Regeling taken en bevoegdheden functionaris voor de gegevensbescherming Informatie Beheer Groep Mededelingen IB-Groep
Bestemd voor: • alle personen en instellingen ten behoeven van wie c.q. waarvan persoonsgegevens in de zin van de Wet bescherming persoonsgegevens worden verwerkt.
• functionaris voor de gegevensbescherming (FG): de functionaris voor de gegevensbescherming als bedoeld in artikel 62 van de WBP zoals die is aangesteld voor de Informatie Beheer Groep; • verantwoordelijke: diegene (natuurlijk persoon, rechtspersoon of bestuurs-
Algemeen verbindend voorschrift
orgaan) die het doel en de middelen van de verwerking vaststelt en die beslist over de aanleg en de beëindiging
Datum: 23 april 2003 Kenmerk: CT/JZC-03-05
van de verwerking; • bewerker:
Datum inwerkingtreding: zie artikel 17
een persoon of instantie die voor de verantwoordelijke
Geldigheidsduur beleidsregel: n.v.t.
persoonsgegevens verwerkt en niet in een hiërarchische
Juridische grondslag: artikel 64, lid 3 van de Wet bescherming persoonsgegevens (WBP)
Relatie tot eerdere mededelingen: n.v.t. Informatie verkrijgbaar bij: A.A.M. jean Pierre, Functionaris voor de gegevensbescher-
relatie staat tot de verantwoordelijke; • persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; • verwerking:
ming Informatie Beheer Groep, afdeling Concern Taken,
elke handeling of elk geheel van handelingen met
050-599.9546
betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, verspreiden, samenbrengen, afschermen, uitwissen of vernietigen van gegevens zoals bedoeld in arti-
De hoofddirectie van de informatie beheer groep,
kel 1 van de WBP; • audit:
Overwegende dat invulling gegeven moet worden aan arti-
onafhankelijke beoordeling van een persoonsverwer-
kel 64, lid 3 van de Wet bescherming persoonsgegevens
king, of van een organisatie-onderdeel of systeem in ont-
(WBP)
wikkeling, waarbij het accent ligt op de naleving van wettelijke eisen ter bescherming van de privacy.
Overwegende dat het wenselijk is hierbij rechtstreeks aansluiting te zoeken bij Afdeling 5.2 van de Algemene wet bestuursrecht.
• NGFG: Nederlans Genootschap voor Functionarissen voor de gegevensbescherming (in oprichting) • CTR:
Besluit
Commissie van Toezicht Registratieregelingen • Privacy officer: medewerker binnen een organisatie-eenheid van de
Artikel 1 In deze regeling wordt verstaan onder:
Informatie Beheer Groep die geheel of gedeeltelijk is belast met de uitvoering en handhaving van de Wbp.
• hoofddirectie: het bevoegd gezag van de Informatie Beheer Groep zoals bedoeld in de Wet verzelfstandiging Informatiseringsbank (stb:1993, nr 714) • WBP: Wet bescherming persoonsgegevens; • College bescherming persoonsgegevens: het College als bedoeld in artikel 51 van de WBP;
NUMMER 15 •
36 • 11 juni 2003
Artikel 2 De taken van de FG hebben betrekking op het uitoefenen van onafhankelijk toezicht op de verwerkingen van persoonsgegevens en daarmee op de toepassing en naleving van de WBP binnen de Informatie Beheer Groep en op het geven van advies aan de hoofddirectie.
Algemeen
Artikel 3 1.
5.
Indien de FG dat nodig of wenselijk acht, wordt tevens
Het toezicht en de bevoegdheden strekken zich uit tot
de hoofddirectie in kennis gesteld van de resultaten
de verwerkingen van persoonsgegevens waarvoor de
van het onderzoek.
hoofddirectie de verantwoordelijke is in de zin van de WBP. 2.
3.
Artikel 8
Ook verwerkingen van persoonsgegevens die ten behoeve van de hoofddirectie buiten het departement
1.
