Informatieprotocol Inspectieview Milieu (IvM)
Met het Juridisch Kader zijn de wettelijke (en door de jurisprudentie gepreciseerde) grenzen beschreven binnen welke IvM kan en mag worden gebruikt. Daarbinnen zijn verschillende keuzes in uitwerking denkbaar. Omdat partijen hebben aangegeven zelf te willen blijven bepalen welke gegevens (of informatie) aan welke andere partij en, daarbinnen, aan welk type functionaris (welke rol) beschikbaar kan worden gesteld moet voor dergelijk maatwerk ruimte blijven. Maar gezamenlijk gebruik van één voorziening vergt op basaal niveau ook een aantal algemene afspraken of spelregels. Daartoe dient dit informatieprotocol. Beoogd is om in algemene termen vast te leggen, hoe partijen met elkaar en met elkaars gegevens omgaan bij gebruik van IvM. Anders gezegd: welke gezamenlijke keuzes partijen maken binnen de grenzen van het Juridisch Kader. Dat geldt voor zowel IvM enkelvoudig als voor IvM bulk. Binnen die algemene termen is vervolgens niet alleen ruimte voor maatwerk, maar zal het in een aantal gevallen zelfs noodzakelijk zijn om meer specifieke afspraken tussen partijen te maken. Die zijn bijvoorbeeld alleen al nodig omdat niet alle aansluitende partijen dezelfde organisatiestructuur kennen, niet steeds dezelfde functiebenaming hanteren en niet altijd met dezelfde taken zijn belast. Samenwerken moet dan ook gestalte krijgen met respect voor ieders autonome positie. Die meer gedetailleerde afspraken kunnen vastgelegd worden in aansluitovereenkomsten, maar bijvoorbeeld ook in autorisatiebesluiten, waarmee partijen bepalen wie toegang heeft tot welke gegevens en met welk doel. Dat doel moet passen in de VTH-taken van partijen en kan dus bijvoorbeeld niet interbestuurlijk toezicht betreffen. Daarbij geldt dit informatieprotocol op dezelfde manier als een beleidsregel: het bindt partijen, tot er met zoveel woorden en beredeneerd van wordt afgeweken. Dit kan in de aansluitovereenkomsten worden vastgelegd. Strikt nodig lijkt dat op voorhand niet. Teneinde ook in de terminologie eenduidigheid te realiseren is aan het slot van dit protocol een begrippenlijst toegevoegd, waarnaar hier kortheidshalve wordt verwezen.
Tekst van het protocol Artikel 1 Dit protocol bindt de partijen die als bronpartij dan wel als ontvangende partij gegevens verwerken door middel van Inspectieview Milieu alsmede de minister voor Infrastructuur en Milieu als houder van en verantwoordelijke voor Inspectieview Milieu. Artikel 2 Gegevens worden door middel van Inspectieview Milieu uitsluitend verwerkt ten behoeve van vergunningverlening aan, verwerken van meldingen van en toezicht op bedrijven en andere organisaties die activiteiten verrichten waarop de milieuwetgeving van toepassing is alsmede het handhaven in verband daarmee van wettelijke voorschriften. Artikel 3 Namens de minister voor Infrastructuur en Milieu is de verwerking van gegevens door middel van Inspectieview Milieu gemeld bij het College bescherming persoonsgegevens. De minister zal zorg dragen dat elke relevante wijziging in de gegevensverwerking eveneens zal worden gemeld. Artikel 4 Door middel van Inspectieview Milieu worden de volgende categorieën gegevens verwerkt: a. persoonsgegevens, waaronder 1e. identificerende gegevens; 2e. vertrouwelijk verstrekte persoonsgegevens voor zover de autorisatie van de ontvanger daartoe strekt; 3e. bijzondere persoonsgegevens waaronder strafrechtelijke gegevens voor zover dat wettelijk is toegestaan en de autorisatie van de ontvanger daartoe strekt; b. bedrijfsgegevens, waaronder 1e. identificerende en andere als neutraal te kwalificeren bedrijfsgegevens van toezichtsobjecten; 2e. gegevens met betrekking tot hun bedrijfsvoering; 3e. milieu-informatie als bedoeld in artikel 19.1a van de Wet milieubeheer; 4e. vertrouwelijk verstrekte bedrijfsgegevens voor zover de autorisatie van de ontvanger daartoe strekt; 5e. strafrechtelijke gegevens voor zover dat wettelijk is toegestaan en de autorisatie van de ontvanger daartoe strekt. Artikel 5 Verwerking van gegevens door middel van Inspectieview Milieu vindt plaats op het beveiligingsniveau Departementaal Vertrouwelijk of een daaraan gelijkwaardige standaard.
