Regeling van de Minister van Economische Zaken, Landbouw en Innovatie van 22 december 2011, nr. 216975, houdende de toedeling van toezichtsbevoegdheden aan de functionaris voor de gegevensbescherming van het Ministerie van Economische Zaken, Landbouw en Innovatie (Regeling toezichtsbevoegdheden functionaris voor de gegevensbescherming EL&I)

De Minister van Economische Zaken, Landbouw en Innovatie,

Gelet op artikel 64, derde lid, van de Wet bescherming persoonsgegevens en artikel 36, tweede lid, van de Wet politiegegevens;

Besluit:

Artikel 1

In deze regeling wordt verstaan onder:

a. minister:

Minister van Economische Zaken, Landbouw en Innovatie;

b. ministerie:

Ministerie van Economische Zaken, Landbouw en Innovatie;

c. functionaris:

bij het ministerie benoemde functionaris voor de gegevensbescherming als bedoeld in artikel 62 van de Wet bescherming persoonsgegevens of artikel 36, eerste lid, van de Wet politiegegevens;

d. persoonsgegeven:

persoonsgegeven als bedoeld in artikel 1, onderdeel a, van de Wet bescherming persoonsgegevens;

e. politiegegeven:

politiegegeven als bedoeld in artikel 1, onderdeel a, van de Wet politiegegevens;

f. bewerker:

degene die ten behoeve van de minister persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen;

g. beheerder:

het hoofd van dienst dat namens de minister is belast met de zorg voor de naleving van de Wet bescherming persoonsgegevens of de Wet politiegegevens ten aanzien van verwerkingen die plaatsvinden binnen zijn dienstonderdeel;

h. privacy audit:

beoordeling bij een organisatie of organisatieonderdeel van een verwerking van persoonsgegevens of politiegegevens of van een systeem of project dat als doel heeft persoonsgegevens of politiegegevens te verwerken, waarbij het accent ligt op de naleving van wettelijke eisen ter bescherming van persoonsgegevens of politiegegevens.

Artikel 2

  • 1. Het toezicht van de functionaris strekt zich uit tot de verwerking van alle persoonsgegevens, waaronder politiegegevens, waarvoor de minister verantwoordelijk is.

  • 2. Ook verwerkingen van persoonsgegevens of politiegegevens die ten behoeve van de minister buiten het ministerie plaatsvinden door bewerkers, vallen onder het toezicht, bedoeld in het eerste lid.

  • 3. Het bereik van het toezicht van de functionaris kan worden uitgebreid, indien een andere verantwoordelijke dan de minister daarom uitdrukkelijk verzoekt en de minister met dit verzoek instemt.

Artikel 3

  • 1. De functionaris is bevoegd, met medeneming van de benodigde apparatuur, elke plaats te betreden in de gebouwen en op de terreinen die bij het ministerie in gebruik zijn, waar persoonsgegevens of politiegegevens worden verwerkt.

  • 2. Hij is bevoegd daarbij personen mee te nemen die daartoe door hem zijn aangewezen.

Artikel 4

De functionaris is bevoegd inlichtingen te vorderen van een ieder die onder het gezag van de minister werkzaam is alsmede van bewerkers.

Artikel 5

  • 1. De functionaris is bevoegd inzage te vorderen van zakelijke gegevens en bescheiden waarin persoonsgegevens of politiegegevens zijn verwerkt.

  • 2. Hij is bevoegd van de gegevens en bescheiden kopieën te maken.

  • 3. Als het maken van kopieën niet ter plaatse kan geschieden, is hij bevoegd de gegevens en bescheiden voor dat doel voor korte tijd mee te nemen tegen een door hem af te geven schriftelijk bewijs.

Artikel 6

  • 1. De functionaris is bevoegd zaken te onderzoeken.

  • 2. Hij is bevoegd daartoe verpakkingen te openen.

  • 3. Als het onderzoek niet ter plaatse kan geschieden, is hij bevoegd de zaken voor dat doel voor korte tijd mee te nemen tegen een door hem af te geven schriftelijke bewijs.

  • 4. De beheerder wordt zo spoedig mogelijk in kennis gesteld van de resultaten van het onderzoek.

Artikel 7

De functionaris maakt van de in de artikelen 3 tot en met 6 beschreven bevoegdheden alleen gebruik voor zover dat redelijkerwijs voor de uitoefening van zijn taken nodig is.

