Regeling van de Minister van Onderwijs, Cultuur en Wetenschap van 7 oktober 2010, nr. 233714, houdende de toedeling van toezichtsbevoegdheden aan de functionarissen voor de gegevensbescherming van het Ministerie van Onderwijs, Cultuur en Wetenschap (Regeling toezichtsbevoegdheden functionarissen voor de gegevensbescherming OCW)

TOELICHTING

N.B.

In deze regeling en de toelichting wordt, waar de functionaris gegevensbescherming wordt genoemd, over het algemeen de meervoudsvorm gebruikt. Dit betekent niet dat de functionarissen telkenmale gezamenlijk dienen op te treden bij de uitoefening van de onderhavige bevoegdheden.

Algemeen

Onderhavige regeling geeft uitvoering aan het derde lid van artikel 64 van de Wet bescherming persoonsgegevens (Wbp) en strekt ter vervanging van de Regeling taken en bevoegdheden functionaris gegevensbescherming OCW (Stcrt. 2004, 150) en de Regeling taken en bevoegdheden van de functionaris voor de gegevensbescherming Informatie Beheer Groep (Uitleg Gele Katern 2003, 15). Dit artikel verplicht een werkgever die een functionaris voor de gegevensbescherming heeft aangesteld, er zorg voor te dragen dat de functionaris ter vervulling van zijn taak over bevoegdheden beschikt die gelijkwaardig zijn aan de bevoegdheden zoals deze zijn vastgelegd in afdeling 5.2 van de Algemene wet bestuursrecht. Het zijn de algemene toezichtsbevoegdheden, zoals het vorderen van inlichtingen, het inzage mogen hebben en het mogen betreden van allerlei plaatsen.

De functionarissen voor de gegevensbescherming van het Ministerie van OCW zijn geen toezichthouders in de zin van artikel 5:11 van de Algemene wet bestuursrecht. Deze functionarissen zijn namelijk niet bij of krachtens een wettelijk voorschrift belast met het toezicht op de naleving van de Wbp, maar ‘zien toe op de verwerking van persoonsgegevens overeenkomstig het bij of krachtens de wet bepaalde’ binnen het ministerie op grond van een ambtelijke aanstelling.

Deze regeling is geen algemeen verbindend voorschrift, maar een interne regeling die tot doel heeft het toezicht van de functionarissen binnen het departement daadwerkelijk te kunnen effectueren.

De regeling richt zich dan ook in eerste instantie tot alle ambtenaren van OCW, en in tweede instantie tot anderen of derden die onder het gezag van de minister of op grond van een overeenkomst of een andere rechtshandeling persoonsgegevens ten behoeve van het ministerie verwerken en zich verplicht hebben de functionarissen voor de gegevensbescherming toezicht te laten uitoefenen.

Bij het Ministerie van OCW vinden talloze verwerkingen van persoonsgegevens plaats. Deze verwerkingen zijn gebaseerd op de uitvoering van publiekrechtelijke taken door of namens de minister, op het nakomen van wettelijke verplichtingen dan wel op de uitvoering van overeenkomsten. De minister is hiervoor de verantwoordelijke in de zin van de Wbp, omdat de minister het bestuursorgaan is dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerkingen vaststelt. Daarnaast vinden er bij het Ministerie van OCW nog andere verwerkingen van persoonsgegevens plaats waarvoor de minister niet de verantwoordelijke is in de zin van de Wbp. Het betreft bijvoorbeeld, de door de Minister van WWI aan de DG/DUO gemandateerde bevoegdheden op grond van de wet- en regelgeving op het terrein van de inburgering. Hieronder vallen onder meer verwerkingen ten behoeve van de financiering van inburgeraars en de organisatie van inburgeringsexamens.

De minister kan zijn verplichtingen en taken op grond van de Wbp mandateren aan een beheerder. De beheerder is de directeur generaal van de Dienst Uitvoering Onderwijs dan wel de directeur of het hoofd van een organisatieonderdeel aan wie krachtens de geldende organisatie- en mandaatregeling de taken en bevoegdheden zijn gemandateerd. De beheerder is dus hiërarchisch ondergeschikt aan de minister. De beheerder zal namens de minister vaak het beheer hebben over die verwerkingen van persoonsgegevens waarvoor hij/zij als directeur of hoofd van een organisatieonderdeel de verantwoordelijkheid draagt.