De FG maakt van zijn hiervoor beschreven bevoegdhe-
plaatsvinden door bijvoorbeeld bewerkers, vallen hier-
den alleen gebruik als dat redelijkerwijs voor de uitoe-
Regeling taken en bevoegd-
onder.
fening van zijn toezichttaak nodig is.
heden functionaris voor de
Hij neemt daarbij alle zorgvuldigheid in acht die van
gegevensbescherming
hem redelijkerwijs gevraagd mag worden.
Informatie Beheer Groep
Het bereik van het toezicht en de bevoegdheden van
2.
de FG kan worden uitgebreid, indien een andere verantwoordelijke dan de hoofddirectie van de Informatie Beheer Groep daarom uitdrukkelijk verzoekt en de
Artikel 9
hoofddirectie van de Informatie Beheer Groep het verzoek daartoe honoreert.
1.
Bij de uitoefening van zijn bevoegdheden draagt de FG een legitimatiebewijs bij zich dat is uitgegeven door de hoofddirectie en dat een foto bevat van de FG en in
Artikel 4 1.
De FG is bevoegd, met medeneming van de benodigde
ieder geval diens naam en hoedanigheid vermeldt. 2.
Hij toont zijn legitimatiebewijs desgevraagd aanstonds.
apparatuur, elke plaats te betreden in de gebouwen en op de terreinen die bij het ministerie in gebruik zijn,
Artikel 10
waar persoonsgegevens worden verwerkt. 2.
Hij is bevoegd daarbij personen mee te nemen die
1.
daartoe door hem zijn aangewezen.
Een ieder die werkzaam is onder het gezag van de hoofddirectie of op grond van een overeenkomst als bedoeld in artikel 14 van de WBP persoonsgegevens ten behoeve van de hoofddirectie verwerkt, is ver-
Artikel 5
plicht aan de FG binnen de door hem gestelde redelij-
De FG is bevoegd inlichtingen te vorderen van een ieder
ke termijn alle medewerking te verlenen die deze
die onder gezag van de hoofddirectie werkzaam is of op
redelijkerwijs kan vorderen bij de uitoefening van zijn bevoegdheden.
grond van een overeenkomst als bedoeld in artikel 14 van de WBP persoonsgegevens ten behoeve van de hoofddirec-
2.
De hoofddirectie wijst op verzoek van de FG ambtenaren aan die in voorkomende gevallen ten behoeve van
tie verwerkt.
de FG systemen of bronnen van gegevens kunnen ontsluiten.
Artikel 6 1.
3.
De FG bepaalt in hoeverre en of systemen of bronnen
De FG is bevoegd inzage te vorderen van zakelijke
van gegevens voor het onderzoek van de FG relevante
gegevens en bescheiden waarin persoonsgegevens zijn
informatie kunnen bevatten.
verwerkt. 2.
Hij is bevoegd van de gegevens en bescheiden kopieën te maken.
3.
Artikel 11
Als het maken van kopieën niet ter plaatse kan
De FG brengt aan de hoofddirectie rechtstreeks verslag uit
geschieden, is hij bevoegd de gegevens en bescheiden
over onregelmatigheden die hij heeft aangetroffen in het
voor dat doel voor korte tijd mee te nemen tegen een
kader van de uitoefening van zijn toezichttaken.
door hem af te geven schriftelijk bewijs.
Tegelijkertijd wordt de betreffende beheerder over de aangetroffen onregelmatigheden geïnformeerd.
Artikel 7 Artikel 12
1.
De FG is bevoegd zaken te onderzoeken.
2.
Hij is bevoegd daartoe verpakkingen te openen.
De FG stelt jaarlijks vóór 1 april een verslag op van zijn
Als het onderzoek niet ter plaatse kan geschieden, is
werkzaamheden en bevindingen in het daaraan vooraf-
3.
hij bevoegd de zaken voor dat doel voor korte tijd mee gaande kalenderjaar. Hij stuurt een kopie van het verslag
4.
te nemen tegen een door hem af te geven schriftelijk
ter kennisneming aan de ondernemingsraad (OR), de
bewijs.