Artikel 8

  • 1. Bij de uitoefening van zijn bevoegdheden draagt de functionaris een legitimatiebewijs bij zich, dat is uitgegeven door de minister en dat een foto bevat van de functionaris en in ieder geval diens naam en hoedanigheid vermeldt.

  • 2. De functionaris toont zijn legitimatiebewijs desgevraagd aanstonds.

Artikel 9

  • 1. Een ieder die werkzaam is onder het gezag van de minister dan wel een bewerker is verplicht aan de functionaris binnen de door hem gestelde redelijke termijn alle medewerking te verlenen die hij redelijkerwijs kan vorderen bij de uitoefening van zijn bevoegdheden.

  • 2. De minister wijst op verzoek van de functionaris een of meer ambtenaren aan die in voorkomend geval ten behoeve van de functionaris systemen of bronnen van gegevens kunnen ontsluiten.

  • 3. Het is aan de functionaris om te bepalen of systemen of bronnen van gegevens voor zijn onderzoek relevante informatie kunnen bevatten.

Artikel 10

Indien de functionaris bij de uitoefening van zijn toezichttaak onregelmatigheden aantreft bij de verwerking van persoonsgegevens of politiegegevens van een ernst of omvang die daartoe aanleiding geeft, brengt hij aan de minister rechtstreeks verslag uit, nadat hij de desbetreffende beheerder over de aangetroffen onregelmatigheden heeft geïnformeerd. Hij kan dit verslag vergezeld doen gaan van een aanbeveling die strekt tot een betere bescherming van de gegevens die worden verwerkt.

Artikel 11

De functionaris stelt jaarlijks voor 1 april een verslag op van zijn werkzaamheden en bevindingen in het daaraan voorafgaande kalenderjaar. De functionaris biedt zijn verslag aan de minister aan. De functionaris stuurt een kopie van zijn verslag ter kennisneming aan de departementale ondernemingsraaden, als de minister daarmee instemt, aan het College bescherming persoonsgegevens.

Artikel 12

  • 1. De functionaris kan privacy audits laten uitvoeren ter ondersteuning van zijn toezichttaak op grond van de Wet bescherming persoonsgegevens.

  • 2. De functionaris kan de privacy audit, bedoeld in artikel 33, eerste lid, van de Wet politiegegevens laten uitvoeren.

  • 3. De rapportage van de interne audit en van de hercontrole, bedoeld in de artikelen 3, zevende lid, en 4, vijfde lid, van de Regeling periodieke audit politiegegevens worden aangeboden aan de functionaris.

Artikel 13

De functionaris houdt op grond van artikel 30 van de Wet bescherming persoonsgegevens een register bij van de bij hem aangemelde gegevensverwerkingen. Het register kan door een ieder worden geraadpleegd via de website van het ministerie. Verzoeken om inzage in het register worden door de functionaris afgehandeld.

Artikel 14

De functionaris kan rechtstreeks aanbevelingen doen aan de minister, die strekken tot een betere bescherming van de gegevens die worden verwerkt. In gevallen van twijfel overlegt hij met het College bescherming persoonsgegevens.

Artikel 15

De functionaris alsmede de in voorkomend geval door hem ingeschakelde personen, bedoeld in artikel 3, tweede lid, zijn verplicht tot geheimhouding van hetgeen hen op grond van een klacht of een verzoek van betrokkene is bekend geworden, tenzij de betrokkene met bekendmaking instemt.

Artikel 16

Deze regeling treedt in werking met ingang van 1 januari 2012.

Artikel 17

Deze regeling wordt aangehaald als: Regeling toezichtsbevoegdheden functionaris voor de gegevensbescherming EL&I.

Deze regeling zal met de toelichting in de Staatscourant worden geplaatst.

‘s-Gravenhage, 22 december 2011

De Minister van Economische Zaken, Landbouw en Innovatie,

M.J.M. Verhagen.

TOELICHTING

1. Algemeen

Bij het Ministerie van Economische Zaken, Landbouw en Innovatie vinden talloze verwerkingen van persoonsgegevens in de zin van de Wet bescherming persoonsgegevens plaats. Op de verwerking van persoonsgegevens door de bijzondere opsporingsdienst (NVWA-IOD) is de Wet politiegegevens van toepassing. De verwerkingen zijn onder meer gebaseerd op de uitvoering van publiekrechtelijke taken van of namens de Minister van Economische Zaken, Landbouw en Innovatie, op het nakomen van wettelijke verplichtingen en op de uitvoering van overeenkomsten. De minister is hiervoor de verantwoordelijke in de zin van de Wet bescherming persoonsgegevens en de Wet politiegegevens. De minister is het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerkingen vaststelt.

