Privacy staat hoog op de agenda bij gemeenten. Niet alleen vanwege de Algemene Verordening Gegevensbescherming (AVG), maar ook door de Wet politiegegevens (Wpg). Vooral die laatste stelt extra eisen aan hoe bijvoorbeeld BOA’s met gegevens omgaan. Toch zien we dat één belangrijk middel vaak onderbelicht blijft: de interne auditfunctie. In deze blog leggen we uit waarom interne audits zo belangrijk zijn en hoe je ze praktisch kunt inrichten.

Download hier een pdf van deze blog

Wat is een interne audit?

Een interne audit is een onafhankelijk en systematisch onderzoek binnen een organisatie om te beoordelen of processen, systemen en activiteiten voldoen aan vastgestelde normen, wet- en regelgeving, en interne richtlijnen. Het doel is om risico’s te identificeren, verbeterpunten aan te wijzen en te zorgen dat processen veilig en effectief verlopen. Kortom: het is een manier om te checken of de organisatie doet wat ze heeft afgesproken en of dit op een veilige en verantwoorde manier gebeurt.

Geen luxe, maar noodzaak

Het idee dat interne audits alleen iets zijn voor grote organisaties met eigen auditafdelingen is onterecht. Ook voor gemeenten zijn interne audits van groot belang en soms zelfs verplicht. Het is namelijk geen overbodige luxe, maar een praktische manier om grip te houden op gegevensbescherming.

De verantwoordelijkheid voor privacy ligt bij het bestuur en management van de gemeente, ondersteund door de Functionaris Gegevensbescherming (FG) en de Privacy Officer. Zij monitoren en adviseren, maar hebben daarbij objectieve inzichten nodig in hoe privacywetgeving in de praktijk wordt toegepast. De interne audit biedt hiervoor een goed vertrekpunt.

Waarom is dit zo belangrijk?

Interne audits zijn belangrijk voor gemeenten om zowel aan wettelijke verplichtingen te voldoen als de kwaliteit van hun privacybeleid te waarborgen:

• Wettelijke verplichting (Wpg): Gemeenten moeten volgens artikel 32 van de Wet politiegegevens jaarlijks controleren hoe ze omgaan met politiegegevens. Dit moet onafhankelijk gebeuren, goed gedocumenteerd zijn en gedeeld worden met de FG.
• Verantwoording (AVG): De Algemene Verordening Gegevensbescherming (AVG) vereist dat organisaties kunnen aantonen dat ze zich aan de wet houden. Een interne audit helpt om dit gestructureerd te doen.
• Kwaliteitsverbetering en bewustwording: Door regelmatig te auditen, komen knelpunten sneller aan het licht en blijft privacy geen papieren tijger, maar echt iets waar de organisatie actief mee bezig is.

Waarom interne audits vaak achterblijven

Veel gemeenten hebben geen aparte auditafdeling. De capaciteit is vaak beperkt, privacytaken zijn verspreid over meerdere teams en audits worden gezien als een extra administratieve last. Daarnaast ontbreekt het vaak aan structurele inbedding in de organisatie: interne audits zijn niet geborgd in beleid of jaarplannen. Als ze niet expliciet gepland of toegewezen zijn, verdwijnen ze simpelweg uit beeld.

Een ander knelpunt is dat het woord ‘audit’ vaak een formeel en controlerend gevoel oproept, waardoor het al snel als een bedreiging wordt gezien. Dit negatieve imago kan ervoor zorgen dat medewerkers terughoudend zijn om actief deel te nemen. Een mogelijke oplossing is om de auditfunctie pragmatisch en laagdrempelig te organiseren. Door het bijvoorbeeld ‘interne reflectie’, ‘zelfevaluatie op privacy’ of ‘privacytoets op de uitvoering’ te noemen, creëer je ruimte voor open gesprekken en vermijd je dat het proces als controle wordt ervaren.

Hoe richt je een interne auditfunctie in?