Commissie Toezicht Registratieregelingen (CTR) en het
De beheerder wordt zo spoedig mogelijk in kennis
College bescherming persoonsgegevens.
gesteld van de resultaten van het onderzoek.
Algemeen
NUMMER 15 •
37 • 11 juni 2003
Artikel 13
Toelichting
De FG kan audits uit laten voeren ter ondersteuning van zijn toezichttaak.
Algemeen Artikel 14
De Regeling toezichtbevoegdheden Functionaris voor de
De FG houdt op grond van artikel 30 van de WBP een
Gegevensbescherming Informatie Beheer Groep geeft uit-
Regeling taken en bevoegd-
register bij van de bij hem aangemelde gegevensverwer-
voering aan het bepaalde in het derde lid van artikel 64
heden functionaris voor de
kingen.
van de Wet bescherming persoonsgegevens. Dit artikel verplicht een werkgever die een functionaris voor de gege-
gegevensbescherming
vensbescherming heeft aangesteld, er zorg voor te dragen
Informatie Beheer Groep
Artikel 15 1.
2.
dat de functionaris ter vervulling van zijn taak over
De FG kan rechtstreeks aanbevelingen doen aan de
bevoegdheden beschikt die gelijkwaardig zijn aan de
hoofddirectie die strekken tot een betere bescherming
bevoegdheden zoals deze zijn vastgelegd in afdeling 5.2
van de gegevens die worden verwerkt. In gevallen van
van de Algemene wet bestuursrecht.
twijfel overlegt hij met het College bescherming per-
De FG is geen toezichthouder in de zin van artikel 5:11 van
soonsgegevens.
de Algemene wet bestuursrecht. De functionaris is name-
De FG kan de ontwikkeling van het privacybeleid van
lijk niet bij of krachtens een wettelijk voorschrift belast
de Informatie Beheer Groep stimuleren en ondersteu-
met het toezicht op de naleving van de Wbp, maar `ziet
nen. Hij heeft hierbij een adviserende rol.
toe op de verwerking van persoonsgegevens overeenkomstig het bij of krachtens de wet bepaalde’ binnen de Informatie Beheer Groep op grond van een ambtelijke aan-
Artikel 16
stelling.
De FG is verplicht tot geheimhouding van hetgeen hem op
Deze regeling is geen algemeen verbindend voorschrift,
grond van een klacht of een verzoek van betrokkene is
maar een interne regeling die tot doel heeft het toezicht
bekend geworden, tenzij de betrokkene in bekendmaking
van de functionaris binnen de Informatie Beheer Groep
toestemt.
daadwerkelijk te kunnen effectueren. De regeling richt zich dan ook in eerste instantie tot alle ambtenaren van de Informatie Beheer Groep, en in tweede
Artikel 17
instantie tot anderen of derden die onder het gezag van de
Deze regeling treedt in werking op de dag na publicatie in
hoofddirectie of op grond van een overeenkomst of een
de Uitleg Gele katern.
andere rechtshandeling persoonsgegevens voor de Informatie Beheer Groep verwerken.
Artikel 18 Deze regeling wordt aangehaald als: Regeling taken en
In het kader van zijn toezicht onderhoudt de FG contacten met de volgende instanties of organisaties.
bevoegdheden van de functionaris voor de gegevensbescherming Informatie Beheer Groep.
Commissie Toezicht Registratieregelingen (CTR)
Wordt in geplaatst de Uitleg Gele katern.
De FG onderhoudt contacten en wisselt informatie uit met de CTR. Verder kan hij de uitvoering van de aanbevelingen uit het jaarverslag CTR ondersteunen.
De hoofddirectie van de informatie beheer groep,
De FG neemt deel aan de vergadering van de CTR als waar-
namens deze,
nemer. Hij is echter geen lid van de CTR. Hij heeft geen
Chr. G. Spanjaard
hiërarchische, organisatorische of functionele relatie met de CTR.
Privacy Officer (PO) De FG zal met de PO’s als eerste aanspreekpunt communiceren. De FG spreekt echter rechtstreeks de verantwoordelijke beheerder aan op de getroffen of te treffen maatregelen. De FG overlegt op regelmatige basis met de PO’s.