Onderhavige regeling geeft uitvoering aan artikel 64, derde lid, van de Wet bescherming persoonsgegevens en artikel 36, tweede lid, van de Wet politiegegevens. Op grond van deze artikelen rust op een verantwoordelijke die een functionaris voor de gegevensbescherming heeft aangesteld de verplichting om ervoor zorg te dragen dat de functionaris ter vervulling van zijn taak over bevoegdheden beschikt die gelijkwaardig zijn aan de bevoegdheden zoals deze zijn vastgesteld in afdeling 5.2 van de Algemene wet bestuursrecht. Het zijn de algemene toezichtsbevoegdheden, zoals het vorderen van inlichtingen, het inzage mogen hebben en het mogen betreden van allerlei plaatsen.

De functionaris voor de gegevensbescherming is geen toezichthouder in de zin van artikel 5:11 van de Algemene wet bestuursrecht. De functionaris voor de gegevensbescherming is namelijk niet bij of krachtens wettelijk voorschrift belast met het toezicht op de naleving van de Wet bescherming persoonsgegevens of de Wet politiegegevens. Hij ziet toe op de verwerking van persoonsgegevens overeenkomstig het bij of krachtens die wetten bepaalde binnen het ministerie op grond van een ambtelijke aanstelling.

De regeling is geen algemeen verbindend voorschrift, maar een interne regeling die tot doel heeft het toezicht van de functionaris binnen het departement daadwerkelijk te kunnen effectueren. De regeling richt zich dan ook in eerste instantie tot alle ambtenaren van het Ministerie van Economische Zaken, Landbouw en Innovatie, en in tweede instantie tot anderen of derden die onder het gezag van de minister of op grond van een overeenkomst of een andere rechtshandeling persoonsgegevens of politiegegevens ten behoeve van de minister verwerken.

De regeling leidt niet tot administratieve lasten voor burgers of bedrijven.

De regeling treedt op 1 januari 2012 in werking. De keuze voor die datum hangt samen met de datum van 1 april waarvoor het verslag, bedoeld in artikel 11 van de regeling, moet zijn opgesteld. In verband daarmee wordt afgeweken van de in het kader van de zogenoemde vaste verandermomenten voor regelgeving gehanteerde minimum invoeringstermijn (Kamerstukken II 2009/10, 29 515, nr. 309).

2. Artikelsgewijs

Artikel 2

De minister is de verantwoordelijke in de zin van de Wet bescherming persoonsgegevens voor de verwerkingen van persoonsgegevens van het kerndepartement en de onder het ministerie ressorterende diensten en agentschappen. Voor de verwerking van persoonsgegevens door de bijzondere opsporingsdienst is de minister de verantwoordelijke in de zin van de Wet politiegegevens.

Indien verwerkingen van persoonsgegevens ten behoeve van de minister buiten het ministerie plaatsvinden door bewerkers, zoals verwerkingen die plaatsvinden door externe, al dan niet interdepartementale dienstverleners, blijft de minister de verantwoordelijke in de zin van de Wet bescherming persoonsgegevens. Daarmee vallen die verwerkingen onder het toezicht van de functionaris gegevensbescherming. Dat toezicht heeft alleen betrekking op de verwerkingen door bewerkers van persoonsgegevens waarvoor de minister de verantwoordelijke is. Om te bewerkstelligen dat de functionaris voor de gegevensbescherming daadwerkelijk toezicht zal kunnen uitoefenen op verwerkingen van persoonsgegevens die door bewerkers worden verricht, zal te dien einde in de desbetreffende bewerkersovereenkomsten een bepaling worden opgenomen.

Artikel 3

Om adequaat toezicht te kunnen houden dient de functionaris voor de gegevensbescherming toegang te hebben tot alle ruimten en plaatsen binnen het departement waar persoonsgegevens worden verwerkt. Betreden is geen doorzoeken in die zin dat bijvoorbeeld kasten en laden eigenstandig door de functionaris voor de gegevensbescherming kunnen worden geopend. Dit laatste kan alleen met instemming van de betrokken medewerker van het Ministerie van Economische Zaken, Landbouw en Innovatie of met instemming van de minister.

