U bent nu hier: Publicaties Officiële publicaties
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
De Minister van Onderwijs, Cultuur en Wetenschap,
Gelet op artikel 64, derde lid, van de Wet bescherming persoonsgegevens;
Besluit:
In deze regeling wordt verstaan onder:
de Minister van Onderwijs, Cultuur en Wetenschap;
het Ministerie van Onderwijs, Cultuur en Wetenschap;
Onderwijs, Cultuur en Wetenschap;
Dienst Uitvoering Onderwijs;
deWet bescherming persoonsgegevens;
de bij het ministerie benoemde functionarissen voor de gegevensbescherming, bedoeld in artikel 62 van de wet;
de bij het ministerie, inclusief de daaronder ressorterende diensten en instellingen, met uitzondering van DUO, benoemde functionaris voor de gegevensbescherming;
de bij het ministerie, voor zover het betreft verwerkingen van persoonsgegevens door of ten behoeve van DUO, benoemde functionaris voor de gegevensbescherming.
1. Het toezicht van de functionarissen voor de gegevensbescherming strekt zich uit tot de verwerking van alle persoonsgegevens waarvoor de minister de verantwoordelijke is.
2. De functionarissen voor de gegevensbescherming kunnen onderling schriftelijke afspraken maken over vervanging van elkaars werkzaamheden.
3. Ook verwerkingen van persoonsgegevens die ten behoeve van de minister buiten het departement plaatsvinden door bewerkers, vallen onder het toezicht, bedoeld in het eerste lid.
4. Het bereik van het toezicht van de functionarissen voor de gegevensbescherming kan worden uitgebreid, indien een andere verantwoordelijke dan de minister daarom uitdrukkelijk verzoekt en de minister met dit verzoek instemt.
1. De functionarissen voor de gegevensbescherming zijn bevoegd, met medeneming van de benodigde apparatuur, elke plaats te betreden in de gebouwen en op de terreinen die bij het ministerie in gebruik zijn, waar persoonsgegevens worden verwerkt.
2. Zij zijn bevoegd daarbij personen mee te nemen die daartoe door hen zijn aangewezen.
De functionarissen voor de gegevensbescherming zijn bevoegd inlichtingen te vorderen van een ieder die onder het gezag van de minister werkzaam is alsmede van bewerkers.
1. De functionarissen voor de gegevensbescherming zijn bevoegd inzage te vorderen van zakelijke gegevens en bescheiden waarin persoonsgegevens zijn verwerkt.
2. Zij zijn bevoegd van de gegevens en bescheiden kopieën te maken.
3. Als het maken van kopieën niet ter plaatse kan geschieden, zijn zij bevoegd de gegevens en bescheiden voor dat doel voor korte tijd mee te nemen tegen een door hen af te geven schriftelijk bewijs.
1. De functionarissen voor de gegevensbescherming zijn bevoegd zaken te onderzoeken.
2. Zij zijn bevoegd daartoe verpakkingen te openen.
3. Als het onderzoek niet ter plaatse kan geschieden, zijn zij bevoegd de zaken voor dat doel voor korte tijd mee te nemen tegen een door hen af te geven schriftelijk bewijs.
4. De beheerder wordt zo spoedig mogelijk in kennis gesteld van de resultaten van het onderzoek.
De functionarissen voor de gegevensbescherming maken van de in de artikelen 3 tot en met 6 beschreven bevoegdheden alleen gebruik voor zover dat redelijkerwijs voor de uitoefening van hun taken nodig is.
1. Bij de uitoefening van hun bevoegdheden dragen de functionarissen voor de gegevensbescherming een legitimatiebewijs bij zich, dat is uitgegeven door de minister en dat een foto bevat van de functionaris voor de gegevensbescherming en in ieder geval diens naam en hoedanigheid vermeldt.
2. De functionarissen voor de gegevensbescherming tonen hun legitimatiebewijs desgevraagd aanstonds.
1. Eenieder die werkzaam is onder het gezag van de minister dan wel een bewerker is verplicht aan de functionarissen voor de gegevensbescherming binnen de door hen gestelde redelijke termijn alle medewerking te verlenen die deze redelijkerwijs kunnen vorderen bij de uitoefening van hun bevoegdheden.
