BWBR0025038
Geldig vanaf 2009-01-01
Artikel 2
Regeling periodieke audit politiegegevens
1. De privacy audit wordt uitgevoerd door middel van een Electronic Data Processing (EDP) audit, ook wel IT-audit genoemd.
2. De privacy audit heeft tot doel op systematische wijze te toetsen of aan de bepalingen van de wetop adequate wijze uitvoering is gegeven. Hiertoe vindt een beoordeling plaats van de volgende aspecten binnen de organisatie van de auditee:
a. de opzet en het bestaan van maatregelen en procedures die in de borging van de wettelijke eisen moeten voorzien;
b. de werking van de getroffen maatregelen en procedures.
3. De resultaten van de interne audits worden betrokken bij de privacy audit.
4. Indien de verantwoordelijke de toegang tot bepaalde gegevens wenselijk noch noodzakelijk acht voor een goede uitvoering van de privacy audit, kan hij de toegang daartoe weigeren, dan wel aan beperkende voorwaarden verbinden. De verantwoordelijke deelt de auditor schriftelijk en gemotiveerd zijn beslissing mede.
5. De resultaten van de privacy audit worden in een auditrapportage vermeld. De auditrapportage bevat ten minste:
a. een beschrijving van de bij het uitvoeren van de audit gevolgde aanpak;
b. een beschrijving van de resultaten van de privacy audit;
c. het oordeel en de aanbevelingen van de auditor;
d. indien uit de resultaten van de privacy audit blijkt dat niet of niet geheel wordt voldaan aan het bij of krachtens de wet bepaalde, de aanbeveling van de auditor inzake de uitvoering van een hercontrole door een externe dan wel interne auditor.
6. Na afronding van de privacy audit wordt de rapportage onverwijld aangeboden aan de verantwoordelijke.
2. De privacy audit heeft tot doel op systematische wijze te toetsen of aan de bepalingen van de wetop adequate wijze uitvoering is gegeven. Hiertoe vindt een beoordeling plaats van de volgende aspecten binnen de organisatie van de auditee:
a. de opzet en het bestaan van maatregelen en procedures die in de borging van de wettelijke eisen moeten voorzien;
b. de werking van de getroffen maatregelen en procedures.
3. De resultaten van de interne audits worden betrokken bij de privacy audit.
4. Indien de verantwoordelijke de toegang tot bepaalde gegevens wenselijk noch noodzakelijk acht voor een goede uitvoering van de privacy audit, kan hij de toegang daartoe weigeren, dan wel aan beperkende voorwaarden verbinden. De verantwoordelijke deelt de auditor schriftelijk en gemotiveerd zijn beslissing mede.
5. De resultaten van de privacy audit worden in een auditrapportage vermeld. De auditrapportage bevat ten minste:
a. een beschrijving van de bij het uitvoeren van de audit gevolgde aanpak;
b. een beschrijving van de resultaten van de privacy audit;
c. het oordeel en de aanbevelingen van de auditor;
d. indien uit de resultaten van de privacy audit blijkt dat niet of niet geheel wordt voldaan aan het bij of krachtens de wet bepaalde, de aanbeveling van de auditor inzake de uitvoering van een hercontrole door een externe dan wel interne auditor.
6. Na afronding van de privacy audit wordt de rapportage onverwijld aangeboden aan de verantwoordelijke.