Datum publicatie	Organisatie	Jaargang en nummer	Rubriek	Datum ondertekening
10-04-2014 09:00	Ministerie van Infrastructuur en Milieu	Staatscourant 2014, 10260	algemeen verbindend voorschrift (ministeriële regeling)	28-03-2014

Regeling van de minister van Infrastructuur en Milieu, van 28 maart 2014, nr. IenM/BSK-2014/25845, bescherming persoonsgegevens Ministerie IenM

De Minister van Infrastructuur en Milieu,

Gelet op de artikelen 62, 63 en 64 van de Wet bescherming persoonsgegevens;

Besluit:

HOOFDSTUK 1. ALGEMENE BEPALINGEN

Artikel 1. Begrippen

In deze regeling wordt verstaan onder:

Auditdienst:: Auditdienst Rijk;
College:: College bescherming persoonsgegevens als bedoeld in artikel 51 van de wet;
dienst:: onderdeel van het ministerie, als genoemd in artikel 2, tweede lid, van het Organisatie- en mandaatbesluit Infrastructuur en Milieu 2012;
diensthoofd:: degene die overeenkomstig het Organisatie- en mandaatbesluit Infrastructuur en Milieu 2012 dan wel overeenkomstig overige wet- en regelgeving, is belast met de leiding van een dienst;
dienstonderdeel:: onderdeel van een dienst;
dienstonderdeelhoofd:: degene die overeenkomstig het Organisatiebesluit Infrastructuur en Milieu 2012, dan wel overeenkomstig overige wet- en regelgeving, is belast met de leiding van een dienstonderdeel;
fg:: functionaris voor de gegevensbescherming van het Ministerie als bedoeld in artikel 62 van de wet;
Minister:: Minister van Infrastructuur en Milieu; Ministerie: Ministerie van Infrastructuur en Milieu (IenM);
register:: meldingenregister persoonsgegevens IenM, als bedoeld in artikel 30 van de wet;
wet:: Wet bescherming persoonsgegevens.

Artikel 2 Toepassingsbereik

Deze regeling is van toepassing op alle verwerkingen van persoonsgegevens waarvoor de Minister de verantwoordelijke is in de zin van de wet.

Artikel 3. Functionaris voor de gegevensbescherming (fg)

1. Er is een fg, op wiens benoeming, taken en bevoegdheden de artikelen 62, 63 en 64 van de wet van toepassing zijn.
2. Op de vervulling van de taken en de daarbij behorende bevoegdheden van de fg is Titel 5.2 Algemene wet bestuursrecht van overeenkomstige toepassing.
3. De fg ziet erop toe dat het diensthoofd organisatorische en procedurele maatregelen treft die ertoe leiden dat aan degene die een verzoek bij de verantwoordelijke indient als bedoeld in artikel 30, derde lid van de wet, binnen redelijke termijn de gegevens als bedoeld in artikel 28, eerste lid onder a tot en met e, van de wet worden verstrekt, behoudens indien sprake is van één van de uitzonderingsgronden als bedoeld in artikel 30, vierde lid, van de wet,
4. De fg kan aanbevelingen doen als bedoeld in art. 64, vierde lid, van de wet.

Artikel 4. Privacycoördinator

1. Het diensthoofd wijst een privacycoördinator aan die, binnen zijn dienst, de uitvoering van de wet en de feitelijke handelingen die daarvoor nodig zijn coördineert, en stelt hem daartoe voldoende tijd en middelen ter beschikking.
2. De door het diensthoofd aangewezen privacycoördinator neemt deel aan het privacy-overleg dat onder leiding staat van de fg en ten minste 5 maal per jaar bijeen komt.
3. Onverminderd het eerste lid kan het dienstonderdeelhoofd voor zijn dienstonderdeel een regionale of afdelingsprivacycoördinator aanwijzen die de door het diensthoofd aangewezen privacycoördinator terzijde staat.

HOOFDSTUK 2. VERWERKING EN REGISTRATIE VAN PERSOONSGEGEVENS

Artikel 5. Verwerking

1. Eenieder die persoonsgegevens verwerkt, onder gezag van of op grond van een overeenkomst met de Minister, die meldingsplichtig zijn als bedoeld in artikel 27 van de wet meldt, voordat daarmee wordt begonnen, de verwerking aan de fg.
2. De in het eerste lid bedoelde melding wordt gedaan, met tussenkomst van de privacycoördinator van de betreffende dienst, door middel van een daartoe bestemd formulier voor de verwerking van persoonsgegevens.

