Regeling Wet bescherming persoonsgegevens ministerie van Defensie

3 augustus 2009

Nr. C/2009011392

Directie Juridische Zaken Afdeling Wet- en Regelgeving

De Minister van Defensie,

Besluit:

Paragraaf 1. Algemene bepalingen

Artikel 1.1 Begrippen en definities

In deze regeling wordt verstaan onder:

a. Wet:

Wet bescherming persoonsgegevens;

b. Minister:

Minister van Defensie;

c. persoonsgegeven:

elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

d. bijzondere persoonsgegevens:

persoonsgegevens als bedoeld in artikel 16 van de wet;

e. verwerking van persoonsgegevens:

elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen, of vernietigen van gegevens;

f. verwerker:

een ieder die persoonsgegevens verwerkt in de zin van onderdeel e van dit artikel;

g. meldingsformulier:

het meldingsformulier als bedoeld in artikel 2.2 van deze regeling;

h. register:

register als bedoeld in artikel 2.4 van deze regeling;

i. verantwoordelijke:

Minister van Defensie;

j. Wbp-beheerder:

het diensthoofd die namens de minister belast is met de zorg voor de naleving van de wet ten aanzien van verwerkingen die gevoerd worden binnen het dienstonderdeel;

k. bewerker:

degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen;

l. gebruiker:

degene die bevoegd is gegevens in te zien dan wel in te voeren of te muteren;

m. betrokkene:

degene op wie een persoonsgegeven betrekking heeft;

n. derde:

ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken;

o. ontvanger:

degene aan wie persoonsgegevens worden verstrekt;

p. College bescherming persoonsgegevens of het College:

College als bedoeld in artikel 51 van de wet;

q. functionaris gegevensbescherming:

de functionaris als bedoeld in artikel 62 van de wet;

r. melding:

melding bij de functionaris gegevensbescherming van een verwerking van persoonsgegevens die voor de verwezenlijking van een doeleinde of van verscheidene samenhangende doeleinden bestemd is als bedoeld in artikel 28 van de wet en in artikel 2.2, eerste en tweede lid, van deze regeling;

s. verstrekken van gegevens:

het bekend maken of ter beschikking stellen van persoonsgegevens, voor zover zulks geheel of grotendeels steunt op gegevens die verwerkt zijn, of die door verwerking daarvan, al dan niet in verband met andere gegevens, zijn verkregen;

t. Wbp:

Wet bescherming persoonsgegevens.

Artikel 1.2 Reikwijdte

Deze regeling is van toepassing op alle verwerkingen van persoonsgegevens waarvoor de Minister van Defensie de verantwoordelijke is in de zin van de wet.

Artikel 1.3 Beheerder

  • 1. Als Wbp-beheerder worden aangewezen:

    • a. de plaatsvervangend Secretaris-Generaal voor verwerkingen binnen de bestuursstaf;

    • b. de Commandant Koninklijke marechaussee voor verwerkingen binnen de Koninklijke marechaussee;

    • c. de Commandant Zeestrijdkrachten voor verwerkingen binnen het operationeel commando der zeestrijdkrachten;

    • d. de Commandant Luchtstrijdkrachten voor verwerkingen binnen het operationeel commando der luchtstrijdkrachten;

    • e. de Commandant Landstrijdkrachten voor verwerkingen binnen het operationeel commando der landstrijdkrachten;

    • f. de Commandant Commando Diensten Centra voor verwerkingen binnen het commando diensten centra;

    • g. de Directeur Defensie Materieel Organisatie voor verwerkingen binnen de defensie materieel organisatie.

  • 2. Een Wbp-beheerder kan de aan hem belaste zorg voor de naleving van de wet geheel of gedeeltelijk opdragen aan een Wbp-onderbeheerder binnen zijn dienstonderdeel. Hij doet hiervan mededeling aan de functionaris voor de gegevensbescherming.

  • 3. De Wbp-beheerder, dan wel de Wbp-onderbeheerder, wijst binnen zijn dienstonderdeel een Wbp-coördinator aan die de uitvoering van de wet en de feitelijke handelingen die daarvoor nodig zijn, binnen zijn dienstonderdeel coördineert. Hij doet hiervan mededeling aan de functionaris voor de gegevensbescherming. De Wbp-coördinator neemt deel aan het Wbp-coördinatorenoverleg.

  • 4. De Wbp-beheerder rapporteert jaarlijks vóór 1 augustus aan de functionaris voor de gegevensbescherming over de naleving van de wet binnen zijn dienstonderdeel.

