WPG Audit rapportages: Te weinig ingeleverd en te veel tekortkomingen

In januari 2023 meldde de Autoriteit persoonsgegevens dat zij slechts een kleine 200 auditrapporten had ontvangen van de ruim 600 werkgevers van BOA’s. Deze rapportages hadden uiterlijk op 31 december 2022 aan de AP moeten zijn verstuurd, nadat de AP al eerder een jaar uitstel had verleend.

De AP is inmiddels gesprekken aan het voeren met de nalatige organisaties. Afhankelijk van de uitkomst van deze gesprekken kan de AP handhavend optreden, bij voorbeeld met het opleggen van een boete of verscherpt toezicht of een berisping.

Eind januari 2023 werd bekend dat ook de belastingdienst heeft verzuimd onderzoek te doen of haar BOA’s zich houden aan de regels voor het gebruik van politiegegevens.

Tegelijkertijd werd bekend dat de douane wel de verplichte WPG audit had laten uitvoeren, maar dat de score ver onder de maat was. Van de 32 normen die gehaald moesten werd slechts voor 4 normen geconcludeerd dat voldaan werd aan de norm.

Ook veel gemeenten hebben BOA’s in dienst en dienen daardoor de WPG-audit te laten uitvoeren. Dat gebeurt lang niet altijd. En in die gevallen waarin dat wel gebeurt, schieten ook hier de resultaten ver te kort.

Het is duidelijk dat de nieuwe privacy regelgeving nog niet goed is verankerd in de maatschappij. Deze eerste auditcyclus moet daarom gezien worden als een nulmeting. Vanaf hier moeten grote verbeterslagen worden gemaakt om tot een behoorlijke implementatie van de privacy regels te komen. Dat is noodzakelijk voor het vertrouwen van burgers in de overheid.

Bedrijven en instellingen met een auditrapport wat niet aan alle normen voldoet hebben een jaar de tijd om een verbeterplan te implementeren en dit plan door een IT-auditor te laten testen.

Januari 2023