeelt u de werking van de getroffen maatregelen en procedures.

De interne audit resulteert in een auditrapportage die minimaal een aantal verplichte elementen bevat, waaronder de gevolgde werkwijze, resultaten, oordelen en aanbevelingen.

Wat blijft er daarna nog over?

De Wpg schrijft voor dat twee jaar na inwerkingtreding van de wet en vervolgens eens in een periode van vier jaren de verwerkingsverantwoordelijke de uitvoering van de regels laat controleren door een privacy audit.

Externe audit

Dit betekent dat u dit jaar, in 2021, voor het eerst een externe privacy audit moet laten uitvoeren. Deze audit moet door een onafhankelijke externe IT-auditor uitgevoerd worden. De audit resulteert in een formele assurancerapportage onder NOREA Richtlijn 3000. Na afronding van de externe IT-audit bent u als verwerkingsverantwoordelijke verplicht om deze externe assurancerapportage aan de Autoriteit Persoonsgegevens (AP) toe te sturen.

Afier kan naast het verzorgen van de formele externe IT-audit u ook ondersteunen bij het zo snel mogelijk inzichtelijk maken van hoe uw organisatie ervoor staat met betrekking tot de vereisten uit de Wpg.

Meer weten?

Wilt u in gesprek met ons van gedachten wisselen over dit onderwerp en onze dienstverlening? Neem dan contact met ons op.

Contact opnemen

drs. Wilfred Hanekamp RE
w.hanekamp@afier.com
06-25330220