  • 5. De Wbp-beheerder,dan wel de Wbp-onderbeheerder, meldt alle verwerkingen van persoonsgegevens bij de functionaris voor de gegevensbescherming conform het gestelde in artikel 2.2 van deze regeling.

  • 6. De Wbp-beheerder, dan wel de Wbp-onderbeheerder, draagt er zorg voor dat contacten met het College geschieden door tussenkomst van de functionaris voor de gegevensbescherming.

  • 7. Voor die verwerkingen ten aanzien waarvan dit artikel niet in een aanwijzing van Wbp-beheerder voorziet, kan de Secretaris-Generaal alsnog een Wbp-beheerder aanwijzen.

Artikel 1.4 Bewerker

  • 1. Indien een Wbp-beheerder, dan wel een Wbp-onderbeheerder, persoonsgegevens laat verwerken door een bewerker, dan wel indien de minister optreedt als bewerker voor een externe verantwoordelijke, vindt verwerking van persoonsgegevens slechts plaats indien voorafgaand daaraan de uitvoering van de verwerkingen door de bewerker is geregeld in een overeenkomst tussen de verantwoordelijke en bewerker dan wel krachtens een andere rechtshandeling waardoor een verbintenis is ontstaan tussen de bewerker en de verantwoordelijke.

  • 2. De overeenkomst of rechtshandeling bevat in ieder geval een regeling over:

    • a. de rol en positie van partijen;

    • b. het, indien toepasselijk, informeren van betrokkenen;

    • c. de werkzaamheden waarop de overeenkomst betrekking heeft en het toegestane gebruik van persoonsgegevens door de bewerker, en

    • d. een afdoende beveiliging van persoonsgegevens door de bewerker en de overige zorgplichten van de bewerker.

  • 3. De overeenkomst of rechtshandeling wordt schriftelijk vastgelegd.

Artikel 1.5 Zorgplicht verwerker

Onverminderd het bepaalde in de wet en in deze regeling draagt een ieder die persoonsgegevens verwerkt zorg voor de juistheid, nauwkeurigheid en accuraatheid van de gegevens.

Artikel 1.6 Functionaris gegevensbescherming

  • 1. Er is een functionaris voor de gegevensbescherming.

  • 2. De functionaris voor de gegevensbescherming heeft, naast het houden van toezicht op de verwerking van persoonsgegevens door de verantwoordelijke overeenkomstig het bij of krachtens de wet bepaalde, in ieder geval tot taak:

    • a. het jaarlijks rapporteren aan de minister over de naleving van de wet binnen het ministerie;

    • b. het bijhouden van een voor een ieder kosteloos raadpleegbaar meldingenregister;

    • c. het begeleiden en verzorgen van contacten tussen het ministerie en het college;

    • d. het, voortvloeiende uit het toezicht, adviseren van de minister en van de beheerders over de toepassing en uitvoering van de wet;

    • e. het geven van voorlichting over de wet, over de bescherming van de persoonlijke levenssfeer alsmede over de wijze waarop toezicht wordt gehouden;

    • f. het minstens jaarlijks organiseren van een Wbp-coördinatorenoverleg;

    • g. het toezien op de afwikkeling van klachten en het evalueren van incidenten terzake van het verwerken van persoonsgegevens binnen Defensie.

  • 3. De functionaris voor de gegevensbescherming beschikt voor de uitoefening van het toezicht als bedoeld in artikel 64, eerste lid, van de wet over de bevoegdheden als bedoeld in Afdeling 5.2 van de Algemene wet bestuursrecht. De functionaris voor de gegevensbescherming maakt van zijn bevoegdheden slechts gebruik voor zover dat redelijkerwijs voor de vervulling van zijn taak nodig is.

  • 4. Een ieder die werkzaam is onder het gezag van de minister alsmede een bewerker of eenieder die onder het gezag van een bewerker persoonsgegevens verwerkt, is verplicht aan de functionaris voor de gegevensbescherming alle medewerking te verlenen die deze redelijkerwijs kan vorderen bij de uitoefening van zijn bevoegdheden, tenzij een geheimhoudingsplicht uit hoofde van een wettelijk voorschrift daaraan in de weg staat.

Paragraaf 2. Verwerking van persoonsgegevens

Artikel 2.1 Doelbinding

Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld.

