Gemeenten en de WPG audit
Vrijwel elke gemeente heeft buitengewoon opsporingsambtenaren (boa’s) in dienst of onder contract. De bescherming van persoonsgegevens bij strafbare feiten is niet in de Algemene Verordening Gegevensbescherming (AVG) geregeld, maar in de Wet politiegegevens (WPG) aangevuld met het besluit Politiegegevens (BPG). Gemeenten moeten daardoor niet alleen voldoen aan de AVG, maar ook aan de WPG.
De WPG stelt strengere eisen dan de AVG aan de beveiliging van persoonsgegevens. Dat komt omdat de bevoegdheden van boa’s verder reiken dan de gebruikelijke overheidssystemen. De daarmee samenhangende processen en systemen en procedures, zoals toegangsrechten, autorisaties, data classificatie, risico-inschatting, registratie en logging, meldplicht en documentatieplicht dienen ingeregeld te worden.
Deze processen moeten middels jaarlijkse interne audits worden gecontroleerd. Eens in de vier jaar, voor het eerst over de periode tot 31-12-2021, moet een externe auditor / RE een auditverslag uitbrengen, zowel aan de gemeente als aan de Autoriteit Persoonsgegevens. De eerste externe audit dient uiterlijk op 31 december 2022 afgerond te zijn. Indien niet aan alle normen is voldaan, dient de gemeente een verbeterplan op te stellen en dit verbeterplan te laten toetsen.
Het is erg belangrijk dat de interne audits en de externe audit goed op elkaar aansluiten. Dat maakt niet alleen de audits efficiënter, maar zorgt er ook voor dat geen onverwachte tegenvallers opduiken. At Risk Advies BV ondersteunt gemeenten bij het inrichten van deze processen en het uitvoeren van de externe audit.