Informatieprotocol Inspectieview Milieu – juli 2013
2
Artikel 6 Bronhouders streven naar optimale volledigheid en juistheid van de verstrekte gegevens en melden bij iedere verstrekking de actualiteit van een gegeven zoals omschreven in het overeengekomen informatiemodel. Inspectieview Milieu levert de informatie ongewijzigd door. Artikel 7 Toezichthouders kunnen gegevens doorleveren aan bevoegde gezagen. Verder verstrekken van gegevens is uitsluitend toegestaan voor zover dat nodig is voor de uitoefening van de publieke taak van degene aan wie de verdere verstrekking plaatsvindt. Gegevens worden niet verder verwerkt dan voor de in artikel 2 omschreven doelen noodzakelijk is. Artikel 8 De over toezichtsobjecten te verwerken gegevens omvatten niet meer dan voor het voorbereiden van een concrete toezicht- of handhavingsactie dan wel het voorbereiden van een welomschreven analyse of planning noodzakelijk is. Artikel 9 Vertrouwelijk verstrekte bedrijfsgegevens worden uitsluitend verwerkt indien de noodzaak daartoe voortvloeit uit het doel en de aard van de betreffende verwerking. Artikel 10 Gegevens worden uitsluitend verwerkt door partijen die daartoe zijn geautoriseerd terwijl elke ontvangende partij zich steeds moet hebben geïdentificeerd met behulp van PKI-overheid. Artikel 11 Elke ontvangende partij onderscheidt binnen haar medewerkers ten minste de rollen van toezichthouder en analist en draagt er zorg voor dat binnen haar organisatie de gegevens zodanig worden verwerkt dat zij passen binnen elk van die rollen. Buitengewoon opsporingsambtenaren hebben toegang tot strafrechtelijke gegevens. Leidinggevenden en andere medewerkers hebben inzicht in gegevens voor zover dat voortvloeit uit hun functie. Aan bevoegde gezagen en hun medewerkers worden gegevens verstrekt voor zover dat nodig is voor het uitoefenen van hun publieke taak. Artikel 12 Elke ontvangende partij draagt er zorg voor dat gegevens uitsluitend op rechtmatige wijze worden verwerkt.