Artikel 2.2 Melding

  • 1. De Wbp-beheerder, dan wel de Wbp-onderbeheerder, meldt verwerkingen van persoonsgegevens voordat met de verwerking wordt begonnen door middel van het in bijlage opgenomen meldingenformulier Defensie bij de functionaris voor de gegevensbescherming.

  • 2. De Wbp-beheerder, dan wel de Wbp-onderbeheerder, meldt wijzigingen ten aanzien van een melding, zo mogelijk voor aanvang van de wijziging, doch uiterlijk één week na de wijziging, bij de functionaris voor de gegevensbescherming.

  • 3. De Wbp-beheerder, dan wel de Wbp-onderbeheerder, beschikt over een Wbp-dossier per gemelde verwerking. Een Wbp-dossier omvat in ieder geval:

    • a. een afschrift van de gedane melding;

    • b. indien van toepassing, een afschrift van de afspraken als bedoeld in artikel 14 van de wet met een bewerker;

    • c. informatie over de locaties, dienstonderdelen en systemen waar de verwerking plaatsvindt;

    • d. informatie over de grondslag van de verwerking en over de onderdelen van het bedrijfsproces ten behoeve waarvan het verwerken van persoonsgegevens plaatsvindt;

    • e. informatie die blijk geeft van een afdoende beveiliging van persoonsgegevens;

    • f. informatie over de toepassing van artikel 43 van de wet.

Artikel 2.3 Melding verwerking met bijzonder risico

  • 1. Verwerkingen die een bijzonder risico met zich brengen in de zin van artikel 31 van de wet worden als zodanig door de Wbp-beheerder, dan wel de Wbp-onderbeheerder bij de functionaris gegevensbescherming gemeld.

  • 2. De functionaris gegevensbescherming meldt de ingevolge het eerste lid bij hem gemelde verwerkingen bij het College bescherming persoonsgegevens.

Artikel 2.4 Register

  • 1. Er is een register dat onder de verantwoordelijkheid van de functionaris gegevensbescherming wordt bijgehouden.

  • 2. De meldingen worden in ieder geval op het defensie intranet geplaatst.

Artikel 2.5 Verwijderen van persoonsgegevens

De persoonsgegevens worden verwijderd wanneer deze voor het doel van de verwerking niet meer noodzakelijk zijn.

Paragraaf 3. Rechten van betrokkene

Artikel 3.1 Informatieverstrekking aan de betrokkene

De Wbp-beheerder, dan wel de Wbp-onderbeheerder, deelt de betrokkene de informatie mede conform de artikelen 33 en 34 van de wet tenzij de betrokkene daarvan reeds op de hoogte is.

Artikel 3.2 Recht op kennisneming, correctie en verzet

  • 1. Betrokkene kan verzoeken betreffende de uitoefening van de aan hem toegekende rechten als bedoeld in de artikelen 35, 36, 40, 41 en 42 van de wet richten aan de Wbp-beheerder dan wel de Wbp-onderbeheerder.

  • 2. De Wbp-beheerder, dan wel de Wbp-onderbeheerder, draagt zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker.

  • 3. Een verzoek als bedoeld in het eerste lid kan, onder overlegging van een bijzondere daartoe strekkende schriftelijke machtiging, namens de betrokkene worden gedaan door diens advocaat. Een verzoek als bedoeld in het eerste lid kan, onder overlegging van een bijzondere daartoe strekkende schriftelijke machtiging, namens de betrokkene eveneens worden gedaan door een ander. Mededelingen aan een dergelijke gemachtigde vinden niet plaats indien aangenomen kan worden dat deze mede een zelfstandig belang heeft bij de mede te delen gegevens of indien tegen hem ernstige bezwaren bestaan.

  • 4. De Wbp-beheerder draagt in voorkomende gevallen zorg voor doorgeleiding van een verzoek van betrokkene aan de Wbp-beheerder(s) dan wel Wbp-onderbeheerder(s) die het verzoek mede aangaan.

  • 5. Op een verzoek als bedoeld in het eerste lid wordt binnen vier weken beslist.

Artikel 3.3 Bezwaar

  • 1. Het besluit als bedoeld in artikel 3.2, vijfde lid, bevat de mededeling dat bezwaar gemaakt kan worden en aan wie het bezwaar gericht dient te zijn.

  • 2. Binnen zes weken na de dag van verzending van een besluit als bedoeld in artikel 3.2, vijfde lid, kan een ieder wiens belang rechtstreeks bij dit besluit is betrokken, bezwaar maken.

