Regeling van de Minister van Sociale Zaken en Werkgelegenheid van 21 april 2011, nr. BO/BVA/2011/1037, houdende de toedeling van toezichtsbevoegdheden aan de functionaris voor de gegevensbescherming van het Ministerie van Sociale Zaken en Werkgelegenheid (Regeling toezichtsbevoegdheden functionaris voor de gegevensbescherming SZW)

De Minister van Sociale Zaken en Werkgelegenheid,

Gelet op artikel 64, derde lid, van de Wet bescherming persoonsgegevens;

Besluit:

Artikel 1 Begripsbepalingen

In deze regeling wordt verstaan onder:

a. de minister:

de Minister van Sociale Zaken en Werkgelegenheid;

b. het ministerie:

het Ministerie van Sociale Zaken en Werkgelegenheid;

c. SZW:

Sociale Zaken en Werkgelegenheid;

d. de wet:

de Wet bescherming persoonsgegevens;

e. de functionaris voor de gegevensbescherming:

de bij het ministerie benoemde functionaris voor de gegevensbescherming, bedoeld in artikel 62 van de wet.

Artikel 2 Reikwijdte

  • 1. Het toezicht van de functionaris voor de gegevensbescherming strekt zich uit tot de verwerking van alle persoonsgegevens waarvoor de minister de verantwoordelijke is.

  • 2. Ook verwerkingen van persoonsgegevens die ten behoeve van de minister buiten het ministerie plaatsvinden door bewerkers, vallen onder het toezicht, bedoeld in het eerste lid.

  • 3. Het bereik van het toezicht van de functionaris voor de gegevensbescherming kan worden uitgebreid, indien een andere verantwoordelijke dan de minister daarom uitdrukkelijk verzoekt en de minister met dit verzoek instemt.

Artikel 3 Betreden plaatsen

  • 1. De functionaris voor de gegevensbescherming is bevoegd, met medeneming van de benodigde apparatuur, elke plaats te betreden in de gebouwen en op de terreinen die bij het ministerie in gebruik zijn, waar persoonsgegevens worden verwerkt.

  • 2. Hij is bevoegd daarbij personen mee te nemen die daartoe door hem zijn aangewezen.

Artikel 4 Vorderen inlichtingen

De functionaris voor de gegevensbescherming is bevoegd inlichtingen te vorderen van eenieder die onder het gezag van de minister werkzaam is alsmede van bewerkers.

Artikel 5 Vorderen inzage

  • 1. De functionaris voor de gegevensbescherming is bevoegd inzage te vorderen van zakelijke gegevens en bescheiden waarin persoonsgegevens zijn verwerkt.

  • 2. Hij is bevoegd van de gegevens en bescheiden kopieën te maken.

  • 3. Als het maken van kopieën niet ter plaatse kan geschieden, is hij bevoegd de gegevens en bescheiden voor dat doel voor korte tijd mee te nemen tegen een door hem af te geven schriftelijk bewijs.

Artikel 6 Onderzoeken zaken

  • 1. De functionaris voor de gegevensbescherming is bevoegd zaken te onderzoeken.

  • 2. Hij is bevoegd daartoe verpakkingen te openen.

  • 3. Als het onderzoek niet ter plaatse kan geschieden, is hij bevoegd de zaken voor dat doel voor korte tijd mee te nemen tegen een door hem af te geven schriftelijk bewijs.

  • 4. De beheerder wordt zo spoedig mogelijk in kennis gesteld van de resultaten van het onderzoek.

Artikel 7 Gebruik bevoegdheden

De functionaris voor de gegevensbescherming maakt van de in de artikelen 3 tot en met 6 beschreven bevoegdheden alleen gebruik voor zover dat redelijkerwijs voor de uitoefening van zijn taken nodig is.

Artikel 8 Legitimatiebewijs

  • 1. Bij de uitoefening van zijn bevoegdheden draagt de functionaris voor de gegevensbescherming een legitimatiebewijs bij zich, dat is uitgegeven door de minister en dat een foto bevat van de functionaris voor de gegevensbescherming en in ieder geval diens naam en hoedanigheid vermeldt.

  • 2. De functionaris voor de gegevensbescherming toont zijn legitimatiebewijs desgevraagd aanstonds.

