Don’ts bij verplichte Wpg-audit

Deel 2: Don’ts – 5 tips voor een goed voorbereide externe audit

Gemeenten zijn vanwege de Wpg verplicht om dit jaar een privacy audit uit te laten voeren over de verwerking van persoonsgegevens bij opsporingstaken. Het auditrapport van een gecertificeerde IT-auditor van NOREA moet vervolgens door het college van B&W worden verstrekt aan de toezichthouder, de Autoriteit Persoonsgegevens (AP). De tijd dringt dus.

In onze vorige blog gaven we 5 tips om op tijd klaar te zijn. In dit tweede deel geven we je 5 Don’ts, tijdverspillers, oftewel wat je in deze fase beter níet kunt doen.

door Bart Suers

De reactie “Moeten we dat er óók nog bij doen?” herken je waarschijnlijk. De verplichte externe audit moet elke vier jaar uitgevoerd worden. En jaarlijks moet er ook een interne audit plaatsvinden. Het is dus belangrijk om het verantwoordingsproces goed en controleerbaar in te richten. Verricht vooral geen haastwerk vanwege de naderende privacy audit. Én, laat je niet gek maken door allerlei partijen die als virtuele paddenstoelen uit de grond schieten en beloven je te ontzorgen in de tijd die nog resteert voor de privacy audit.

Daarom onze 5 tips over wat je vooral in deze fase niet moet doen, de don’ts:

  1. Regie uit handen geven

Het is verleidelijk om de regie uit handen te geven en je geheel te laten ontzorgen door een externe partij. De vraag is of dit écht van meerwaarde is. Op korte termijn waarschijnlijk wel, maar op lange termijn is het maar de vraag of je hiermee niet juist extra werk creëert en kosten maakt. Want de externe partij bepaalt vooral de inrichting, terwijl je bij het ontwerp zelf de koers zou moeten bepalen. Je loopt bijvoorbeeld het risico om een ‘Wpg-bubbel’ te creëren zonder aandacht te hebben voor integratie met de bestaande interne beheersing binnen je organisatie. Het resultaat is ‘pleisterwerk’ dat uiteindelijk als los zand weer op de grond valt en dat is zonde van de energie die hierin is gestoken. Beter is het initiatief in eigen beheer te houden, kennis rond de Wpg te vergaren, een zelfevaluatie uit te voeren, de functionaris gegevensbescherming erbij te betrekken en het College van B&W te informeren over bevindingen en verbeteringen. Dan wordt het college in ieder geval vóór de privacy audit intern geïnformeerd en niet achteraf onaangenaam verrast door een rapport met bevindingen van een externe auditor.

  1. Onvolkomenheden verbergen tijdens de privacy audit

Wat gaat de externe auditor tijdens de audit vinden en hoe kan ik zoveel mogelijk pijnpunten uit het zichtveld houden? Niet over nadenken! Het doel van de audit is om te beoordelen hoe het managementsysteem rond de naleving van de Wpg functioneert. Bedenk ook dat de privacy audit geen ‘papierenaudit’ is zoals we dat kennen vanuit ENSIA, maar een audit gericht op opzet, bestaan én werking. Het aantonen van de werking zal doorgaans in deze opbouwfase voor de meeste organisaties lastig zijn. Ga dus in alle openheid de dialoog aan met de externe auditor. Constateren dat je niet compliant bent is niet erg als je kunt laten zien dat er een verbeterplan is dat in 2022 uitgerold wordt. Dan heb én houd je de regie in eigen hand. Dat zal de externe auditor zeker waarderen.

  1. Snel nog een BRS (Boa Registratie Systeem) implementeren

Uiteraard is het van belang om een ingericht en geïmplementeerd BRS te hebben. De vraag is alleen of je daar nu mee moet beginnen. Dit is een kwestie van prioriteren. Naast een BRS zijn er ongetwijfeld andere zaken in het kader van de Wpg die ook geregeld moeten worden. Met het implementeren van een BRS implementeren als oplossing voor de auditverplichting, span je echt het paard áchter de wagen. Want een systeemimplementatie is een maatregel die vooruitblikt op hoe je volgend jaar wilt gaan werken. De externe audit is juist een terugblik om te beoordelen hoe je hebt gewerkt. Daarom is een zelfvaluatie zo belangrijk om het totaaloverzicht te behouden en op basis daarvan te prioriteren en een verbeterplan op te stellen.
Het inrichten van een BRS vergt bovendien kostbare tijd en aandacht. Die tijd heb je niet meer en de resterende tijd kun je dan beter inzetten voor een goede voorbereiding. Stel hierbij ook de vraag wat de meerwaarde van een BRS is die vóór de privacy audit wordt opgeleverd maar niet goed is ingericht en nog niet in gebruik is? De aanschaf en implementatie van een BRS kun je daarom uitstellen naar volgend jaar.