Paragraaf 4. Beveiliging en beheer

Artikel 4

De te treffen technische en organisatorische maatregelen dienen te zorgen voor een passend niveau van beveiliging van persoonsgegevens tegen verlies en onrechtmatige verwerking.

Paragraaf 5. Audit

Artikel 5

  • 1. De Audit Dienst Defensie voert, al dan niet op verzoek van de functionaris voor de gegevensbescherming, periodiek een audit uit naar de naleving van de wet en deze regeling.

  • 2. De Audit Dienst Defensie rapporteert periodiek haar bevindingen aan de minister en de functionaris gegevensbescherming.

Paragraaf 6. Aanwijzing

Artikel 6

De Secretaris-Generaal kan nadere aanwijzingen geven ter uitvoering van het bepaalde in deze regeling.

Paragraaf 7. Slotbepalingen

Artikel 7.1 Overgangsrecht

  • 1. De meldingen aan de functionaris gegevensbescherming van op de datum van inwerkingtreding van deze regeling al bestaande verwerkingen als bedoeld in artikel 2.2, eerste lid, worden gedaan uiterlijk 6 maanden na inwerkingtreding van deze regeling.

  • 2. De functionaris voor de gegevensbescherming draagt zorg voor intrekking van de bestaande meldingen bij het college zodra vervangende meldingen ontvangen zijn.

Artikel 7.2 Inwerkingtreding

Deze regeling treedt in werking met ingang van 1 september 2009.

Artikel 7.3 Citeertitel

Deze regeling wordt aangehaald als: Regeling Wet bescherming persoonsgegevens ministerie van Defensie.

Deze regeling zal worden geplaatst in de Staatscourant en in de serie Ministeriële publicaties.

Den Haag, 3 augustus 2009

De Minister van Defensie,

E. van Middelkoop.

BIJLAGE

Meldingenformulier als bedoeld in artikel 2.2, eerste lid, van de Regeling bescherming persoonsgegevens ministerie van Defensie

[ ] Eerste melding

[ ] Doorgeven wijziging eerdere melding (nr. MvD/Wbp/.....)

Datum:

  • 1. Welke naam heeft het gegevensbestand?

     
     

  • 2. Waarvoor worden de gegevens verzameld en gebruikt (de doelen van het gegevensbestand)?

    Doel:

     

    1.

     

  • 3. Over wie worden gegevens verwerkt en welke soorten van gegevens zijn dat?

    1.

     

    1.1.

    Doel

      

    2.

     

    2.1.

    Doel

      

  • 4. Aan wie worden gegevens verstrekt?

    1.

     

  • 5. Wie is de Wbp-beheerder van het gegevensbestand?

     
     

  • 6. Eventuele bijzonderheden

    1.

     

  • 7. Wie is de contactpersoon voor vragen of het uitoefenen van rechten zoals kennisneming of correctie?

     
     

  • 8. Wordt ten aanzien van de beveiliging van de gegevens voldaan aan het Defensie beveiligingsbeleid?

     
     

  • 9. Is voorafgaand onderzoek nodig?

    Ja / Nee

     

    Voorafgaand onderzoek is nodig omdat:

     

TOELICHTING

Algemeen

De Regeling Wet bescherming persoonsgegevens ministerie van Defensie heeft tot doel het beheer van persoonsgegevens binnen het ministerie van Defensie uniform te regelen. Daartoe is een aantal algemeen geformuleerde beheersnormen nader uitgewerkt ten behoeve van de Defensieorganisatie. De taken en bevoegdheden van diegenen die zorg dragen voor de naleving van de wet binnen hun dienstonderdeel zijn beschreven, en ook zijn de kerntaken en bevoegdheden van de functionaris voor de gegevensbescherming van het ministerie van Defensie vastgelegd. Uiteraard doet deze regeling geen afbreuk aan de reeds direct uit de Wbp voortvloeiende normen. De regeling is geënt op een in interdepartementaal verband gehanteerde modelregeling.

Naast onderhavige regeling bestaat een Meldingsregister Wbp, dat onder verantwoordelijkheid van de functionaris voor de gegevensbescherming wordt bijgehouden, en is er een intranetsite website waarop de beleidsdocumenten en instrumenten te vinden zijn. Tezamen vormen deze instrumenten de opzet voor de bescherming van persoonsgegevens binnen het ministerie van Defensie.

