Regeling van de Minister van Justitie, de Minister van Binnenlandse Zaken en de Minister van Defensie van 9 december 2008, nr. 5578598/08, houdende nadere regels ten aanzien van het toezicht op de naleving van de bij of krachtens de Wet politiegegevens gegevens voorschriften (Regeling periodieke audit politiegegegevens)

Artikel 1 Definities In deze regeling wordt verstaan onder: a. wet: Wet politiegegevens de. b. besluit: Besluit politiegegevens het; c. verantwoordelijke: artikel 1, onderdeel f, van de wet de verantwoordelijke, bedoeld in; d. privacy audit: artikel 33 van de wet de audit, bedoeld in; e. auditinstelling: het onderzoeksbureau dat is aangewezen om de privacy audit uit te voeren; f. auditor: de medewerker van de auditinstelling die de privacy audit namens de auditinstelling uitvoert; g. auditee: de politie, de Rijksrecherche of de Koninklijke marechaussee, of het onderdeel daarvan, dat onderworpen wordt aan een audit; h. interne audit: artikel 6:5, vijfde lid, van het besluit de interne audit, bedoeld in; i. interne auditor: artikel 1, onderdeel k, van de wet de voor het uitvoeren van een interne audit gekwalificeerde ambtenaar van politie bedoeld in; j. hercontrole: artikel 33, derde lid, van de wet de hercontrole, bedoeld in. 2012 26110 19-12-2012 13-12-2012 2012 26110 19-12-2012 13-12-2012 01-01-2013

Artikel 2 artikel 6:5, eerste lid Privacy audit () 1 De privacy audit wordt uitgevoerd door middel van een Electronic Data Processing (EDP) audit, ook wel IT-audit genoemd. 2 wet De privacy audit heeft tot doel op systematische wijze te toetsen of aan de bepalingen van deop adequate wijze uitvoering is gegeven. Hiertoe vindt een beoordeling plaats van de volgende aspecten binnen de organisatie van de auditee: a. de opzet en het bestaan van maatregelen en procedures die in de borging van de wettelijke eisen moeten voorzien; b. de werking van de getroffen maatregelen en procedures. 3 De resultaten van de interne audits worden betrokken bij de privacy audit. 4 Indien de verantwoordelijke de toegang tot bepaalde gegevens wenselijk noch noodzakelijk acht voor een goede uitvoering van de privacy audit, kan hij de toegang daartoe weigeren, dan wel aan beperkende voorwaarden verbinden. De verantwoordelijke deelt de auditor schriftelijk en gemotiveerd zijn beslissing mede. 5 De resultaten van de privacy audit worden in een auditrapportage vermeld. De auditrapportage bevat ten minste: a. een beschrijving van de bij het uitvoeren van de audit gevolgde aanpak; b. een beschrijving van de resultaten van de privacy audit; c. het oordeel en de aanbevelingen van de auditor; d. wet indien uit de resultaten van de privacy audit blijkt dat niet of niet geheel wordt voldaan aan het bij of krachtens debepaalde, de aanbeveling van de auditor inzake de uitvoering van een hercontrole door een externe dan wel interne auditor. 6 Na afronding van de privacy audit wordt de rapportage onverwijld aangeboden aan de verantwoordelijke. 2008 252 30-12-2008 09-12-2008 5578598/08 2008 252 30-12-2008 09-12-2008 5578598/08 01-01-2009

Artikel 3 artikel 6:5, vijfde lid Interne audit () 1 De verantwoordelijke draagt zorg dat, mede ter voorbereiding op de privacy audit, tenminste jaarlijks een interne audit plaatsvindt. 2 De interne audit wordt uitgevoerd door middel van een Electronic Data Processing (EDP) audit, ook wel IT-audit genoemd. 3 wet De interne audit heeft betrekking op één dan wel een aantal onderdelen van de wet en heeft tot doel voor het onderdeel of de onderdelen van de wet waar de interne audit zich op richt, op systematische wijze te toetsen of aan de bepalingen van deop adequate wijze uitvoering is gegeven. Hiertoe vindt een beoordeling plaats van de volgende aspecten binnen de organisatie van de auditee: a. de opzet en het bestaan van maatregelen en procedures die in de borging van de wettelijke eisen moeten voorzien; b. de werking van de getroffen maatregelen en procedures. 4 De interne audit vindt plaats aan de hand van en overeenkomstig een auditplan. In het auditplan komen minimaal de volgende elementen aan de orde: a. het doel van de interne audit; b. de inhoud/object van de interne audit; c. de doorlooptijd van de interne audit; d. de onderzoeksinstrumenten die bij de interne audit worden ingezet en de bijdrage daarvan; e. de wijze waarop en de termijn waarbinnen wordt gerapporteerd; f. de beveiliging van de ten behoeve van de interne audit verzamelde informatie; g. de geheimhoudingsplicht waartoe een ieder die betrokken is bij een interne audit verplicht is; h. de aanbieding en verspreidingskring van de interne auditrapportage. 5 Indien de verantwoordelijke de toegang tot bepaalde gegevens noodzakelijk noch wenselijk acht voor een goede uitvoering van de interne audit, kan hij de toegang daartoe weigeren, dan wel aan beperkende voorwaarden verbinden. De verantwoordelijke deelt de interne auditor schriftelijk en gemotiveerd zijn beslissing mede. 6 De resultaten van de interne audit worden in een auditrapportage vermeld. De auditrapportage bevat minimaal: a. een beschrijving van de bij het uitvoeren van de audit gevolgde werkwijze; b. een beschrijving van de resultaten van de privacy audit; c. het oordeel en de aanbevelingen van de auditor. 7 Na afronding van de interne audit wordt de rapportage onverwijld aangeboden aan de verantwoordelijke. 2008 252 30-12-2008 09-12-2008 5578598/08 2008 252 30-12-2008 09-12-2008 5578598/08 01-01-2009