2. De minister wijst op verzoek van de functionarissen voor de gegevensbescherming één of meer ambtenaren aan die in voorkomend geval ten behoeve van de functionarissen voor de gegevensbescherming systemen of bronnen van gegevens kunnen ontsluiten.
3. Het is aan de functionarissen voor de gegevensbescherming om te bepalen of systemen of bronnen van gegevens voor hun onderzoek relevante informatie kunnen bevatten.
Indien een functionaris voor de gegevensbescherming bij de uitoefening van zijn toezichttaak onregelmatigheden aantreft bij de verwerking van persoonsgegevens brengt hij aan de minister rechtstreeks verslag uit, nadat hij de betreffende beheerder over de aangetroffen onregelmatigheden heeft geïnformeerd. Hij kan dit verslag vergezeld doen gaan van een aanbeveling die strekt tot een betere bescherming van de gegevens die worden verwerkt.
De functionarissen voor de gegevensbescherming stellen ieder, jaarlijks vóór 1 april, een verslag op van hun werkzaamheden en bevindingen in het daaraan voorafgaande kalenderjaar. Zij sturen een kopie van hun verslag ter kennisneming aan de departementale ondernemingsraad (DOR), aan de ondernemingsraad van DUO en aan het College bescherming persoonsgegevens. Tevens bieden de functionarissen voor de gegevensbescherming, jaarlijks vóór 1 mei, een gezamenlijk verslag aan de minister aan.
De functionarissen voor de gegevensbescherming kunnen privacy-audits uit laten voeren ter ondersteuning van hun toezichttaak. Een privacy-audit is een beoordeling bij een organisatie of organisatie-onderdeel van een verwerking van persoonsgegevens of van een systeem of project dat als doel heeft persoonsgegevens te verwerken of te gaan verwerken, waarbij het accent ligt op de naleving van wettelijke eisen ter bescherming van persoonsgegevens.
De functionarissen voor de gegevensbescherming houden op grond van artikel 30 van de wet een register bij van de bij hen aangemelde gegevensverwerkingen. Het register kan door eenieder worden geraadpleegd via de websites van het ministerie en DUO. Verzoeken om inzage in het register worden door de verantwoordelijke functionaris voor de gegevensbescherming afgehandeld.
De functionarissen voor de gegevensbescherming kunnen rechtstreeks aanbevelingen doen aan de minister, die strekken tot een betere bescherming van de gegevens die worden verwerkt. In gevallen van twijfel overleggen zij met het College bescherming persoonsgegevens.
De functionarissen voor de gegevensbescherming alsmede de in voorkomend geval door hen ingeschakelde personen, bedoeld in artikel 3, tweede lid, zijn verplicht tot geheimhouding van hetgeen hen op grond van een klacht of een verzoek van betrokkene is bekend geworden, tenzij de betrokkene met bekendmaking instemt.
De Regeling taken en bevoegdheden functionaris gegevensbescherming OCW en de Regeling taken en bevoegdheden van de functionaris voor de gegevensbescherming Informatie Beheer Groep worden ingetrokken.
Deze regeling zal met de toelichting in de Staatscourant worden geplaatst.
De Minister van Onderwijs, Cultuur en Wetenschap,
J.M. van Bijsterveldt-Vliegenthart.
In deze regeling en de toelichting wordt, waar de functionaris gegevensbescherming wordt genoemd, over het algemeen de meervoudsvorm gebruikt. Dit betekent niet dat de functionarissen telkenmale gezamenlijk dienen op te treden bij de uitoefening van de onderhavige bevoegdheden.
