Regeling periodieke audit politiegegevens

Geraadpleegd op 19-11-2024. Gebruikte datum 'geldig op' 01-01-2012 en zichtdatum 01-10-2024.
Geldend van 01-01-2009 t/m 31-12-2012

Regeling van de Minister van Justitie, de Minister van Binnenlandse Zaken en de Minister van Defensie van 9 december 2008, nr. 5578598/08, houdende nadere regels ten aanzien van het toezicht op de naleving van de bij of krachtens de Wet politiegegevens gegevens voorschriften (Regeling periodieke audit politiegegegevens)

De Minister van Justitie, de Minister van Binnenlandse Zaken en de Minister van Defensie;

Gelet op artikel 6:5 van het Besluit politiegegevens;

Besluiten:

Artikel 1. Definities

In deze regeling wordt verstaan onder:

Artikel 2. Privacy audit (artikel 6:5, eerste lid)

  • 1 De privacy audit wordt uitgevoerd door middel van een Electronic Data Processing (EDP) audit, ook wel IT-audit genoemd.

  • 2 De privacy audit heeft tot doel op systematische wijze te toetsen of aan de bepalingen van de wet op adequate wijze uitvoering is gegeven. Hiertoe vindt een beoordeling plaats van de volgende aspecten binnen de organisatie van de auditee:

    • a. de opzet en het bestaan van maatregelen en procedures die in de borging van de wettelijke eisen moeten voorzien;

    • b. de werking van de getroffen maatregelen en procedures.

  • 3 De resultaten van de interne audits worden betrokken bij de privacy audit.

  • 4 Indien de verantwoordelijke de toegang tot bepaalde gegevens wenselijk noch noodzakelijk acht voor een goede uitvoering van de privacy audit, kan hij de toegang daartoe weigeren, dan wel aan beperkende voorwaarden verbinden. De verantwoordelijke deelt de auditor schriftelijk en gemotiveerd zijn beslissing mede.

  • 5 De resultaten van de privacy audit worden in een auditrapportage vermeld. De auditrapportage bevat ten minste:

    • a. een beschrijving van de bij het uitvoeren van de audit gevolgde aanpak;

    • b. een beschrijving van de resultaten van de privacy audit;

    • c. het oordeel en de aanbevelingen van de auditor;

    • d. indien uit de resultaten van de privacy audit blijkt dat niet of niet geheel wordt voldaan aan het bij of krachtens de wet bepaalde, de aanbeveling van de auditor inzake de uitvoering van een hercontrole door een externe dan wel interne auditor.

  • 6 Na afronding van de privacy audit wordt de rapportage onverwijld aangeboden aan de verantwoordelijke.

Artikel 3. Interne audit (artikel 6:5, vijfde lid)

  • 1 De verantwoordelijke draagt zorg dat, mede ter voorbereiding op de privacy audit, tenminste jaarlijks een interne audit plaatsvindt.

  • 2 De interne audit wordt uitgevoerd door middel van een Electronic Data Processing (EDP) audit, ook wel IT-audit genoemd.

  • 3 De interne audit heeft betrekking op één dan wel een aantal onderdelen van de wet en heeft tot doel voor het onderdeel of de onderdelen van de wet waar de interne audit zich op richt, op systematische wijze te toetsen of aan de bepalingen van de wet op adequate wijze uitvoering is gegeven. Hiertoe vindt een beoordeling plaats van de volgende aspecten binnen de organisatie van de auditee:

    • a. de opzet en het bestaan van maatregelen en procedures die in de borging van de wettelijke eisen moeten voorzien;

    • b. de werking van de getroffen maatregelen en procedures.