Informatieprotocol Inspectieview Milieu – juli 2013
3
Artikel 13 In de gevallen dat bronpartijen dat aangewezen achten categoriseren zij in een autorisatiebesluit de door hen te verstrekken gegevens met het oog op gerichte verwerking binnen ontvangende partijen overeenkomstig aan medewerkers van deze verstrekte autorisaties. Artikel 14 Gegevens van toezichtsobjecten worden door de ontvangende partijen op de voor hen geldende wijze gearchiveerd. De niet te archiveren gegevens worden niet langer bewaard dan noodzakelijk is voor het doel waarvoor ze zijn verstrekt. Inspectieview Milieu bewaart geen gegevens behoudens in bulk verstrekte gegevenssets voor een vooraf te bepalen periode van ten hoogste twee uur, tenzij binnen dat tijdvak een nadere vraag volgt. Bij langer bewaren wordt de set gegevens na 24 uur geactualiseerd. Artikel 15 Elke ontvangende partij hanteert een privacyreglement waarin tenminste is voorzien in een deugdelijke regeling van de onderwerpen die dit informatieprotocol van hen vraagt. Artikel 16 Bevindingen op basis van gegevens welke verstrekt zijn door middel van Inspectieview Milieu worden geverifieerd alvorens ze ten grondslag worden gelegd aan een voorgenomen sanctie. Artikel 17 In de gevallen dat verwerking van gegevens door middel van Inspectieview Milieu bij een ontvangende partij leidt tot een vermoeden van strafbare feiten die voor de bronhouder relevant kunnen zijn stelt deze de bronhouder of bronhouders van dat vermoeden in kennis, tenzij het belang van opsporing zich daartegen verzet. Artikel 18 Indien een toezichtsactie een ontvangende partij tot de overtuiging leidt dat door middel van Inspectieview Milieu verkregen gegevens onjuist zijn en dat daardoor voor het milieu schadelijke situaties zijn of kunnen ontstaan stelt de ontvangende partij de bronhouder of bronhouders van het gesignaleerde verschil in kennis. Artikel 19 Bronpartijen, ontvangende partijen en de minister voor Infrastructuur en Milieu zijn ieder voor hun deel van de keten verantwoordelijk voor beveiliging van de gegevensverwerking. De minister is met de bewerker van Inspectieview Milieu overeengekomen dat de beveiliging zal worden ingericht overeenkomstig het niveau Departementaal Vertrouwelijk en zal wijzigingen aan bronpartijen en ontvangende partijen doen weten. Informatieprotocol Inspectieview Milieu – juli 2013
4
Artikel 20 Bronpartijen, ontvangende partijen en de minister voor Infrastructuur en Milieu inventariseren ten minste jaarlijks de door hen in verband met de gegevensverwerking en de op basis van de gegevens te verrichten toezichtsacties onderkende risico's en de om die reden te treffen maatregelen. Deze inventarisaties worden elk jaar samengebracht in een rapport waarop een derde partij een audit verricht. Rapport en audit worden in het gebruikersoverleg aan de orde gesteld en aan alle partijen verstrekt. Artikel 21 Een ontvangende partij die een Wob-verzoek dan wel een verzoek tot inzage of correctie ontvangt met betrekking tot gegevens die via Inspectieview Milieu zijn verkregen verwijst de verzoeker in eerste instantie naar de betreffende bronpartijen, tenzij dat voor de verzoeker evident bezwaarlijk is.
Informatieprotocol Inspectieview Milieu – juli 2013
5
Bijlage: begrippenlijst In dit informatieprotocol wordt verstaan onder: a. bewerker: diegene als bedoeld in artikel 1 onder e van de Wet bescherming persoonsgegevens; b. Inspectieview Milieu: voorziening waarmee elektronisch milieu-informatie kan worden uitgewisseld, zowel enkelvoudig als in bulk; c. milieu-informatie: datgene wat daaronder verstaan wordt in de Wet milieubeheer; d. persoonsgegevens : gegevens als bedoeld in art. 1 onder a van de Wet bescherming persoonsgegevens; e. PKI-overheid: Public Key Infrastructure, een computerbestand dat fungeert als een digitaal paspoort voor de eigenaar, met behulp waarvan de informatie die deze over het internet stuurt op een zodanig hoog niveau is beveiligd dat op basis van Nederlandse wetgeving de betrouwbaarheid van deze informatie-uitwisseling is gewaarborgd; f. toezichtsobject: elk bedrijf, elke organisatie en elke persoon waarop krachtens wettelijk voorschrift toezicht wordt gehouden; g. vertrouwelijk verstrekte bedrijfsgegevens: gegevens als bedoeld in artikel 10, eerste lid, onder c van de Wet openbaarheid van bestuur; h. verwerken van gegevens: datgene wat daaronder verstaan wordt in de Wet bescherming persoonsgegevens; i. Wob-verzoek: een verzoek als bedoeld in artikel 3 van de Wet openbaarheid van bestuur.
Informatieprotocol Inspectieview Milieu – juli 2013
6
