Regeling voor de verwerking van persoonsgegevens ten behoeve van onderzoek door de Algemene Rekenkamer

Juni 2011

De Algemene Rekenkamer,

Gelet op de wet van 6 juli 2000;

Besluit voor de persoonsgegevens die de Algemene Rekenkamer ten behoeve van haar onderzoek verwerkt, de volgende bepalingen vast te stellen:

Artikel 1

In dit besluit wordt verstaan onder:

a. persoonsgegeven:

elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

b. de wet:

de Wet bescherming persoonsgegevens;

c. verwerking van persoonsgegevens:

elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, zoals bedoeld in artikel 1, onder b, van de wet;

d. verantwoordelijke:

degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Voor de Algemene Rekenkamer is dat het college;

e. betrokkene:

degene op wie een persoonsgegeven betrekking heeft;

f. onderzoeker:

degene die is belast met de leiding en/of uitvoering van het onderzoek waarvoor een of meer persoonsgegevens zijn of worden verwerkt;

g. functionaris voor de gegevensbescherming (FG):

de functionaris voor de gegevensbescherming als bedoeld in artikel 62 van de wet;

h. derde:

degene die niet is de betrokkene, verantwoordelijke, bewerker, of enig ander persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken.

Artikel 2

Er is een functionaris voor de gegevensbescherming in de zin van artikel 62 van de wet.

Artikel 3

  • 1. Een onderzoeker meldt iedere verwerking van persoonsgegevens die hij ten behoeve van een onderzoek uitvoert aan de FG.

  • 2. Voor de melding wordt gebruik gemaakt van het formulier dat als bijlage 1 bij dit reglement is gevoegd. Een kopie van het formulier blijft achter in het onderzoeksdossier.

Artikel 4

  • 1. Persoonsgegevens worden slechts verwerkt ten behoeve van onderzoek dat de Algemene Rekenkamer verricht op grond van haar wettelijke taken en bevoegdheden. Zij mogen niet verder worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.

  • 2. In afwijking van het eerste lid wordt verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden niet als onverenigbaar beschouwd, indien de nodige voorzieningen zijn getroffen om te verzekeren dat de verdere verwerking alleen geschiedt ten behoeve van deze specifieke doeleinden.

Artikel 5

  • 1. De onderzoekers die in het kader van het door hen uit te voeren onderzoek kennis nemen van persoonsgegevens, treffen passende maatregelen om de verkregen persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Dit betekent dat de onderzoeker zorg draagt voor:

    • a. de opzet en instandhouding van de verwerking van persoonsgegevens;

    • b. de invoer, wijziging en verwijdering van de persoonsgegevens;

    • c. de juistheid en volledigheid en de toegang tot de verwerking van persoonsgegevens;

    • d. de bewaring en archivering van de verwerking van persoonsgegevens.

  • 2. Bij de instelling waarvan de persoonsgegevens worden betrokken – de bron – wordt nagegaan welke beschermingsmaatregelen en voorschriften daar van toepassing zijn. Als voor bepaalde veiligheidsaspecten bij de bron waarvan de persoonsgegevens worden betrokken zwaardere beschermingsmaatregelen worden gehanteerd dan de hier beschreven maatregelen, dan worden die zwaardere maatregelen ook door de Algemene Rekenkamer gehanteerd.

Artikel 6

  • 1. Tot de verwerking van persoonsgegevens hebben uitsluitend toegang de onderzoeker, de directeur van de onderzoeksdirectie waarbinnen het onderzoek wordt uitgevoerd en het college van de Algemene Rekenkamer.

  • 2. De onderzoeker, de in het eerste lid genoemde directeur en het college zijn bevoegd tot het zelfstandig raadplegen en reproduceren van de in de verwerking opgenomen persoonsgegevens, voorzover dit noodzakelijk is in het kader van het onderzoek.

Artikel 7

  • 1. Persoonsgegevens worden niet langer verwerkt dan noodzakelijk is voor de uitvoering van de onderzoekstaak van de Algemene Rekenkamer.