Onderhavige regeling geeft uitvoering aan het derde lid van artikel 64 van de Wet bescherming persoonsgegevens (Wbp) en strekt ter vervanging van de Regeling taken en bevoegdheden functionaris gegevensbescherming OCW (Stcrt. 2004, 150) en de Regeling taken en bevoegdheden van de functionaris voor de gegevensbescherming Informatie Beheer Groep (Uitleg Gele Katern 2003, 15). Dit artikel verplicht een werkgever die een functionaris voor de gegevensbescherming heeft aangesteld, er zorg voor te dragen dat de functionaris ter vervulling van zijn taak over bevoegdheden beschikt die gelijkwaardig zijn aan de bevoegdheden zoals deze zijn vastgelegd in afdeling 5.2 van de Algemene wet bestuursrecht. Het zijn de algemene toezichtsbevoegdheden, zoals het vorderen van inlichtingen, het inzage mogen hebben en het mogen betreden van allerlei plaatsen.
De functionarissen voor de gegevensbescherming van het Ministerie van OCW zijn geen toezichthouders in de zin van artikel 5:11 van de Algemene wet bestuursrecht. Deze functionarissen zijn namelijk niet bij of krachtens een wettelijk voorschrift belast met het toezicht op de naleving van de Wbp, maar ‘zien toe op de verwerking van persoonsgegevens overeenkomstig het bij of krachtens de wet bepaalde’ binnen het ministerie op grond van een ambtelijke aanstelling.
Deze regeling is geen algemeen verbindend voorschrift, maar een interne regeling die tot doel heeft het toezicht van de functionarissen binnen het departement daadwerkelijk te kunnen effectueren.
De regeling richt zich dan ook in eerste instantie tot alle ambtenaren van OCW, en in tweede instantie tot anderen of derden die onder het gezag van de minister of op grond van een overeenkomst of een andere rechtshandeling persoonsgegevens ten behoeve van het ministerie verwerken en zich verplicht hebben de functionarissen voor de gegevensbescherming toezicht te laten uitoefenen.
Bij het Ministerie van OCW vinden talloze verwerkingen van persoonsgegevens plaats. Deze verwerkingen zijn gebaseerd op de uitvoering van publiekrechtelijke taken door of namens de minister, op het nakomen van wettelijke verplichtingen dan wel op de uitvoering van overeenkomsten. De minister is hiervoor de verantwoordelijke in de zin van de Wbp, omdat de minister het bestuursorgaan is dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerkingen vaststelt. Daarnaast vinden er bij het Ministerie van OCW nog andere verwerkingen van persoonsgegevens plaats waarvoor de minister niet de verantwoordelijke is in de zin van de Wbp. Het betreft bijvoorbeeld, de door de Minister van WWI aan de DG/DUO gemandateerde bevoegdheden op grond van de wet- en regelgeving op het terrein van de inburgering. Hieronder vallen onder meer verwerkingen ten behoeve van de financiering van inburgeraars en de organisatie van inburgeringsexamens.
De minister kan zijn verplichtingen en taken op grond van de Wbp mandateren aan een beheerder. De beheerder is de directeur generaal van de Dienst Uitvoering Onderwijs dan wel de directeur of het hoofd van een organisatieonderdeel aan wie krachtens de geldende organisatie- en mandaatregeling de taken en bevoegdheden zijn gemandateerd. De beheerder is dus hiërarchisch ondergeschikt aan de minister. De beheerder zal namens de minister vaak het beheer hebben over die verwerkingen van persoonsgegevens waarvoor hij/zij als directeur of hoofd van een organisatieonderdeel de verantwoordelijkheid draagt.
Daarnaast zijn bij OCW zogenaamde privacy officers aangesteld. Zij adviseren over de toepassing van privacywetgeving bij het uitvoeren van de taken van de desbetreffende organisatie-eenheid. De functionarissen voor de gegevensbescherming en de privacy officers informeren elkaar over ontwikkelingen en werkzaamheden ten behoeve van de goede uitoefening van hun functies. De functionarissen voor de gegevensbescherming overleggen elk op regelmatige basis, doch in ieder geval twee keer per jaar met de onder hun toezichtsgebied vallende privacy officers. Daarnaast overleggen de functionarissen voor de gegevensbescherming en de privacy officers van het gehele departement minimaal één maal per jaar.
Bovendien onderhouden de functionarissen contact met de landelijk toezichthouder, het College bescherming persoonsgegevens (Cbp) De functionarissen voor de gegevensbescherming van OCW zijn verantwoordelijk voor het onderhouden van contacten met het Cbp, en zijn voor het Cbp het eerste aanspreekpunt van het Ministerie van OCW.
