Regeling van de Minister van Buitenlandse Zaken van 3 april 2013, nr. VCI-069/2013, tot toedeling van de taken en bevoegdheden van de Functionaris Gegevensbescherming BZ

De Minister van Buitenlandse Zaken,

Gelet op de artikelen 62 en 64 van de Wet bescherming persoonsgegevens;

Besluit:

Artikel 1

In deze regeling wordt verstaan onder:

a. de wet:

Wet bescherming persoonsgegevens;

b. de minister:

de Minister van Buitenlandse Zaken;

c. het ministerie:

Ministerie van Buitenlandse Zaken;

d. de FG:

Functionaris Gegevensbescherming zoals bedoeld in artikel 62 van de Wet bescherming persoonsgegevens;

e. de beheerder:

hoofd van een dienstonderdeel van het ministerie, aan wie krachtens de geldende organisatie en mandaatregelingen de taken en bevoegdheden van de minister ten aanzien van verwerkingen van persoonsgegevens zijn gemandateerd;

f. de bewerker:

degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen;

g. betrokkene:

degene op wie een persoonsgegeven betrekking heeft.

Artikel 2

De FG ziet toe op de verwerking van persoonsgegevens overeenkomstig het bij en krachtens de wet bepaalde. Het toezicht strekt zich uit tot de verwerking van persoonsgegevens waarvoor de minister de verantwoordelijke is in de zin van de wet.

Artikel 3

Het toezicht geldt voor zowel het departement als de posten.

Artikel 4

De FG maakt van zijn bevoegdheden slechts gebruik voor zover dat redelijkerwijs voor de vervulling van zijn taak nodig is.

Artikel 5

  • 1. De FG is bevoegd, met medeneming van de benodigde apparatuur, elke plaats in de gebouwen en op de terreinen die bij het ministerie in gebruik zijn te betreden waar persoonsgegevens worden verwerkt, met uitzondering van een woning zonder toestemming van de bewoner.

  • 2. Hij is bevoegd zich te doen vergezellen door personen die daartoe door hem zijn aangewezen.

  • 3. Hij zal de Wbp-contactpersoon van de betreffende afdeling/post vooraf informeren.

Artikel 6

De FG is bevoegd inlichtingen te vorderen van eenieder die onder gezag van de minister werkzaam is of op grond van een overeenkomst persoonsgegevens verwerkt.

Artikel 7

  • 1. De FG is bevoegd inzage te vorderen van zakelijke gegevens en bescheiden waarin persoonsgegevens zijn verwerkt.

  • 2. Hij is bevoegd van de gegevens en bescheiden kopieën te maken.

  • 3. Indien het maken van kopieën niet ter plaatse kan geschieden, is hij bevoegd de gegevens en bescheiden voor dat doel voor korte tijd mee te nemen tegen een door hem af te geven schriftelijk bewijs.

Artikel 8

  • 1. De FG is bevoegd zaken te onderzoeken.

  • 2. Hij is bevoegd daartoe verpakkingen te openen.

  • 3. Indien het onderzoek niet ter plaatse kan geschieden, is hij bevoegd de zaken voor dat doel voor korte tijd mee te nemen tegen een door hem af te geven schriftelijk bewijs.

  • 4. De beheerder wordt zo spoedig mogelijk in kennis gesteld van de uitkomsten van het onderzoek.

Artikel 9

De FG is bevoegd vervoermiddelen te onderzoeken indien daarin persoonsgegevens onder verantwoordelijkheid van de minister worden verwerkt.

Artikel 10

De FG is bevoegd opdracht te geven tot vernietiging van persoonsgegevens waarvan de bewaartermijn is overschreden. De verantwoordelijke voor deze gegevens zal daarvan op de hoogte worden gesteld.

Artikel 11

  • 1. Eenieder die werkzaam is onder het gezag van de minister is verplicht aan de FG, binnen de door hem gestelde redelijke termijn, alle medewerking te verlenen die deze redelijkerwijs kan vorderen bij de uitoefening van zijn bevoegdheden.

