Bent u klaar voor de Wpg-audit?

Verwerkt uw organisatie politiegegevens voor opsporingstaken? Dan valt uw organisatie onder de Wet politiegegevens (Wpg). Deze wet bevat auditverplichtingen.

Politiegegevens zijn persoonsgegevens die nodig zijn voor voorkoming en opsporing van strafbare feiten. (Buitengewoon) opsporingsambtenaren zijn bevoegd tot het verwerken politiegegevens. Organisaties die politiegegevens verwerken:

• Politie
• Bijzondere opsporingsdiensten
• Koninklijke marechaussee
• Rijksrecherche
• Werkgevers van buitengewoon opsporingsambtenaren (boa’s) zoals gemeenten, vervoersbedrijven en natuurbeheerders.

De auditverplichtingen

De auditverplichtingen in de Wpg zijn verder uitgewerkt in het Besluit politiegegevens en de Regeling periodieke audit politiegegevens. Samengevat is het verplicht om:

• jaarlijks een interne audit uit te voeren volgens een auditplan. De interne auditor moet de resultaten van deze audit vastleggen in een rapportage en aanbieden aan de verwerkingsverantwoordelijke. De interne auditor moet onafhankelijk zijn, een auditorenopleiding hebben gevolgd en voldoende kennis en ervaring hebben.
• om de vier jaar een externe audit uit te laten voeren door een externe auditor. De rapportage van de externe auditor moet uw organisatie naar de Autoriteit Persoonsgegevens en de verwerkingsverantwoordelijke sturen.
• binnen drie maanden een verbeterrapport opstellen als er tekortkomingen tijdens de externe audit zijn geconstateerd. Binnen één jaar moet er een hercontrole worden uitgevoerd. Wie deze hercontrole mag uitvoeren hangt af van het advies van de externe auditor. Dit kan de interne of externe auditor zijn. Ook de resultaten van de hercontrole moeten in een rapportage worden vastgelegd en aangeboden aan de verwerkingsverantwoordelijke.

De WPG-werkgroep van NOREA heeft een handreiking ‘Privacy Audit Wpg voor boa’s’ uitgebracht. Hierin is een uniform toetsbaar normenkader opgenomen die wordt gevolgd door (externe) auditors.

Wanneer moet de externe audit zijn uitgevoerd?

De komende externe audit bij Boa-organisaties is over de periode 2021-2024. De auditrapportage van de externe auditor moet tussen 1 maart 2025 en 1 maart 2026 ingeleverd zijn bij de Autoriteit Persoonsgegevens. Voor andere Wpg-organisaties lopen de auditperiodes anders. Bijvoorbeeld de laatste externe audit van de Politie was over de periode 2018 tot en met 2022. De volgende externe audit vindt in 2027 plaats.