Regeling AVG Defensie

15 mei 2018

Nr: BS2018008465

De Staatssecretaris van Defensie

Besluit:

Paragraaf 1 Algemene bepalingen

Artikel 1.1 Begrippen en definities

In deze regeling wordt verstaan onder:

a. AVG:

Verordening (EU) 2016/679 van het Europees parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG;

b. wet:

Uitvoeringswet Algemene verordening gegevensbescherming;

c. Minister:

Minister van Defensie;

d. persoonsgegevens, verwerking, betrokkene, derde, ontvanger, verwerker:

hetgeen daaronder wordt verstaan in artikel 4 van de AVG;

e. Privacy Impact Assessment:

gegevensbeschermingseffectbeoordeling als bedoeld in artikel 35 AVG;

f. register:

register als bedoeld in artikel 2.1 van deze regeling;

g. verwerkingsverantwoordelijke:

Minister van Defensie;

h. AVG-beheerder:

het diensthoofd die namens de minister belast is met de zorg voor de naleving van de AVG en de wet ten aanzien van verwerkingen die gevoerd worden binnen het dienstonderdeel;

i. AVG-coördinator:

de in artikel 1.3, derde lid, van deze regeling bedoelde functionaris die de uitvoering van de AVG en de wet, en de feitelijke handelingen die daarvoor nodig zijn, binnen het dienstonderdeel coördineert;

i. Autoriteit persoonsgegevens:

Autoriteit persoonsgegevens als bedoeld in artikel 6 van de wet;

j. functionaris voor gegevensbescherming:

de functionaris voor gegevensbescherming in de zin van artikel 1.5 van deze regeling;

k. inbreuk in verband met persoonsgegevens:

inbreuk in verband met persoonsgegevens als bedoeld in artikel 33, eerste lid, AVG.

Artikel 1.2 Reikwijdte

  • 1. Deze regeling is van toepassing op alle verwerkingen van persoonsgegevens, waarop de wet en de AVG van toepassing respectievelijk van overeenkomstige toepassing zijn, en waarvoor de Minister van Defensie de verwerkingsverantwoordelijke is in de zin van de AVG.

  • 2. In afwijking van het eerste lid, is deze regeling niet van toepassing op verwerkingen welke ingevolge artikel 3, derde lid, van de wet door de minister van Defensie zijn aangewezen.

Artikel 1.3 Beheerder

  • 1. Als AVG-beheerder worden aangewezen:

    • a. de plaatsvervangend Secretaris-Generaal voor verwerkingen binnen de bestuursstaf alsmede defensiebrede verwerkingen;

    • b. de Commandant Koninklijke marechaussee voor verwerkingen binnen de Koninklijke marechaussee;

    • c. de Commandant Zeestrijdkrachten voor verwerkingen binnen het operationeel commando der zeestrijdkrachten;

    • d. de Commandant Luchtstrijdkrachten voor verwerkingen binnen het operationeel commando der luchtstrijdkrachten;

    • e. de Commandant Landstrijdkrachten voor verwerkingen binnen het operationeel commando der landstrijdkrachten;

    • f. de Commandant Defensie Ondersteuningscommando voor verwerkingen binnen het defensie ondersteuningscommando;

    • g. de Directeur Defensie Materieel Organisatie voor verwerkingen binnen de defensie materieel organisatie.

  • 2. Een AVG-beheerder kan de aan hem belaste zorg voor de naleving van de AVG en de wet geheel of gedeeltelijk opdragen aan een AVG-onderbeheerder binnen zijn onderdeel. Hij doet hiervan mededeling aan de functionaris voor gegevensbescherming.

  • 3. De AVG-beheerder, dan wel de AVG-onderbeheerder, wijst binnen zijn dienstonderdeel één of meer AVG-coördinatoren aan die de uitvoering van de AVG en de wet en de feitelijke handelingen die daarvoor nodig zijn, binnen zijn dienstonderdeel coördineert. Hij doet hiervan mededeling aan de functionaris voor gegevensbescherming.

  • 4. De AVG-beheerder rapporteert jaarlijks vóór 1 januari aan de functionaris voor gegevensbescherming over de naleving van de AVG en de wet binnen zijn onderdeel.

  • 5. De AVG-coördinator registreert alle verwerkingen van persoonsgegevens conform het gestelde in artikel 2.2 van deze regeling.