Artikel 9 Verplichte medewerking

  • 1. Een ieder die werkzaam is onder het gezag van de minister dan wel een bewerker is verplicht aan de functionaris voor de gegevensbescherming binnen de door hem gestelde redelijke termijn alle medewerking te verlenen die hij redelijkerwijs kan vorderen bij de uitoefening van zijn bevoegdheden.

  • 2. De minister wijst op verzoek van de functionaris voor de gegevensbescherming één of meer ambtenaren aan die in voorkomend geval ten behoeve van de functionaris voor de gegevensbescherming systemen of bronnen van gegevens kunnen ontsluiten.

  • 3. Het is aan de functionaris voor de gegevensbescherming om te bepalen of systemen of bronnen van gegevens voor zijn onderzoek relevante informatie kunnen bevatten.

Artikel 10 Rapportage over onregelmatigheden

Indien een functionaris voor de gegevensbescherming bij de uitoefening van zijn toezichttaak onregelmatigheden aantreft bij de verwerking van persoonsgegevens brengt hij aan de minister rechtstreeks verslag uit, nadat hij de betreffende beheerder over de aangetroffen onregelmatigheden heeft geïnformeerd. Hij kan dit verslag vergezeld doen gaan van een aanbeveling die strekt tot een betere bescherming van de gegevens die worden verwerkt.

Artikel 11 Verslag

De functionaris voor de gegevensbescherming stelt jaarlijks vóór 1 april een verslag op van zijn werkzaamheden en bevindingen in het daaraan voorafgaande kalenderjaar. De functionaris voor de gegevensbescherming biedt zijn verslag aan de minister aan. Hij stuurt een kopie van zijn verslag ter kennisneming aan de departementale ondernemingsraad en aan het College bescherming persoonsgegevens.

Artikel 12 Privacy-audits

De functionaris voor de gegevensbescherming kan privacy-audits uit laten voeren ter ondersteuning van zijn toezichttaak. Een privacy-audit is een beoordeling bij een organisatie of organisatieonderdeel van een verwerking van persoonsgegevens of van een systeem of project dat als doel heeft persoonsgegevens te verwerken of te gaan verwerken, waarbij het accent ligt op de naleving van wettelijke eisen ter bescherming van persoonsgegevens.

Artikel 13 Register

De functionaris voor de gegevensbescherming houdt op grond van artikel 30 van de wet een register bij van de bij hem aangemelde gegevensverwerkingen. Het register kan door een ieder worden geraadpleegd via de website van het ministerie. Verzoeken om inzage in het register worden door de functionaris voor de gegevensbescherming afgehandeld.

Artikel 14 Aanbevelingen

De functionaris voor de gegevensbescherming kan rechtstreeks aanbevelingen doen aan de minister, die strekken tot een betere bescherming van de gegevens die worden verwerkt. In gevallen van twijfel overlegt hij met het College bescherming persoonsgegevens.

Artikel 15 Geheimhouding

De functionaris voor de gegevensbescherming alsmede de in voorkomend geval door hem ingeschakelde personen, bedoeld in artikel 3, tweede lid, zijn verplicht tot geheimhouding van hetgeen hen op grond van een klacht of een verzoek van betrokkene is bekend geworden, tenzij de betrokkene met bekendmaking instemt.

Artikel 16 Inwerkingtreding

Deze regeling treedt in werking met ingang van de dag na de datum van uitgifte van de Staatscourant waarin zij wordt geplaatst.

Artikel 17 Citeertitel

Deze regeling wordt aangehaald als: Regeling toezichtsbevoegdheden functionaris voor de gegevensbescherming SZW.

Deze regeling zal met de toelichting in de Staatscourant worden geplaatst.

Den Haag, 21 april 2011

De Minister van Sociale Zaken en Werkgelegenheid,

H.G.J. Kamp.

TOELICHTING

Algemeen

De Regeling toezichtsbevoegdheden functionaris voor de gegevensbescherming SZW geeft uitvoering aan het derde lid van artikel 64 van de Wet bescherming persoonsgegevens (Wbp). Dit artikel verplicht een werkgever die een functionaris voor de gegevensbescherming heeft aangesteld, er zorg voor te dragen dat de functionaris ter vervulling van zijn taak over bevoegdheden beschikt die gelijkwaardig zijn aan de bevoegdheden zoals deze zijn vastgelegd in afdeling 5.2 van de Algemene wet bestuursrecht (Awb). Het zijn de algemene toezichtsbevoegdheden, zoals het vorderen van inlichtingen, het inzage mogen hebben en het mogen betreden van allerlei plaatsen.