Daarnaast zijn bij OCW zogenaamde privacy officers aangesteld. Zij adviseren over de toepassing van privacywetgeving bij het uitvoeren van de taken van de desbetreffende organisatie-eenheid. De functionarissen voor de gegevensbescherming en de privacy officers informeren elkaar over ontwikkelingen en werkzaamheden ten behoeve van de goede uitoefening van hun functies. De functionarissen voor de gegevensbescherming overleggen elk op regelmatige basis, doch in ieder geval twee keer per jaar met de onder hun toezichtsgebied vallende privacy officers. Daarnaast overleggen de functionarissen voor de gegevensbescherming en de privacy officers van het gehele departement minimaal één maal per jaar.

Bovendien onderhouden de functionarissen contact met de landelijk toezichthouder, het College bescherming persoonsgegevens (Cbp) De functionarissen voor de gegevensbescherming van OCW zijn verantwoordelijk voor het onderhouden van contacten met het Cbp, en zijn voor het Cbp het eerste aanspreekpunt van het Ministerie van OCW.

De onderhavige regeling hangt samen met de oprichting per 1 januari 2010 van de Dienst Uitvoering onderwijs. Tot 1 januari jl. beschikte het Ministerie van Onderwijs, Cultuur en Wetenschap (OCW) over twee uitvoeringsorganisaties voor het onderwijs: Centrale Financiën Instellingen (CFI) en de Informatie Beheer Groep (IB-Groep). Beide organisaties hielden zich in overwegende mate bezig met het verwerken van gegevens van onderwijsinstellingen- en deelnemers. CFI en de IB-Groep hadden elk een eigen uitvoeringsproces, terwijl die twee processen in feite tot dezelfde keten behoorden. Gevolg hiervan was dat binnen de uitvoering van het onderwijs sprake was van versnippering van de informatiehuishouding; er vond meervoudige bevraging van onderwijsinstellingen en -deelnemers plaats, alsmede meervoudige registratie. Met het oog op de verbetering van doelmatigheid, dienstverlening en aansturing zijn deze organisaties samengevoegd en onder de ministeriële verantwoordelijkheid geplaatst. Daarbij is de status van zelfstandig bestuursorgaan (zbo) van de Informatie Beheer Groep komen te vervallen. De Wet verzelfstandiging Informatiseringsbank (WVI), waarin de zbo-status was verankerd, is daartoe ingetrokken.

Met de Wet van 15 oktober 2009 tot intrekking van de Wet verzelfstandiging Informatiseringsbank en wijziging van diverse wetten in verband met de oprichting van de Dienst Uitvoering Onderwijs (Stb. 2009, 492), is de Dienst Uitvoering Onderwijs (hierna: DUO) opgericht. Daarbij zijn de taken en bevoegdheden van de IB-Groep overgegaan naar de Minister van OCW. Deze heeft onder meer het beheer gekregen over het basisregister onderwijs, dat voordien bij de IB-Groep berustte. Daartoe zijn de bepalingen over het basisregister van de WVI overgeheveld naar de Wet op het onderwijstoezicht (WOT). Ook het voorschrift in de WVI dat de IB-Groep een functionaris voor de gegevensbescherming aanstelt, is overgeheveld naar de WOT, met dien verstande dat het thans de minister is die deze functionaris aanstelt (zie artikel 24g, tweede lid, WOT). Aan dit voorschrift is gevolg gegeven door de voormalige functionaris voor de gegevensbescherming van de IB-Groep aan te stellen als functionaris voor de gegevensbescherming DUO. Dit betekent in de eerste plaats een uitbreiding van het werkterrein van deze functionaris, omdat de functionaris voor de gegevensbescherming DUO tevens toezicht houdt op de verwerkingen van persoonsgegevens van CFI (zoals eerder aangegeven zijn CFI en de IB-Groep samen opgegaan in DUO). Voorheen werd het toezicht op deze verwerkingen van het agentschap CFI uitgeoefend door de FG van OCW. In de tweede plaats heeft de aanstelling van de functionaris voor de gegevensbescherming DUO tot gevolg dat er thans twee functionarissen voor de gegevensbescherming werkzaam zijn bij OCW waarvoor de minister de verantwoordelijke is in de zin van de Wbp. Het handhaven van twee functionarissen voor de gegevensbescherming is een logische keuze in het licht van de hierboven beschreven oprichting van DUO, mede gezien de geografische afstand tot het bestuursdepartement en gezien het belang van een goed beheer van het basisregister onderwijs.