  • 6. Voor die verwerkingen ten aanzien waarvan dit artikel niet in een aanwijzing van AVG-beheerder voorziet, kan de Secretaris-Generaal alsnog een AVG-beheerder aanwijzen.

Artikel 1.4 Verwerker

  • 1. Indien een AVG-beheerder, dan wel een AVG-onderbeheerder, persoonsgegevens laat verwerken door een verwerker, dan wel indien de minister optreedt als verwerker voor een externe verwerkingsverantwoordelijke, vindt verwerking van persoonsgegevens slechts plaats indien voorafgaand daaraan de uitvoering van de verwerkingen door de verwerker is geregeld in een overeenkomst tussen de verwerkingsverantwoordelijke en verwerker dan wel krachtens een andere rechtshandeling waardoor een verbintenis is ontstaan tussen de verwerker en de verwerkingsverantwoordelijke.

  • 2. De overeenkomst of rechtshandeling bevat in ieder geval een regeling over:

    • a. de in artikel 28, derde lid, van de AVG bedoelde gegevens;

    • b. de rol en positie van partijen;

    • c. de werkzaamheden waarop de overeenkomst betrekking heeft en het toegestane gebruik van persoonsgegevens door de verwerker, en

    • d. een afdoende beveiliging van persoonsgegevens door de verwerker en de overige zorgplichten van de verwerker.

  • 3. De overeenkomst of rechtshandeling wordt schriftelijk vastgelegd en wordt opgenomen in het in artikel 2.1 van deze regeling bedoelde register van verwerkingsactiviteiten.

Artikel 1.5 Functionaris voor gegevensbescherming

  • 1. Er is een functionaris voor gegevensbescherming.

  • 2. De functionaris voor gegevensbescherming vervult binnen het ministerie van Defensie de in artikel 39 AVG bedoelde taken ten aanzien van verwerkingen van persoonsgegevens door de verwerkingsverantwoordelijke en ziet voorts toe op de afwikkeling van klachten en het evalueren van incidenten ter zake van het verwerken van persoonsgegevens binnen het ministerie van Defensie. Wanneer een klacht terzake van het verwerken van persoonsgegevens bij het ministerie van Defensie wordt ingediend, wordt de functionaris voor gegevensbescherming door de klachtbehandelaar hiervan op de hoogte gesteld.

  • 3. De functionaris voor gegevensbescherming rapporteert jaarlijks aan de minister over de naleving van de AVG en de wet binnen het ministerie.

  • 4. De functionaris voor gegevensbescherming beschikt voor de uitoefening van het toezicht als bedoeld in artikel 39, eerste lid, onder b, van de AVG over de bevoegdheden als bedoeld in Afdeling 5.2 van de Algemene wet bestuursrecht. De functionaris voor gegevensbescherming maakt van zijn bevoegdheden slechts gebruik voor zover dat redelijkerwijs voor de vervulling van zijn taak nodig is.

  • 5. Een ieder die werkzaam is onder het gezag van de minister alsmede een verwerker of eenieder die onder het gezag van een verwerker persoonsgegevens verwerkt, is verplicht aan de functionaris voor gegevensbescherming alle medewerking te verlenen die deze redelijkerwijs kan vorderen bij de uitoefening van zijn bevoegdheden, tenzij een geheimhoudingsplicht uit hoofde van een wettelijk voorschrift daaraan in de weg staat.

  • 6. Contacten met de Autoriteit persoonsgegevens geschieden door tussenkomst van de functionaris voor gegevensbescherming.

Paragraaf 2. Register van verwerkingsactiviteiten ministerie van Defensie

Artikel 2.1 Register van verwerkingsactiviteiten ministerie van Defensie

Er is een register van verwerkingsactiviteiten, als bedoeld in artikel 30 AVG, van het ministerie van Defensie.

Artikel 2.2 Registratie verwerkingsactiviteiten

  • 1. De AVG-coördinator registreert verwerkingen van persoonsgegevens voordat met de verwerking wordt begonnen in het register van de verwerkingsactiviteiten als bedoeld in artikel 2.1 van deze regeling.

  • 2. De AVG-coördinator registreert wijzigingen ten aanzien van een verwerking, zo mogelijk voor aanvang van de wijziging, in het register als bedoeld in artikel 2.1 van deze regeling.