Omdat het soms nodig zal zijn om bepaalde bestanden elders te kunnen laten onderzoeken of om bestanden te kopiëren, is de functionaris voor de gegevensbescherming bevoegd om apparatuur bij zich te hebben.

De bevoegdheid van de functionaris voor de gegevensbescherming om zich te laten vergezellen door derden heeft met name betrekking op het meenemen van deskundigen. Te denken valt aan ICT-deskundigen als het toezicht wordt uitgeoefend op elektronische bestanden of elektronische verwerkingen van persoonsgegevens. Deze deskundigen worden slechts meegenomen als de functionaris voor de gegevensbescherming dit nodig acht voor een goede taakvervulling.

Artikel 4

De functionaris voor de gegevensbescherming heeft de bevoegdheid inlichtingen te vorderen. Deze inlichtingen kunnen onder meer betrekking hebben op de jaarlijks door de beheerders of bewerkers getroffen algemene verwerkingsmaatregelen en opgestelde procedures ter voldoening aan de Wet bescherming persoonsgegevens. De functionaris voor de gegevensbescherming kan zo beoordelen of de eisen van de Wet bescherming persoonsgegevens op een doeltreffende wijze zijn geïmplementeerd binnen de organisatie en of de rechten van burgers op adequate wijze worden gewaarborgd. Alle medewerkers van het Ministerie van Economische Zaken, Landbouw en Innovatie en anderen, die persoonsgegevens verwerken waarvoor de minister de verantwoordelijke is, hebben op grond van artikel 9 van de regeling een medewerkingsplicht. Het vorderen van inlichtingen gaat verder dan een mondeling of anderszins gedaan vrijblijvend verzoek om inlichtingen. Het evenredigheidsbeginsel brengt met zich dat deze bevoegdheid niet onder alle omstandigheden kan worden uitgeoefend.

Artikel 5

De bevoegdheid om inzage te vorderen van zakelijke gegevens en bescheiden is uiteraard beperkt tot die informatiedragers waarin persoonsgegevens worden verwerkt, ofwel die bij die verwerking een rol spelen. Een voorbeeld daarvan is de harde schijf van een computer die niet is aangesloten op het netwerk van het Ministerie van Economische Zaken, Landbouw en Innovatie, maar waarop bepaalde persoonsgegevens worden verwerkt. Het ‘meenemen’ waar het derde lid op doelt is niet een ‘inbeslagneming’, maar uitsluitend het voor een zo kort mogelijke tijd ter beschikking hebben om de gewenste kopieën te kunnen vervaardigen. Hierna worden deze informatiedragers zo spoedig mogelijk terug bezorgd.

Artikel 6

Het onderzoeken van zaken door de functionaris voor de gegevensbescherming is met inachtneming van het evenredigheidsbeginsel alleen mogelijk indien dergelijke zaken verband houden met het verwerken van persoonsgegevens.

Het openen van verpakkingen door de functionaris voor de gegevensbescherming is alleen mogelijk in het verlengde van een onderzoek van een zaak als bedoeld in het eerste lid. Het is dus niet op een op zichzelf staande bevoegdheid, maar een afgeleide van de bevoegdheid in het eerste lid. Het zorgvuldigheidsbeginsel brengt met zich dat de functionaris voor de gegevensbescherming onmiddellijk nadat de uitkomst van een onderzoek bekend is, dit mededeelt aan degenen bij wie de zaak berust. De beheerder is immers degene die in feite maatregelen zal moeten treffen als het onderzoek aantoont dat een of meerdere wettelijke verplichtingen niet of niet volledig worden nageleefd. Een en ander laat onverlet dat in juridische zin de minister de verantwoordelijke blijft voor de naleving van de Wet bescherming persoonsgegevens.

Artikel 7

Dit artikel bevat het evenredigheidsbeginsel, een van de algemene beginselen van behoorlijk bestuur. Dit beginsel impliceert onder meer dat het toezicht op naleving van de wettelijke voorschriften op de minst belastende manier moet worden uitgevoerd. Het toezicht zal in het algemeen slechts kunnen worden uitgeoefend op die personen die bij bepaalde verwerkingen van persoonsgegevens betrokken zijn, en op bescheiden of andere zaken met betrekking tot de verwerking van die persoonsgegevens. Inherent aan het evenredigheidsbeginsel is het zorgvuldigheidsbeginsel: de functionaris voor de gegevensbescherming dient bij de uitoefening van zijn taak de reden mee te delen waarom hij van een of meer van zijn bevoegdheden gebruik wil maken. Als vrijwillige medewerking aan het toezicht wordt verleend, is gebruikmaking van de toezichtbevoegdheden in de regel niet noodzakelijk.

