Staatscourant van het Koninkrijk der Nederlanden
| Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
|---|---|---|---|
| Ministerie van Onderwijs, Cultuur en Wetenschap | Staatscourant 2004, 150 pagina 11 | Besluiten van algemene strekking |
Authentieke versie (PDF)
Informatie
Printen
Delen
Regeling taken en bevoegdheden functionaris gegevensbescherming OCW
14 juli 2004
Nr. FacB/ICT/SM-2004/18806
De Minister van Onderwijs, Cultuur en Wetenschap,
Gelet op de artikelen 62 en 64 van de Wet bescherming persoonsgegevens,
Besluit:
In deze regeling wordt verstaan onder:
a. minister: Minister van Onderwijs, Cultuur en Wetenschap;
b. ministerie: Ministerie van Onderwijs, Cultuur en Wetenschap;
c. wet: Wet bescherming persoonsgegevens;
d. College bescherming persoonsgegevens: het College, bedoeld in artikel 51 van de Wbp;
e. functionaris voor de gegevensbescherming: de voor het Ministerie van Onderwijs, Cultuur en Wetenschap, inclusief de daaronder ressorterende diensten en instellingen, als zodanig aangewezen functionaris voor de gegevensbescherming, bedoeld in artikel 62 van de Wbp;
f. bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen;
g. beheerder: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt binnen de organisatie van de verantwoordelijke en onder diens rechtstreekse gezag staat.
h. persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;
i. verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
De functionaris voor de gegevensbescherming heeft naast het houden van toezicht overeenkomstig het bij en krachtens de wet bepaalde tot taak het in voorkomende gevallen geven van advies aan de minister alsmede het doen van aanbevelingen aan de minister, als bedoeld in artikel 15 van deze regeling.
1. Het toezicht strekt zich uit tot de verwerking van persoonsgegevens waarvoor de minister de verantwoordelijke is, bedoeld in artikel 1, onderdeel d, van de wet.
2. Ook verwerkingen van persoonsgegevens die ten behoeve van de minister buiten het departement plaatsvinden door bewerkers, vallen onder het toezicht, bedoeld in het eerste lid.
3. Het bereik van het toezicht van de functionaris voor de gegevensbescherming kan worden uitgebreid, indien een andere verantwoordelijke dan de minister daarom uitdrukkelijk verzoekt en de minister met dit verzoek instemt.
1. De functionaris voor de gegevensbescherming is bevoegd, met medeneming van de benodigde apparatuur, elke plaats te betreden in de gebouwen en op de terreinen die bij het ministerie in gebruik zijn, waar persoonsgegevens worden verwerkt.
2. Hij is bevoegd daarbij personen mee te nemen die daartoe door hem zijn aangewezen.
De functionaris voor de gegevensbescherming is bevoegd inlichtingen te vorderen van eenieder die onder het gezag van de minister werkzaam is alsmede van bewerkers.
1. De functionaris voor de gegevensbescherming is bevoegd inzage te vorderen van zakelijke gegevens en bescheiden waarin persoonsgegevens zijn verwerkt.
2. Hij is bevoegd van de gegevens en bescheiden kopieën te maken.
3. Als het maken van kopieën niet ter plaatse kan geschieden, is hij bevoegd de gegevens en bescheiden voor dat doel voor korte tijd mee te nemen tegen een door hem af te geven schriftelijk bewijs.
1. De functionaris voor de gegevensbescherming is bevoegd zaken te onderzoeken.
2. Hij is bevoegd daartoe verpakkingen te openen.
3. Als het onderzoek niet ter plaatse kan geschieden, is hij bevoegd de zaken voor dat doel voor korte tijd mee te nemen tegen een door hem af te geven schriftelijk bewijs.
4. De beheerder wordt zo spoedig mogelijk in kennis gesteld van de resultaten van het onderzoek.
1. De functionaris voor de gegevensbescherming maakt van zijn hiervoor beschreven bevoegdheden alleen gebruik voor zover dat redelijkerwijs voor de uitoefening van zijn taken nodig is.
1. Bij de uitoefening van zijn bevoegdheden draagt de functionaris voor de gegevensbescherming een legitimatiebewijs bij zich dat is uitgegeven door de minister en dat een foto bevat van de functionaris voor de gegevensbescherming en in ieder geval diens naam en hoedanigheid vermeldt.