    Dit houdt in dat:

    • a. persoonsgegevens in de loop van het onderzoek worden vernietigd als vaststaat dat de gegevens niet meer noodzakelijk zijn bij het verdere verloop en de afwikkeling van het onderzoek, zoals bij besluitvorming over de rapportering of bij behandeling van vragen uit de Tweede Kamer;

    • b. persoonsgegevens die nog geraadpleegd moeten kunnen worden bij de beantwoording van vragen uit de Tweede Kamer, direct na die behandeling worden vernietigd;

    • c. Persoonsgegevens, waarvan vaststaat dat zij gebruikt zullen worden in een gepland selectief evaluerend vervolgonderzoek, in de loop van dat vervolgonderzoek of na beantwoording van Kamervragen naar aanleiding van dat vervolgonderzoek worden vernietigd.

  • 2. De onderzoeker meldt de vernietiging van de persoonsgegevens en de manier waarop dat is gebeurd aan de FG en aan het hoofd van de afdeling IDC van de directie Bedrijfsvoering. De onderzoeker vermeldt de datum van vernietiging van de gegevens tevens op het formulier als bedoeld in artikel 3.2.

Artikel 8

De persoonsgegevens kunnen in bewaring worden gegeven bij de instelling waarvan de gegevens zijn verkregen of bij een derde.

Artikel 9

  • 1. De verwerking van persoonsgegevens kan gegevens bevatten die voorkomen in één of meer verwerkingen van de Rijksoverheid, van instellingen bedoeld in artikel 91 van de Comptabiliteitswet 2001 en gegevens die de Algemene Rekenkamer uit andere bronnen heeft verkregen of afgeleid.

  • 2. De Algemene Rekenkamer verkrijgt de gegevens op een door haar aan te geven wijze.

  • 3. Ten behoeve van onderzoek kunnen de gegevens uit verschillende verwerkingen van persoonsgegevens met elkaar in verband worden gebracht of samengevoegd.

Artikel 10

  • 1. De persoonsgegevens worden niet verstrekt aan anderen dan aan de instellingen bedoeld in artikel 91 van de Comptabiliteitswet 2001 waarvan de gegevens zijn verkregen. De Algemene Rekenkamer verstrekt alleen persoonsgegevens aan laatst bedoelde instellingen indien zij dit ter vervulling van haar taak nodig oordeelt.

  • 2. De publikaties van de Algemene Rekenkamer zijn zodanig ingericht dat geen tot individuele natuurlijke personen herleidbare informatie wordt gegeven, tenzij zij dit ter vervulling van haar taak nodig oordeelt.

Artikel 11

Ieder die is ingeschakeld bij de verkrijging en verwerking van de gegevens en ieder die toegang heeft tot de verwerking van persoonsgegevens is tot geheimhouding verplicht conform de bepalingen in artikel 125a, derde lid van de Ambtenarenwet.

Artikel 12

Op grond van artikel 43, sub d, van de wet kan de Algemene Rekenkamer de artikelen 9, eerste lid, 30, derde lid, 33, 34 en 35 van de wet buiten toepassing laten.

Artikel 13

Dit besluit kan worden aangehaald als 'Regeling bescherming persoonsgegevens ten behoeve van onderzoek door de Algemene Rekenkamer'.

Artikel 14

  • 1. Dit besluit wordt bekend gemaakt in de Staatscourant.

  • 2. Dit besluit is voor een ieder in te zien via www.rekenkamer.nl.

  • 3. Een afschrift van het besluit wordt verzonden naar het College bescherming persoonsgegevens.

Aldus vastgesteld per portefeuillegang in oktober 2009.

S.J. Stuiveling,

president.

E.M.A. van Schoten,

secretaris.

TOELICHTING

Algemeen

De Wet bescherming persoonsgegevens (Wbp) is de opvolger van de Wet Persoonsregistraties (Wpr). Centraal in deze wet staat het verwerken van persoonsgegevens. Uit de definitie van de wet (overgenomen in artikel 1 van de Regeling) blijkt dat er al snel sprake is van een verwerking van persoonsgegevens. Een persoonsgegeven is elke handeling of geheel van handelingen betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Een verwerking van persoonsgegevens wordt vervolgens gedefinieerd als ‘elke handeling of geheel van handelingen met betrekking tot persoonsgegevens’.

In tegenstelling tot de Wpr gaat de Wbp uit van een systeem van meldingen van verwerkingen van persoonsgegevens bij de functionaris voor de gegevensbescherming (FG), of, indien deze er niet is, bij het College bescherming persoonsgegevens.

