Pak de regie en wees voorbereid op de verplichte Wpg-audit

3 tips om aantoonbaar verantwoording af te leggen over de Wet Politiegegevens (Wpg)

Eind juni publiceerde de NOREA het normenkader Wpg (Wet politiegegevens) die RE-auditors gaan hanteren voor de verplichte Wpg-audit 2021 bij overheidsinstanties. Daarin staan eisen waarop de verplichte audit zich richt. Vooral bij gemeenten heeft deze verplichte audit veel impact omdat dit de werkzaamheden raakt van alle Boa’s. Deze wetswijziging is al in 2019 doorgevoerd, toch hebben veel overheidsinstanties zich onvoldoende voorbereid op deze audit. Om de vier jaar is een externe Wpg-audit verplicht. Twee jaar na invoering vindt de eerste audit plaats, in 2021 dus. De externe auditor rapporteert aan het bestuur/college dat het rapport vervolgens moet doorsturen aan de Autoriteit Persoonsgegevens (AP).
Veel gemeenten hebben nu te maken met een uitdaging: hoe gaan we dat nog regelen dit jaar?
Wees gerust, het is nog niet te laat om zelf regie te nemen.

Door Bart Suers MScBA

Het zal ergens in de zomer van 2020 geweest zijn toen het in mijn gesprekken met gemeenten voor het eerst over de Wpg ging. Een gemeente die de interne beheersing van bedrijfsprocessen via onze Key2Control GRC software regelt vroeg of we ook een normenkader voor de Wpg konden leveren. Die vraag vond ik niet vreemd want we beschikken over eigen expertise om normenkaders te bouwen en doen dat regelmatig. Wel verbaasde ik me dat er destijds geen verantwoordingsinstrument bestond terwijl er wel wet- en regelgeving was aangepast.

Waarin verschilt de Wpg met de AVG?

De Wpg richt zich op opsporingstaken die buiten de Algemene Verordening Gegevensbescherming (AVG) vallen. De opsporing van strafbare feiten is namelijk geregeld in de Wpg aangevuld met het Besluit politiegegevens (Bpg). Dit komt door het strafrechtelijk karakter waaraan de verwerking van deze persoonsgegevens moet voldoen. Toezichthoudende taken die veelal samengaan met opsporingstaken vallen wel onder de AVG. Instanties met zowel opsporings- als toezichthoudende taken moeten daardoor niet alleen voldoen aan de AVG, maar ook aan de Wpg. De Wpg stelt namelijk strengere eisen dan de AVG aan de beveiliging van persoonsgegevens, omdat de bevoegdheden van bijzondere opsporingsambtenaren (boa’s) verder reiken dan de gebruikelijke overheidssystemen. Opsporingsambtenaren mogen namelijk dieper graven in de persoonsgegevens van burgers.

Wpg heeft veel impact op overheidsinstanties

Er zijn 6 werkterreinen waarin boa’s kunnen worden ingezet met elk hun eigen specifieke opleidingseisen. Het gaat dan om (1) openbare ruimte met functies zoals een parkeercontroleur of integraal handhaver, (2) milieu, welzijn en infrastructuur met functies zoals jachtopziener, boswachter, inspecteur dierenbescherming, (3) onderwijs met een functies zoals een leerplichtambtenaar, (4) openbaar vervoer met functies zoals conducteur, controleur openbaar vervoer, (5) werk, inkomen en zorg met functies zoals sociaal rechercheurs en medewerkers arbeidsinspectie en (6) generieke opsporing met functies zoals medewerker Belastingdienst, douanebeambte, weginspecteurs bij de Rijkswaterstaat, boa in dienst bij politie.

Voor overheidsinstanties met boa’s betekent dit dat processen en systemen die onder de Wpg vallen conform de Wpg moeten worden ingericht. Het gaat dan om zaken zoals toegangsrechten, autorisaties, data classificatie, risico-inschatting, registratie en logging, meldplicht en documentatieplicht. Rekening moet worden gehouden dat de Wpg-audit een blijvertje is en dat om de 4 jaar formeel gerapporteerd wordt aan de Autoriteit Persoonsgegevens en jaarlijks een interne Wpg-audit verplicht is. Dat vereist borging op de naleving van de Wpg in de organisatie.

Tips om de Wpg audit te borgen

Wpg-audits komen jaarlijks terug, hetzij extern of intern. Inbedding van de Wpg vanuit een gestandaardiseerde aanpak voor interne beheersing is daarom onvermijdelijk. De eerste gemeenten uit onze klantenkring gaan er nu mee aan de slag, te beginnen met een zelfevaluatie. En die komen straks beslagen ten ijs als de externe auditor langskomt. Daarbij besparen zij direct op de voorbereiding omdat ze het slim organiseren en tegelijk een basis leggen voor continu verbeteren vanuit een cyclisch beheersingsproces. Als je de voorbereiding op de borging van de Wpg slim wilt organiseren, geef ik graag 3 tips.