2. Hij toont zijn legitimatiebewijs desgevraagd aanstonds.
1. Eenieder die werkzaam is onder het gezag van de minister dan wel een bewerker is verplicht aan de functionaris voor de gegevensbescherming binnen de door hem gestelde redelijke termijn alle medewerking te verlenen die deze redelijkerwijs kan vorderen bij de uitoefening van zijn bevoegdheden.
2. De minister wijst op verzoek van de functionaris voor de gegevensbescherming één of meer ambtenaren aan die in voorkomend geval ten behoeve van de functionaris voor de gegevensbescherming systemen of bronnen van gegevens kunnen ontsluiten.
3. Het is aan de functionaris voor de gegevensbescherming om te bepalen of systemen of bronnen van gegevens voor het onderzoek van de functionaris voor de gegevensbescherming relevante informatie kunnen bevatten.
Rapportage over onregelmatigheden
Indien de functionaris voor de gegevensbescherming bij de uitoefening van het toezicht onregelmatigheden aantreft bij de verwerking van persoonsgegevens brengt hij aan de minister rechtstreeks verslag uit, nadat hij de betreffende beheerder over de aangetroffen onregelmatigheden heeft geïnformeerd. Hij kan dit verslag vergezeld doen gaan van een aanbeveling die strekt tot een betere bescherming van de gegevens die worden verwerkt.
De functionaris voor de gegevensbescherming stelt jaarlijks vóór 1 april een verslag op van zijn werkzaamheden en bevindingen in het daaraan voorafgaande kalenderjaar. Hij stuurt een kopie van het verslag ter kennisneming aan de departementale ondernemingsraad (DOR), aan de commissie toezicht bescherming persoonsgegevens OCW-veld, bedoeld in het Instellingsbesluit CTBP-O, en aan het College bescherming persoonsgegevens.
De functionaris voor de gegevensbescherming kan privacy-audits uit laten voeren ter ondersteuning van zijn toezichttaak. Een privacy-audit is een beoordeling bij een organisatie of organisatie-onderdeel van een verwerking van persoonsgegevens of van een systeem of project dat als doel heeft persoonsgegevens te verwerken of te gaan verwerken, waarbij het accent ligt op de naleving van wettelijke eisen ter bescherming van persoonsgegevens.
De functionaris voor de gegevensbescherming houdt op grond van artikel 30 van de wet een register bij van de bij hem aangemelde gegevensverwerkingen. Het register kan door eenieder kosteloos worden geraadpleegd in de bibliotheek van het ministerie dan wel via het intranet van het ministerie. Verzoeken om inzage in het register worden door de functionaris voor de gegevensbescherming afgehandeld.
De functionaris voor de gegevensbescherming kan rechtstreeks aanbevelingen doen aan de minister die strekken tot een betere bescherming van de gegevens die worden verwerkt. In gevallen van twijfel overlegt hij met het College bescherming persoonsgegevens.
De functionaris voor de gegevensbescherming alsmede de in voorkomend geval door hem ingeschakelde personen, bedoeld in artikel 4, tweede lid, zijn verplicht tot geheimhouding van hetgeen hen op grond van een klacht of een verzoek van betrokkene is bekend geworden, tenzij de betrokkene met bekendmaking instemt.
Deze regeling treedt in werking met ingang van de tweede dag na de datum van uitgifte van de Staatscourant, waarin deze regeling wordt geplaatst.
Deze regeling wordt aangehaald als: Regeling taken en bevoegdheden functionaris gegevensbescherming OCW.
Deze regeling zal met de toelichting in de Staatscourant en in het Gele katern worden geplaatst.
Toelichting
De Regeling taken en bevoegdheden functionaris voor de gegevensbescherming OCW geeft uitvoering aan het derde lid van artikel 64 van de Wet bescherming persoonsgegevens (verder te noemen Wbp). Dit artikel verplicht een werkgever die een functionaris voor de gegevensbescherming heeft aangesteld, er zorg voor te dragen dat de functionaris ter vervulling van zijn taak over bevoegdheden beschikt die gelijkwaardig zijn aan de bevoegdheden zoals deze zijn vastgelegd in afdeling 5.2 van de Algemene wet bestuursrecht. Het zijn de algemene toezichtsbevoegdheden, zoals het vorderen van inlichtingen, het inzage mogen hebben, het mogen betreden van allerlei plaatsten etc.