Artikelsgewijs

Artikel 1.1 Begrippen en definities

Voor de definities is aangesloten bij het begrippenkader van de Wet bescherming persoonsgegevens (Wbp). Enkele begrippen zijn specifiek toegesneden op het ministerie van Defensie.

In artikel 1 wordt voorts conform de eerder genoemde interdepartementale modelregeling ingegaan op de een aantal in de wet genoemde functionarissen, zoals verantwoordelijke, beheerder, functionaris gegevensbescherming en bewerker. Overigens vervullen, voortvloeiende uit hun taken ingevolge de organisatieregelingen van Defensie, verscheidene Defensie-dienstonderdelen taken met betrekking tot de Wbp.

Zo is de Hoofddirectie Personeel beleidsverantwoordelijk voor de implementatie van de wet. De Defensie-onderdelen zijn er voor verantwoordelijk dat bij de uitvoering van hun werkzaamheden de wet en het ter zake geformuleerde beleid in acht wordt genomen.

De onder de Centrale Organisatie Integriteit Defensie ressorterende Adviseur Wbp is belast met de centrale coördinatie van alle activiteiten die verband houden met de naleving en toepassing van de wet binnen Defensie door onder andere het adviseren over het te voeren beleid in het algemeen en het bewaken van de beleidsuitvoering daarvan, met het ondersteunen van de defensieonderdelen bij de uitvoering en naleving van de wet en met de coördinatie en deskundigheidsbevordering van met name de Wbp-coördinatoren.

De Directie Juridische Zaken is belast met specifieke en tweedelijns juridische advisering, de advisering inzake defensiebrede juridische beleidsvorming en de juridische advisering omtrent vraagstukken van (politiek) principiële aard.

De Functionaris Gegevensbescherming is belast met het toezicht op de uitvoering van de wet conform het bepaalde in artikel 1.6 van deze regeling.

De Auditdienst Defensie is belast met het uitvoeren van audits conform het bepaalde in artikel 5 van deze regeling.

Artikel 1.2 Reikwijdte

De reikwijdte van deze regeling strekt tot aan de grenzen van de verwerkingen van persoonsgegevens, die voor of namens de minister worden verwerkt.

De regeling is in principe een intern voorschrift, maar heeft een beperkte externe werking omdat ook enkele bepalingen opgenomen zijn over de rechten van betrokkenen.

Artikel 1.3 Beheer

In het eerste lid van dit artikel is aangegeven wie door de minister als Wbp-beheerder wordt aangewezen. De Wbp-beheerder is degene die namens de minister verantwoordelijk is voor de zorg voor de naleving van de wet binnen zijn dienstonderdeel. In het tweede lid is de mogelijkheid opgenomen deze zorgplicht te kunnen ondermandateren. Van een dergelijke ondermandatering dient de beheerder de functionaris voor de gegevensbescherming op de hoogte te stellen, zodat deze weet wie hij kan benaderen.

In het derde lid is aangegeven dat de Wbp-beheerder danwel de Wbp-onderbeheerder een Wbp-coördinator aanwijst die als contactpersoon voor de FG fungeert. De Wbp-coördinator is ook degene die binnen zijn dienstonderdeel de feitelijke uitvoering van de Wbp en de feitelijke handelingen die daarvoor nodig zijn, coördineert.

Het vijfde lid van dit artikel geeft aan dat de Wbp-beheerder, dan wel de onderbeheerder, verwerkingen van persoonsgegevens meldt bij de functionaris voor de gegevensbescherming. Een en ander wordt nader uitgewerkt in paragraaf 2 van deze regeling.

Voor verwerkingen ten aanzien waarvan artikel 1.3 niet in een aanwijzing van Wbp-beheerder voorziet, kan de Secretaris-Generaal ingevolge het zevende lid alsnog een Wbp-beheerder aanwijzen. Overigens blijft uiteraard de verantwoordelijke (minister) als mandaatverlener ingevolge de Algemene wet bestuursrecht bevoegd de uit de Wbp voortvloeiende bevoegdheden van een verantwoordelijke zelf uit te oefenen indien dit in voorkomend geval wenselijk mocht zijn en blijft de minister als verantwoordelijke bevoegd om ten aanzien van bepaalde gegevensverwerkingen te voorzien in een bijzondere aanwijzing als Wbp-beheerder.

De functionaris voor de gegevensbescherming fungeert als contactpersoon voor het College bescherming persoonsgegevens (Cbp). Om die rol goed te kunnen uitoefenen is het noodzakelijk dat een Wbp-beheerder danwel Wbp-onderbeheerder ervoor zorg draagt dat contacten met het Cbp verlopen via de functionaris voor de gegevensbescherming.