  • 4 De interne audit vindt plaats aan de hand van en overeenkomstig een auditplan. In het auditplan komen minimaal de volgende elementen aan de orde:

    • a. het doel van de interne audit;

    • b. de inhoud/object van de interne audit;

    • c. de doorlooptijd van de interne audit;

    • d. de onderzoeksinstrumenten die bij de interne audit worden ingezet en de bijdrage daarvan;

    • e. de wijze waarop en de termijn waarbinnen wordt gerapporteerd;

    • f. de beveiliging van de ten behoeve van de interne audit verzamelde informatie;

    • g. de geheimhoudingsplicht waartoe een ieder die betrokken is bij een interne audit verplicht is;

    • h. de aanbieding en verspreidingskring van de interne auditrapportage.

  • 5 Indien de verantwoordelijke de toegang tot bepaalde gegevens noodzakelijk noch wenselijk acht voor een goede uitvoering van de interne audit, kan hij de toegang daartoe weigeren, dan wel aan beperkende voorwaarden verbinden. De verantwoordelijke deelt de interne auditor schriftelijk en gemotiveerd zijn beslissing mede.

  • 6 De resultaten van de interne audit worden in een auditrapportage vermeld. De auditrapportage bevat minimaal:

    • a. een beschrijving van de bij het uitvoeren van de audit gevolgde werkwijze;

    • b. een beschrijving van de resultaten van de privacy audit;

    • c. het oordeel en de aanbevelingen van de auditor.

  • 7 Na afronding van de interne audit wordt de rapportage onverwijld aangeboden aan de verantwoordelijke.

Artikel 4. Hercontrole (artikel 6:5, vierde lid)

  • 1 Indien bij het uitvoeren van de privacy audit tekortkomingen zijn geconstateerd stelt de verantwoordelijke binnen drie maanden een verbeterrapport op waarin de maatregelen worden beschreven die getroffen zijn ter verbetering van de geconstateerde tekortkomingen.

  • 2 Op basis van het verbeterrapport vindt de hercontrole plaats. De hercontrole heeft alleen betrekking op het onderdeel of de onderdelen van de wet ten aanzien waarvan tekortkomingen zijn geconstateerd en heeft tot doel op systematische wijze te toetsen of door de verantwoordelijke zodanige maatregelen zijn getroffen dat aan de uitvoering van het onderdeel of de betreffende onderdelen van de wet thans op adequate wijze uitvoering is gegeven.

  • 3 De hercontrole wordt uitgevoerd door een externe auditor indien de auditor daartoe heeft geadviseerd. In alle andere gevallen wordt de hercontrole door een interne auditor uitgevoerd.

  • 4 De resultaten van de hercontrole worden in een rapportage vastgelegd.

  • 5 Na afronding van de hercontrole wordt de rapportage onverwijld aangeboden aan de verantwoordelijke.

Artikel 5. De auditor (artikel 6:5, derde lid)

  • 1 De auditor is ingeschreven als Register EDP-auditor bij de Nederlandse Orde van Register EDP-Auditors, dan wel bij een internationaal of Europees equivalent daarvan.

  • 3 De auditor is onafhankelijk ten opzichte van de auditee.

  • 4 De auditor is verplicht tot volledige geheimhouding van de informatie die hij in de loop van zijn auditactiviteiten verkrijgt, behoudens voor zover enig wettelijk voorschrift hem tot mededeling verplicht. Hij legt daartoe een geheimhoudingsverklaring af.

Artikel 6. De interne auditor

  • 1 De interne auditor heeft een auditorenopleiding van de politie gevolgd.

  • 2 De interne auditor beschikt over voldoende kennis en vaardigheden op het gebied van:

  • 3 De interne auditor stelt zich onafhankelijk op ten opzichte van de auditee.

Artikel 7. Inwerkingtreding

Deze regeling treedt in werking met ingang van 1 januari 2009.

Artikel 8. Citeertitel

Deze regeling wordt aangehaald als: Regeling periodieke audit politiegegevens.

Deze regeling, met de daarbij behorende toelichting, zal in de Staatscourant worden geplaatst.

De

Minister

van Justitie,

E.M.H. Hirsch Ballin

De

Minister

van Binnenlandse Zaken en Koninkrijksrelaties,

G. ter Horst

De

Minister

van Defensie,

E. van Middelkoop