Bij het Ministerie van Onderwijs, Cultuur en Wetenschap vinden talloze verwerkingen van persoonsgegevens plaats. Deze verwerkingen zijn gebaseerd op de uitvoering van publiekrechtelijke taken van of namens de minister, op het nakomen van wettelijke verplichtingen dan wel op de uitvoering van overeenkomsten. De minister is hiervoor de verantwoordelijke in de zin van de Wbp, omdat de minister het bestuursorgaan is dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerkingen vaststelt. De minister kan haar verplichtingen en taken op grond van de Wbp mandateren aan een beheerder. De beheerder is de directeur of het hoofd van een organisatieonderdeel aan wie krachtens de geldende organisatie- en mandaatregeling de taken en bevoegdheden zijn gemandateerd. De beheerder is dus hiërarchisch ondergeschikt aan de minister.
De beheerder zal namens de minister vaak het beheer hebben over die verwerkingen van persoonsgegevens waarvoor hij/zij als directeur of hoofd van een organisatieonderdeel de verantwoordelijkheid draagt.
Ingevolge interdepartementale afspraken om bij elk ministerie een functionaris voor de gegevensbescherming aan te stellen, heeft de Minister van Onderwijs, Cultuur en Wetenschap, met ingang van 1 september 2002 een functionaris voor de gegevensbescherming benoemd (besluit van 29 augustus 2002). De functionaris voor de gegevensbescherming van het Ministerie van OCW is geen toezichthouder in de zin van artikel 5:11 van de Algemene wet bestuursrecht. Deze functionaris is namelijk niet bij of krachtens een wettelijk voorschrift belast met het toezicht op de naleving van de Wbp, maar ’ziet toe op de verwerking van persoonsgegevens overeenkomstig het bij of krachtens de wet bepaalde’ binnen het ministerie op grond van een ambtelijke aanstelling.
Deze regeling is geen algemeen verbindend voorschrift, maar een interne regeling die tot doel heeft het toezicht van de functionaris binnen het departement daadwerkelijk te kunnen effectueren.
De regeling richt zich dan ook in eerste instantie tot alle ambtenaren van OCW, en in tweede instantie tot anderen of derden die onder het gezag van de minister of op grond van een overeenkomst of een andere rechtshandeling persoonsgegevens ten behoeve van het ministerie verwerken en zich verplicht hebben de functionaris voor de gegevensbescherming toezicht te laten uitoefenen.
In het kader van zijn toezicht onderhoudt de functionaris voor de gegevensbescherming contacten met de volgende instanties of organisaties.
Commissie toezicht bescherming persoonsgegevens OCW-veld (CTBP-O)
De functionaris voor de gegevensbescherming onderhoudt contacten en wisselt informatie uit met de CTBP-O, met inachtneming van de geheimhoudingsplicht. Verder kan hij de uitvoering van de aanbevelingen uit het jaarverslag CTBP-O ondersteunen.
De functionaris voor de gegevensbescherming neemt deel aan de vergaderingen van de CTBP-O als waarnemer. Hij is geen lid van de CTBP-O en hij heeft geen hiërarchische, organisatorische of functionele relatie met de CTBP-O.
De tijdelijke Commissie Informatie Onderwijs (tCIO)
De functionaris voor de gegevensbescherming neemt deel aan de vergaderingen van de tCIO als waarnemer en adviseur. Hij is geen lid van de tCIO.
Als een beheerder een PO heeft aangesteld, zal de functionaris voor de gegevensbescherming met de PO als eerste aanspreekpunt communiceren. De functionaris voor de gegevensbescherming spreekt echter rechtstreeks de verantwoordelijke beheerder aan op de getroffen of te treffen maatregelen. De functionaris voor de gegevensbescherming overlegt op regelmatige basis met de PO doch in ieder geval twee keer per jaar.
Functionaris voor de gegevensbescherming van de Informatie Beheer Groep (IB-Groep)
De functionaris voor de gegevensbescherming van OCW onderhoudt contacten en werkt waar mogelijk nauw samen met de functionaris voor de gegevensbescherming van de IB-Groep. Hij overlegt op regelmatige basis met deze functionaris.