Artikel 6. Verwerking van bijzondere gegevens

1. Indien het diensthoofd voornemens is gegevens te verwerken als bedoeld in of aangewezen krachtens artikel 31, eerste lid, van de wet, wordt dit door tussenkomst van de fg aan het College gemeld.
2. De fg meldt het resultaat van het door het College, krachtens artikel 31, eerste lid, van de wet, uitgevoerd ‘voorafgaand onderzoek’ aan het diensthoofd.

Artikel 7. Register

1. De verwerkingen van persoonsgegevens die bij de fg zijn gemeld op grond van artikel 30 van de wet zijn opgenomen in een register.
2. Het register wordt door de fg ingericht, beheerd en onderhouden.
3. Het register is ter inzage gepubliceerd op zowel de intranetsite van het ministerie als de internetsite van de rijksoverheid.

HOOFDSTUK 3. ORGANISATORISCHE EN PROCEDURELE MAATREGELEN

Artikel 8. Informeren van betrokkene

Het diensthoofd treft zodanige organisatorische en procedurele maatregelen dat:

a. indien het diensthoofd persoonsgegevens door opgave van een betrokkene heeft verkregen, de betrokkene wordt meegedeeld voor welke doeleinden het diensthoofd deze persoonsgegevens wil verwerken,
b. indien het diensthoofd persoonsgegevens niet door opgave van een betrokkene heeft verkregen, de betrokkene wordt meegedeeld voor welke doeleinden het diensthoofd deze persoonsgegevens wil verwerken, tenzij redelijkerwijs kan worden aangenomen dat betrokkene daarvan reeds op de hoogte is.

Artikel 9. Beveiliging en beheer

1. Het diensthoofd treft technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen inbreuk, verlies en onrechtmatige verwerking. Deze maatregelen voldoen aan het Besluit voorschrift informatiebeveiliging rijksdienst 2007, aan het Besluit Voorschrift Informatiebeveiliging Rijksdienst, Bijzondere Informatie2013, alsmede aan de betreffende bepalingen van de wet. Daarnaast kan de Minister additionele eisen voorschrijven.
2. De maatregelen, bedoeld in het eerste lid, zijn schriftelijk of in een andere, vergelijkbare, vorm op controleerbare wijze vastgelegd.
3. Het diensthoofd ziet er op toe dat degenen die belast zijn met het verwerken van persoonsgegevens kennis nemen van de beveiligingsvoorschriften en het beveiligingsbeleid van het Ministerie en deze naleven.

HOOFDSTUK 4. TOEZICHT

Artikel 10. Toezicht

1. In geval de fg bij de uitoefening van het toezicht als bedoeld in artikel 64 van de wet onregelmatigheden aantreft bij de verwerking van persoonsgegevens brengt hij daarover verslag uit aan de Minister. Hij kan dit verslag vergezeld doen gaan van een advies dat strekt tot een verbetering in de bescherming van de persoonsgegevens die door of namens de Minister worden verwerkt.
2. De Auditdienst voert actief ambtshalve of op verzoek van de fg audits uit naar de naleving van de wet en van deze regeling.
3. De Auditdienst rapporteert haar bevindingen aan de fg en de desbetreffende beheerder(s) en indien nodig door tussenkomst van de fg aan de Minister,

HOOFDSTUK 5. SLOTBEPALINGEN

Artikel 11. Intrekking regelingen

De Regeling bescherming persoonsgegevens Ministerie VROM, de Regeling bescherming persoonsgegevens VenW en de Regeling toezichtbevoegdheden privacyfunctionaris VenW worden hierbij ingetrokken.

Artikel 12. Inwerkingtreding

Deze regeling treedt in werking met ingang van de dag na de datum van uitgifte van de Staatscourant waarin zij wordt geplaatst.

Artikel 13. Aanhaling

Deze regeling wordt aangehaald als Regeling bescherming persoonsgegevens Ministerie IenM.

Deze regeling zal met de toelichting in de Staatscourant worden geplaatst.

De Minister van Infrastructuur en Milieu, M.H. Schultz van Haegen-Maas Geesteranus.