Artikelsgewijs

Artikel 2

De Minister van OCW is de verantwoordelijke in de zin van de Wbp voor de verwerkingen van persoonsgegevens van het bestuursdepartementen de onder het Ministerie van OCW ressorterende diensten en agentschappen, te weten: Dienst Uitvoering Onderwijs, Instituut Collectie Nederland, Nationaal Archief, Rijksdienst voor het Cultureel Erfgoed, de Inspecties (Inspectie van het onderwijs en de Erfgoedinspectie) en drie adviesraden (Adviesraad voor het Wetenschaps- en Technologiebeleid, de Onderwijsraad en de Raad voor Cultuur).

Artikel 3

Om adequaat toezicht te kunnen houden dienen de functionarissen voor de gegevensbescherming toegang te hebben tot alle ruimten en plaatsen binnen het departement waar persoonsgegevens worden verwerkt. Betreden is geen doorzoeken in die zin dat kasten, laden etc. eigenstandig door de functionarissen voor de gegevensbescherming kunnen worden geopend. Dit laatste kan alleen met instemming van de betrokken medewerker van OCW of met instemming van de minister.

Soms zal het nodig zijn om bepaalde bestanden elders te kunnen laten onderzoeken of om bestanden te kopiëren, om die reden is de functionaris voor de gegevensbescherming bevoegd om apparatuur bij zich te hebben.

De bevoegdheid van de functionarissen voor de gegevensbescherming om zich te laten vergezellen door derden heeft met name betrekking op het meenemen van deskundigen, bijvoorbeeld ICT-deskundigen als het toezicht wordt uitgeoefend op elektronische bestanden of elektronische verwerkingen van persoonsgegevens. Deze deskundigen worden slechts meegenomen als de functionarissen voor de gegevensbescherming dit nodig achten voor een goede taakvervulling.

Artikel 4

De functionarissen voor de gegevensbescherming hebben de bevoegdheid inlichtingen te vorderen. Alle medewerkers van OCW en anderen, die persoonsgegevens verwerken waarvoor de minister de verantwoordelijke is, hebben op grond van artikel 9 van de regeling een medewerkingsplicht. Het vorderen van inlichtingen gaat verder dan een mondeling of anderszins gedaan vrijblijvend verzoek om inlichtingen. Het evenredigheidsbeginsel brengt met zich mee dat deze bevoegdheid niet onder alle omstandigheden kan worden uitgeoefend.

Om te bewerkstelligen dat de functionarissen voor de gegevensbescherming ook toezicht zullen kunnen uitoefenen op verwerkingen van persoonsgegevens die door bewerkers worden verricht, zal te dien einde in de betreffende bewerkersovereenkomsten een bepaling worden opgenomen.

Artikel 5

De bevoegdheid om inzage te vorderen van zakelijke gegevens en bescheiden is uiteraard beperkt tot die informatiedragers waarin persoonsgegevens worden verwerkt, ofwel die bij die verwerking een rol spelen. Een voorbeeld daarvan is de harde schijf van een computer die niet is aangesloten op het netwerk van OCW, maar waarop bepaalde persoonsgegevens worden verwerkt.

Het ‘meenemen’ waar het derde lid op doelt is niet een ‘inbeslagneming’, maar uitsluitend het voor een zo kort mogelijke tijd ter beschikking hebben om de gewenste kopieën te kunnen vervaardigen.

Artikel 6

Het onderzoeken van zaken door de functionarissen voor de gegevensbescherming is met inachtneming van het evenredigheidsbeginsel alleen mogelijk indien dergelijke zaken verband houden met het verwerken van persoonsgegevens.

Het openen van verpakkingen door de functionarissen voor de gegevensbescherming is alleen mogelijk in het verlengde van een onderzoek van een zaak, als bedoeld in het eerste lid. Het is dus niet een op zichzelf staande bevoegdheid, maar een afgeleide van de bevoegdheid in het eerste lid. Het zorgvuldigheidsbeginsel brengt met zich mee dat de functionarissen voor de gegevensbescherming onmiddellijk nadat de uitkomst van een onderzoek bekend is, dit meedelen aan degenen bij wie de zaak berust. De beheerder is tenslotte degene, die in feite maatregelen zal moeten treffen als het onderzoek aantoont dat een of meerdere wettelijke verplichtingen niet of niet volledig worden nageleefd. Een en ander laat onverlet dat in juridische zin de minister de verantwoordelijke blijft voor de naleving van de Wbp.

