Staatscourant van het Koninkrijk der Nederlanden
| Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
|---|---|---|---|
| Ministerie van Onderwijs, Cultuur en Wetenschap | Staatscourant 2003, 249 pagina 21 | Interne regelingen |
Authentieke versie (PDF)
Informatie
Printen
Delen
Instellingsbesluit CTBP-O
Besluit instelling Commissie toezicht bescherming persoonsgegevens OCW-veld.
15 december 2003
FacB/AVB-2003/46559
De Minister van Onderwijs, Cultuur en Wetenschap;
Besluit:
In dit besluit wordt verstaan onder:
a. ministerie: het Ministerie van Onderwijs, Cultuur en Wetenschap;
b. plaatsvervangend secretaris-generaal: de plaatsvervangend Secretaris-Generaal van het Ministerie van Onderwijs, Cultuur en Wetenschap;
c. commissie: de commissie toezicht bescherming persoonsgegevens OCW-veld, bedoeld in artikel 2;
d. IB-Groep: Informatie Beheer Groep;
e. het College bescherming persoonsgegevens: het College, bedoeld in artikel 51 van de Wet bescherming persoonsgegevens;
f. functionaris voor de gegevensbescherming: de functionaris voor de gegevensbescherming, bedoeld in artikel 62 van de Wet bescherming persoonsgegevens;
g. verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;
h. bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen;
i. persoonsgegeven OCW-veld: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon dat van instellingen, waarmee het Ministerie van Onderwijs, Cultuur en Wetenschap een bekostigings- of subsidierelatie heeft, wordt verkregen danwel elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijk persoon dat aan deze instellingen wordt geleverd, met inbegrip van gegevens betreffende geïdentificeerde of identificeerbare personen in subsidieaanvragen die op het terrein van Onderwijs, Cultuur en Wetenschap worden ingediend;
j. verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
k. audit: beoordeling bij een organisatie of organisatieonderdeel van een verwerking van persoonsgegevens of van een systeem of project dat als doel heeft persoonsgegevens te verwerken of te gaan verwerken, waarbij het accent ligt op de naleving van de wettelijke eisen ter bescherming van persoonsgegevens.
1. Er is een commissie toezicht bescherming persoonsgegevens OCW-veld.
2. De commissie heeft tot taak:
a. Het aan de plaatsvervangend secretaris-generaal uitbrengen van een oordeel over de wijze waarop invulling is gegeven aan het beleid dat ten aanzien van de bescherming van persoonsgegevens door het ministerie en de IB-Groep is ontwikkeld.
b. Het aan de plaatsvervangend secretaris-generaal uitbrengen van een oordeel over de administratief-organisatorische en technische maatregelen die ter waarborging van de (geautomatiseerde) gegevensverwerking zijn getroffen.
c. Het aan de plaatsvervangend secretaris-generaal uitbrengen van een oordeel over de uitvoering van het beleid met betrekking tot privacy-audits, met name wat betreft de keuze van de objecten, het onderzoekprogramma, de rapportages en de realisatie door de organisatie van de daarin opgenomen aanbevelingen.
d. Het na overleg met de betrokken functionaris voor de gegevensbescherming en na toestemming van de plaatsvervangend secretaris-generaal zelfstandig opdracht geven tot het uitvoeren van audits naast hetgeen reeds in opdracht van de functionaris voor de gegevensbescherming van het ministerie of de IB-Groep geschiedt.
e. Het op verzoek of op eigen initiatief uitbrengen van advies aan de plaatsvervangend secretaris-generaal met betrekking tot de beleidsuitvoering ten aanzien van de bescherming van persoonsgegevens.
f. Het onderhouden van relevante contacten met externe organen, waaronder het College bescherming persoonsgegevens.
g. Het opstellen van een jaarverslag over de werkzaamheden en bevindingen van de commissie.
Het toezicht strekt zich uit tot de verwerkingen van persoonsgegevens van het ministerie en van de IB-Groep, voorzover het persoonsgegevens betreffen die van het OCW-veld zijn verkregen danwel aan het OCW-veld worden geleverd.