TOELICHTING

1.1 Algemeen

Met de onderhavige Regeling wordt voor het Ministerie van Infrastructuur en Milieu een uniforme Regeling bescherming persoonsgegevens Ministerie IenM, hierna Regeling, tot stand gebracht waarbij tegelijkertijd de gelegenheid is benut om enkele terminologische aanpassingen door te voeren. Voorheen hadden het voormalige Ministerie van Volkshuisvesting, Ruimtelijke Ordening en Milieubeheer en het voormalige Ministerie van Verkeer en Waterstaat elk een eigen Regeling bescherming persoonsgegevens. Deze regelingen en de daarmee samenhangende Regeling toezichtbevoegdheden privacyfunctionaris VenW worden met de inwerkingtreding van de onderhavige Regeling ingetrokken.

De Regeling is zoals ook voorheen het geval was geen algemeen verbindend voorschrift, maar een interne regeling.

Een aantal algemeen geformuleerde normen en voorschriften in de wet is nader uitgewerkt ten behoeve van de organisatie van het ministerie. De taken en verantwoordelijkheden van het diensthoofd en het dienstonderdeelhoofd worden omschreven. Het dienstonderdeelhoofd is veelal de lijnmanager, afhankelijk van de vigerende mandaatregeling.

Ook worden de taken en bevoegdheden van de functionaris voor de gegevensbescherming (fg) omschreven. Naast het toezicht houden op de naleving van de wet houdt de fg zich ook bezig met het adviseren over de toepassing van de wet, de uitleg over de wettelijke terminologie, de interpretatie van de wettelijke bepalingen voor zover dit noodzakelijk is voor het ministerie, en het adviseren over privacybescherming in de meest brede zin van het woord. Tenslotte worden ook Privacy Impact Assessments (PIA) die met ingang van 1 september 2013 zijn geïntroduceerd aan de fg voorgelegd.

De regeling voorziet niet in nieuwe administratieve lasten of nalevingskosten voor derden.

1.2 Artikelsgewijze toelichting

Artikel 1

Voor de definities is aangesloten bij het begrippenkader uit het Organisatie- en mandaatbesluit Infrastructuur en Milieu 2012 en de Wet bescherming persoonsgegevens, waarbij enkele definities specifiek zijn toegesneden op het Ministerie.

Artikel 2

De reikwijdte van deze Regeling strekt uiteraard niet verder dan de grenzen van de verwerkingen persoonsgegevens, die voor of namens de minister worden verwerkt en waarvoor de Minister de verantwoordelijke is. Hieronder vallen in elk geval de verwerkingen die binnen de diensten van het Ministerie en de onder het Ministerie ressorterende agentschappen, zoals RWS, Inspectie Leefomgeving en Transport, de NEA en het KNMI plaatsvinden. Ook verwerkingen van persoonsgegevens die buiten het Ministerie maar wel door of namens het Ministerie ingeschakelde bewerkers worden verricht vallen onder de strekking van deze regeling.

Een uitzondering op de reikwijdte wordt gevormd door die verwerkingen, waarvan de wet aangeeft dat deze buiten de reikwijdte vallen.

Artikel 3

De hier bedoelde taken en bevoegdheden van de fg zijn de taken zoals genoemd in de artikelen 62, 63 en 64 van de wet.

Daarnaast is in het kader van de taak als toezichthouder in artikel 64, lid 3 van de wet een verwijzing opgenomen naar Titel 5.2 van de Algemene wet bestuursrecht (Awb) waarin is beschreven dat de verantwoordelijke of de organisatie als bedoeld in het eerste lid ervoor zorg draagt dat de fg ter vervulling van zijn taak over bevoegdheden beschikt die gelijkwaardig zijn aan de bevoegdheden zoals in Titel 5.2 Awb geregeld.

Het gaat hier dan onder meer om de bevoegdheid inlichtingen en inzage van een identiteitsbewijs te vorderen en de bevoegdheid van gegevens en bescheiden kopieën te maken. Indien het maken van kopieën niet ter plaatse kan geschieden, is hij bevoegd de gegevens en bescheiden voor dat doel voor korte tijd mee te nemen tegen een door hem af te geven schriftelijk bewijs. Hij is bevoegd zaken te onderzoeken, aan opneming te onderwerpen en daarvan monsters te nemen enz.

De fg kan ook een plaatsvervanger aanwijzen die hem bij de uitvoering van zijn werkzaamheden terzijde staat. Deze plaatsvervanger beschikt niet over de bevoegdheden zoals genoemd in art. 62, 63 en 64 van de wet.

