Vijf succesfactoren voor de Wet Politiegegevens

Grip op de Wpg (her-)audit - aandachtspunten en oplossingen

Sinds 2019 is de Wet Politiegegevens (Wpg) van toepassing voor boa’s. De werkgevers van de boa’s zijn verantwoordelijk voor de naleving van deze wet. In 2021 heeft de Autoriteit Persoonsgegevens hen hierop aangesproken, deels door publicaties, deels door hen schriftelijk of telefonisch te benaderen. Vooral sindsdien zijn werkgevers van boa’s aan de slag gegaan met de implementatie van de Wet Politiegegevens. Vaak begint dit met een externe audit, gevolgd door een implementatietraject. De afgelopen jaren hebben BMC-adviseurs Julius Duijts en Alex Commandeur bij tientallen organisaties implementaties begeleid en interne audits uitgevoerd. In deze blog delen zij hun ervaringen, geven ze tips en blikken ze vooruit op de volgende stappen.

Na de externe audit moet binnen een jaar een hercontrole plaatsvinden. Inmiddels zijn in veel organisaties externe hercontroles uitgevoerd. Soms met goed gevolg, maar voor een aantal organisaties vallen de resultaten tegen. Dan blijkt de implementatie van de Wpg lastiger te zijn dan verwacht.

 

Succesfactoren voor implementatie

We zien een aantal succesfactoren voor de implementatie van de Wpg en een goed resultaat bij de audits, zoals de hercontrole:

• Applicaties. Voldoen aan de Wpg wordt een stuk gemakkelijker wanneer uitsluitend gebruik wordt gemaakt van applicaties met een auditverklaring (TPM) voor de Wpg. Voor generieke applicaties voor e-mail kan een andere auditverklaring, zoals een SOC2 TPM, vaak ook voldoen. Voor andere applicaties, zoals zaaksystemen en netwerkschijven in beheer van de eigen ICT-afdeling, is het weliswaar in principe mogelijk om te voldoen aan de Wpg, maar dan moeten de vereiste onderwerpen autorisaties, logging, wijzigingsbeheer, cryptografie en kwetsbaarhedenbeheer (zowel patching als scanning) aantoonbaar op werking zijn ingericht. Dat is voor menige interne ICT-afdeling en ook voor menige leverancier niet haalbaar, mede doordat de verwerking van politiegegevens vaak maar een (zeer) klein onderdeel is van de totale dienstverlening.

Tip: maak uitsluitend gebruik van applicaties met een TPM voor de Wpg of een generieke TPM waarin de vereiste onderwerpen zijn afgedekt.

• Documentatie. Bij een audit begint een auditor veelal met het bestuderen van documentatie. Dan is het belangrijk dat de werkwijze van de Boa’s op papier staat (de ‘opzet’). Dat kan met een procedure van een aantal pagina’s per onderwerp waarop wordt geaudit (uit de NOREA handreiking Privacy audit Wpg voor boa’s). Vaak kan het ook met een veel kortere werkinstructie, waarin voor een aantal onderwerpen een alinea aan tekst voldoende is.

Vervolgens kijkt een auditor naar de uitvoering in de praktijk (‘bestaan’). Die is vaak alleen aantoonbaar als ook die is gedocumenteerd. Dat kan op verschillende manieren, zolang je werkwijze maar aantoonbaar is. Handiger dan mondelinge terugkoppeling van bevindingen is daarom een e-mail, vooral als je daarvan een kopie opslaat in een map voor de volgende audit.

Tip: Maak een beknopte en heldere werkinstructie waarin de onderwerpen van de Wpg-audit worden behandeld.

Tip: Zorg dat het document is vastgesteld door een bevoegde en zet op het document dat het is vastgesteld, wanneer en door wie en dat de status ‘definitief’ is (niet concept).

Tip: Zorg dat wat je (goed) doet ook ergens is vastgelegd, zodat een auditor daarop kan steunen.