Artikel 1.4 Bewerker

In de huidige bedrijfsvoering kunnen persoonsgegevens worden verwerkt door een externe organisatie, bijvoorbeeld een ICT-bedrijf in het kader van systeemonderhoud of door een onderzoeksbureau dat een cultuur-integriteitsonderzoek doet. Indien een dergelijke externe wordt ingeschakeld, dient vóórdat deze begint met de werkzaamheden een overeenkomst of een contract te worden gesloten waarin de bescherming van persoonsgegevens expliciet wordt geregeld. Het tweede lid beschrijft de aspecten die in ieder geval moeten worden vastgelegd. In de praktijk zal het regelmatig voorkomen dat de algemene zorgplicht nader dient te worden uitgewerkt, bijvoorbeeld met voorschriften over de bewaartermijn van de persoonsgegevens die de bewerker heeft verkregen bij de uitvoering van zijn werkzaamheden, en eventuele voorschriften over de vernietiging of verwijdering van die gegevens uit de systemen van de bewerker. Omdat bij eventuele problemen de bewijslast voor het goed regelen van deze voorschriften bij de minister ligt – hij blijft immers de verantwoordelijke voor de persoonsgegevens, óók indien deze worden deze verwerkt bij een bewerker – dient de overeenkomst of het contract volgens artikel 14, tweede respectievelijk vijfde lid van de Wbp schriftelijk te worden vastgelegd. Mondelinge afspraken hierover zijn dus beslist onvoldoende en zijn in strijd met de wet.

De in artikel 1.4 opgenomen zinsnede dat de uitvoering van een verwerking door een bewerker ook kan zijn geregeld krachtens een andere rechtshandeling waardoor een verbintenis is ontstaan tussen de bewerker en de verantwoordelijke, is ontleend aan de Wbp. Deze zinsnede ziet op de mogelijkheid dat zo’n verbintenis ontstaat op grond van bijv. een wettelijk voorschrift of regeling. Deze situatie zal zich bij Defensie overigens vermoedelijk niet of nauwelijks voordoen. Indien persoonsgegevens worden verwerkt door een externe organisatie, zal de uitvoering van een verwerking door zo’n bewerker doorgaans worden geregeld door middel van een overeenkomst tussen de verantwoordelijke en de bewerker.

Artikel 1.5 Zorgplicht verwerker

Een informatiesysteem binnen Defensie kan zijn toegewezen aan een bepaalde (Wbp-)beheerder. Deze geldt dan als degene die verantwoordelijk is voor de goede werking van het systeem. Het komt echter regelmatig voor dat een Wbp-beheerder geen invloed kan uitoefenen op de inhoud daarvan, dus op de kwaliteit van de gegevens zelf. Dat doet zich bijvoorbeeld voor bij het personeelsbeheersysteem, waarvoor de verantwoordelijkheid bij de Bestuurstaf gelegd, maar waarbij het de dienstonderdelen zijn die de gegevens invoeren. Het zijn dan ook de dienstonderdelen die op dat moment verantwoordelijk zijn voor de kwaliteit, dus voor de juistheid, de nauwkeurigheid en het up-to-date zijn van die gegevens. Om dat nog eens te benadrukken is in artikel 1.5 een aparte zorgplicht voor de kwaliteit van dergelijke gegevens opgenomen. Eenzelfde situatie doet zich voor binnen het medisch functiegebied waar de zorgverlener verantwoordelijk is voor de (medische) kwaliteit van de vastgelegde gegevens.

Artikel 1.6 Functionaris voor de gegevensbescherming

In artikel 1.6 worden de kerntaken en bevoegdheden van de functionaris voor de gegevensbescherming beschreven, toegespitst op de verwerkingen van persoonsgegevens voor of namens de minister. Ook het wettelijk voorschrift ex artikel 64, derde lid Wbp, dat bepaalt dat de functionaris voor de gegevensbescherming de bevoegdheden van een toezichthouder worden toegekend zoals deze zijn neergelegd in titel 5:2 van de Algemene wet bestuursrecht (Awb), is in dit artikel geregeld. De inzet van deze bevoegdheden door de functionaris voor de gegevensbescherming is gebonden aan het beperkende voorschrift in titel 5:2 Awb, waarin is aangegeven dat een toezichthouder van deze bevoegdheden slechts gebruik mag maken voor zover dat redelijkerwijs voor de vervulling van zijn taak nodig is. Om het toezicht daadwerkelijk te effectueren is in het vierde lid van artikel 1.6 de verplichting opgenomen om medewerking te kunnen vorderen van een ieder, die voor of namens de minister persoonsgegevens verwerkt.

