Regeling bescherming persoonsgegevens Ministerie VROM

23 oktober 2006

De Minister van Volkshuisvesting, Ruimtelijke Ordening en Milieubeheer,

Gelet op de artikelen 62, 63 en 64 van de Wet bescherming persoonsgegevens;

Besluit:

Artikel 1

Begripsbepalingen

In deze regeling wordt verstaan onder:

a. wet: Wet bescherming persoonsgegevens;

b. Ministerie: Ministerie van Volkshuisvesting, Ruimtelijke Ordeningen Milieubeheer;

c. Minister: Minister van Volkshuisvesting, Ruimtelijke Ordening en Milieubeheer;

d. beheerder: functionaris aan wie krachtens de geldende mandaatregelingen van het Ministerie van Volkshuisvesting, Ruimtelijke Ordening en Milieubeheer de bevoegdheid is gegeven tot het uitvoeren van de taken en het uitoefenen van de bevoegdheden ten aanzien van verwerkingen van persoonsgegevens;

e. College: het College bescherming persoonsgegevens als bedoeld in artikel 51 van de wet;

f. privacyfunctionaris: de functionaris voor de gegevensbescherming van het Ministerie als bedoeld in artikel 62 van de wet.

Artikel 2

Deze regeling is van toepassing op alle verwerkingen van persoonsgegevens waarvoor de Minister de verantwoordelijke is in de zin van de wet.

Artikel 3

Privacyfunctionaris

1. Er is een privacyfunctionaris.

2. Bij de vervulling van de taken en de daarbij behorende bevoegdheden van de privacyfunctionaris is afdeling 5.2 Awb van overeenkomstige toepassing met dien verstande dat voor het begrip toezichthouder moet worden gelezen privacyfunctionaris.

3. De privacyfunctionaris heeft naast het houden van toezicht als bedoeld in artikel 62 van de wet ook de taken en bevoegdheden als bedoeld in de artikelen 63 en 64 van de wet.

4. De privacyfunctionaris ziet erop toe dat er organisatorische en procedurele maatregelen worden getroffen die ertoe leiden dat aan degene die een verzoek bij de verantwoordelijke indient als bedoeld in artikel 30, derde lid van de wet, binnen redelijke termijn de gegevens als bedoeld in artikel 28, eerste lid onder a tot en met e van de wet, worden verstrekt.

Artikel 4

Register

1. Er is een meldingenregister verwerkingen persoonsgegevens VROM. In dat register zijn de gegevensverwerkingen opgenomen die bij de privacyfunctionaris zijn gemeld op grond van artikel 30 van de wet.

2. Het register wordt door de privacyfunctionaris ingericht, beheerd en onderhouden.

3. Het register ligt kosteloos voor een ieder ter inzage bij de Centrale Bibliotheek in de hoofdzetel van het Ministerie.

Artikel 5

Beheerder

1. De beheerder draagt binnen zijn dienstonderdeel zorg voor de uitvoering van de wet en de feitelijke handelingen die daarvoor nodig zijn.

2. De beheerder draagt zorg voor voldoende tijd en middelen ten behoeve van het gestelde onder het eerste lid.

Artikel 6

Handboek

1. Er is een handboek Wet bescherming persoonsgegevens VROM ter ondersteuning van de uitvoering van de wet. Dit handboek bestaat uit de volgende delen:

A. Managementsamenvatting (korte beschrijving diverse WBP-aspecten);

B. Praktische uitvoeringsregels (theorie, schema’s, modelformulieren);

C. Decentraal register (bewaarplaats voor documenten ten behoeve van het eigen organisatieonderdeel);

D. Naslag en documentatie (relevante wetteksten en diverse regelingen).

Artikel 7

Beveiliging en beheer

1. De beheerder treft technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen inbreuk, verlies en onrechtmatige verwerking. Deze maatregelen voldoen aan het Besluit voorschrift informatiebeveiliging rijksdienst 1994, alsmede aan het Besluit voorschrift informatiebeveiliging rijksdienst – bijzondere informatie. Daarnaast kan de Minister additionele eisen voorschrijven.

2. De maatregelen als bedoeld in het eerste lid zijn schriftelijk of in een andere, vergelijkbare vorm vastgelegd.

3. De beheerder ziet er op toe dat degenen die belast zijn met het verwerken van persoonsgegevens kennis nemen van de beveiligingsvoorschriften en het beveiligingsbeleid VROM en deze naleven.

Artikel 8

Toezicht

1. In geval de privacyfunctionaris bij de uitoefening van het toezicht als bedoeld in de artikelen 62, 63 en 64 van de wet onregelmatigheden aantreft bij de verwerking van persoonsgegevens brengt hij daarover verslag uit aan de Minister. Hij kan dit verslag vergezeld doen gaan van een advies dat strekt tot een verbetering in de bescherming van de persoonsgegevens die door of namens de Minister worden verwerkt.