  • 3. Het register omvat in ieder geval:

    • a. de in artikel 30, eerste lid, van de AVG bedoelde gegevens;

    • b. indien van toepassing, een afschrift van de afspraken als bedoeld in artikel 28, derde lid, van de AVG met een verwerker;

    • c. indien van toepassing een afschrift van de Privacy Impact Assessment, bedoeld in artikel 3 van deze regeling;

    • d. informatie over de grondslag van de verwerking.

Paragraaf 3. Gevensbeschermingseffectbeoordeling/Privacy Impact Assessment (PIA)

Artikel 3

  • 1. Een Privacy Impact Assessment wordt geïnitieerd:

    • a. door de proceseigenaar van een IT-dienst bij de ontwikkeling van een IT-dienst waarmee verwerking van persoonsgegevens is gemoeid die waarschijnlijk een hoog risico inhouden voor de rechten en vrijheden van betrokkenen; of

    • b. door de betrokken beleidsdirectie bij de ontwikkeling van beleid en regelgeving waaruit verwerkingen van persoonsgegevens voortvloeien.

  • 2. De Privacy Impact Assessment wordt conform het Model gegevensbeschermingseffect-beoordeling rijksdienst (PIA) uitgevoerd.

  • 3. Na het doorlopen van de Privacy Impact Assessment wordt het advies ingewonnen van de functionaris voor gegevensbescherming.

  • 4. Wanneer naar het oordeel van de functionaris voor gegevensbescherming uit de Privacy Impact Assessment blijkt dat de verwerking een hoog risico als bedoeld in artikel 36, eerste lid, AVG oplevert, wordt de Autoriteit persoonsgegevens geraadpleegd, door tussenkomst van de functionaris voor gegevensbescherming.

  • 5. De vaststelling van de Privacy Impact Assessment geschiedt door de in het eerste lid, bedoelde functionaris.

  • 6. Een afschrift van de vastgestelde Privacy Impact Assessment wordt gezonden aan de functionaris voor gegevensbescherming en de hoofddirecteur bedrijfsvoering.

Paragraaf 4. Melden datalek

Artikel 4.1 Aan de Autoriteit persoonsgegevens

  • 1. De AVG-beheerder, de AVG-onderbeheerder, dan wel de AVG-coördinator meldt een datalek als bedoeld in artikel 33, eerste lid, van de AVG aan de Autoriteit persoonsgegevens. Hij stuurt een kopie daarvan aan de functionaris voor gegevensbescherming.

  • 2. De melding bevat in ieder geval de in artikel 33, derde lid, van de AVG genoemde gegevens.

  • 3. De AVG-beheerder, de AVG-onderbeheerder, dan wel de AVG-coördinator doet de melding binnen 72 uur nadat hij kennis heeft genomen van het datalek.

  • 4. De in het eerste lid bedoelde functionaris houdt een overzicht bij van de aan de Autoriteit persoonsgegevens gedane meldingen.

Artikel 4.2 Aan de betrokkene

  • 1. Tenzij een van de voorwaarden, genoemd in artikel 34, derde lid, van de AVG zich voordoet, deelt de AVG-beheerder, de AVG-onderbeheerder, dan wel de AVG-coördinator de betrokkene een datalek als bedoeld in artikel 33, eerste lid, van de AVG onverwijld mee wanneer de inbreuk waarschijnlijk een hoog risico voor de rechten en vrijheden van betrokkene inhoudt.

  • 2. De mededeling geschiedt conform artikel 34, tweede lid, AVG en bevat de in artikel 34, tweede lid, AVG genoemde gegevens.

Paragraaf 5. Rechten van betrokkene

Artikel 5.1 Informatieverstrekking aan de betrokkene

  • 1. Wanneer persoonsgegevens bij de betrokkene worden verzameld deelt de AVG-beheerder, de AVG-onderbeheerder, dan wel de AVG-coördinator de betrokkene de informatie mede conform artikel 13 van de AVG tenzij de betrokkene reeds over de informatie beschikt.

  • 2. Wanneer persoonsgegevens niet van betrokkene zijn verkregen, deelt de AVG-beheerder, de AVG-onderbeheerder, dan wel de AVG-coördinator de betrokkene de informatie mede conform artikel 14 van de AVG tenzij zich een van de uitzonderingsgronden voordoet als bedoeld in het vijfde lid van artikel 14 AVG.