Artikel 4

Een belangrijke rol in het totale veld van de uitvoering van de wettelijke bepalingen spelen de privacycoördinatoren. Dit is de medewerker bij de dienst die de uitvoering van de wet binnen die dienst coördineert. Het kwam nogal eens voor, dat deze medewerkers een dergelijke taak toebedeeld krijgen zonder dat daarvoor tijd en middelen ter beschikking worden gesteld. Om die reden is expliciet in dit besluit vastgelegd dat niet alleen in elke dienst een coördinator aangewezen dient te worden, maar ook dat het hem of haar mogelijk gemaakt moet worden deze coördinerende taak uit te voeren. Ook om die reden is erin voorzien dat het dienstonderdeelhoofd, veelal de lijnmanager, regionale of afdelingsprivacycoördinatoren kan aanwijzen die de privacycoördinator terzijde staan.

Kennisopbouw is voor deze functionaris van groot belang, vandaar dat de privacycoördinator de gelegenheid geboden moet worden deel te nemen aan het Privacyoverleg en aan geschikte opleidingen en trainingen.

Artikel 5

Om toezicht te kunnen houden is het nodig te weten, waar zich verwerkingen van persoonsgegevens bevinden. De wetgever heeft daarom in de wet enkele bepalingen opgenomen die het zicht daarop mogelijk maken. Een van die bepalingen is de meldingsplicht. Elke verwerking van persoonsgegevens moet worden gemeld aan de functionaris voor de gegevensbescherming. Er is binnen het Ministerie een meldingsformulier ontwikkeld om de melding te vereenvoudigen en ervoor zorg te dragen, dat de meldingen op uniforme wijze plaatsvinden.

Binnen het departement bevindt zich een groot aantal verwerkingen waarvan het bestaan algemeen bekend is. In het op grond van artikel 29 van de wet vastgestelde Vrijstellingsbesluit Wbp is geregeld dat deze verwerkingen niet worden bestreken door de meldplicht. Niettemin is in deze Regeling de verplichting opgenomen alle verwerkingen aan de meldplicht te onderwerpen, conform het bepaalde in artikel 46 van het Vrijstellingsbesluit Wbp. Doel daarvan is dat er op één punt in het departement een overzicht is van alle verwerkingen. Een tweede doelstelling om niet-meldingsplichtige verwerkingen ook bij de fg aan te melden is dat artikel 30, derde lid, van de wet voorschrijft dat de Minister eenieder die daarom verzoekt, moet kunnen aangeven

a. welke gegevensverwerkingen er zijn bij het Ministerie,
b. om welke categorieën betrokkenen en om welke gegevens het gaat,
c. of deze gegevens aan derden worden verstrekt, en
d. of er sprake is van uitvoer van die gegevens naar landen buiten de EU.

Hoewel niet wettelijk voorgeschreven bestaan binnen het Ministerie ook nog enkele privacyreglementen. Als een dienst(onderdeel) een privacyreglement wil handhaven is dit in beginsel mogelijk als in het reglement helder is aangegeven hoe het zich verhoudt tot de onderhavige regeling en, bij strijd of onduidelijkheid, welke bepaling prevaleert.

Artikel 6

Sommige verwerkingen van persoonsgegevens zijn extra gevoelig, omdat de daarin opgenomen gegevens vrij eenvoudig kunnen worden gematched met gegevens uit andere databases. Het zicht daarop ontbreekt nogal eens voor de betrokkene. Om die reden kent de wet enkele vormen van verwerking die via een afzonderlijke procedure bij het College bescherming persoonsgegevens moeten worden gemeld, óók als er een fg is benoemd.

Het College stelt een zogenaamd voorafgaand onderzoek’ in of de gegevensverwerking wel mogelijk is binnen de grenzen van de Wbp. Het betreft gegevensverwerkingen als bedoeld in art. 31 van de wet, te weten:

a. persoonsnummers, die voor een ander doel worden gebruikt dan waarvoor ze zijn verzameld,
b. gegevens die via eigen waarneming zijn verkregen (en dus niet via de betrokkene) en
c. strafrechtelijke gegevens of gegevens over onrechtmatig of hinderlijk gedrag.