2. De privacyfunctionaris VROM brengt jaarlijks verslag uit aan de Minister over zijn werkzaamheden en bevindingen in het daaraan voorafgaande kalenderjaar. Een afschrift daarvan wordt ter kennisneming gezonden aan de Groepsondernemingsraad, de Auditdienst en aan het College.

3. De Auditdienst voert actief of op verzoek van de privacyfunctionaris audits uit naar de naleving van de wet en de regelingen hieromtrent van het Ministerie.

4. De Auditdienst rapporteert haar bevindingen aan de Minister, de privacyfunctionaris en desbetreffende beheerder⁠(s).

Artikel 9

Slotbepalingen

Deze regeling treedt in werking met ingang van de tweede dag na de dagtekening van de Staatscourant waarin zij wordt geplaatst.

Artikel 10

1. De Regeling Wet bescherming persoonsgegevens Ministerie van VROM wordt ingetrokken

2. De Regeling taken en bevoegdheden privacyfunctionaris van het Ministerie van Volkshuisvesting, Ruimtelijke Ordening en Milieubeheer wordt ingetrokken.

Artikel 11

Deze regeling wordt aangehaald als Regeling bescherming persoonsgegevens Ministerie VROM.

Artikel 12

Deze regeling wordt geplaatst in de Staatscourant.

Den Haag, 23 oktober 2006.
De Staatssecretaris van Volkshuisvesting, Ruimtelijke Ordening en Milieubeheer, P.L.B.A. van Geel.

Toelichting

Algemeen

Op 1 september 2001 is de Wet bescherming persoonsgegevens (hierna: de Wet) in werking getreden. Deze wet vervangt de Wet persoonsregistraties.

Het Ministerie van VROM heeft toen gebruik gemaakt van het overgangsjaar om deze nieuwe wet te implementeren en de nodige documentatie, regelingen en een handboek WBP te ontwikkelen.

Mede door een grootschalige reorganisatie (onder andere wijziging van organisatieonderdelen, naamgeving en hun verantwoordelijkheden) binnen het Ministerie van VROM bleek het noodzakelijk om in het kader van de wet de regeling Wet bescherming persoonsgegevens ministerie VROM technisch aan te passen. Van deze gelegenheid is verder gebruik gemaakt om de Regeling Wet bescherming persoonsgegevens ministerie van VROM en de Regeling taken en bevoegdheden privacyfunctionaris van het Ministerie van Volkshuisvesting, Ruimtelijke Ordening en Milieubeheer samen te voegen tot één regeling.

Het resultaat is onderhavige Regeling bescherming persoonsgegevens Ministerie VROM.

De regeling is een interne regeling die tot doel heeft de uitvoering van de Wet binnen het ministerie op uniforme wijze gestalte te geven. In de regeling is de wijze waarop taken en verantwoordelijkheden zijn toegedeeld weergegeven. Bij de toedeling van deze taken en verantwoordelijkheden is de Wet uitgangspunt geweest. Voorts is aansluiting gezocht bij de beheersstructuur van het Ministerie van VROM ten aanzien van de informatievoorziening, zoals neergelegd in het Statuut voor informatiebeveiliging en bescherming persoonsgegevens VROM. Verder is een handboek Wet bescherming persoonsgegevens opgesteld waarin op gedetailleerde wijze de uitvoering van de Wet voor het ministerie is uitgewerkt en aan de hand waarvan concreet invulling wordt gegeven aan de wettelijke eisen voor de implementatie van de Wet.

Artikelgewijs

Artikel 1

Voor de definities is aangesloten bij het begrippenkader uit de Wet, waarbij enkele daarvan specifiek zijn toegesneden op het Ministerie.

Artikel 2

De reikwijdte van de regeling strekt uiteraard niet verder dan de verwerkingen van persoonsgegevens, die voor of namens de Minister worden verwerkt en tevens binnen de reikwijdte van de Wet vallen. Ook verwerkingen van persoonsgegevens die buiten het departement door bijvoorbeeld bewerkers worden verwerkt voor of namens de Minister, vallen onder de strekking van dit besluit.

In overeenstemming met het geldende organisatiebesluit en de mandaatregelingen binnen het Ministerie van VROM kunnen taken en bevoegdheden van de Minister in het kader van de Wet bescherming persoonsgegevens aan een beheerder worden overgedragen. De beheerder neemt bij het behandelen en afdoen van aangelegenheden met betrekking tot de verwerking van persoonsgegevens de voor zijn dienst of dienstonderdelen departementale voorschriften in acht.