NUMMER 15 •
38 • 11 juni 2003
Algemeen
Functionaris voor de gegevensbescherming van het ministerie van Onderwijs, Cultuur en Wetenschappen.
hoofddirectie de verantwoordelijke is hebben een medewerkingsplicht. Het `vorderen’ van inlichtingen gaat verder dan een mondeling of anderszins gedaan vrijblijvend verzoek om inlichtingen. Het evenredigheidsbeginsel brengt met zich mee dat deze bevoegdheid niet onder alle
De FG onderhoudt contacten en werkt waar mogelijk
omstandigheden kan worden uitgeoefend.
nauw samen met de functionaris voor de gegevensbescherming van het ministerie van Onderwijs, Cultuur en Wetenschappen.
Regeling taken en bevoegd-
Artikel 6
heden functionaris voor de gegevensbescherming
De bevoegdheid om inzage te vorderen van zakelijke gege-
College bescherming persoonsgegevens (Cbp)
Informatie Beheer Groep
vens en bescheiden is uiteraard beperkt tot die informatiedragers waarin persoonsgegevens worden verwerkt, ofwel die bij die verwerking een rol spelen. Een voorbeeld daar-
De FG is verantwoordelijk voor het onderhouden van con-
van is de harde schijf van een computer die niet is aange-
tacten met het Cbp, en is het eerste aanspreekpunt van de
sloten op het netwerk van de Informatie Beheer Groep,
Informatie Beheer Groep voor het Cbp.
maar waarop bepaalde persoonsgegevens worden verwerkt. Het `meenemen’ waar het derde lid op doelt is niet een
Artikel 3
’inbeslagneming’, maar uitsluitend het voor een zo kort mogelijke tijd ter beschikking hebben om de gewenste
De hoofddirectie is de verantwoordelijke in de zin van de
kopieën te kunnen vervaardigen.
WBP voor de verwerkingen van persoonsgegevens van de Informatie Beheer Groep.
Artikel 7 Artikel 4
Het onderzoeken van zaken door de FG is met inachtneming van het evenredigheidsbeginsel alleen mogelijk
Om adequaat toezicht te kunnen houden dient de FG toe-
indien dergelijke zaken verband houden met het verwer-
gang te hebben tot alle ruimten en plaatsen binnen de
ken van persoonsgegevens.
Informatie Beheer Groep waar persoonsgegevens worden
Het openen van verpakkingen door de FG is alleen moge-
verwerkt. Betreden is geen doorzoeken in die zin dat kas-
lijk in het verlengde van een onderzoek van een zaak, als
ten, laden etc. eigenstandig door de FG kunnen worden
bedoeld in het eerste lid. Het is dus niet een op zichzelf
geopend. Dit laatste kan alleen met instemming van de
staande bevoegdheid, maar een afgeleide van de bevoegd-
betrokken medewerker van de Informatie Beheer Groep of
heid in het eerste lid. Het zorgvuldigheidsbeginsel brengt
met instemming van het bevoegd gezag.
met zich mee dat de FG onmiddellijk nadat de uitkomst
Soms zal het nodig zijn om bepaalde bestanden elders te
van een onderzoek bekend is, dit meedeelt aan degenen
kunnen laten onderzoeken of om bestanden te kopiëren,
bij wie de zaak berust. De beheerder is tenslotte degene,
en om die reden is de FG bevoegd om apparatuur bij zich
die maatregelen zal moeten treffen als het onderzoek aan-
te hebben.
toont dat een of meerdere wettelijke verplichtingen niet of
De bevoegdheid van de FG om zich te laten vergezellen
niet volledig worden nageleefd.
door derden heeft met name betrekking op het meenemen Lid 5 biedt de FG de ruimte bij ernstige tekortkomingen van deskundigen, bijvoorbeeld ICT-deskundigen als het
ook de hoofddirectie als de verantwoordelijke direct te
toezicht wordt uitgeoefend op elektronische bestanden of
informeren.
elektronische verwerkingen van persoonsgegevens. Deze deskundigen worden slechts meegenomen als de FG dit nodig acht voor een goede taakvervulling.