1. Kies voor een gestandaardiseerde aanpak die voor herhaling vatbaar is.

Daarmee bedoel ik dat het inrichten van de interne beheersing van de verantwoording op de Wpg georganiseerd moet worden vanuit een gestandaardiseerde aanpak en eenduidige structuur die ook toegepast wordt op andere thema’s zoals bijvoorbeeld informatiebeveiliging, privacybescherming en financiële rechtmatigheid. De Wpg-audit is niet eenmalig en naleving vereist dan ook borging en bewijslast in de beheersorganisatie. Deze cumulatie aan verantwoordingsplicht waarbij het inzicht en overzicht verloren dreigt te raken met daarmee gepaard gaande hogere beheerskosten, vereist een gestandaardiseerde aanpak. Ondersteunende software op basis van een gestandaardiseerde aanpak op het gebied van interne beheersing helpt hierbij. In onze Key2Control GRC software plan je in 4 stappen de complete voorbereiding van de externe audit inclusief rapportages. En die stappen kun je op elk moment herhalen.

2. Sluit aan op een integrale interne beheersingsaanpak

Veel gemeenten kiezen ervoor om de interne beheersing van bedrijfsprocessen te organiseren binnen het eigen expertisedomein (lees silo’s). Dat betekent bijvoorbeeld dat informatiebeveiliging, financiële rechtmatigheid en archiefbeheer elk via een eigen intern beheersingsproces in een eigen bubbel worden georganiseerd. Deze vorm van suboptimalisatie is niet alleen inefficiënt maar tegelijkertijd ook kwetsbaar en slecht voor het organiseren van draagvlak is mijn ervaring. Door te kiezen voor een gezamenlijke (lees integrale) aanpak van interne beheersing kun je het beheersingsproces op elkaar afstemmen waardoor de organisatie als geheel efficiënter werkt. Tegelijkertijd verlaag je de kwetsbaarheid omdat de aanpak en werkwijze hetzelfde is en kennis in de software wordt vastgelegd. Tenslotte voorkom je piekbelasting en dubbel werk bij de uitvoeringsorganisatie die jouw vragen moet beantwoorden of bewijslast moet aanleveren die je nodig hebt voor de audit.

3. Houd zelf de regie over de Wpg-audit en wacht niet op de auditor

Zoals in de inleiding al is aangegeven, is dit misschien wel de belangrijkste tip. Laat je als privacy officer niet de kaas van het brood eten. Een externe auditor legt uiteindelijk een auditverslag neer bij het bestuur/college en zijn bevindingen en adviezen zullen onvermijdelijk gericht zijn op het verbeteren van beheers- en verbetermaatregelen die jij als privacy officer moet gaan oppakken. Maar nog belangrijker is dat je er voor moet zorgen dat vooraf aan de audit het bestuur/college intern al is geïnformeerd over de status rond de Wpg op basis van jouw zelfevaluatie, anders krijg je het verwijt passief te zijn geweest, immers in 2019 was al bekend dat een externe Wpg-audit in 2021 verplicht is. Wees ook daar op voorbereid. Het is niet handig en zelfs niet nodig om de resultaten van de externe auditor af te wachten omdat daarmee al gauw het verwijt van passiviteit komt boven drijven. Slimmer is om de regie in eigen hand te houden door het initiatief naar je toe te trekken en het bestuur/college vooraf aan de audit te informeren over de status op naleving van de Wpg. Daarmee haal je de angel uit de boodschap van de externe auditor ook al is die boodschap negatief. Er zijn al een enkele gemeenten die met behulp van Key2Control de regie naar zich toetrekken.

Naleving Wpg slim organiseren met Key2Control GRC software

Wij hebben het Wpg-normenkader van NOREA een paar weken na publicatie opgenomen in onze Key2Control GRC software. Elke norm hebben wij vanuit een oogpunt van interne beheersing en continu verbeteren verrijkt met een toelichting, stuurvragen en voorgedefinieerde beheers- en verbetermaatregelen en niet onbelangrijk, gekoppeld aan standaardrapportages. Zo kan met enkele muisklikken een zelfvaluatie, gapanalyse, jaarplan, voortgangsrapportage of verklaring van toepasselijkheid rond de Wpg gegenereerd worden. De interne beheersing van de Wpg in Key2Control volgt dezelfde bewezen succesvolle aanpak die we ook hanteren voor bijvoorbeeld informatiebeveiliging (BIO).

Ook snel aan de slag?

In Key2Control GRC kan elk bedrijfsproces aan de hand van normenkaders volgens gestandaardiseerde beheersingsprincipes auditproof worden gemanaged. Er zijn inmiddels meer dan 30 hoogwaardige normenkaders beschikbaar waaronder het Wpg-normenkader van NOREA. Je kunt direct met dit normenkader aan de slag en in 4 stappen de volledige voorbereiding op de naleving van de Wpg en de externe Wpg-audit organiseren. Je houdt daarmee de regie én je beschikt over een gestandaardiseerde aanpak om grip te blijven houden op naleving van de Wpg. Daarnaast kan je met onze software eenvoudig aantonen in hoeverre aan de gestelde eisen is voldaan tijdens de externe of interne Wpg-audit.

Wil je meer weten, neem dan contact op voor een vrijblijvend gesprek. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.