Artikel 3

In verband met coördinatie en toezicht is bij het Ministerie van VROM een zogenaamde privacyfunctionaris benoemd. Deze privacyfunctionaris heeft diverse taken en bevoegdheden welke hun grondslag hebben in de Wet. Een van de belangrijkste taken is het houden van toezicht op de zorgvuldige omgang met en verwerking van persoonsgegevens. Deze taak houdt in dat de privacy-functionaris onder meer het recht heeft alle verwerkingen van persoonsgegevens in te zien.

Iedereen kan de Minister verzoeken inzage te geven in de op zijn of haar betrekkinghebbende persoonsgegevens die bij het ministerie worden verwerkt. Een dergelijk verzoek dient binnen een redelijke termijn te worden afgehandeld. Het is aan de organisatie om hiertoe de nodige organisatorische en technische maatregelen te treffen

Artikel 4

Het Meldingenregister verwerking persoonsgegevens VROM is een openbaar register, dat door eenieder kosteloos geraadpleegd moet kunnen worden.

Mede op basis van raadpleging van dit register kunnen betrokkenen achterhalen in hoeverre er op hen van toepassingzijnde persoonsgegevens worden verwerkt, bij welk organisatieonderdeel en welke verwerking het betreft.

Artikel 5

De beheerder, een directeur of hoofd van een dienstonderdeel, draagt namens de Minister van VROM zorg voor een adequate uitvoering van de wet binnen het organisatieonderdeel waarvoor hij verantwoordelijk is.

Een belangrijke rol in het totale veld van de uitvoering van de wettelijke bepalingen zijn de contactpersonen, de medewerkers die de uitvoering binnen hun organisatieonderdeel ter hand nemen.

Artikel 6

Het Handboek Wet bescherming persoonsgegevens is een zeer waardevol instrument ter ondersteuning aan de daadwerkelijk invoering én uitvoering van de Wet. In dit handboek wordt niet alleen uitleg gegeven over de wettelijke bepalingen maar zijn ook de abstracte normeringen uit de Wet voor zover mogelijk vertaald naar operationele vereisten. Naast toelichtingen op de theorie zijn ook diverse schema’s opgenomen met toelichting voor onder andere het toetsingsproces en zijn modelformulieren opgenomen.

Artikel 7

De beveiliging van de persoonsgegevens is opgenomen in de informatiebeveiligingscyclus van het ministerie, welke cyclus voortkomt uit het Besluit voorschrift informatiebeveiliging rijksdienst 1994 en het Besluit voorschrift informatiebeveiliging rijksdienst – bijzondere informatie.

Voorts ligt op VROM-niveau de basis voor informatiebeveiliging vast in de ESNIb (Eisen Standaard Niveau Informatiebeveiliging VROM).

Verder is ook het een en ander vastgelegd in de individuele informatiebeveiligingsplannen van de organisatieonderdelen.

Artikel 8

Een belangrijke taak van de privacyfunctionaris is het houden van toezicht op de naleving van de wettelijke voorschriften. Treft de privacyfunctionaris onregelmatigheden aan, dan ligt in zijn taakopdracht en in zijn aanstelling besloten dat hij daarover verslag uitbrengt aan de verantwoordelijke of de organisatie waardoor hij is aangesteld. Hij heeft een adviserende rol tegenover de verantwoordelijke. Het is aan de verantwoordelijke om te beslissen of hij het advies van de privacyfunctionaris opvolgt.

Het jaarverslag van de privacyfunctionaris speelt een rol in de beschrijving van de stand van zaken van de verwerkingen van persoonsgegevens in een bepaald kalenderjaar en kan door de opeenvolging van die jaarverslagen een beeld geven van de ontwikkeling die de organisatie doormaakt in het beschermen van persoonsgegevens.

Departementaal zijn er afspraken gemaakt dat de auditdienst een aantal zaken meeneemt in haar jaarlijkse controlecyclus. Eén van die zaken is de bescherming van persoonsgegevens. Omdat het niet de bedoeling is dat de privacyfunctionaris en de auditdienst zich in een kalenderjaar richten op dezelfde toezichtobjecten, informeren de auditdienst en de privacyfunctionaris elkaar over een te verrichten onderzoek naar de bescherming van persoonsgegevens en over de uitkomsten van hun onderzoek. Ook kan het voorkomen dat de privacyfunctionaris de auditdienst verzoekt zicht te richten op een specifiek onderdeel van de bescherming van persoonsgegevens. De privacyfunctionaris zal regelmatig met de auditdienst moeten overleggen over de voornemens voor audits en dergelijke.

De Staatssecretaris van Volkshuisvesting, Ruimtelijke Ordening en Milieubeheer,

P.L.B.A. van Geel

Naar boven