Artikel 4 artikel 6:5, vierde lid Hercontrole () 1 Indien bij het uitvoeren van de privacy audit tekortkomingen zijn geconstateerd stelt de verantwoordelijke binnen drie maanden een verbeterrapport op waarin de maatregelen worden beschreven die getroffen zijn ter verbetering van de geconstateerde tekortkomingen. 2 wet wet Op basis van het verbeterrapport vindt de hercontrole plaats. De hercontrole heeft alleen betrekking op het onderdeel of de onderdelen van deten aanzien waarvan tekortkomingen zijn geconstateerd en heeft tot doel op systematische wijze te toetsen of door de verantwoordelijke zodanige maatregelen zijn getroffen dat aan de uitvoering van het onderdeel of de betreffende onderdelen van dethans op adequate wijze uitvoering is gegeven. 3 De hercontrole wordt uitgevoerd door een externe auditor indien de auditor daartoe heeft geadviseerd. In alle andere gevallen wordt de hercontrole door een interne auditor uitgevoerd. 4 De resultaten van de hercontrole worden in een rapportage vastgelegd. 5 Na afronding van de hercontrole wordt de rapportage onverwijld aangeboden aan de verantwoordelijke. 2008 252 30-12-2008 09-12-2008 5578598/08 2008 252 30-12-2008 09-12-2008 5578598/08 01-01-2009

Artikel 5 artikel 6:5, derde lid De auditor () 1 De auditor is ingeschreven als Register EDP-auditor bij de Nederlandse Orde van Register EDP-Auditors, dan wel bij een internationaal of Europees equivalent daarvan. 2 De auditor beschikt over gedegen en aantoonbare kennis en vaardigheden op het gebied van: a. de politieorganisatie; b. de informatievoorziening en processen van verwerking van politiegegevens; c. Wet politiegegevens Besluit politiegegevens Uitvoeringswet Algemene verordening gegevensbescherming de vigerende wet- en regelgeving, in het bijzonder de, heten de Algemene verordening gegevensbescherming en. 3 De auditor is onafhankelijk ten opzichte van de auditee. 4 De auditor is verplicht tot volledige geheimhouding van de informatie die hij in de loop van zijn auditactiviteiten verkrijgt, behoudens voor zover enig wettelijk voorschrift hem tot mededeling verplicht. Hij legt daartoe een geheimhoudingsverklaring af. 5 artikel 3 van de Wet veiligheidsonderzoeken De functie van auditor kan worden voorgedragen voor aanwijzing als vertrouwensfunctie ingevolge. 2019 31163 25-06-2019 21-06-2019 2615247 2019 31163 25-06-2019 21-06-2019 2615247 26-06-2019 25-05-2018

Artikel 6 De interne auditor 1 De interne auditor heeft een auditorenopleiding van de politie gevolgd. 2 De interne auditor beschikt over voldoende kennis en vaardigheden op het gebied van: a. geautomatiseerde informatiesystemen en methoden en technieken rond EDP/IT- auditing; b. de politieorganisatie; c. de informatievoorziening en processen van verwerking van politiegegevens; d. Wet politiegegevens Besluit politiegegevens Uitvoeringswet Algemene verordening gegevensbescherming de vigerende wet- en regelgeving, in het bijzonder de, heten de Algemene verordening gegevensbescherming en. 3 De interne auditor stelt zich onafhankelijk op ten opzichte van de auditee. 2019 31163 25-06-2019 21-06-2019 2615247 2019 31163 25-06-2019 21-06-2019 2615247 26-06-2019 25-05-2018

Artikel 7 Inwerkingtreding Deze regeling treedt in werking met ingang van 1 januari 2009. 2008 252 30-12-2008 09-12-2008 5578598/08 2008 252 30-12-2008 09-12-2008 5578598/08 01-01-2009

Artikel 8 Citeertitel Deze regeling wordt aangehaald als: Regeling periodieke audit politiegegevens. 2008 252 30-12-2008 09-12-2008 5578598/08 2008 252 30-12-2008 09-12-2008 5578598/08 01-01-2009