Bij het Ministerie van Sociale Zaken en Werkgelegenheid vinden talloze verwerkingen van persoonsgegevens plaats. Deze verwerkingen zijn gebaseerd op de uitvoering van publiekrechtelijke taken van of namens de minister, op het nakomen van wettelijke verplichtingen, dan wel op de uitvoering van overeenkomsten. De minister is hiervoor de verantwoordelijke in de zin van de Wbp, omdat de minister het bestuursorgaan is dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerkingen vaststelt.

In het register van Wbp-meldingen zijn meldingen opgenomen van verwerkingen waarin persoonsgegevens worden verwerkt waarvoor de minister van SZW de verantwoordelijke is in de zin van de Wbp. Kort samengevat betreffen deze meldingen, meldingen van bedrijfsvoeringssystemen zoals die door de directie Bedrijfsvoering worden beheerd maar ook van systemen die door de externe beheerder van de ICT-infrastructuur ten behoeve van SZW worden uitgevoerd. Voorts bevat het register meldingen van verwerkingen die naar aanleiding van onderzoeken naar de effectiviteit van de beleidsmaatregelen van het ministerie worden uitgevoerd. Belangrijk zijn ook de meldingen van persoonsgegevensverwerkingen in het kader van inspecties door de Arbeidsinspectie en de Sociale Inlichtingen- en Opsporingsdienst (SIOD).

De minister kan zijn verplichtingen en taken op grond van de Wbp mandateren aan een beheerder. De beheerder is de directeur-generaal, dan wel de directeur of het hoofd van een organisatieonderdeel aan wie krachtens de geldende organisatie- en mandaatregeling de taken en bevoegdheden zijn gemandateerd. De beheerder is dus hiërarchisch ondergeschikt aan de minister.

De beheerder zal namens de minister vaak het beheer hebben over die verwerkingen van persoonsgegevens waarvoor hij/zij als directeur-generaal, dan wel als directeur of hoofd van een organisatieonderdeel de verantwoordelijkheid draagt.

De functionaris voor de gegevensbescherming van het Ministerie van SZW is met ingang van 1 september 2002 benoemd (besluit van 1 september 2002).

Deze functionaris is geen toezichthouder in de zin van artikel 5:11 van de Awb. De functionaris voor de gegevensbescherming is namelijk niet bij of krachtens een wettelijk voorschrift belast met het toezicht op de naleving van de Wbp, maar ’ziet toe op de verwerking van persoonsgegevens overeenkomstig het bij of krachtens de wet bepaalde' binnen het ministerie op grond van een ambtelijke aanstelling.

Deze regeling is geen algemeen verbindend voorschrift, maar een interne regeling die tot doel heeft het toezicht van de functionaris binnen het departement daadwerkelijk te kunnen effectueren.

De regeling richt zich dan ook in eerste instantie tot alle ambtenaren van SZW, en in tweede instantie tot anderen of derden die onder het gezag van de minister of op grond van een overeenkomst of een andere rechtshandeling persoonsgegevens ten behoeve van de minister verwerken en zich verplicht hebben de functionaris voor de gegevensbescherming toezicht te laten uitoefenen.

Artikelsgewijs

Artikel 2

De minister is de verantwoordelijke in de zin van de Wbp voor de verwerkingen van persoonsgegevens van het bestuursdepartement en de onder het Ministerie van SZW ressorterende diensten en agentschappen, te weten: Arbeidsinspectie, SIOD, Inspectie Werk en Inkomen en Agentschap SZW.

Indien verwerkingen van persoonsgegevens ten behoeve van de minister buiten het ministerie plaatsvinden door bewerkers, zoals verwerkingen die plaatsvinden door interdepartementale diensten zoals P-Direct en 4-FM, blijft de minister de (mede)verantwoordelijke in de zin van de Wet bescherming persoonsgegevens. Daarmee vallen die verwerkingen onder het toezicht van de functionaris gegevensbescherming. Dat toezicht heeft derhalve alleen betrekking op de verwerkingen door bewerkers van die persoonsgegevens waarvoor de minister verantwoordelijke is.