Artikel 7

Dit artikel bevat het ‘evenredigheidsbeginsel’, één van de algemene beginselen van behoorlijk bestuur. Dit beginsel impliceert onder meer dat het toezicht op naleving van de wettelijke voorschriften op de minst belastende manier moet worden uitgevoerd. Het toezicht zal in het algemeen slechts kunnen worden uitgeoefend op die personen die bij bepaalde verwerkingen van persoonsgegevens betrokken zijn, en op bescheiden of andere zaken met betrekking tot de verwerking van die persoonsgegevens.

Inherent aan het evenredigheidsbeginsel is het zorgvuldigheidsbeginsel: de functionarissen voor de gegevensbescherming dienen bij de uitoefening van zijn taak de reden mee te delen waarom zij van een of meerdere van hun bevoegdheden gebruik willen maken. Als vrijwillige medewerking aan het toezicht wordt verleend, is gebruikmaking van de toezichtbevoegdheden in de regel niet noodzakelijk.

Artikel 8

De functionarissen voor de gegevensbescherming dienen zich te allen tijde te kunnen legitimeren als daarom wordt gevraagd. Dit speelt uiteraard met name als het toezicht wordt uitgeoefend op bijzondere gegevens of bestanden, waarvoor op grond van andere wettelijke regelingen of op grond van de risicoklasse van die gegevens een specifieke geheimhoudingsplicht geldt.

Artikel 9

Om het toezicht daadwerkelijk te effectueren is de verplichting opgenomen om medewerking te kunnen vorderen. Deze verplichting strekt zich uiteraard niet verder uit dan tot eenieder die onder het gezag van de minister persoonsgegevens verwerkt, dan wel persoonsgegevens waarvoor de minister de verantwoordelijke is verwerkt op grond van een overeenkomst en op grond van die overeenkomst tot medewerking is verplicht.

Artikel 10

De functionarissen voor de gegevensbescherming brengen hun bevindingen ten aanzien van geconstateerde onregelmatigheden uit aan de verantwoordelijke, nadat zij eerst de betreffende beheerder tijdig daaromtrent hebben geïnformeerd. Indien de functionarissen, na onderling overleg, tot een gelijkluidend standpunt zijn gekomen, zal de functionaris van het betreffende toezichtsgebied zijn bevindingen uitbrengen aan de verantwoordelijke. De aanbiedende functionaris zal zijn rapport van bevindingen doen vergezellen van de zienswijze van de beheerder. Indien de standpunten van de functionarissen niet met elkaar overeenkomen, zal de aanbiedende functionaris zijn rapport van bevindingen tevens doen vergezellen van het standpunt van de andere functionaris.

Artikel 11

Dit is het verslag, bedoeld in artikel 63, vijfde lid, van de Wbp. De functionarissen brengen ieder een jaarverslag uit aan resp. de Secretaris-generaal van OCW en de Directeur-generaal van DUO met wie zij hun verslag voorbespreken. Vervolgens wordt het verslag besproken in de desbetreffende Management Teams (MT’s). Hierna stellen de functionarissen een gezamenlijk verslag op, met de reactie (afspraken etc.) van de MT's eraan toegevoegd. Het gezamenlijke verslag inclusief besluitenlijst wordt vervolgens vóór 1 mei aangeboden aan de Minister van OCW.

Omdat de functionarissen voor de gegevensbescherming tevens toezicht houden op de verwerkingen van gegevens van het interne personeel is toezending van het verslag aan de betreffende Ondernemingsraad wenselijk. Hoewel verzending aan het Cbp niet verplicht is, wordt toezending door het Cbp op prijs gesteld om aldus op de hoogte te blijven van de ontwikkelingen op het gebied van de Wbp bij het ministerie.

Artikel 12

De functionarissen voor de gegevensbescherming maken gebruik van de diensten van de interne accountantsdienst dan wel waar nodig van externe auditors. Hiermee wordt het voor de FG’s mogelijk een onafhankelijk oordeel te vellen over de kwaliteit van de persoonsgegevensverwerkingen.

Artikel 13

Door middel van het register hebben de functionarissen voor de gegevensbescherming inzicht in de persoonsgegevensverwerkingen die plaatsvinden binnen het ministerie. Tevens vormt het register een middel om te voldoen aan de informatieplicht, bedoeld in de artikelen 33 en 34 Wbp.