Van de ruim 600 werkgevers van buitengewoon opsporingsambtenaren (boa’s) heeft ongeveer de helft niet de eerste verplichte externe audit uitgevoerd op grond van de Wet politiegegevens (Wpg) en dus eind 2022 geen rapport aangeleverd bij de Autoriteit Persoonsgegevens (AP). Uit de wel aangeleverde rapporten blijkt dat de naleving van de Wpg vaak nog niet op orde is. Dit constateert de AP in een rapportage over de Wpg-audit.
De Wpg-audits vormen een cyclus waarin boa-werkgevers ieder jaar een interne Wpg-audit moeten uitvoeren en één keer in de 4 jaar een externe audit laten uitvoeren. De eerste externe audit moest in 2021, twee jaar na inwerkingtreding van de auditverplichting, voor de eerste keer worden uitgevoerd. Voor de eerste externe audit is uitstel verleend tot eind 2022. Deze eerste externe audit kan worden gezien als een nulmeting. Nu is het tijd om de Wpg-verplichtingen daadwerkelijk te implementeren. In deze blog geven wij 5 tips om ervoor te zorgen dat je als werkgever met boa’s in dienst niet achter de feiten aanloopt en nog dit jaar alles op orde hebt om aan de auditverplichting uit de Wpg te voldoen.
Als boa-werkgever moet je, volgens de Wpg, ieder jaar een interne audit uitvoeren. Ook in jaar, 2023, moet er dus weer een interne audit plaatsvinden. Het uitvoeren van zo’n interne audit kost tijd. Uit ervaring weten wij dat de eerste keer dat je als organisatie een interne Wpg-audit uitvoert, dit zo’n 3 tot 4 maanden in beslag neemt. Hoewel de interne audit door een interne auditeur kan worden uitgevoerd, zien wij in de praktijk dat deze werkzaamheden ook vaak worden uitbesteed. Onze juristen ook je voorzien in deze uiterst projectmatige werkzaamheden.
Mocht je wel een eigen interne auditeur willen aanwijzen dan stelt de Wpg wel een aantal eisen hieraan, waardoor je niet iedere willekeurige werknemer als interne auditor kan aanwijzen. De auditor moet bijvoorbeeld in ieder geval kennis hebben van auditing, de boa-organisatie en de verwerking van politiegegevens. Daarvoor moet de auditor een opleiding hebben gevolgd.
Wat nou als jouw organisatie nog niet over deze interne auditor met de juiste eisen beschikt? Leid intern zo snel mogelijk iemand op of werf deze persoon. Als dit niet lukt kan de interne audit ook door ons worden uitgevoerd.
Heb je als boa-werkgever afgelopen jaar wel voldaan aan de verplichting om een externe audit uit te voeren? Dan heb je (als het goed is) binnen 3 maanden na afronding van de externe audit een verbeterplan opgesteld. In dit verbeterplan heb je de maatregelen beschreven die noodzakelijk zijn om de tijdens de externe audit geconstateerde tekortkomingen te verbeteren. Implementeer deze maatregelen zo snel mogelijk. Nog dit jaar zal er namelijk een hercontrole plaatsvinden door de interne of externe auditor. De resultaten daarvan moeten eind 2023 aan de AP moeten worden toegestuurd. Zo nodig zal de AP daarbij ook andere toezichtsinstrumenten inzetten.
De auditor voert de Wpg-audit uit aan de hand van de handreiking van NOREA. Daarin staat een normenkader van normen die de externe auditor over een periode van 4 jaar toetst. Voor veel normen uit dit normenkader is het echter niet wenselijk en soms zelfs onmogelijk, om deze over de cyclus van 4 jaar te toetsen. Dit betekent dat je niet ieder jaar alle normen hoeft te toetsen, maar je uiteindelijk in die 4 jaar wel allemaal over een periode van 12 maanden moet hebben getoetst. In de handreiking zijn 7 normen als toezichtsmaatregelen aangeduid. Deze toezichtsmaatregelen moet je wel over de gehele cyclus van 4 jaar toetsen. Het is daarom belangrijk om deze toezichtsmaatregelen ook tijdens iedere jaarlijkse interne audit te toetsen:
Wij adviseren dan ook om zo snel mogelijk deze toezichtsmaatregelen te implementeren en intern af te stemmen wie verantwoordelijk is voor deze maatregelen. Zo kan je aantonen dat je als boa-werkgever toezicht houdt op de Wpg.
Voorafgaand aan iedere jaarlijkse interne audit dien je een auditplan op te stellen. In het auditplan komen verschillende elementen aan de orde. De jaarlijkse interne audit heeft betrekking op één of meerdere onderdelen van de wet. In het auditplan geef je het doel, de inhoud, de doorlooptijd en de onderzoeksinstrumenten van de interne audit aan. Ook geef je aan hoe je rapporteert en binnen welke termijn je rapporteert. Je geeft aan hoe de informatie die verzameld wordt voor de interne audit is beveiligd en geeft aan dat er een geheimhoudingsplicht op de interne audit rust. Tot slot benoem je aan wie de interne audit wordt aangeboden en naar wie dit mag worden verspreid. Hierbij kan gebruik worden gemaakt van de handreiking van NOREA.
Last but not least; voer die interne audit nog dit jaar uit. Indien je dit als werkgever niet doet, loop je het risico om ook tijdens de volgende externe audit een afkeurend oordeel te krijgen.
Met deze 5 tips zorg je ervoor dat je vanaf dit jaar aan je auditverplichting op grond van de Wpg kunt voldoen. Zorg er vervolgens voor dat je ieder jaar een auditplan opstelt (plan), de audit uitvoert (do), een verbeterplan opstelt (check) en maatregelen neemt om tekortkomingen te verbeteren (act). Zo zorg je ervoor dat je niet (nogmaals) achter de feiten aan blijft lopen.
Vragen of hulp nodig? Neem contact met ons op, dan helpen onze juristen jou verder.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.