Wpg privacy audit: is uw gemeente er klaar voor?

Toezicht houden en handhaven zijn belangrijke taken voor de buitengewoon opsporingsambtenaren (boa’s). Zij houden toezicht  en  handhaven op wat er bijvoorbeeld in de openbare ruimte, het onderwijs (leerplicht) en werk, inkomen en zorg (sociale recherche) gebeurt. Denk daarbij aan jeugdoverlast, vandalisme, drank- en drugsgebruik in de openbare ruimte, dumpen van (illegaal) afval, hinderlijk of gevaarlijk geparkeerde fietsen, misbruik en oneigenlijk gebruik maken van uitkeringen enzovoort. Door deze taken krijgt een BOA bij het verwerken van persoonsgegevens te maken met twee wettelijke kaders: de Algemene Verordening Gegevensbescherming (AVG) en de Wet Politiegegevens (Wpg).

Wat speelt er?

Bij het verwerken van persoonsgegevens door boa’s moeten gemeenten rekening houden met de wet- en regelgeving die hiervoor geldt. Zowel de Algemene verordening gegevensbescherming (AVG) als de Wet politiegegevens (Wpg) zijn hierbij relevant. De Wet politiegegevens verplicht iedere gemeente met boa’s in dienst om, voor het eerst in 2021, een onafhankelijke IT-auditor/RE opdracht te geven voor het uitvoeren van de externe privacy audit en het opstellen van de rapportage aan de Autoriteit persoonsgegevens. De externe privacy audit vindt één keer in de vier jaar plaats. Ter voorbereiding hierop moet de gemeente minimaal jaarlijks een voorbereidende interne audit uitvoeren. Deze audits richten zowel op opzet, bestaan als werking van de maatregelen en procedures. Deze werkzaamheden en daaruit voortvloeiende uitvoering van verbeterplannen betekenen voor veel gemeenten een ongekende extra belasting voor het team handhaving en de interne auditorganisatie.

Wet politiegegevens en besluit politiegegevens

De Wet politiegegevens regelt de rechten en plichten van zowel de politie als de burger, voor wat betreft het verwerken van politiegegevens. Politiegegevens zijn persoonsgegevens die in het kader van de politietaak worden verwerkt. Naast de Wet politiegegevens is er ook een Besluit politiegegevens, waarin onder meer staat aan welke partners en in welke gevallen de politie politiegegevens mag verstrekken. De politie mag alleen politiegegevens verwerken als ze noodzakelijk, rechtmatig verkregen en doelgebonden zijn.

Naast de politie moeten ook andere organisaties zich aan de Wet houden, namelijk de bijzondere opsporingsdiensten en de buitengewoon opsporingsambtenaren. In dat kader is het Besluit politiegegevens buitengewoon opsporingsambtenaren (BOA) van toepassing. In dit Besluit is opgenomen dat de verwerkingsverantwoordelijke voor specifieke vormen van de verwerking van politiegegevens een beroep kan doen op een persoon die onder zijn beheer valt en die geen buitengewoon opsporingsambtenaar is. Dit betekent dat ook serviceorganisaties zoals applicatieleveranciers en hostingpartijen onder de Wet politiegegevens kunnen vallen.

Uitvoering privacy audits en voorbereidende jaarlijkse interne audits

De Regeling periodieke audit politiegegevens bepaalt de regels voor de interne en externe audits. Deze audits hebben betrekking op de wijze waarop het verwerken van politiegegevens is georganiseerd, de maatregelen en procedures die daarop in opzet en bestaan van toepassing zijn en de voortdurende werking van deze maatregelen en procedures. Hierbij wordt gebruikgemaakt van een opgesteld privacy-normenkader. De beroepsorganisator van IT-auditors Norea publiceerde recent de Handreiking privacy audit Wet politiegegevens voor boa’s. Deze handreiking is opgesteld om de IT-auditor relevante informatie te verstrekken en een uniform toetsbaar normenkader te bieden voor het zorgvuldig uitvoeren van een privacy audit op basis van de Wet politiegegevens en het Besluit politiegegevens buitengewoon opsporingsambtenaren. De resultaten van de interne audits worden betrokken bij de externe privacy audit. Indien tijdens de controle tekortkomingen worden gesignaleerd, moet binnen drie maanden een verbeterrapport worden opgesteld. Op basis van dit rapport vindt vervolgens een hercontrole plaats.

NCOD kan uw gemeente helpen!

Onze adviseurs zijn speciaal opgeleid en hebben de nodige kennis, zowel op het gebied van procesuitvoering als het uitvoeren van privacy audits. Wij kunnen uw gemeente helpen met de voorbereiding op de jaarlijkse interne audits, het maken van een risicoanalyse, het opstellen van verbeterplannen, processen en  interne rapportages aan de verwerkingsverantwoordelijke. Daarbij werken we nauw samen met audit organisaties, zodat er een goede afstemming is tussen de interne en externe audits. Zo komt u als gemeente niet voor verrassingen te staan.

KUNNEN WE IETS VOOR U BETEKENEN?

Neem contact op met:

Gerben de Graaf
Digitalisering & Informatiemanagement
Mailadres
Peter Ruijters
Digitalisering & Informatiemanagement
Mailadres

Onze artikelen automatisch in de mailbox ontvangen? Neem hier een abonnement op onze nieuwsbrief