College bescherming persoonsgegevens (Cbp)
De functionaris voor de gegevensbescherming van OCW is verantwoordelijk voor het onderhouden van contacten met het Cbp, en is het eerste aanspreekpunt van het Ministerie van OCW voor het Cbp.
De begrippen ‘College bescherming persoonsgegevens’, ’bewerker’, ‘persoonsgegevens’ en ‘verwerking van persoonsgegevens’ zijn gedefinieerd overeenkomstig artikel 1 van de Wbp.
De minister is de verantwoordelijke in de zin van de Wbp voor de verwerkingen van persoonsgegevens van het bestuursdepartement, de buitendiensten Cultuur (ROB, RDMZ en ICN1 ), de agentschappen (Cfi en NA2 ) en de Inspecties (IO, ICB, RIA en RAI3 ). Op verzoek van de Landelijke Commissie Toezicht Indicatiestelling (LCTI)4 oefent de functionaris voor de gegevensbescherming tevens toezicht uit op deze commissie.
Om adequaat toezicht te kunnen houden dient de functionaris voor de gegevensbescherming toegang te hebben tot alle ruimten en plaatsen binnen het departement waar persoonsgegevens worden verwerkt. Betreden is geen doorzoeken in die zin dat kasten, laden etc. eigenstandig door de functionaris voor de gegevensbescherming kunnen worden geopend. Dit laatste kan alleen met instemming van de betrokken medewerker van OCW of met instemming van de minister.
Soms zal het nodig zijn om bepaalde bestanden elders te kunnen laten onderzoeken of om bestanden te kopiëren, en om die reden is de functionaris voor de gegevensbescherming bevoegd om apparatuur bij zich te hebben.
De bevoegdheid van de functionaris voor de gegevensbescherming om zich te laten vergezellen door derden heeft met name betrekking op het meenemen van deskundigen, bijvoorbeeld ICT-deskundigen als het toezicht wordt uitgeoefend op elektronische bestanden of elektronische verwerkingen van persoonsgegevens. Deze deskundigen worden slechts meegenomen als de functionaris voor de gegevensbescherming dit nodig acht voor een goede taakvervulling.
De functionaris voor de gegevensbescherming heeft de bevoegdheid inlichtingen te vorderen. Alle medewerkers van OCW en anderen, die persoonsgegevens verwerken waarvoor de minister de verantwoordelijke is, hebben op grond van artikel 10 van de regeling een medewerkingsplicht. Het vorderen van inlichtingen gaat verder dan een mondeling of anderszins gedaan vrijblijvend verzoek om inlichtingen. Het evenredigheidsbeginsel brengt met zich mee dat deze bevoegdheid niet onder alle omstandigheden kan worden uitgeoefend.
Om te bewerkstelligen dat de functionaris voor de gegevensbescherming ook toezicht zal kunnen uitoefenen op verwerkingen van persoonsgegevens die door bewerkers worden verricht, zal te dien einde in de betreffende bewerkersovereenkomsten een bepaling worden opgenomen.
De bevoegdheid om inzage te vorderen van zakelijke gegevens en bescheiden is uiteraard beperkt tot die informatiedragers waarin persoonsgegevens worden verwerkt, ofwel die bij die verwerking een rol spelen. Een voorbeeld daarvan is de harde schijf van een computer die niet is aangesloten op het netwerk van OCW, maar waarop bepaalde persoonsgegevens worden verwerkt.
Het ‘meenemen’ waar het derde lid op doelt is niet een ‘inbeslagneming’, maar uitsluitend het voor een zo kort mogelijke tijd ter beschikking hebben om de gewenste kopieën te kunnen vervaardigen.
Het onderzoeken van zaken door de functionaris voor de gegevensbescherming is met inachtneming van het evenredigheidsbeginsel alleen mogelijk indien dergelijke zaken verband houden met het verwerken van persoonsgegevens.