Artikel 2.2 Melding

In dit artikel wordt nadere uitwerking gegeven aan de meldingsplicht, zoals deze in de Wbp is vastgelegd. Alle verwerkingen van persoonsgegevens voor of namens de minister dienen te worden gemeld bij de functionaris voor de gegevensbescherming, en wel door middel van het in bijlage bij de regeling opgenomen meldingenformulier.

Van elke gemelde verwerking wordt een Wbp dossier aangelegd. In dit dossier wordt een aantal kenmerken opgenomen die betrekking hebben op de verwerking. Het is de bedoeling dat in de loop der tijd alle relevante gegevens die betrekking hebben op de verwerking, dus ook wijzigingen in de soort en hoeveelheid gegevens, of wijzigingen in de categorieën van personen, ander gebruik of andere verstrekkingen, in het dossier worden opgenomen.

Een van de kenmerken welke in het dossier dient te worden opgenomen, betreft informatie over de grondslag van de verwerking. Een en ander ziet op de duiding onder welke van de in artikel 8 Wbp omschreven rechtvaardigingsgronden de betreffende gegevensverwerking valt. Artikel 8 Wbp bevat een limitatieve opsomming van de gronden die een gegevensverwerking rechtvaardigen. Het Wbp-dossier dient dus blijk te geven van een overweging binnen welke in artikel 8 Wbp beschreven rechtvaardigingsgrond (en de daarbij behorende voorwaarden) de betreffende gegevensverwerking past.

Artikel 2.5 Verwijderen van persoonsgegevens

In artikel 2.5 is bepaald dat de gegevens worden verwijderd wanneer deze voor het doel van de verwerking niet meer noodzakelijk zijn. De beheerder, dan wel onderbeheerder, dient in dit kader een afweging te maken en te bepalen wanneer de gegevens dienen te worden verwijderd. Overigens betekent verwijderen niet automatisch dat de gegevens ook worden vernietigd. Wanneer het gaat om archiefbescheiden, geschiedt de beslissing of gegevens vernietigd worden, in het kader van de vaststelling van de selectie- en vernietigingslijsten.

Artikel 3.1 en 3.2 Informeren en rechten betrokkene

In artikel 3.1 wordt de informatieverplichting die in de Wbp in artikel 33 en 34 is opgenomen, opgelegd aan de Wbp-beheerder dan wel de Wbp-onderbeheerder. Deze zijn er verantwoordelijk voor dat aan betrokkenen wordt meegedeeld welke gegevens er worden verzameld, waarom dat gebeurt, wat er met die gegevens gebeurt en aan wie die gegevens worden verstrekt. Als de Wbp-beheerder dan wel de Wbp-onderbeheerder, de gegevens niet van de betrokkene heeft ontvangen, maar van andere instanties of organisaties, dan luistert deze informatieverplichting nog nauwer. Deze verplichting geldt overigens niet als de betrokkene daarvan al op de hoogte is.

De Wbp kent een betrokkene bepaalde rechten toe, bijvoorbeeld het recht van kennisneming van zijn gegevens (art. 35), of het recht van wijziging daarvan (art. 36), in sommige situaties het recht van verzet (art. 40 en 41) of het recht aan de verantwoordelijke te vragen om een opgave van alle niet meldingsplichtige verwerkingen (art 30, derde lid). Ook kan een betrokkene de verantwoordelijke aanspreken als deze geautomatiseerd gegevens van hem verzamelt en eveneens langs geautomatiseerde weg een besluit neemt dat (rechts)gevolgen heeft voor de betrokkene of hem anderszins raakt. Een dergelijk besluit – dus zonder menselijke tussenkomst – wordt geacht niet zorgvuldig te zijn genomen.

Als een betrokkene dergelijke rechten wil (laten) uitoefenen dient hij het verzoek daartoe in bij de Wbp-beheerder.

Als een verzoek van een betrokkene bij een Wbp-beheerder beland die niet verantwoordelijk is voor het systeem of de verwerking waarin de persoonsgegevens zijn opgenomen, zendt hij het verzoek door aan de Wbp-beheerder die dat wel is.