Artikel 5.2 Rechten van betrokkene

  • 1. Betrokkene kan verzoeken betreffende de uitoefening van de aan hem toegekende rechten als bedoeld in de artikelen 15 tot en met 22 van de AVG richten aan:

    • a. het dienstencentrum human resources van de divisie personeel & organisatie van het defensie ondersteuningscommando indien het betreft personeelsgegevens van medewerkers in actieve dienst of persoonsgegevens van ingeschrevenen voor de dienstplicht;

    • b. de afdeling semi-statisch informatiebeheer van het joint IV commando van de defensie materieel organisatie indien het betreft personeelsgegevens van oud-defensiepersoneel of oud-dienstplichtigen;

    • c. de defensie gezondheidsorganisatie van het defensie ondersteuningscommando indien het betreft persoonsgegevens gerelateerd aan medische dossiers of medische keuringen;

    • d. het dienstencentrum personeelslogistiek van de divisie personeel & organisatie van het defensie ondersteuningscommando indien het betreft persoonsgegevens van sollicitanten;

    • e. de AVG-beheerder dan wel de AVG-onderbeheerder van de Koninklijke marechaussee indien het betreft persoonsgegevens welke worden verwerkt op basis van de onder de AVG vallende politietaken van de Koninklijke marechaussee;

    • f. de AVG-beheerder, de AVG-onderbeheerder dan wel AVG-coördinator van het betrokken dienstonderdeel ten aanzien van de overige verzoeken.

  • 2. De ingevolge het eerste lid met de behandeling van het verzoek belaste functionaris beslist op het verzoek en draagt zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker.

  • 3. Ten aanzien van verzoeken met een principieel beleidsmatig of een politiek gevoelig karakter kan de AVG-beheerder van de bestuursstaf door tussenkomst van de AVG-coördinator van de bestuursstaf besluiten zelf hierover een beslissing te nemen.

  • 4. Een verzoek als bedoeld in het eerste lid kan, onder overlegging van een bijzondere daartoe strekkende schriftelijke machtiging, namens de betrokkene worden gedaan door diens advocaat. Een verzoek als bedoeld in het eerste lid kan, onder overlegging van een bijzondere daartoe strekkende schriftelijke machtiging, namens de betrokkene eveneens worden gedaan door een ander. Mededelingen aan een dergelijke gemachtigde vinden niet plaats indien aangenomen kan worden dat deze mede een zelfstandig belang heeft bij de mede te delen gegevens of indien tegen hem ernstige bezwaren bestaan.

  • 5. Indien een verzoek als bedoeld in het eerste lid, wordt ingediend bij een functionaris die op grond van het eerste lid niet is belast met de behandeling van het verzoek, zendt hij het verzoek door aan de functionaris die dat op grond van het eerste lid wel is.

  • 6. Op een verzoek als bedoeld in het eerste lid wordt binnen een maand beslist. Wanneer aan het verzoek gevolg wordt gegeven, kan de termijn met nog eens twee maanden worden verlengd afhankelijk van de complexiteit van het verzoek of van het aantal verzoeken. Betrokkene wordt hierover schriftelijk geïnformeerd.

Artikel 5.3 Bezwaar tegen besluit artikel 5.2, vijfde lid

  • 1. Het besluit als bedoeld in artikel 5.2, vijfde lid, bevat de mededeling dat bezwaar gemaakt kan worden en aan wie het bezwaar gericht dient te zijn.

  • 2. Binnen zes weken na de dag van verzending van een besluit als bedoeld in artikel 5.2, vijfde lid, kan een ieder wiens belang rechtstreeks bij dit besluit is betrokken, bezwaar maken.

Paragraaf 6 Beveiliging en beheer

Artikel 6

De te treffen technische en organisatorische maatregelen dienen te zorgen voor een passend niveau van beveiliging van persoonsgegevens tegen verlies en onrechtmatige verwerking.

Paragraaf 7 Audit

Artikel 7

  • 1. De audit dienst rijk kan, al dan niet op verzoek van de functionaris voor gegevensbescherming of een AVG-beheerder, en al dan niet periodiek, een audit uitvoeren naar de naleving van de AVG en deze regeling en zal hierover rapporteren.