De onderhavige regeling hangt samen met de oprichting per 1 januari 2010 van de Dienst Uitvoering onderwijs. Tot 1 januari jl. beschikte het Ministerie van Onderwijs, Cultuur en Wetenschap (OCW) over twee uitvoeringsorganisaties voor het onderwijs: Centrale Financiën Instellingen (CFI) en de Informatie Beheer Groep (IB-Groep). Beide organisaties hielden zich in overwegende mate bezig met het verwerken van gegevens van onderwijsinstellingen- en deelnemers. CFI en de IB-Groep hadden elk een eigen uitvoeringsproces, terwijl die twee processen in feite tot dezelfde keten behoorden. Gevolg hiervan was dat binnen de uitvoering van het onderwijs sprake was van versnippering van de informatiehuishouding; er vond meervoudige bevraging van onderwijsinstellingen en -deelnemers plaats, alsmede meervoudige registratie. Met het oog op de verbetering van doelmatigheid, dienstverlening en aansturing zijn deze organisaties samengevoegd en onder de ministeriële verantwoordelijkheid geplaatst. Daarbij is de status van zelfstandig bestuursorgaan (zbo) van de Informatie Beheer Groep komen te vervallen. De Wet verzelfstandiging Informatiseringsbank (WVI), waarin de zbo-status was verankerd, is daartoe ingetrokken.
Met de Wet van 15 oktober 2009 tot intrekking van de Wet verzelfstandiging Informatiseringsbank en wijziging van diverse wetten in verband met de oprichting van de Dienst Uitvoering Onderwijs (Stb. 2009, 492), is de Dienst Uitvoering Onderwijs (hierna: DUO) opgericht. Daarbij zijn de taken en bevoegdheden van de IB-Groep overgegaan naar de Minister van OCW. Deze heeft onder meer het beheer gekregen over het basisregister onderwijs, dat voordien bij de IB-Groep berustte. Daartoe zijn de bepalingen over het basisregister van de WVI overgeheveld naar de Wet op het onderwijstoezicht (WOT). Ook het voorschrift in de WVI dat de IB-Groep een functionaris voor de gegevensbescherming aanstelt, is overgeheveld naar de WOT, met dien verstande dat het thans de minister is die deze functionaris aanstelt (zie artikel 24g, tweede lid, WOT). Aan dit voorschrift is gevolg gegeven door de voormalige functionaris voor de gegevensbescherming van de IB-Groep aan te stellen als functionaris voor de gegevensbescherming DUO. Dit betekent in de eerste plaats een uitbreiding van het werkterrein van deze functionaris, omdat de functionaris voor de gegevensbescherming DUO tevens toezicht houdt op de verwerkingen van persoonsgegevens van CFI (zoals eerder aangegeven zijn CFI en de IB-Groep samen opgegaan in DUO). Voorheen werd het toezicht op deze verwerkingen van het agentschap CFI uitgeoefend door de FG van OCW. In de tweede plaats heeft de aanstelling van de functionaris voor de gegevensbescherming DUO tot gevolg dat er thans twee functionarissen voor de gegevensbescherming werkzaam zijn bij OCW waarvoor de minister de verantwoordelijke is in de zin van de Wbp. Het handhaven van twee functionarissen voor de gegevensbescherming is een logische keuze in het licht van de hierboven beschreven oprichting van DUO, mede gezien de geografische afstand tot het bestuursdepartement en gezien het belang van een goed beheer van het basisregister onderwijs.
De Minister van OCW is de verantwoordelijke in de zin van de Wbp voor de verwerkingen van persoonsgegevens van het bestuursdepartementen de onder het Ministerie van OCW ressorterende diensten en agentschappen, te weten: Dienst Uitvoering Onderwijs, Instituut Collectie Nederland, Nationaal Archief, Rijksdienst voor het Cultureel Erfgoed, de Inspecties (Inspectie van het onderwijs en de Erfgoedinspectie) en drie adviesraden (Adviesraad voor het Wetenschaps- en Technologiebeleid, de Onderwijsraad en de Raad voor Cultuur).