Artikel 3

Om adequaat toezicht te kunnen houden dient de functionaris voor de gegevensbescherming toegang te hebben tot alle ruimten en plaatsen binnen het departement waar persoonsgegevens worden verwerkt. Betreden is geen doorzoeken in die zin dat kasten, laden etc. eigenstandig door de functionaris voor de gegevensbescherming kunnen worden geopend. Dit laatste kan alleen met instemming van de betrokken medewerker van SZW of met instemming van de minister.

Soms zal het nodig zijn om bepaalde bestanden elders te kunnen laten onderzoeken of om bestanden te kopiëren, om die reden is de functionaris voor de gegevensbescherming bevoegd om apparatuur bij zich te hebben.

De bevoegdheid van de functionaris voor de gegevensbescherming om zich te laten vergezellen door derden heeft met name betrekking op het meenemen van deskundigen, bijvoorbeeld ICT-deskundigen als het toezicht wordt uitgeoefend op elektronische bestanden of elektronische verwerkingen van persoonsgegevens. Deze deskundigen worden slechts meegenomen als de functionaris voor de gegevensbescherming dit nodig acht voor een goede taakvervulling.

Artikel 4

De functionaris voor de gegevensbescherming heeft de bevoegdheid inlichtingen te vorderen. Alle medewerkers van SZW en anderen, die persoonsgegevens verwerken waarvoor de minister de verantwoordelijke is, hebben op grond van artikel 9 van de regeling een medewerkingsplicht. Het vorderen van inlichtingen gaat verder dan een mondeling of anderszins gedaan vrijblijvend verzoek om inlichtingen. Het evenredigheidsbeginsel brengt met zich mee dat deze bevoegdheid niet onder alle omstandigheden kan worden uitgeoefend.

Om te bewerkstelligen dat de functionaris voor de gegevensbescherming ook toezicht zal kunnen uitoefenen op verwerkingen van persoonsgegevens die door bewerkers worden verricht, zal te dien einde in de betreffende bewerkersovereenkomsten een bepaling worden opgenomen.

Artikel 5

De bevoegdheid om inzage te vorderen van zakelijke gegevens en bescheiden is uiteraard beperkt tot die informatiedragers waarin persoonsgegevens worden verwerkt, ofwel die bij die verwerking een rol spelen. Een voorbeeld daarvan is de harde schijf van een computer die niet is aangesloten op het netwerk van SZW, maar waarop bepaalde persoonsgegevens worden verwerkt.

Het ‘meenemen' waar het derde lid op doelt is niet een ‘inbeslagneming', maar uitsluitend het voor een zo kort mogelijke tijd ter beschikking hebben om de gewenste kopieën te kunnen vervaardigen. Hierna worden deze informatiedragers zo spoedig mogelijk terug bezorgd.

Artikel 6

Het onderzoeken van zaken door de functionaris voor de gegevensbescherming is met inachtneming van het evenredigheidsbeginsel alleen mogelijk indien dergelijke zaken verband houden met het verwerken van persoonsgegevens.

Het openen van verpakkingen door de functionaris voor de gegevensbescherming is alleen mogelijk in het verlengde van een onderzoek van een zaak, als bedoeld in het eerste lid. Het is dus niet een op zichzelf staande bevoegdheid, maar een afgeleide van de bevoegdheid in het eerste lid. Het zorgvuldigheidsbeginsel brengt met zich mee dat de functionaris voor de gegevensbescherming onmiddellijk nadat de uitkomst van een onderzoek bekend is, dit meedeelt aan degenen bij wie de zaak berust. De beheerder is tenslotte degene, die in feite maatregelen zal moeten treffen als het onderzoek aantoont dat een of meerdere wettelijke verplichtingen niet of niet volledig worden nageleefd. Een en ander laat onverlet dat in juridische zin de minister de verantwoordelijke blijft voor de naleving van de Wbp.

Artikel 7

Dit artikel bevat het ‘evenredigheidsbeginsel', één van de algemene beginselen van behoorlijk bestuur. Dit beginsel impliceert onder meer dat het toezicht op naleving van de wettelijke voorschriften op de minst belastende manier moet worden uitgevoerd. Het toezicht zal in het algemeen slechts kunnen worden uitgeoefend op die personen die bij bepaalde verwerkingen van persoonsgegevens betrokken zijn, en op bescheiden of andere zaken met betrekking tot de verwerking van die persoonsgegevens.