1. De leden van de commissie hebben toegang tot alle verwerkingen van persoonsgegevens van het ministerie en van de IB-Groep, voorzover dat voor de vervulling van haar taak nodig is. Dit houdt mede in het betreden van ruimten bij de verantwoordelijke, waar de verwerking of onderdelen daarvan zich bevinden.
2. De verantwoordelijke en de onder hem werkzame personen verstrekken de commissie alle inlichtingen die zij voor haar taak nodig heeft.
De commissie verstrekt aan de plaatsvervangend secretaris-generaal desgevraagd de voor de uitoefening van zijn taak benodigde inlichtingen.
Samenstelling van de commissie
1. De commissie bestaat uit een voorzitter en vier andere leden, die na advies van de besturenorganisaties van het bijzonder onderwijs, de centrales vertegenwoordigd in het Georganiseerd Overleg, de Vereniging van hogescholen HBO-raad, de Vereniging Nederlandse Universiteiten (VSNU) en de Raad voor Cultuur, worden benoemd.
2. De leden worden voor ten hoogste vier jaar benoemd door de plaatsvervangend secretaris-generaal.
3. De functionarissen voor de gegevensbescherming van het ministerie en van de IB-Groep nemen aan de vergaderingen van de commissie deel als waarnemer.
4. Op voordracht van de commissie benoemt de plaatsvervangend secretaris-generaal één der leden tot voorzitter. De plaatsvervangend secretaris-generaal vraagt de commissie advies, alvorens tot benoeming over te gaan.
5. In verband met de taken, bedoeld in artikel 2, zal de commissie zijn samengesteld uit personen die expertise bezitten op één of meer van de volgende terreinen:
– informatiebeveiliging;
– juridische aangelegenheden;
– sturing en beheersing van en toezicht op organisaties;
– accountancy.
1. De commissie wordt bijgestaan door een secretaris. De secretaris is geen lid van de commissie.
2. De plaatsvervangend secretaris-generaal wijst de secretaris aan na overleg met de voorzitter.
3. De plaatsvervangend secretaris-generaal draagt zorg voor adequate ondersteuning van de secretaris.
4. De secretaris is voor zijn werkzaamheden voor de commissie uitsluitend verantwoording schuldig aan de voorzitter van de commissie.
1. De commissie stelt haar eigen werkwijze vast.
2. De commissie kan zich door andere personen doen bijstaan voorzover dat voor de vervulling van haar taak nodig is, onder wie – op persoonlijke titel – ambtelijke deskundigen.
3. De commissie stemt de uitvoering van haar taken af met de functionaris voor de gegevensbescherming van het ministerie en de functionaris voor de gegevensbescherming van de IB-Groep.
De voorzitter en de overige leden van de commissie ontvangen naast een reiskostenvergoeding een door de plaatsvervangend secretaris-generaal vast te stellen vergoeding per uur voor hun werkzaamheden ten behoeve van de commissie.
1. De commissie biedt de plaatsvervangend secretaris-generaal jaarlijks voor 1 mei een jaarverslag aan waarin verslag wordt gedaan over de activiteiten van het voorafgaande jaar.
2. Het jaarverslag van de commissie wordt tevens ter kennis gebracht van de functionarissen voor de gegevensbescherming van het ministerie en de IB-Groep, en van het College bescherming persoonsgegevens.
3. Het jaarverslag wordt ter inzage gelegd ten kantore van de hoofdvestiging van het ministerie en gepubliceerd op de Internetsite van het ministerie.
1. De commissie neemt geheimhouding in acht ten aanzien van alle informatie die in het kader van dit besluit bekend wordt en waarvan het karakter als vertrouwelijk is aan te merken.
2. De commissie zorgt ervoor dat door een ieder die betrokken is bij de werkzaamheden van de commissie, geheimhouding in acht wordt genomen ten aanzien van alle informatie die in het kader van dit besluit bekend wordt en waarvan het karakter als vertrouwelijk is aan te merken.
De commissie draagt zo spoedig mogelijk na beëindiging van haar werkzaamheden, of zo de omstandigheden daartoe aanleiding geven, zoveel eerder, de bescheiden betreffende die werkzaamheden over aan het archief van de directie FacB van het ministerie.