Om adequaat toezicht te kunnen houden dienen de functionarissen voor de gegevensbescherming toegang te hebben tot alle ruimten en plaatsen binnen het departement waar persoonsgegevens worden verwerkt. Betreden is geen doorzoeken in die zin dat kasten, laden etc. eigenstandig door de functionarissen voor de gegevensbescherming kunnen worden geopend. Dit laatste kan alleen met instemming van de betrokken medewerker van OCW of met instemming van de minister.
Soms zal het nodig zijn om bepaalde bestanden elders te kunnen laten onderzoeken of om bestanden te kopiëren, om die reden is de functionaris voor de gegevensbescherming bevoegd om apparatuur bij zich te hebben.
De bevoegdheid van de functionarissen voor de gegevensbescherming om zich te laten vergezellen door derden heeft met name betrekking op het meenemen van deskundigen, bijvoorbeeld ICT-deskundigen als het toezicht wordt uitgeoefend op elektronische bestanden of elektronische verwerkingen van persoonsgegevens. Deze deskundigen worden slechts meegenomen als de functionarissen voor de gegevensbescherming dit nodig achten voor een goede taakvervulling.
De functionarissen voor de gegevensbescherming hebben de bevoegdheid inlichtingen te vorderen. Alle medewerkers van OCW en anderen, die persoonsgegevens verwerken waarvoor de minister de verantwoordelijke is, hebben op grond van artikel 9 van de regeling een medewerkingsplicht. Het vorderen van inlichtingen gaat verder dan een mondeling of anderszins gedaan vrijblijvend verzoek om inlichtingen. Het evenredigheidsbeginsel brengt met zich mee dat deze bevoegdheid niet onder alle omstandigheden kan worden uitgeoefend.
Om te bewerkstelligen dat de functionarissen voor de gegevensbescherming ook toezicht zullen kunnen uitoefenen op verwerkingen van persoonsgegevens die door bewerkers worden verricht, zal te dien einde in de betreffende bewerkersovereenkomsten een bepaling worden opgenomen.
De bevoegdheid om inzage te vorderen van zakelijke gegevens en bescheiden is uiteraard beperkt tot die informatiedragers waarin persoonsgegevens worden verwerkt, ofwel die bij die verwerking een rol spelen. Een voorbeeld daarvan is de harde schijf van een computer die niet is aangesloten op het netwerk van OCW, maar waarop bepaalde persoonsgegevens worden verwerkt.
Het ‘meenemen’ waar het derde lid op doelt is niet een ‘inbeslagneming’, maar uitsluitend het voor een zo kort mogelijke tijd ter beschikking hebben om de gewenste kopieën te kunnen vervaardigen.
Het onderzoeken van zaken door de functionarissen voor de gegevensbescherming is met inachtneming van het evenredigheidsbeginsel alleen mogelijk indien dergelijke zaken verband houden met het verwerken van persoonsgegevens.
Het openen van verpakkingen door de functionarissen voor de gegevensbescherming is alleen mogelijk in het verlengde van een onderzoek van een zaak, als bedoeld in het eerste lid. Het is dus niet een op zichzelf staande bevoegdheid, maar een afgeleide van de bevoegdheid in het eerste lid. Het zorgvuldigheidsbeginsel brengt met zich mee dat de functionarissen voor de gegevensbescherming onmiddellijk nadat de uitkomst van een onderzoek bekend is, dit meedelen aan degenen bij wie de zaak berust. De beheerder is tenslotte degene, die in feite maatregelen zal moeten treffen als het onderzoek aantoont dat een of meerdere wettelijke verplichtingen niet of niet volledig worden nageleefd. Een en ander laat onverlet dat in juridische zin de minister de verantwoordelijke blijft voor de naleving van de Wbp.
Dit artikel bevat het ‘evenredigheidsbeginsel’, één van de algemene beginselen van behoorlijk bestuur. Dit beginsel impliceert onder meer dat het toezicht op naleving van de wettelijke voorschriften op de minst belastende manier moet worden uitgevoerd. Het toezicht zal in het algemeen slechts kunnen worden uitgeoefend op die personen die bij bepaalde verwerkingen van persoonsgegevens betrokken zijn, en op bescheiden of andere zaken met betrekking tot de verwerking van die persoonsgegevens.
