Autoriteit Persoongegevens bezorgd over uitblijven verplichte Wpg-audit

Nog niet iedere organisatie is even ver met de verplichte Wpg privacy-audit. Afgelopen week meldde de Autoriteit Persoonsgegevens (AP) in een persbericht dat het lage aantal ingeleverde Wpg privacy-auditrapporten de AP grote zorgen baart.

Wpg-audits zijn verplicht
De Wet Politiegegevens (Wpg) verplicht werkgevers van boa’s (onder andere gemeenten, OV-bedrijven en Staatsbosbeheer) twee jaar na de inwerkingtreding van de Wpg (en daarna elke vier jaar) een externe audit te laten uitvoeren door een geregistreerde IT Auditor (RE).[1] Jaarlijks moeten werkgevers van boa’s een interne audit uitvoeren. Het rapport van de externe audit moet ingeleverd worden bij de AP. Afhankelijk van de organisatie kan de Wpg-audit en de opvolging ervan een pittige of minder grote inspanning vergen. Feit blijft dat specifieke aandacht vereist is bij gegevensverwerkingen door boa’s.

Werkgevers kregen één jaar uitstel
De resultaten uit de externe audit en de eventuele externe hercontrole moeten gedeeld worden met de AP. Die auditverplichting is met ingang van 9 maart 2019 van kracht geworden. Oorspronkelijk hadden werkgevers van boa’s de externe Wpg-audit voor het eerst in 2021 moeten laten uitvoeren en aanleveren. De AP kan de wet niet veranderen. De Wpg-audit moet dus nog steeds (ten minste) zien op 2019 en 2020. Het rapport mag nu ‘slechts’ later ingeleverd worden. De auditplicht blijft precies hetzelfde. De interne audits dienen vanaf 2019 jaarlijks plaats te vinden. Ook dat verandert hiermee niet.

Na een jaar uitstel, ligt de uiterste datum voor het aanleveren van Wpg-auditrapporten op 31 december 2022. Om tijdnood bij organisaties en onvolledige rapporten te voorkomen, wijst de AP daarom nogmaals op de verplichting en de naderende einddatum.

Lever op tijd aan
Bij niet naleving wordt handhavend optreden van de toezichthouder geriskeerd.[2] De AP kan zonder veel inspanning nagaan welke organisaties boa’s in dienst hebben en niet aan hun verplichtingen hebben voldaan. Een last onder bestuursdwang komt voor eigen kosten, dus zorg dat uw organisatie vóór 2023 de externe Wpg-audit heeft uitgevoerd, ook als uw organisatie nog niet aan alle eisen uit de Wpg voldoet! Het uitvoeren van een audit betekent namelijk niet dat ook alle gebreken die voortkomen uit de audit opgelost moeten zijn. Het gaat erom dat een audit is uitgevoerd, niet dat alles al ‘groen’ is. Van belang is met de resultaten van de audit verbeteringen in gang te zetten.

Meer informatie over de Wpg-audit
De professionals van Lex Digitalis hebben veel ervaring met naleving van de Wpg en ondersteunen u graag in dit traject. We verzorgden 24 juni 2021 een webinar over het onderwerp en gaven daarbij praktische handvatten aan publieke en private organisaties de hun organisatie Wpg-proof willen maken. Neem daarom vandaag nog contact op als u vrijblijvend meer weer weten over wat Lex Digitalis voor u en uw organisatie kan betekenen. U kunt mij telefonisch bereiken via 06 43413086 of per e-mail via daisy.brugman@lexdigitalis.nl.

[1] Artikel 33 Wpg, artikel 6:5 Bpg.
[2] Artikel 33 lid 2 Wpg.