De Algemene Rekenkamer verwerkt bij de uitvoering van haar onderzoekstaak met enige regelmaat persoonsgegevens. Deze Regeling geeft algemene uitgangspunten ten aanzien van deze verwerkingen.

Artikelsgewijs

artikel 1

Omdat de Regeling gebaseerd is op de Wbp, zijn de daarin opgenomen begrippen zoveel mogelijk gehandhaafd. Het begrip ‘onderzoeker’ is toegevoegd, omdat dit in de organisatie van de Algemene Rekenkamer van belang is. Onder ‘onderzoeker’ moet ook ‘projectleider’ en ‘(plv.) directeur’ worden verstaan.

Met het uitvoeren van een (deel van) een onderzoek kunnen ook externe partijen worden belast. De door de Algemene Rekenkamer ingehuurde externe deskundigen vallen ook onder het bij f bedoelde begrip ’onderzoeker’. In voorkomende gevallen zal contractueel worden vastgelegd dat deze externe partijen de bepalingen in deze regeling dienen na te leven. Daartoe is een protocol privacybescherming opgesteld, dat in dergelijke gevallen als bijlage bij het standaardcontract voor de inhuur van diensten moet worden gevoegd. Dit protocol is als bijlage 2 bij deze regeling opgenomen.

Tot slot vergt het begrip ‘derde’ in artikel 1 onder h enige toelichting: hiermee worden gecontroleerden of andere instanties bedoeld die persoonsgegevens onder zich houden of in bewaring nemen ten behoeve van het onderzoek van de Algemene Rekenkamer. Dit is in het verleden bijvoorbeeld voorgekomen bij het onderzoek ‘Beloningen en ontslagregelingen bij de rechterlijke macht’ uit 2007.

artikel 2

In dit artikel is met zoveel woorden bepaald dat binnen de Algemene Rekenkamer een functionaris voor de gegevensbescherming in de zin van artikel 62 van de Wbp is benoemd.

artikel 3

Alle persoonsgegevens die de Algemene Rekenkamer ten behoeve van haar onderzoek verwerkt moeten worden gemeld bij de FG, die daar een register van bijhoudt. Voor de melding kan gebruik gemaakt worden van het als bijlage 1 bij deze regeling opgenomen formulier; een kopie van de melding wordt bewaard in het onderzoeksdossier.

artikel 4

In dit artikel is één van de uitgangspunten van de Wbp nogmaals opgenomen, nl. dat persoonsgegevens niet (verder) mogen worden verwerkt voor een ander doel dan waarvoor zij zijn verkregen.

Voor een nuancering op dit artikel wordt overigens verwezen naar artikel 12 van de regeling en de toelichting daarop.

artikelen 5 tot en met 8

Deze artikelen zien met name op een aantal praktische aspecten rondom de omgang met persoonsgegevens, zoals het treffen van beveiligingsmaatregelen (artikel 5), de vraag wie er toegang heeft tot de gegevens (artikel 6), de termijn waarbinnen persoonsgegevens worden verwerkt (artikel 7) en het in bewaring geven van gegevens bij derden (artikel 8). In het laatste geval worden passende afspraken gemaakt over de te waarborgen zorgvuldigheid bij die bewaring, die vastgelegd worden in het protocol dat in de toelichting op artikel 1 is genoemd.

artikel 9

In dit artikel is de herkomst en de aard van de persoonsgegevens geregeld.

De Algemene Rekenkamer verkrijgt haar gegevens in het algemeen van de instellingen die zij op grond van haar wettelijke taken onderzoekt. Artikel 87 van de Comptabiliteitswet 2001 bepaalt in dat verband dat de Algemene Rekenkamer onbeperkte toegang heeft tot alle gegevens die zij in het kader van haar onderzoek nodig heeft.

De Algemene Rekenkamer kan die gegevens op grond van artikel 87 verkrijgen op een door haar aan te geven wijze (bijvoorbeeld door middel van het zelfstandig overzetten van gegevens uit geautomatiseerde bestanden naar een eigen bestand).