Inherent aan het evenredigheidsbeginsel is het zorgvuldigheidsbeginsel: de functionarissen voor de gegevensbescherming dienen bij de uitoefening van zijn taak de reden mee te delen waarom zij van een of meerdere van hun bevoegdheden gebruik willen maken. Als vrijwillige medewerking aan het toezicht wordt verleend, is gebruikmaking van de toezichtbevoegdheden in de regel niet noodzakelijk.
De functionarissen voor de gegevensbescherming dienen zich te allen tijde te kunnen legitimeren als daarom wordt gevraagd. Dit speelt uiteraard met name als het toezicht wordt uitgeoefend op bijzondere gegevens of bestanden, waarvoor op grond van andere wettelijke regelingen of op grond van de risicoklasse van die gegevens een specifieke geheimhoudingsplicht geldt.
Om het toezicht daadwerkelijk te effectueren is de verplichting opgenomen om medewerking te kunnen vorderen. Deze verplichting strekt zich uiteraard niet verder uit dan tot eenieder die onder het gezag van de minister persoonsgegevens verwerkt, dan wel persoonsgegevens waarvoor de minister de verantwoordelijke is verwerkt op grond van een overeenkomst en op grond van die overeenkomst tot medewerking is verplicht.
De functionarissen voor de gegevensbescherming brengen hun bevindingen ten aanzien van geconstateerde onregelmatigheden uit aan de verantwoordelijke, nadat zij eerst de betreffende beheerder tijdig daaromtrent hebben geïnformeerd. Indien de functionarissen, na onderling overleg, tot een gelijkluidend standpunt zijn gekomen, zal de functionaris van het betreffende toezichtsgebied zijn bevindingen uitbrengen aan de verantwoordelijke. De aanbiedende functionaris zal zijn rapport van bevindingen doen vergezellen van de zienswijze van de beheerder. Indien de standpunten van de functionarissen niet met elkaar overeenkomen, zal de aanbiedende functionaris zijn rapport van bevindingen tevens doen vergezellen van het standpunt van de andere functionaris.
Dit is het verslag, bedoeld in artikel 63, vijfde lid, van de Wbp. De functionarissen brengen ieder een jaarverslag uit aan resp. de Secretaris-generaal van OCW en de Directeur-generaal van DUO met wie zij hun verslag voorbespreken. Vervolgens wordt het verslag besproken in de desbetreffende Management Teams (MT’s). Hierna stellen de functionarissen een gezamenlijk verslag op, met de reactie (afspraken etc.) van de MT's eraan toegevoegd. Het gezamenlijke verslag inclusief besluitenlijst wordt vervolgens vóór 1 mei aangeboden aan de Minister van OCW.
Omdat de functionarissen voor de gegevensbescherming tevens toezicht houden op de verwerkingen van gegevens van het interne personeel is toezending van het verslag aan de betreffende Ondernemingsraad wenselijk. Hoewel verzending aan het Cbp niet verplicht is, wordt toezending door het Cbp op prijs gesteld om aldus op de hoogte te blijven van de ontwikkelingen op het gebied van de Wbp bij het ministerie.
De functionarissen voor de gegevensbescherming maken gebruik van de diensten van de interne accountantsdienst dan wel waar nodig van externe auditors. Hiermee wordt het voor de FG’s mogelijk een onafhankelijk oordeel te vellen over de kwaliteit van de persoonsgegevensverwerkingen.
Door middel van het register hebben de functionarissen voor de gegevensbescherming inzicht in de persoonsgegevensverwerkingen die plaatsvinden binnen het ministerie. Tevens vormt het register een middel om te voldoen aan de informatieplicht, bedoeld in de artikelen 33 en 34 Wbp.
De Minister van Onderwijs, Cultuur en Wetenschap,
J.M. van Bijsterveldt-Vliegenthart.
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/stcrt-2010-17465.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.
Authentieke versie (PDF)
Informatie
Gerelateerd
Printen
Delen