Stappenplan Wpg-audit

Voor wie?
Alle organisaties die politiegegevens verwerken (waaronder gemeenten en werkgevers van boa’s), zijn wettelijk verplicht periodiek een Wpg-audit uit te voeren.

Stap 1: Jaarlijkse interne audit

• Voer elk jaar een interne privacy-audit uit.
• Beoordeel processen, maatregelen en procedures rond politiegegevens.
• Gebruik de NOREA-handreiking als leidraad.

Stap 2: Vierjaarlijkse externe audit

• Laat ten minste eens per vier jaar een externe, onafhankelijke auditor een audit uitvoeren.
• Externe auditor mag niet de Functionaris Gegevensbescherming (FG) zijn.
• Zorg dat de auditor deskundig en onafhankelijk is

Stap 3: Rapportage en aanleveren

• Stel een ‘short-form’ auditrapport op.
• Dien het rapport digitaal in bij de Autoriteit Persoonsgegevens (AP) tussen 1 maart 2025 en 1 maart 2026.
• Verwijder persoonsnamen; lever het rapport bij voorkeur aan in PDF/A-formaat.

Stap 4: Verbeterplan en hercontrole (indien nodig)

• Blijkt uit de audit dat je organisatie niet voldoet? Stel binnen een jaar een verbeterplan op.
• Laat hercontrole uitvoeren door een onafhankelijke partij.
• Stuur het hercontrolerapport naar de AP — het verbeterplan zelf hoeft niet gerapporteerd te worden.

Stap 5: Borging en samenwerking

• Houd altijd een afschrift van ingediende rapporten in de eigen administratie.
• Neem verantwoordelijkheid bij uitlening/inhuur van boa’s of samenwerking met andere organisaties.