Deze toegang maakt het overigens mogelijk persoonsgegevens van verschillende instanties met elkaar in verband te brengen of samen te voegen. De gegevens kunnen worden vastgelegd in een nieuwe verwerking van persoonsgegevens. Zie hierover ook de toelichting bij artikel 11.

artikel 10

De Algemene Rekenkamer verstrekt geen persoonsgegevens aan derden. Het kan echter voorkomen dat de Algemene Rekenkamer, bijvoorbeeld als onderbouwing bij haar onderzoeksbevindingen, persoonsgegevens verstrekt aan de instelling waarvan de gegevens zijn verkregen. De overdracht van deze gegevens zal met extra zorg zijn omgegeven om te verhinderen dat onbevoegden zich toegang tot deze gegevens verschaffen.

Indien onderzoeksbevindingen worden gepubliceerd zullen de gegevens niet herleidbaar zijn tot individuele natuurlijke personen. Van deze regel wordt afgeweken als de Algemene Rekenkamer dat voor de vervulling van haar taak nodig acht. Ambtelijke functies van de verantwoordelijken voor gevoerd beleid kunnen zo nodig wel in de publikaties worden opgenomen.

artikel 11

De geheimhoudingsplicht die hier wordt opgelegd sluit aan bij de wettelijke regeling in artikel 125a lid 3 van de Ambtenarenwet.

artikel 12

Artikel 43 sub d van de Wbp bepaalt dat de verantwoordelijke (voor de Algmene Rekenkamer is dat het college) de artikelen 9, eerste lid, 30, derde lid, 33, 34 en 35 van de Wbp buiten toepassing kan laten voorzover dat noodzakelijk is in het belang van ‘het toezicht op de naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de veiligheid van de staat of van gewichtige economische en /of financiële belangen van de staat’. Hoewel dit artikel, in tegenstelling tot het vergelijkbare artikel uit de Wpr, niet meer over ‘inspectie, controle of toezicht’ spreekt (maar alleen nog over toezicht), blijkt uit de wetsgeschiedenis dat inhoudelijk geen wijziging is beoogd ten opzichte van de Wpr. Artikel 43 is daarmee nog steeds van toepassing op de Algemene Rekenkamer.

Artikel 9, eerste lid, van de Wbp bepaalt dat persoonsgegevens niet verder mogen worden verwerkt op een wijze die onverenigbaar is met het doel waarvoor ze zijn verkregen. Dit uitgangspunt is ook in artikel 3 van deze regeling verwoord. Artikel 43 sub d nuanceert deze bepaling in zoverre dat de Algemene Rekenkamer persoonsgegevens wel verder mag verwerken door verschillende gegevens met elkaar in verband te brengen of samen te voegen. Dat sluit aan bij de vrijwel onbeperkte toegang die de Algemene Rekenkamer op grond van haar wettelijke taak heeft tot persoonsgegevens. In dit kader kan onder ‘verdere verwerking’ overigens ook gedacht worden kwaliteitsborging d.m.v. een klankbordfunctie door collega’s van een andere onderzoeksdirectie of aan peer reviews.

De artikelen 30, derde lid, 33, 34 en 35 Wbp zien op het verstrekken van inlichtingen aan de betrokkene en op het informeren van betrokkenen over het gebruikmaken van hun gegevens door de Algemene Rekenkamer. Deze bepalingen kunnen op grond van artikel 43 sud d Wbp buiten toepassing worden gelaten.

Bovendien is ten aanzien van artikel 34 Wbp met het College bescherming persoonsgegevens afgesproken dat van de in dit artikel neergelegde informatieplicht aan betrokkenen kan worden afgezien omdat de in de leden 4 en 5 van artikel 34 genoemde uitzonderingen van toepassing kunnen zijn 1. Lid 5 bepaalt dat de informatieplicht niet van toepassing is wanneer de betrokkene uit de wet duidelijk kan afleiden wie verantwoordelijk is voor de gegevensverwerking. Gelet op de in de Comptabiliteitswet 2001 genoemde onderzoekstaken van de Algemene Rekenkamer is dat het geval. Lid 4 bepaalt tot slot dat betrokkenen niet te hoeven worden geïnformeerd als de inspanning om dat te doen niet in verhouding staat tot het doel dat daarmee wordt gediend. Ook deze uitzondering zou in de onderzoeksfase van toepassing kunnen zijn; of dat het geval is zal steeds aan de hand van de concrete situatie moeten worden beoordeeld.

X Noot
1

Brief van het Cbp van 11 januari 2002, kenmerk z2001-1600.

Naar boven