  1. De interne audit als ultieme voorbereiding zien

Elke organisatie die aan de Wpg moet voldoen is verplicht om jaarlijks een interne audit uit te voeren. Dat heeft vanwege de beperkte voorbereidingstijd nu weinig zin. Het Wpg-domein staat bij veel gemeenten nog echt in de steigers. Daarbij geldt dat een interne audit fragmentarisch is, ofwel gericht op onderdelen die betrekking hebben op de Wpg. De organisatie heeft in deze fase van de voorbereiding van de externe audit veel meer behoefte aan het krijgen van inzicht: Waar staat de organisatie? En een verbeterplan opstellen op basis van bevindingen. Het instrument daarvoor is een zelfevaluatie op basis van de handreiking NOREA. Het inzetten van een interne audit wordt dan onderdeel van het verbeterplan. Je stelt daarbij ook de vraag of je de daarvoor benodigde competenties inhuurt of zelf regelt, bijvoorbeeld door dit te beleggen bij de VIC. Dat scheelt uiteraard fors in de kosten. De medewerker hoeft immers geen IT-auditor te zijn die vaak niet op de loonlijst staat.

  1. Kop in het zand steken

Tenslotte een open deur; je kunt natuurlijk denken: ‘Ach, dat zal zo’n vaart niet lopen’. Bedenk dan dat een auditrapport voor het college kan leiden tot politieke beeldvorming. Bijvoorbeeld als er géén externe auditrapportage wordt opgeleverd of eentje waaruit blijkt dat er onvoldoende is geanticipeerd op geconstateerde non-compliance. Simpelweg omdat een verbeterplan ontbreekt of een slecht functionerend managementsysteem is vastgesteld. Want het College dient niet alleen kennis te nemen van dit rapport maar moet het ook naar de Autoriteit Persoonsgegevens (AP) sturen. De AP is bevoegd om bestuurlijke boetes uit te delen. Zie hiervoor ook Wpg art 35c, lid 1 sub c. De kans is aanwezig dat het college bij een negatief auditrapport een brief ontvangt van de AP voor een nadere toelichting en een verbeterplan waarop gemonitord moet worden. Waarschijnlijk krijgt de uitslag van de Wpg-privacy audits bij gemeenten de nodige media-aandacht, net zoals een aantal jaren geleden het geval was bij Suwinet.  Het is dan prettig als je meteen inzicht kunt geven in de verbetermaatregelen op basis van een plan.

 

Wat kunnen wij voor je betekenen?

De interne en externe Wpg-audits zijn een blijvertje. Dus beide audits moeten een vaste plek krijgen in de organisatie. Standaardiseren van dit beheersings- en verantwoordingsproces is daarom essentieel. Key2Control levert een intern beheersingsplatform voor gemeenten waarin het beheersingsproces op een gestandaardiseerde wijze kan worden ingericht. Hierdoor kan op controleerbare wijze verantwoording worden afgelegd over de Wpg.

Voor de Wpg hanteren we de set normen volgens de handreiking van NOREA om aan te sluiten op de aandachtsgebieden van de privacy audit. Die normen zijn verrijkt met aanvullende informatie en stuurvragen. Ook zijn de normen voorzien van voorgedefinieerde beheers- en verbetermaatregelen.

Ben je al klant bij Key2Control?
Voor bestaande klanten die werken met onze standaardaanpak, heeft het toevoegen van een nieuw normenkader weinig impact op het intern beheersingsproces. Er wordt slechts een aparte contentmodule toegevoegd die volgens dezelfde werkwijze vorm krijgt vanuit het Key2Control intern beheersingsplatform.

Wilt u meer weten?
Neem gerust contact met ons op. Wij geloven dat een persoonlijk gesprek direct toegevoegde waarde biedt.