  • 2. Zij die uit hoofde van ambt, beroep of wettelijk voorschrift verplicht zijn tot geheimhouding, kunnen het verlenen van medewerking weigeren, voor zover dit uit hun geheimhoudingsplicht voortvloeit.

Artikel 12

Deze regeling treedt in werking met ingang van de dag na de dagtekening van de Staatscourant, waarin zij wordt geplaatst.

Artikel 13

Deze regeling wordt aangehaald als:

Regeling taken en bevoegdheden Functionaris Gegevensbescherming BZ.

Deze regeling zal met de toelichting in de Staatscourant worden geplaatst.

De Minister van Buitenlandse Zaken, namens deze: waarnemend Secretaris-Generaal, M.T.G. van Daalen.

BIJLAGE I: WET BESCHERMING PERSOONSGEGEVENS

Artikel 62

Een verantwoordelijke of een organisatie waarbij verantwoordelijken zijn aangesloten kan een eigen functionaris voor de gegevensbescherming benoemen, onverminderd de bevoegdheden van het College ingevolge hoofdstuk 9 en 10 van deze wet.

Artikel 63

  • 1. Als functionaris kan slechts worden benoemd een natuurlijke persoon die voor de vervulling van zijn taak over toereikende kennis beschikt en voldoende betrouwbaar wordt geacht.

  • 2. De functionaris kan wat betreft de uitoefening van zijn functie geen aanwijzingen ontvangen van de verantwoordelijke of de organisatie die hem heeft benoemd. Hij ondervindt geen nadeel van de uitoefening van zijn taak. De verantwoordelijke stelt de functionaris in de gelegenheid zijn taak naar behoren te vervullen. De functionaris kan de kantonrechter verzoeken te bepalen dat de verantwoordelijke gevolg dient te geven aan hetgeen in de tweede volzin is bepaald.

  • 3. De functionaris oefent zijn taken eerst uit nadat de verantwoordelijke of de organisatie die hem heeft benoemd, hem heeft aangemeld bij het College. Het College houdt een lijst bij van aangemelde functionarissen.

  • 4. De functionaris is verplicht tot geheimhouding van hetgeen hem op grond van een klacht of verzoek van betrokkene is bekend geworden, tenzij de betrokkene in bekendmaking toestemt.

Artikel 64

  • 1. De functionaris ziet toe op de verwerking van persoonsgegevens overeenkomstig het bij en krachtens de wet bepaalde. Het toezicht strekt zich uit tot de verwerking van persoonsgegevens door de verantwoordelijke die hem heeft benoemd of door de verantwoordelijken die zijn aangesloten bij de organisatie die hem heeft benoemd.

  • 2. Indien op de verwerking een krachtens artikel 25 vastgestelde gedragscode van toepassing is, strekt het toezicht mede uit tot de naleving van deze code.

  • 3. De verantwoordelijke of de organisatie als bedoeld in het eerste lid draagt zorg dat de functionaris ter vervulling van zijn taak over bevoegdheden beschikt die gelijkwaardig zijn aan de bevoegdheden zoals geregeld in Afdeling 5.2 van de Algemene wet bestuursrecht.

  • 4. De functionaris kan aanbevelingen doen aan de verantwoordelijke die strekken tot een betere bescherming van de gegevens die worden verwerkt. In gevallen van twijfel overlegt hij met het College.

BIJLAGE II: ALGEMENE WET BESTUURSRECHT

Afdeling 5.2 Toezicht op de naleving

Artikel 5:11

Onder toezichthouder wordt verstaan: een persoon, bij of krachtens wettelijk voorschrift belast met het houden van toezicht op de naleving van het bepaalde bij of krachtens enig wettelijk voorschrift.

Artikel 5:12

  • 1. Bij de uitoefening van zijn taak draagt een toezichthouder een legitimatiebewijs bij zich, dat is uitgegeven door het bestuursorgaan onder verantwoordelijkheid waarvan de toezichthouder werkzaam is.