Het openen van verpakkingen door de functionaris voor de gegevensbescherming is alleen mogelijk in het verlengde van een onderzoek van een zaak, als bedoeld in het eerste lid. Het is dus niet een op zichzelf staande bevoegdheid, maar een afgeleide van de bevoegdheid in het eerste lid. Het zorgvuldigheidsbeginsel brengt met zich mee dat de functionaris voor de gegevensbescherming onmiddellijk nadat de uitkomst van een onderzoek bekend is, dit meedeelt aan degenen bij wie de zaak berust. De beheerder is tenslotte degene, die in feite maatregelen zal moeten treffen als het onderzoek aantoont dat een of meerdere wettelijke verplichtingen niet of niet volledig worden nageleefd. Een en ander laat onverlet dat in juridische zin de minister de verantwoordelijke blijft voor de naleving van de Wbp.
Dit artikel bevat het ‘evenredigheidsbeginsel’, één van de algemene beginselen van behoorlijk bestuur. Dit beginsel impliceert onder meer dat het toezicht op naleving van de wettelijke voorschriften op de minst belastende manier moet worden uitgevoerd. Het toezicht zal in het algemeen slechts kunnen worden uitgeoefend op die personen die bij bepaalde verwerkingen van persoonsgegevens betrokken zijn, en op bescheiden of andere zaken met betrekking tot de verwerking van die persoonsgegevens.
Inherent aan het evenredigheidsbeginsel is het zorgvuldigheidsbeginsel: de functionaris voor de gegevensbescherming dient bij de uitoefening van zijn taak de reden mee te delen waarom hij van een of meerdere van zijn bevoegdheden gebruik wil maken. Als vrijwillige medewerking aan het toezicht wordt verleend, is gebruikmaking van de toezichtbevoegdheden in de regel niet noodzakelijk.
De functionaris voor de gegevensbescherming dient zich te allen tijde te kunnen legitimeren als daarom wordt gevraagd. Dit speelt uiteraard met name als het toezicht wordt uitgeoefend op bijzondere gegevens of bestanden, waarvoor op grond van andere wettelijke regelingen of op grond van de risicoklasse van die gegevens een specifieke geheimhoudingsplicht geldt.
Om het toezicht daadwerkelijk te effectueren is de verplichting opgenomen om medewerking te kunnen vorderen. Deze verplichting strekt zich uiteraard niet verder uit dan tot eenieder die onder het gezag van de minister persoonsgegevens verwerkt, dan wel persoonsgegevens waarvoor de minister de verantwoordelijke is verwerkt op grond van een overeenkomst en op grond van die overeenkomst tot medewerking is verplicht.
De functionaris voor de gegevensbescherming brengt zijn bevindingen uit aan de verantwoordelijke. Het evenredigheidsbeginsel verlangt dat hij eerst de betreffende beheerder informeert.
Dit is het verslag, bedoeld in artikel 63, vijfde lid, van de Wbp. Omdat de functionaris voor de gegevensbescherming tevens toezicht houdt op de verwerkingen van gegevens van het interne personeel is toezending van het verslag aan de DOR wenselijk. Hoewel verzending aan het Cbp niet verplicht is, wordt toezending door het Cbp op prijs gesteld om aldus op de hoogte te blijven van de ontwikkelingen op het gebied van de Wbp bij het ministerie. Toezending aan de CTBP-O ligt voor de hand omdat de CTBP-O ook een toezichthoudende rol vervult binnen het OCW-domein.
De functionaris voor de gegevensbescherming maakt gebruik van de diensten van de interne accountantsdienst dan wel waar nodig van externe auditors. Zijn controleprogramma wordt opgesteld in overleg met de CTBP-O en het departementale Audit Committee. Hiermee wordt het mogelijk een onafhankelijk oordeel te vellen over de kwaliteit van de persoonsverwerkingen.
Door middel van het register heeft de functionaris voor de gegevensbescherming inzicht in de persoonsverwerkingen die plaatsvinden binnen het ministerie. Tevens vormt het register een middel om te voldoen aan de informatieplicht, bedoeld in de artikelen 33 en 34 Wbp.
Vanwege zijn inzicht in de kwaliteit van de gegevensbescherming en ter bevordering van de uitvoering van de Wbp wordt de functionaris voor de gegevensbescherming in staat gesteld de minister hierover te adviseren.
De Minister van Onderwijs, Cultuur en Wetenschap,
M.J.A. van der Hoeven
Permanente link
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/stcrt-2004-150-p11-SC66117.html