Inherent aan het evenredigheidsbeginsel is het zorgvuldigheidsbeginsel: de functionaris voor de gegevensbescherming dient bij de uitoefening van zijn taak de reden mee te delen waarom hij van een of meer van zijn bevoegdheden gebruik wil maken. Als vrijwillige medewerking aan het toezicht wordt verleend, is gebruikmaking van de toezichtbevoegdheden in de regel niet noodzakelijk.

Artikel 8

De functionaris voor de gegevensbescherming dient zich te allen tijde te kunnen legitimeren als daarom wordt gevraagd. Dit speelt uiteraard met name als het toezicht wordt uitgeoefend op bijzondere gegevens of bestanden, waarvoor op grond van andere wettelijke regelingen of op grond van de risicoklasse van die gegevens een specifieke geheimhoudingsplicht geldt.

Artikel 9

Om het toezicht daadwerkelijk te effectueren is de verplichting opgenomen om medewerking te kunnen vorderen. Deze verplichting strekt zich uiteraard niet verder uit dan tot een ieder die onder het gezag van de minister persoonsgegevens verwerkt, dan wel persoonsgegevens waarvoor de minister de verantwoordelijke is verwerkt op grond van een overeenkomst en op grond van die overeenkomst tot medewerking is verplicht.

Artikel 10

De functionaris voor de gegevensbescherming brengt zijn bevindingen ten aanzien van geconstateerde onregelmatigheden bij de verwerking van persoonsgegevens uit aan de verantwoordelijke, nadat hij eerst de betreffende beheerder tijdig daaromtrent heeft geïnformeerd. De functionaris voor de gegevensbescherming kan zijn verslag aan de minister over onregelmatigheden vergezeld doen gaan van een aanbeveling die erop gericht is de gegevens die worden verwerkt beter te beschermen.

Artikel 11

Dit is het verslag, bedoeld in artikel 63, vijfde lid, van de Wbp. Dit verslag wordt door de functionaris voor de gegevensbescherming aangeboden aan de minister. Omdat de functionaris voor de gegevensbescherming tevens toezicht houdt op de verwerkingen van gegevens van het interne personeel zendt hij een kopie van zijn verslag ter kennisneming aan de departementale ondernemingsraad (DOR). Een kopie van het verslag wordt ook aan het Cbp ter kennisneming gezonden. Hoewel verzending aan het Cbp niet wettelijk verplicht is, wordt toezending door het Cbp op prijs gesteld om aldus op de hoogte te blijven van de ontwikkelingen op het gebied van de Wbp bij het ministerie.

Artikel 12

De functionaris voor de gegevensbescherming is bevoegd gebruik te maken van de diensten van de interne accountantsdienst, dan wel waar nodig van externe auditors. Hiermee wordt het mogelijk een onafhankelijk oordeel te vellen over de kwaliteit van de persoonsgegevensverwerkingen.

Artikel 13

Door middel van het register heeft de functionaris voor de gegevensbescherming inzicht in de persoonsgegevensverwerkingen die plaatsvinden binnen het ministerie. Tevens vormt het register een middel om te voldoen aan de informatieplicht, bedoeld in de artikelen 33 en 34 Wbp.

Artikel 14

Wanneer daartoe aanleiding bestaat kan de functionaris voor de gegevensbescherming rechtstreeks aan de minister aanbevelingen doen, die strekken tot een betere bescherming van de gegevens die worden verwerkt.

Zonodig voert hij hierover overleg met het Cbp.

Artikel 15

Ingevolge het onderhavige artikel zijn de functionaris voor de gegevensbescherming alsmede de in voorkomend geval door hem ingeschakelde personen, bedoeld in artikel 3, tweede lid, verplicht tot geheimhouding van hetgeen hen op grond van een klacht of een verzoek van betrokkene is bekend geworden. De geheimhoudingsplicht geldt uiteraard niet indien de betrokkene met bekendmaking instemt.

De Minister van Sociale Zaken en Werkgelegenheid,

H.G.J. Kamp.

Naar boven