  • 2. Een toezichthouder toont zijn legitimatiebewijs desgevraagd aanstonds.

  • 3. Het legitimatiebewijs bevat een foto van de toezichthouder en vermeldt in ieder geval diens naam en hoedanigheid. Het model van het legitimatiebewijs wordt vastgesteld bij regeling van onze Minister van Justitie.

Artikel 5:13

Een toezichthouder maakt van zijn bevoegdheden slechts gebruik voor zover dat redelijkerwijs voor de vervulling van zijn taak nodig is.

Artikel 5:14

Bij wettelijk voorschrift of bij besluit van het bestuursorgaan dat de toezichthouder als zodanig aanwijst, kunnen de aan de toezichthouder toekomende bevoegdheden worden beperkt.

Artikel 5:15

  • 1. Een toezichthouder is bevoegd, met medeneming van de benodigde apparatuur. Elke plaats te betreden met uitzondering van een woning zonder toestemming van de bewoner.

  • 2. Zo nodig verschaft hij zich toegang met behulp van de sterke arm.

  • 3. Hij is bevoegd zich te doen vergezellen door personen die daartoe door hem zijn aangewezen.

Artikel 5:16

Een toezichthouder is bevoegd inlichtingen te vorderen.

Artikel 5:17

  • 1. Een toezichthouder is bevoegd inzage te vorderen van zakelijke gegevens en bescheiden.

  • 2. Hij is bevoegd van de gegevens en bescheiden kopieën te maken.

  • 3. Indien het maken van kopieën niet ter plaatste kan geschieden, is hij bevoegd de gegevens en bescheiden voor dat doel voor korte tijd mee te nemen tegen een door hem af te geven schriftelijk bewijs.

Artikel 5:18

  • 1. Een toezichthouder is bevoegd zaken te onderzoeken, aan opneming te onderwerpen en daarvan monsters te nemen.

  • 2. Hij is bevoegd daartoe verpakkingen te openen.

  • 3. De toezichthouder neemt op verzoek van de belanghebbende indien mogelijk een tweede monster, tenzij bij of krachtens wettelijk voorschrift anders is bepaald.

  • 4. Indien het onderzoek, de opneming of de monsterneming niet ter plaatse kan geschieden, is hij bevoegd de zaken voor dat doel voor korte tijd mee te nemen tegen een door hem af te geven schriftelijk bewijs.

  • 5. De genomen monsters worden voor zover mogelijk teruggegeven.

  • 6. De belanghebbende wordt op zijn verzoek zo spoedig mogelijk in kennis gesteld van de resultaten van het onderzoek, de opneming of de monsterneming.

Artikel 5:19

  • 1. Een toezichthouder is bevoegd vervoermiddelen te onderzoeken met betrekking waartoe hij een toezichthoudende taak heeft.

  • 2. Hij is bevoegd vervoermiddelen waarmee naar zijn redelijk oordeel zaken worden vervoerd met betrekking waartoe hij een toezichthoudende taak heeft, op hun lading te onderzoeken.

  • 3. Hij is bevoegd van de bestuurder van een vervoermiddel inzage te vorderen van de wettelijk voorgeschreven bescheiden met betrekking waartoe hij een toezichthoudende taak heeft.

  • 4. Hij is bevoegd met het oog op de uitoefening van deze bevoegdheden van de bestuurder van een voertuig of van de schipper van een vaartuig te vorderen dat deze zijn vervoermiddel stilhoudt en naar door hem aangewezen plaats overbrengt.

  • 5. Bij regeling van Onze Minister van Justitie wordt bepaald op welke wijze de vordering tot stilhouden wordt gedaan.

Artikel 5:20

  • 1. Een ieder is verplicht aan een toezichthouder binnen de door hem gestelde redelijke termijn alle medewerking te verlenen die deze redelijkerwijs kan vorderen bij de uitoefening van zijn bevoegdheden.