Ook zonder aparte auditafdeling kun je als gemeente aan de slag met interne audits. Hieronder vind je zes concrete stappen die je kunt nemen:

1. Integreer audits in de Plan Do Check Actie (PDCA)-cyclus: Maak interne audits een vast onderdeel van je jaarlijkse beleidscyclus. Zo zorg je ervoor dat privacymaatregelen regelmatig worden geëvalueerd en verbeterpunten worden benoemd. Dit voorkomt dat audits een eenmalige exercitie worden.
2. Kies voor thematische audits In plaats van een allesomvattende audit op de hele AVG, kun je beter kiezen voor thematische audits. Richt je bijvoorbeeld op één concreet onderwerp, zoals hoe inzageverzoeken worden afgehandeld of hoe persoonsgegevens worden verwerkt binnen een specifiek domein, zoals het sociaal domein. Dit maakt de audit haalbaar en direct toepasbaar. Dit helpt om interne audits structureel te borgen zonder direct een grote auditlast te creëren.
3. Werk met herkenbare formats: Je hebt niet altijd officiële tools nodig, maak het praktisch en concreet. Gebruik eenvoudige vragenlijsten of checklists gebaseerd op de kernverplichtingen uit de AVG of Wpg. Maak bijvoorbeeld een lijst met 10 tot 15 vragen die je samen met een team bespreekt. Denk aan vragen als: Is er een actueel verwerkingsregister? Worden bewaartermijnen in de praktijk gehanteerd? Zijn betrokkenen op de juiste manier geïnformeerd? Door met deze vragen te werken, creëer je een laagdrempelige vorm van toetsing die je steeds opnieuw kunt inzetten per thema.
4. Haak aan bij bestaande processen: Koppel de audit aan bestaande controles, zoals de periodieke reviews door applicatie-eigenaren. Dit zorgt voor minder extra werk en een logische inbedding in bestaande structuren.
5. Houd de verslaglegging simpel: Een korte notitie is voldoende: benoem het onderwerp, de bevindingen en eventuele vervolgstappen. Geen dikke rapporten, maar overzichtelijke feedback die je makkelijk kunt delen.
6. Bouw een ritme in: Plan audits of reflectiemomenten bewust in. Bijvoorbeeld één keer per jaar een AVG-thema en jaarlijks de verplichte Wpg-toets. Zo maak je er een terugkerend onderdeel van in plaats van een ad-hoc activiteit.

Generale repetitie voor de externe audit

Zie de interne audit als een generale repetitie voor de externe audit. Gemeenten zijn namelijk verplicht om elke vier jaar een externe audit uit te voeren op de verwerking van politiegegevens (artikel 33 van de Wpg). Door jaarlijks intern te oefenen, voorkom je verrassingen als de externe auditor langskomt. Je leert de eisen van de Wpg goed kennen en kunt knelpunten op tijd aanpakken. Bovendien helpt een interne audit om verbeterpunten in kaart te brengen en alles goed te documenteren. Zo heb je straks een compleet dossier klaar, waardoor de externe toetsing soepeler verloopt en goedkoper is. Door de interne audit als generale repetitie te zien, geef je het een duidelijke rol en urgentie binnen de organisatie.

Begin klein

Je hoeft niet meteen een perfect auditsysteem op te tuigen. Begin klein, met één thema, één team en één reflectiegesprek. Leer van de praktijk en wees open over wat wel en niet werkt. Door pragmatisch te beginnen en vooral te richten op ‘leren en verbeteren’ in plaats van controleren, creëer je draagvlak én effect.

Hulpmiddelen

De vereniging van auditors (NOREA) heeft de handreiking ‘Privacy audit Wpg voor boa’s’ uitgebracht voor gemeenten. In aanvulling op deze handreiking heeft de Informatiebeveiligingsdienst voor gemeenten (IBD) het werkdocument ‘Audit Wet politiegegevens voor gemeenten’ opgesteld met hierin een verdere vertaling voor de gemeentelijke privacyfunctionarissen die hiermee aan de slag moeten.

Meer informatie of hulp nodig?

Heb je na het lezen van de blog vragen of wil je ondersteuning bij het opzetten van een interne privacy-auditfunctie? IB&P helpt gemeenten met praktische en haalbare interne controles. Neem gerust contact op voor een vrijblijvend gesprek of download onze gratis checklist voor thematische privacy-audits.