Bij dit voorafgaande onderzoek speelt de fg de rol van intermediair, en deelt na afloop van het onderzoek aan de belangrijkste betrokkenen mee wat de uitkomsten daarvan zijn.

Artikel 7

Het Meldingenregister verwerkingen persoonsgegevens IenM is een openbaar register, dat door eenieder kosteloos geraadpleegd moet kunnen worden. Om die reden is ervoor gekozen het register te publiceren op een vrij toegankelijk en openbaar medium.

Artikel 8

In artikel 33 en volgende van de wet is de informatieverplichting opgenomen, en in de artikelen 35 tot en met 42 zijn bepalingen opgenomen die de rechtsbescherming van de betrokkenen regelen. In dit artikel zijn deze bepalingen nader uitgewerkt in die zin, dat een aanzet is gegeven voor de organisatorische inpassing van maatregelen en procedures, die deze rechten moeten verzekeren. Elk dienstonderdeel dient deze maatregelen in te passen in de al bestaande procedures en administratieve voorschriften.

De procedures en maatregelen moeten vanzelfsprekend voldoen aan de wettelijke vereisten.

Voor de in onderdeel a beschreven situatie betekent dit, dat meegedeeld wordt wie de persoonsgegevens verzamelt en waarom. Ook kan het nodig zijn aan de betrokkene meer informatie te geven, bijvoorbeeld aan wie de gegevens worden verstrekt. Het moet in ieder geval voor de betrokkene helder zijn welke gegevens over hem of haar zijn verzameld, waar die gegevens voor worden gebruikt en of deze gegevens ook nog aan anderen worden verstrekt. Als betrokkene al van deze zaken op de hoogte is, hoeft hem dit uiteraard niet nog eens te worden verteld.

Voor onderdeel b. betekent de informatieverplichting dat het diensthoofd ook hier aan de betrokkene meedeelt wie gegevens over hem heeft, waarvoor deze worden gebruikt en aan wie deze gegevens eventueel nog worden verstrekt. Die mededelingen hoeven niet gedaan te worden als dat onevenredig veel inspanning kost. In een dergelijke situatie dient wel vastgelegd te worden waarvan of van wie de gegevens zijn verkregen, zodat betrokkene bij navraag hierover kan worden geïnformeerd.

Artikel 9

Bij het Ministerie komt het nogal eens voor dat de persoonsgegevens door een externe instantie worden verwerkt, bijvoorbeeld in het kader van statistische berekeningen, onderzoek, of andere verwerkingen. Als dat gebeurt, dient in de overeenkomst die met die externe instantie wordt gesloten, een en ander goed te worden afgedekt. Vanwege de bewijskracht – de minister blijft immers de verantwoordelijke, óók als de gegevens buiten de deur worden verwerkt – dient de regeling van de in dit artikel genoemde aspecten daarom in een – schriftelijke – bewerkersovereenkomst of in een andere, gelijkwaardige vorm te worden vastgelegd.

Artikel 10

Een belangrijke taak van de fg is het houden van toezicht op de naleving van de wettelijke voorschriften. Bij de constatering van een niet juiste of niet adequate naleving is het van belang dat het diensthoofd hiervan kennis neemt op aanwijzing van de fg. Mocht het diensthoofd niets doen of niets kunnen doen met dit signaal, is de volgende stap een melding hiervan door de fg aan de minister, de formele verantwoordelijke voor de verwerkingen van persoonsgegevens bij het ministerie.

Interdepartementaal zijn er afspraken gemaakt dat de Auditdienst rijk (ADR) een aantal zaken meeneemt in haar jaarlijkse controlecyclus. Eén van die zaken is de bescherming van persoonsgegevens. Omdat het niet de bedoeling is dat de fg en de auditdienst zich in een kalenderjaar richten op dezelfde objecten, informeert de auditdienst de functionaris over de uitkomsten van haar onderzoek. Ook kan het voorkomen dat de fg de auditdienst verzoekt zich te richten op een specifiek onderdeel van de bescherming van persoonsgegevens. De verplichting tot overleg is overigens wederkerig, de functionaris zal regelmatig met de auditdienst moeten overleggen over de voornemens voor audits en dergelijke.

Artikel 12

Omdat het hier om een interne regeling gaat, die bovendien deels het karakter draagt van reparatieregeling, is inwerkingtreding op korte termijn, hoewel hiermee wordt afgeweken van het systeem van vaste verandermomenten van regelgeving, geen bezwaar.