Wet politiegegevens audit voor boa’s uitgesteld

1 december 2021 - Meer dan 1.000 verschillende instanties werken met buitengewone opsporingsambtenaren (boa’s) die verantwoordelijk zijn voor de strafrechtelijke handhaving van de rechtsorde op een specifiek beleidsterrein, bijvoorbeeld om fraude en witwassen te bestrijden. Alle instanties die boa’s in dienst hebben, dienen jaarlijks een interne Wet politiegegevens audit uit te voeren. Autoriteit Persoonsgegevens heeft deze deadline uitgesteld.

Voor alle instanties geldt dat zij eens in de vier jaar verplicht een externe audit moeten laten uitvoeren. De Wet politiegegevens (Wpg) regelt de verwerking van persoonsgegevens voor de uitoefening van de politietaak. Een Wpg-audit is een bijzondere vorm van een privacy audit.

Boa’s hebben in hun dagelijkse werkzaamheden te maken met een dunne scheidslijn tussen enerzijds de Wpg en anderzijds de Algemene Verordening Gegevensbescherming (AVG). Dit komt doordat bepaalde taken en gegevens anders gecategoriseerd worden binnen deze wetgevingen. Het gevolg hiervan is dat deze dunne scheidingslijn verhoogde risico’s met zich meebrengt voor het verwerken van veelal gevoelige persoonsgegevens. De gevolgen kunnen bestaan uit imagoschade en/of financiële schade. Het is een bestuurlijke verantwoordelijkheid van deze instanties om interne maatregelen ingeregeld te hebben en naleving te borgen waarmee de risico’s van de verwerking van gevoelige opsporingsgegevens worden beheerst. In de laatste plaats gaat het hier ook om de bescherming van de rechten van betrokkenen en ethiek rond het verwerken van persoonsgegevens.

Focusgebied

Een Wpg-audit richt zich op een drietal aspecten, te weten:

-        De wijze waarop de verwerking van politiegegevens is georganiseerd.

-        De procedures en maatregelen die hierbij van toepassing zijn.

-        De implementatie van de desbetreffende procedures en maatregelen.

Uitstel Wpg-audit

Alle instanties die boa’s in dienst hebben zouden uiterlijk 31 december 2021 voor het eerst een interne en externe Wpg-audit moeten laten uitvoeren. De rapportage dient vervolgens naar de Autoriteit Persoonsgegevens (AP) opgestuurd te worden. De AP heeft echter besloten instanties hiervoor één jaar uitstel te verlenen, waardoor instanties nu de tijd hebben tot en met 31 december 2022 voor de interne en externe Wpg-audit.

Deze Wpg-Audits dienen uitgevoerd te worden door een bij NOREA geregistreerde IT-auditor (RE).

Advies Wpg-audit

We adviseren om niet te lang te wachten met de voorbereiding en uitvoering van deze Wpg-audits. Voor organisaties die nog niet eerder een dergelijke audit hebben ondergaan kan de Wpg-audit een behoorlijke inspanning vereisen om de maatregelen op orde te krijgen en controleerbaar te maken. Een goede aanpak is om eerst een gap-analyse (ook wel nul-audit genoemd) uit te voeren en na een verbeteringstraject de finale audit te starten. Wij kunnen u ondersteunen bij het uitvoeren van een gap-analyse.

Meer weten?

Wilt u meer informatie over de uitvoering van een Wpg-audit? Neem dan contact op met Jan Matto per e-mail of telefoon +31 (0)88 277 13 99 of met Achmed Bouazza per e-mail of telefoon +31 (0)88 277 13 88. Zij helpen u graag.