  • 2. Zij die uit hoofde van ambt, beroep of wettelijk voorschrift verplicht zijn tot geheimhouding, kunnen het verlenen van medewerking weigeren, voor zover dit uit hun geheimhoudingsplicht voortvloeit.

TOELICHTING

De Regeling taken bevoegdheden Functionaris Gegevensbescherming BZ geeft uitvoering aan het bepaalde in artikel 64, derde lid, van de Wet bescherming persoonsgegevens (Wbp). Dit artikel verplicht een werkgever die een functionaris voor de gegevensbescherming heeft aangesteld, er zorg voor te dragen dat de functionaris ter vervulling van zijn taak over bevoegdheden beschikt die gelijkwaardig zijn aan de bevoegdheden zoals deze zijn vastgelegd in afdeling 5.2 van de Algemene wet bestuursrecht. De voorliggende regeling geeft aan dit wettelijk voorschrift een nadere uitwerking.

Deze regeling is geen algemeen verbindend voorschrift, maar een interne regeling die tot doel heeft het toezicht van de functionaris binnen het departement daadwerkelijk te kunnen effectueren.

De regeling richt zich dan ook in eerste instantie tot alle ambtenaren van BZ, en in tweede instantie tot anderen of derden die onder het gezag van de minister of op grond van een overeenkomst of een andere rechtshandeling persoonsgegevens voor het ministerie verwerken.

Naast deze interne regeling is er ook een Handboek Wbp, bestaande uit vier delen, waarin de betekenis van de Wbp voor de BZ organisatie wordt uitgelegd en welke stappen genomen moeten worden om de Wbp in de praktijk uit te voeren. Verder beschikt BZ over een handleiding opgesteld vanuit de directie juridische zaken om zelfstandig kwesties op het gebied van de Wbp op te kunnen lossen, en over een Handreiking onderhoudsorganisatie die ter ondersteuning dient van de Wbp-contactpersonen binnen het ministerie bij de uitvoering van hun taak. Samen vormen deze documenten de opzet van de bescherming van persoonsgegevens bij het ministerie.

Bij het ministerie vinden talloze verwerkingen van persoonsgegevens plaats. Deze verwerkingen zijn gebaseerd op de uitvoering van publiekrechtelijke taken van of namens de minister, op het nakomen van wettelijke verplichtingen dan wel op de uitvoering van overeenkomsten. De minister is hiervoor de verantwoordelijke in de zin van de Wbp, omdat de minister het bestuursorgaan is dat, alleen of samen met anderen, het doel van en de middelen voor de verwerkingen vaststelt. De minister kan de verplichtingen en taken op grond van de Wbp mandateren aan een beheerder (bijv. een directeur, een Chef de Poste of een hoofd RSO). De beheerder zal namens de minister vaak het beheer hebben over die verwerkingen van persoonsgegevens waarvoor hij/zij als directeur of hoofd van een organisatie onderdeel, de verantwoordelijkheid draagt.

Als gevolg van interdepartementale afspraken om bij elk ministerie een functionaris voor de gegevensbescherming aan te stellen, heeft de Minister van Buitenlandse Zaken met ingang van 1 juli 2007 een functionaris voor de gegevensbescherming benoemd.

Voor een functionaris gegevensbescherming gelden enkele wettelijke eisen, zoals het beschikken over toereikende kennis, betrouwbaar zijn en een zodanige positie in de organisatie in nemen dat hij in staat is onafhankelijk toezicht uit te oefenen. Dit mag er echter niet toe leiden dat hij geïsoleerd van de leiding van de organisatie komt te staan. Zij moeten elkaar juist gemakkelijk weten te vinden. Het ligt het meest voor de hand om een functionaris gegevensbescherming een staffunctie te laten bekleden die nauw gelieerd is aan de leiding van de organisatie.

College bescherming persoonsgegevens (Cbp)

De FG is verantwoordelijk voor het onderhouden van contacten met het Cbp, en is het eerste aanspreekpunt van het Ministerie van BZ voor het Cbp.