Voor alle verzoeken als bovenbedoeld geldt een wettelijke beantwoordingstermijn van 4 weken. Dit is een erg korte termijn en het verdient daarom aanbeveling de organisatie bij voorbaat zo in te richten dat die termijn kan worden nageleefd.

Artikel 3.3 Bezwaar

Aan een door de Wbp-beheerder dan wel de Wbp-onderbeheerder op grond van artikel 3.2, vijfde lid, genomen besluit wordt de bezwaarclausule toegevoegd, en wordt dit besluit aan de betrokkene toegezonden of uitgereikt. Betrokkene kan daartegen bezwaar aantekenen bij in theorie de Wbp-beheerder indien de Wbp-onderbeheerder het besluit als bedoeld in artikel 3.2, vijfde lid, heeft genomen, de minister indien de Wbp-beheerder het besluit als bedoeld in artikel 3.2, vijfde lid, heeft genomen. In de praktijk zal het bezwaar kunnen worden gezonden naar Juridische Dienstverlening van het Commando Diensten Centra dat in beginsel de voorbereiding van de beslissing op bezwaar ter hand neemt. Hiervoor geldt de gebruikelijke termijn van 6 weken. Na de bezwaarfase gelden de reguliere beroepsfasen uit de Algemene wet bestuursrecht.

Artikel 4 Beveiliging en beheer

In artikel 4 van de regeling is vastgelegd dat de te treffen technische en organisatorische maatregelen dienen te zorgen voor een passend niveau van beveiliging van persoonsgegevens tegen verlies en onrechtmatige verwerking. Een en ander betekent dat deze maatregelen in ieder geval dienen te voldoen aan het Besluit voorschrift informatiebeveiliging rijksdienst 2007, het Besluit voorschrift informatiebeveiliging rijksdienst – bijzondere informatie, welke voor Defensie overigens zijn doorvertaald in Defensie beveiligingsbeleid. Maar hiernaast kunnen ook besluiten inzake beveiliging van het college bescherming persoonsgegevens richtinggevend zijn.

Artikel 5 Audit

Er zijn afspraken gemaakt dat de Audit Dienst Defensie (ADD) een aantal zaken meeneemt in haar periodieke controlecyclus. Een van die zaken is de bescherming van persoonsgegevens. Omdat het niet de bedoeling is dat de functionaris voor de gegevensbescherming en de ADD zich richten op hetzelfde toezichtsobject, informeert de ADD de functionaris voor de gegevensbescherming over de uitkomsten van haar onderzoek. Ook kan het voorkomen dat de functionaris voor de gegevensbescherming de ADD verzoekt zich te richten op een specifiek aspect van de bescherming van persoonsgegevens binnen het departement, of op een specifiek dienstonderdeel.

Artikel 6 Aanwijzing

De Secretaris-Generaal kan op basis van dit artikel aanwijzingen geven over de vorm en de manier waarop beheerders uitvoering dienen te geven aan de bepalingen van deze regeling. Die aanwijzingen kunnen bijvoorbeeld betrekking hebben op de manier waarop zorg gedragen wordt voor de juistheid, nauwkeurigheid en accuraatheid van de persoonsgegevens.

Artikel 7.1 Overgangsregeling

In artikel 7.1 van deze regeling is bepaald dat alle verwerkingen van persoonsgegevens dienen te worden gemeld aan de functionaris voor de gegevensbescherming – vóórdat met de verwerking van persoonsgegevens is begonnen. Deze bepaling betreft dus vooral nieuwe verwerkingen die na de inwerkingtreding van deze regeling worden opgezet.

Wat de al bestaande verwerkingen betreft: deze dienen binnen 6 maanden na inwerkingtreding van de regeling bij de functionaris voor de gegevensbescherming te worden gemeld – voorzover dat al niet in het kader van het Project Wbp is gebeurd.

De functionaris voor de gegevensbescherming zorgt voor de intrekking van een melding van een al langer bestaande verwerking bij het College bescherming persoonsgegevens, maar niet eerder dan nadat die verwerking ook bij de functionaris voor de gegevensbescherming is aangemeld.

Artikel 7.2 en 7.3 Citeertitel en bekendmaking

De regeling is in principe bedoeld als een intern voorschrift, maar omdat de bepalingen zich ook uitstrekken tot de verwerkingen die bij bewerkers plaatsvinden, heeft deze deels externe werking. Om die reden is in plaatsing in de Staatscourant voorzien.

De Minister van Defensie,

E. van Middelkoop.

Naar boven