Do’s en Don’ts bij verplichte Wpg-audit
Deel 1: Do’s – 5 tips voor een goed voorbereide externe audit
Gemeenten zijn vanwege de Wpg verplicht om dit jaar een privacy audit uit te laten voeren over de verwerking van persoonsgegevens bij opsporingstaken. Het auditrapport van een gecertificeerde IT-auditor van NOREA moet vervolgens door het college van B&W worden verstrekt aan de toezichthouder, de Autoriteit Persoonsgegevens (AP). De tijd dringt dus.
Moet je nog starten? Richt je dan vooral op ‘damage control’ voor de privacy audit.
Wij delen graag een vijftal Do’s die helpen een basis te leggen voor een gestructureerde interne beheersing van de uitvoering Wpg. Daarmee is ook jouw gemeente zo goed mogelijk voorbereid op de privacy audit. In het tweede deel bespreken we de Don’ts, oftewel wat je beter níet kunt doen.
Door Bart Suers
Wij merken dat veel gemeenten zich overvallen voelen door deze “plotselinge ”prioriteit. Gemeenten stellen zich de vraag wat nu te doen. Vijf Do’s volgens Key2Control:
- Maak gebruik van de handreiking van NOREA
NOREA heeft een handreiking gepubliceerd voor de IT-auditors die belast zijn met de privacy audits. In die handreiking zijn normen opgenomen waaraan getoetst wordt. Die normen kunnen eveneens als referentiekader voor gemeenten gehanteerd worden in de vorm van een zelfevaluatie. Als gemeente loop je dan in lijn met de IT-auditor als het gaat om de vraag in hoeverre voldaan wordt aan de gestelde eisen. Bovendien weet je dan dat je voor je interne audit beschikt over alle relevante onderwerpen.
- Betrek de huidige Functionaris Gegevensbescherming bij de voorbereiding
De Functionaris Gegevensbescherming (FG) houdt vanwege de AVG al enkele jaren toezicht op de verwerking van persoonsgegevens. Ook voor de Wpg moet bij elke gemeente een FG formeel worden aangesteld. Kies voor de praktische weg; benoem de huidige FG ook formeel als FG voor de Wpg. Door gezamenlijk op te trekken, ieder vanuit zijn eigen rol, ontstaat er meer capaciteit en kunnen de hoofdlijnen voor het verbetertraject met elkaar worden afgestemd. Het resultaat van een meting via het normenkader van NOREA vormt de basis. Daarin kun je ook verwijzen naar resultaten en keuzes rond de AVG. Het is dan handig dat diezelfde FG meteen betrokken is.
- Kies voor een eenduidige structuur gericht op continu verbeteren
Het afleggen van verantwoording over de Wpg is onderdeel van een continu verbeterproces onder de grote noemer ‘interne beheersing’ bij gemeenten. De centrale motor in dat beheersingsproces is de Plan-Do-Check-Act cyclus (PDCA-cyclus) van Deming. Deze cyclus wordt ook toegepast voor thema’s als informatiebeveiliging, privacybescherming en informatiebeheer. Het inbedden van deze structuur bij de Wpg voor het borgen van het intern beheersingsproces en het afleggen van verantwoording is daardoor herkenbaar en relatief eenvoudig.
- Introduceer een gestandaardiseerde aanpak
De PDCA-cyclus biedt inzichten rond de uitvoering van de Wpg. Aan welke eisen moeten we voldoen? Waar wijken we af? Hoe erg is dat?
En waar beginnen we met verbeteren?
Allemaal legitieme vragen. Verbetering begint altijd met inzicht. Dat inzicht krijg je dankzij zelfevaluatie volgens het normenkader van NOREA. Die eerste meting is nog geen detailfoto maar een eerste inzicht. Hiermee start een continu verbeterproces. Het aantonen van een gestructureerde aanpak, is voor een IT-auditor en toezichthouder een belangrijk ankerpunt. Ook wanneer je nog niet voldoet aan de gestelde eisen, toon je aan dat je inzicht hebt en een verbeterproces in gang hebt gezet.
- Breng de scope in beeld en betrek hierbij de 1e lijn
Bepaal je scope van de Wpg. Waar hebben we het over als het gaat om diensten/producten, functionarissen, afdelingen, processen en informatiesystemen?
Denk hierbij aan taakvelden in de (1) openbare ruimte, (2) milieu, welzijn en infrastructuur, (3) onderwijs, (4) openbaar vervoer, (5) werk, inkomen en zorg en (6) generieke opsporing (bron NOREA). De IT-auditor vraagt altijd naar die scope. Beantwoord deze vraag onderbouwd, bijvoorbeeld aan de hand van een analyse. Zorg er ook voor dat leidinggevenden ook bijgepraat zijn over de impact van de Wpg op hun bedrijfsprocessen. Kortom, reserveer hiervoor in het voortraject de nodige tijd. Denk bijvoorbeeld aan het organiseren van een workshop.
Wat kunnen wij voor je betekenen?
De interne en externe Wpg-audits zijn een blijvertje. Dus beide audits moeten een vaste plek krijgen in de organisatie. Standaardiseren van dit beheersings- en verantwoordingsproces is daarom essentieel. Key2Control levert een intern beheersingsplatform voor gemeenten waarin het beheersingsproces op een gestandaardiseerde wijze kan worden ingericht. Hierdoor kan op controleerbare wijze verantwoording worden afgelegd over de Wpg.
Voor de Wpg hanteren we de set normen volgens de handreiking van NOREA om aan te sluiten op de aandachtsgebieden van de privacy audit. Die normen zijn verrijkt met aanvullende informatie en stuurvragen. Ook zijn de normen voorzien van voorgedefinieerde beheers- en verbetermaatregelen.
Ben je al klant bij Key2Control?
Voor bestaande klanten die werken met onze standaardaanpak, heeft het toevoegen van een nieuw normenkader weinig impact op het intern beheersingsproces. Er wordt slechts een aparte contentmodule toegevoegd die volgens dezelfde werkwijze vorm krijgt vanuit het Key2Control intern beheersingsplatform.
Wilt u meer weten?
Neem gerust contact met ons op. Wij geloven dat een persoonlijk gesprek direct toegevoegde waarde biedt.