Verwerking van persoonsgegevens

  • 1. Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld.

  • 2. Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.

Melding

  • 1. Verwerkingen van persoonsgegevens die meldingsplichtig zijn in de zin van artikel 27 van de wet, worden alvorens met de verwerking wordt begonnen door de beheerder namens de verantwoordelijke bij de FG gemeld.

  • 2. De melding bevat de overeenkomstig artikel 28, eerste en tweede lid, van de wet omschreven gegevens.

  • 3. Wijzigingen in de melding worden door de beheerder namens de verantwoordelijke gemeld bij de FG overeenkomstig artikel 28, derde lid, van de wet.

  • 4. De FG deponeert de melding in het register.

Formulier voor van melding vrijgestelde verwerkingen

  • 1. Voor verwerkingen van persoonsgegevens die als gevolg van artikel 29 van de wet van melding zijn vrijgesteld, wordt door de beheerder een formulier gemaakt.

  • 2. Het formulier bevat de daartoe benodigde gegevens, op te vragen bij de FG.

  • 3. De beheerder ziet erop toe dat de gegevens in het formulier juist, volledig en actueel zijn.

Register

Er is een register dat onder de verantwoordelijkheid van de FG wordt bijgehouden.

Het register bevat de meldingsformulieren en de formulieren voor van melding vrijgestelde verwerkingen.

Bewerker

Indien de werkzaamheden ten behoeve van de verwerking van persoonsgegevens worden uitgevoerd door een bewerker, vindt die uitvoering uitsluitend plaats op basis van een overeenkomst of krachtens een andere rechtshandeling waardoor een verbintenis ontstaat tussen bewerker en de minister.

De overeenkomst of rechtshandeling bevat in ieder geval een regeling over:

  • a. De rol en positie van partijen;

  • b. Het, indien toepasselijk, informeren van betrokkenen;

  • c. De werkzaamheden waarop de overeenkomst betrekking heeft en het toegestane gebruik van persoonsgegevens door de bewerker; en

  • d. Een afdoende beveiliging van persoonsgegevens door de bewerker en de overige zorgplichten van de bewerker.

De overeenkomst of rechtshandeling wordt schriftelijk vastgelegd en voor advies voorgelegd aan Directie Juridische Zaken. De FG wordt te allen tijde geïnformeerd over de bewerkersovereenkomst en ontvangt hiervan een afschrift.

Artikelsgewijze toelichting

Artikel 1

De begrippen zijn gedefinieerd overeenkomstig artikel 1 van de Wbp.

Artikel 3

De Wbp is ook van toepassing op de ambassades en RSO’s, aangezien deze onder het gezag van het ministerie van Buitenlandse Zaken vallen.

Artikel 4

Dit artikel bevat het ‘evenredigheidsbeginsel’, een van de algemene beginselen van behoorlijk bestuur. Het toezicht zal in het algemeen slechts kunnen worden uitgeoefend op die personen die bij bepaalde verwerkingen van persoonsgegevens betrokken zijn, en op bescheiden of andere zaken met betrekking tot de verwerking van die persoonsgegevens. Inherent aan het evenredigheidsbeginsel is het zorgvuldigheidsbeginsel: de FG dient bij de uitoefening van zijn taak de reden mee te delen waarom hij van een of meerdere van zijn bevoegdheden gebruik wil maken. Als vrijwillige medewerking aan het toezicht wordt verleend, is gebruikmaking van de toezichthoudende bevoegdheden in de regel niet noodzakelijk.