In opdracht van de plaatsvervangend secretaris-generaal zal het functioneren en de effectiviteit van de commissie binnen vier jaar worden geëvalueerd.
De Regeling Commissie van Toezicht Registratieregelingen OCenW 1996 wordt ingetrokken.
Dit besluit treedt in werking met ingang van de tweede dag na de dagtekening van de Staatscourant waarin het wordt geplaatst.
Dit besluit wordt aangehaald als: Instellingsbesluit CTBP-O.
Dit besluit zal met de toelichting in de Staatscourant worden geplaatst.
Toelichting
De Commissie Toezicht Registratieregelingen (CTR) , die is samengesteld uit gezaghebbende personen uit de bestuurlijke kringen van het OCW-veld, vervulde gedurende de afgelopen periode een belangrijke rol als onafhankelijk toezichthouder op de bescherming van persoonsgegevens bij het Ministerie van OCW en de IB-Groep. De komst van de Wet bescherming persoonsgegevens (Wbp) in september 2001 maakte het noodzakelijk om de bestaande toezichtstructuur, met inbegrip van de rol van de CTR, opnieuw te bezien. Deze wet biedt de verantwoordelijke een handvat voor de inrichting van een adequate toezichtstructuur. Ingevolge artikel 62 van deze wet heeft de verantwoordelijke de bevoegdheid om voor de eigen organisatie een interne toezichthouder (functionaris voor de gegevensbescherming) te benoemen, die beschikt over met de Algemene wet bestuursrecht vergelijkbare toezichtsbevoegdheden. Het ministerie heeft van deze bevoegdheid gebruik gemaakt door de benoeming per 1 september 2002 van een functionaris voor de gegevensbescherming (FG). Ook bij de IB-Groep is een dergelijke functionaris benoemd.
Naast de FG’s kan de CTR echter een waardevolle functie blijven vervullen, daar waar het het externe gegevensverkeer met het OCW-veld betreft. De benoeming van een onafhankelijke externe toezichthouder (de FG’s zijn interne toezichthouders) onderstreept het belang dat OCW, bij uitstek een ‘ministerie van mensen’ (een groot deel van de Nederlandse bevolking heeft op enigerlei wijze, al dan niet direct, met het ministerie te maken), hecht aan een goede bescherming van persoonsgegevens, zowel intern als extern. De Commissie toezicht bescherming persoonsgegevens OCW-veld (CTBP-O) heeft als belangrijkste doelstelling het leveren van een bijdrage aan het vertrouwen dat het OCW-veld kan stellen in een zorgvuldige omgang met de persoonsgegevens die van het OCW-veld worden verkregen danwel aan het OCW-veld worden geleverd. Te denken valt bijvoorbeeld aan leerlinggegevens, studentgegevens, gegevens van het onderwijzend personeel, gegevens van aanvragers van subsidies in de cultuursector en gegevens van eigenaren van monumenten. Overigens laat de instelling van de CTBP-O de bevoegdheden van de functionarissen voor de gegevensbescherming van het ministerie (met inbegrip van de privacy officer van het agentschap Centrale Financiën Instellingen) en van de IB-Groep, onverlet. De FG’s zijn immers in eerste instantie verantwoordelijk voor het toezicht op de naleving van de Wbp binnen het ministerie en de IB-Groep. Hun werkterrein omvat zowel de interne persoonsgegevens (gegevens van OCW-ambtenaren) als de externe gegevens. Voor wat betreft de externe gegevens bestaat er dus een overlap in de bevoegdheden van de FG’s en de CTBP-O. Deze overlap behoeft evenwel niet bezwaarlijk te zijn, mits over de verantwoordelijkheden en bevoegdheden tussen de FG’s en de CTBP-O goede afspraken worden gemaakt. Daartoe voert de commissie regelmatig overleg met de FG’s. De commissie heeft geen hiërarchische of functionele relatie met de FG’s. De commissie is onafhankelijk en handelt zonder last of ruggespraak.