Artikel 8

De functionaris voor de gegevensbescherming dient zich te allen tijde te kunnen legitimeren als daarom wordt gevraagd. Dit speelt uiteraard met name als het toezicht wordt uitgeoefend op bijzondere gegevens of bestanden, waarvoor op grond van andere wettelijke regelingen of op grond van de risicoklasse van die gegevens een specifieke geheimhoudingsplicht geldt.

Artikel 9

Om het toezicht daadwerkelijk te effectueren is de verplichting opgenomen om medewerking te kunnen vorderen. Deze verplichting strekt zich uiteraard niet verder uit dan tot een ieder die onder het gezag van de minister persoonsgegevens of politiegegevens verwerkt, dan wel persoonsgegevens of politiegegevens waarvoor de minister de verantwoordelijke is verwerkt op grond van een overeenkomst en op grond van die overeenkomst tot medewerking is verplicht.

Artikel 10

De functionaris voor de gegevensbescherming brengt zijn bevindingen ten aanzien van geconstateerde onregelmatigheden bij de verwerking van persoonsgegevens uit aan de verantwoordelijke, nadat hij eerst de desbetreffende beheerder daaromtrent tijdig heeft geïnformeerd. De functionaris voor de gegevensbescherming kan zijn verslag aan de minister over onregelmatigheden vergezeld doen gaan van een aanbeveling die erop is gericht de gegevens die worden verwerkt beter te beschermen.

Artikel 11

Dit is het verslag, bedoeld in artikel 63, vijfde lid van de Wet bescherming persoonsgegevens en in artikel 36, tweede lid, van de Wet politiegegevens in samenhang met artikel 63, vijfde lid, van de Wet bescherming persoonsgegevens. Dit verslag wordt door de functionaris voor de gegevensbescherming aangeboden aan de minister. Omdat de functionaris voor de gegevensbescherming ook toezicht houdt op de verwerkingen van gegevens van het interne personeel zendt hij een kopie van zijn verslag ter kennisneming aan de departementale ondernemingsraad. Een kopie van het verslag wordt met instemming van de minister ook aan het College bescherming persoonsgegevens ter kennisneming gezonden. Verzending aan dat college berust niet op een wettelijke verplichting. Het College bescherming persoonsgegevens stelt toezending evenwel op prijs om aldus op de hoogte te blijven van de ontwikkelingen op het gebied van de Wet bescherming persoonsgegevens bij het ministerie.

Artikel 12

De functionaris voor de gegevensbescherming is bevoegd gebruik te maken van de diensten van de interne accountantsdienst, dan wel waar nodig van externe auditors. Hiermee wordt het mogelijk een onafhankelijk oordeel te vellen over de kwaliteit van de gegevensverwerkingen.

Artikel 13

In het register zijn meldingen opgenomen van verwerkingen waarin persoonsgegevens worden verwerkt waarvoor de Minister van Economische Zaken, Landbouw en Innovatie de verantwoordelijke is in de zin van de Wet bescherming persoonsgegevens. Via het register heeft de functionaris voor de gegevensbescherming inzicht in de persoonsgegevensverwerkingen die plaatsvinden onder verantwoordelijkheid van de minister.

Artikel 14

Wanneer daartoe aanleiding bestaat kan de functionaris voor de gegevensbescherming rechtstreeks aan de minister aanbevelingen doen, die strekken tot een betere bescherming van de gegevens die worden verwerkt. Zonodig voert hij hierover overleg met het College bescherming persoonsgegevens.

Artikel 15

Ingevolge het onderhavige artikel zijn de functionaris voor de gegevensbescherming en de in voorkomend geval door hem ingeschakelde personen, bedoeld in artikel 3, tweede lid, verplicht tot geheimhouding van hetgeen hen op grond van een klacht of een verzoek van betrokkene is bekend geworden. De geheimhoudingsplicht geldt uiteraard niet indien de betrokkene met bekendmaking instemt.

De Minister van Economische Zaken, Landbouw en Innovatie,

M.J.M. Verhagen.

Naar boven