Artikel 5

Om adequaat toezicht te kunnen houden, dient de FG toegang te hebben tot alle ruimten en plaatsen binnen het departement waar persoonsgegevens worden verwerkt. Betreden is geen doorzoeken in die zin dat kasten, laden etc. eigenstandig door de FG kunnen worden geopend. Dit laatste kan alleen met instemming van de betrokken medewerker van BZ of met instemming van het bevoegd gezag. Soms zal het nodig zijn om bepaalde bestanden elders te kunnen laten onderzoeken of om bestanden te kopiëren, en om die reden is de FG bevoegd om apparatuur bij zich te hebben. De bevoegdheid van de FG om zich te laten vergezellen door derden heeft vooral betrekking op het meenemen van deskundigen, bijvoorbeeld ICT deskundigen als het toezicht wordt uitgeoefend op elektronische bestanden of elektronische verwerkingen van persoonsgegevens. Deze deskundigen worden slechts meegenomen als de FG dit nodig acht voor een goede taakvervulling.

Artikel 6

De bevoegdheid inlichtingen te vorderen heeft een nauwe relatie met artikel 11 van de regeling, waarin de medewerkingsplicht is opgenomen voor de medewerkers van BZ of voor diegenen, die persoonsgegevens verwerken waarvoor de minister de verantwoordelijke is. Uit de terminologie van de bepaling kan worden opgemaakt, dat het ‘vorderen’ van inlichtingen verder gaat dan een mondeling of anderszins gedaan vrijblijvend verzoek om inlichtingen.

Artikel 7

De bevoegdheid om inzage te vorderen van zakelijke gegevens en bescheiden is uiteraard beperkt tot die informatiedragers waarin persoonsgegevens worden verwerkt, ofwel die bij die verwerking een rol spelen. Een voorbeeld daarvan is de harde schijf van een computer die niet is aangesloten op het netwerk van BZ, maar waarop bepaalde persoonsgegevens worden verwerkt. Het ‘meenemen’ waar het derde lid op doelt, is niet een ‘inbeslagneming’, maar uitsluitend het voor een zo kort mogelijke tijd ter beschikking hebben om de gewenste kopieën te kunnen vervaardigen.

Artikel 8

Het onderzoeken van zaken door de FG is met inachtneming van het evenredigheidsbeginsel alleen mogelijk indien dergelijke zaken verband houden met het verwerken van persoonsgegevens. Het openen van verpakkingen door de FG is alleen mogelijk in het verlengde van een onderzoek van een zaak, als bedoeld in het eerste lid. Het is dus niet een op zichzelf staande bevoegdheid, maar een afgeleide van de bevoegdheid in het eerste lid. Het zorgvuldigheidsbeginsel brengt met zich mee dat de FG onmiddellijk nadat de uitkomst van een onderzoek bekend is, dit meedeelt aan degenen bij wie de zaak berust. De beheerder is tenslotte degene, die in feite maatregelen zal treffen als het onderzoek aantoont dat een of meerdere wettelijke verplichtingen niet of niet volledig worden nageleefd. Een en ander laat onverlet dat in juridische zin de minister de verantwoordelijke blijft voor de naleving van de Wbp.

Artikel 9

Het zal zeer waarschijnlijk niet of nauwelijks voorkomen dat de FG een vervoermiddel of de lading wil onderzoeken in verband met dataprotectie. Denkbaar is het onderzoek naar het veilig transporteren van gegevens/dossiers door de bestuurder in het kader van thuiswerken of naar het al dan niet geautoriseerd zijn van de bestuurder tot vervoerde dossiers. Daarnaast kan ook worden gedacht aan transport van gegevens die gaan worden vernietigd.

Artikel 10

De beheerder dient bij de verwerking van persoonsregistraties de bewaartermijn aan te geven op het meldingsformulier of op het vrijstellingsformulier. De FG kan, bij overschrijding van die termijn, opdracht tot vernietiging van deze registraties geven.

Artikel 11

Om het toezicht daadwerkelijk te effectueren is de verplichting opgenomen om medewerking te kunnen vorderen. Zonder die verplichting wordt het voor de FG immers zeer lastig om zijn bevoegdheden uit te oefenen.

De Minister van Buitenlandse Zaken, namens deze: waarnemend Secretaris-Generaal, M.T.G. van Daalen.

Naar boven