De CTBP-O heeft uitsluitend taken met betrekking tot de beleidsuitvoering en niet met betrekking tot de beleidsontwikkeling. De CTBP-O beperkt zich tot het doen van uitspraken over de feitelijk aangetroffen situatie voor de bescherming van persoonsgegevens binnen haar werkterrein. Bij de uitoefening van haar werkzaamheden maakt de commissie gebruik van de bevindingen van de functionarissen voor de gegevensbescherming. De commissie beoordeelt onder meer of de opzet en invulling van de administratief-organisatorische en technische maatregelen die het ministerie ter bescherming van de privacy heeft getroffen aan de wettelijke eisen voor de verwerking van persoonsgegevens voldoen. Daarnaast toetst de commissie of de wijze waarop privacy-audits worden uitgevoerd zodanig van opzet is dat een representatief oordeel wordt verkregen over de mate waarin wordt tegemoetgekomen aan de wettelijke bepalingen. Tevens beoordeelt de commissie in hoeverre de aanbevelingen die in het auditrapport worden gedaan door de verantwoordelijke zijn opgevolgd. De commissie kan ook op eigen initiatief aan de accountantsdienst van het ministerie opdracht geven tot het uitvoeren van een privacy-audit. Omdat hieraan extra kosten voor het ministerie zijn verbonden, is de toestemming van de plaatsvervangend secretaris-generaal vereist. Ook dient de commissie over haar voornemen om een audit te laten uitvoeren in overleg te treden met de functionaris voor de gegevensbescherming van het ministerie en, in voorkomende gevallen, met de functionaris voor de gegevensbescherming van de IB-Groep.
De CTBP-O vergadert vier tot vijf keer per jaar. De FG’s zijn als waarnemer aanwezig bij de vergaderingen van de CTBP-O.
De CTBP-O valt in de portefeuille van de plaatsvervangend secretaris-generaal. De bevoegdheid van de plaatsvervangend secretaris-generaal om de leden van de commissie te benoemen impliceert ook de bevoegdheid tot schorsing en ontslag.
In artikel 11, tweede lid, is bepaald dat de commissie ervoor zorgdraagt dat een ieder die betrokken is bij de werkzaamheden van de commissie, geheimhouding in acht neemt ten aanzien van alle informatie die in het kader van dit besluit bekend wordt en waarvan het karakter als vertrouwelijk is aan te merken. Deze bepaling is vooral opgenomen voor het geval dat de commissie zich wil laten bijstaan door deskundigen.
Binnen vier jaar zal de bijdrage van de CTBP-O in opdracht van de plaatsvervangend secretaris-generaal worden geëvalueerd. Deze evaluatie zal zijn gericht op de mate waarin de commissie een bijdrage heeft geleverd aan het vertrouwen dat het OCW-veld heeft in de wijze waarop het ministerie en de IB-Groep de bescherming ten aanzien van de persoonsgegevens van het OCW-veld heeft georganiseerd. Onderwerp van onderzoek zullen zijn: de wijze waarop de commissie haar taken heeft uitgevoerd, de omvang van haar taken en de afstemming met de FG’s.
Uit de brief van 27 november jl. van de hoofddirecteur van de IB-Groep aan de plaatsvervangend secretaris-generaal (kenmerk HD/03.417) blijkt dat de IB-Groep ermee akkoord gaat om onder het toezicht van de nieuwe commissie te vallen. De hoofddirecteur van de IB-Groep is aan te merken als verantwoordelijke in de zin van de Wet bescherming persoonsgegevens. In verband met deze eigen verantwoorde-lijkheid zal de IB-Groep in de gelegenheid worden gesteld om zijn reactie te geven ten aanzien van de rapportages die de CTBP-O uitbrengt en die voor de bedrijfsvoering van de IB-Groep relevant zijn, alvorens dergelijke rapportages aan de plaatsvervangend secretaris-generaal of anderen worden uitgebracht. De IB-Groep zal tevens worden betrokken bij de evaluatie van de CTBP-O.
De Minister van Onderwijs, Cultuur en Wetenschap,
M.J.A. van der Hoeven
Permanente link
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/stcrt-2003-249-p21-SC62871.html