Artikel 8 Dit artikel bevat het ’evenredigheidsbeginsel’, één van de
Artikel 5
algemene beginselen van behoorlijk bestuur. Dit beginsel impliceert onder meer dat het toezicht op naleving van de
De Functionaris voor de Gegevensbescherming Informatie
wettelijke voorschriften op de minst belastende manier
Beheer Groep heeft de bevoegdheid inlichtingen te vorde-
moet worden uitgevoerd. Het toezicht zal in het algemeen
ren. Alle medewerkers van de Informatie Beheer Groep en
slechts kunnen worden uitgeoefend op die personen die
diegenen, die persoonsgegevens verwerken waarvoor de
bij bepaalde verwerkingen van persoonsgegevens betrok-
Algemeen
NUMMER 15 •
39 • 11 juni 2003
ken zijn, en op bescheiden of andere zaken met betrek-
Artikel 13
king tot de verwerking van die persoonsgegevens. Inherent aan het evenredigheidsbeginsel is het zorgvuldig-
De FG maakt gebruik van de diensten van de afdeling
heidsbeginsel: de FG dient bij de uitoefening van zijn taak
CT/Audit en de Accountantsdienst OC en W dan wel waar
de reden mee te delen waarom hij van een of meerdere
nodig van andere externe auditors. Hiermee wordt het
van zijn bevoegdheden gebruik wil maken. Als vrijwillige
mogelijk een onafhankelijk oordeel te vellen over de kwa-
medewerking aan het toezicht wordt verleend, is gebruik-
liteit van de persoonsverwerkingen.
Regeling taken en bevoegd-
making van de toezichtbevoegdheden in de regel niet
heden functionaris voor de
noodzakelijk.
Artikel 14
gegevensbescherming Informatie Beheer Groep
Artikel 9
Door middel van het register heeft de FG inzicht in de persoonsverwerkingen die plaats vinden binnen de Informatie
De FG dient zich te allen tijde te kunnen legitimeren als
Beheer Groep.
daarom wordt gevraagd. Dit speelt uiteraard met name als het toezicht wordt uitgeoefend op bijzondere gegevens of bestanden, waarvoor op grond van andere wettelijke rege-
Artikel 15
lingen of op grond van de risicoklasse van die gegevens een specifieke geheimhoudingsplicht geldt.
Vanwege zijn inzicht in de kwaliteit van de gegevensbescherming en ter bevordering van de uitvoering van de WBP wordt de FG in staat gesteld de hoofddirectie hierover
Artikel 10
te adviseren. Hij is niet verantwoordelijk voor het niet opvolgen van zijn adviezen door de hoofddirectie.
Om het toezicht daadwerkelijk te effectueren is de verplichting opgenomen om medewerking te kunnen vorderen. Deze verplichting strekt zich uiteraard niet verder uit dan tot eenieder die onder het gezag van de minister per-
De hoofddirectie van de informatie beheer groep,
soonsgegevens verwerkt, dan wel persoonsgegevens waar-
namens deze,
voor de minister de verantwoordelijke is verwerkt op
Chr. G. Spanjaard
grond van een overeenkomst.
Artikel 11 De FG brengt zijn bevindingen uit aan de verantwoordelijke. Het evenredigheidsbeginsel verlangt dat hij eerst de betreffende beheerder informeert. Dit alles onverminderd het gestelde in artikel 7.
Artikel 12 Dit is het verslag zoals genoemd in WBP art 63.5. Omdat de FG tevens toezicht houdt op de verwerkingen van gegevens van het interne personeel is toezending van het verslag aan de OR wenselijk. Alhoewel verzending aan het Cbp niet verplicht is wordt toezending door het Cbp op prijs gesteld om aldus op de hoogte te blijven van de ontwikkelingen op het gebied van de WBP bij de Informatie Beheer Groep. Toezending aan de CTR ligt voor de hand omdat de CTR en de FG beide toezichthouder zijn binnen de Informatie Beheer Groep.
NUMMER 15 •
40 • 11 juni 2003
Algemeen