• Borging. Als de organisatie bij de hercontrole op alle onderwerpen van de audit voldoet, is dat een belangrijke mijlpaal en een mooi startpunt voor de borging. Want een periodieke check op de uitvoering van de werkwijze is nodig om ook de volgende interne of externe audit weer succesvol af te ronden. In de loop van de tijd zal de werkwijze aangepast moeten worden, kan de aandacht verslappen of wordt er wel eens iets vergeten. Het blijft tenslotte mensenwerk. Bij veel inspecties van de autorisaties tijdens de audit blijken er onvolkomenheden in te zijn geslopen, bijvoorbeeld medewerkers die uit dienst zijn of een andere rol hebben gekregen. Als je zelf periodiek checks uitvoert en die documenteert, kun je vergissingen tijdig corrigeren en bij de audit de werking van je werkwijze aantonen. Op andere punten kan een steekproefsgewijze 4-ogen controle helpen om de werkwijze en de Wpg consequent toe te passen.

Tip: controleer binnen het boa-team zelf of de werkwijze in de praktijk nog voldoet aan de Wpg aan de hand van de auditonderwerpen.

• Toezicht door de Functionaris Gegevensbescherming (FG). De Wpg vereist dat er een FG is benoemd die toezicht houdt op de naleving van de Wpg. Of dat gebeurt, wordt in de audit getoetst. In 2018 zijn veel FG’s benoemd voor de Avg. Met het informeren en adviseren over de Avg en het toezicht daarop hebben veel FG’s hun handen vol. De taakuitbreiding naar de Wpg is voor lang niet alle FG’s en welkome uitbreiding van hun taken. Enerzijds heeft dat te maken met hun capaciteit, anderzijds met ontbrekende kennis en ervaring.

Tip: overleg met de FG wat deze nodig heeft om de taken voor de Wpg uit te voeren.

• Kennis van de Wpg en de auditvereisten. Voor veel teamleiders van boa’s, privacy officers en FG’s is nog onvoldoende duidelijk waar de organisatie aan moet voldoen voor een goed auditresultaat en hoe je dat op een praktische manier kunt bereiken.

Tip: ondersteun Boa’s, privacy officers en FG’s met passende training om hun taken succesvol uit te voeren.

 

Praktische invulling en onderhouden documentatie

Veel van onze klanten hebben ervoor gekozen om gebruik te maken van onze kennis en ervaring bij tientallen andere organisaties. Zij hebben ontdekt dat een snelle implementatie mogelijk is. Dat kan binnen twee maanden als de organisatie zelf actief betrokken is bij het implementatieproject. Dan blijkt ook dat er geen papieren tijgers nodig zijn, maar wel een praktische invulling en een goed onderhouden documentatie.

 

BMC ondersteunt daarbij door:

• Het begeleiden van Wpg-implementaties, waarbij we gebruikmaken van een bibliotheek van beproefde sjablonen voor beleid, werkinstructies en procedures. Meer informatie vindt u hier: https://www.bmc.nl/data-dienstverlening/privacy/inrichting-borging-wpg 

• Trainingen voor boa’s waarin op die aspecten van de Wpg wordt ingegaan die direct relevant zijn voor het dagelijkse werk van de boa’s. We bieden die training aan bij u op locatie en ook als e-learning.

• De opleiding Interne auditor voor de Wpg, die gericht is op auditoren, veelal vanuit control-afdelingen, maar ook veel wordt gevolgd door Privacy Officers en FG’s. De opleiding biedt de benodigde kennis van de Wpg en de auditvereisten voor interne auditoren, conform de wettelijke vereisten. PO’s en FG’s zijn daarmee in staat boa-teams te informeren en adviseren en FG’s kunnen passend toezicht houden. Meer informatie over deze opleiding en de mogelijkheid tot inschrijving vindt u hier: https://www.bmc.nl/opleidingen-trainingen/opleiding-interne-auditor-wpg-voor-boas 

• Verdieping voor interne auditoren Wpg voor boa’s. Veel mensen die bij ons de opleiding Interne auditor Wpg voor boa’s hebben gevolgd, hebben intussen ervaring opgedaan in de praktijk. Die praktijk brengt ook nieuwe vragen met zich mee en de behoefte aan uitwisseling met andere interne auditoren. Voor jullie organiseren we een verdieping op de opleiding. Meer informatie lezen en inschrijven kan via onze website: https://www.bmc.nl/opleidingen-trainingen/training-verdieping-interne-auditor-voor-de-wet-politiegegevens-voor-boas-wpg

• Niet elke organisatie heeft medewerkers om de interne audits uit te voeren. In die gevallen kan BMC de interne audit uitvoeren. Voor de externe audit kunnen we onze partner aanbevelen.

 

Meer informatie

Meer informatie over de inrichting en borging van de Wpg? Neem dan contact op Alex Commandeur of Julius Duijts.