  • 2. Het in het eerste lid bedoelde verzoek wordt door een AVG-beheerder niet gedaan dan na overleg met de functionaris voor gegevensbescherming.

  • 3. Wanneer de audit dienst rijk het voornemen heeft een audit te verrichten, wordt de functionaris voor gegevensbescherming hiervan op de hoogte gesteld.

Paragraaf 8 Aanwijzing

Artikel 8

De Secretaris-Generaal kan nadere aanwijzingen geven ter uitvoering van het bepaalde in deze regeling.

Paragraaf 9 Slotbepalingen

Artikel 9.1 Inwerkingtreding

Deze regeling treedt in werking met ingang van 25 mei 2018.

Artikel 9.2 Citeertitel

Deze regeling wordt aangehaald als: Regeling AVG Defensie.

Deze regeling zal met de toelichting worden geplaatst in de Staatscourant en in de serie Ministeriële publicaties.

’s-Gravenhage, 15 mei 2018

De Staatssecretaris van Defensie, B. Visser

TOELICHTING

Algemeen

Met ingang van 25 mei 2018 is van toepassing de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/4/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119). Deze Algemene verordening Gegevens-bescherming (AVG) gaat samen met de Uitvoeringswet AVG (hierna: de wet) het algemene juridische kader vormen met betrekking tot de bescherming van persoonsgegevens in Nederland.

De AVG en de Uitvoeringswet AVG vervangen met ingang van die datum respectievelijk de richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (richtlijn 95/46/EG) en de Wet bescherming persoonsgegevens (Wbp).

Ter uniforme regeling van het beheer van persoonsgegevens binnen het ministerie van Defensie is indertijd de Regeling Wet bescherming persoonsgegevens ministerie van Defensie tot stand gebracht. Hoewel de structuur van deze regeling grotendeels in tact kan blijven, is herziening noodzakelijk in verband met de komst van de nieuwe privacywetgeving.

Ter implementatie van de AVG binnen Defensie is in 2017 door de hoofddirectie bedrijfsvoering een programmaplan opgesteld. Dit plan behelst een aantal maatregelen ten einde de naleving van de AVG binnen het ministerie van Defensie te borgen. Zo betreft een van de deelprojecten de introductie bij Defensie van een reeds bij het ministerie van Economische Zaken en Klimaat in gebruik zijnde tool voor een register voor verwerkingsactiviteiten. Een van de andere in het programmaplan genoemde maatregelen betreft de tot stand brenging van een nieuwe Regeling AVG Defensie welke in de plaats komt van de huidige Regeling Wet bescherming persoonsgegevens ministerie van Defensie.

Kortgezegd worden in de onderhavige regeling de taken en bevoegdheden beschreven van diegenen die zorg dragen voor de naleving van de AVG binnen hun dienstonderdeel. Daarnaast bevat de regeling een op de functionaris voor gegevensbescherming van het ministerie van Defensie betrekking hebbend artikel. Hierin worden onder meer de bevoegdheden van deze functionaris geregeld. Voorts voorziet de regeling in de instelling van een register van verwerkingsactiviteiten van het ministerie van Defensie alsmede in een regeling met betrekking tot het registreren van de verwerkingsactiviteiten in dit register.

Artikelsgewijs

Artikel 1.1 Begrippen en definities

Het is uit oogpunt van wetgevingstechniek niet wenselijk definities uit de AVG letterlijk over te schrijven in de begripsbepalingen van de onderhavige regeling. Bepaalde begrippen uit de AVG komen in de onderhavige (hoofdzakelijk interne) regeling echter regelmatig terug. In de begripsbepalingen van de onderhavige regeling, wordt daarbij dan verwezen naar de definities in artikel 4 van de AVG.

In de definitiebepalingen in artikel 1 is een aantal specifiek voor de uitvoering van de onderhavige regeling relevante functionarissen opgenomen, zoals verwerkingsverantwoordelijke, AVG-beheerder en functionaris voor gegevensbescherming. Daarnaast vervullen, voortvloeiende uit hun taken ingevolge de organisatieregelingen van Defensie, verscheidene Defensie-dienstonderdelen taken in relatie tot de AVG.

Zo is de hoofddirectie bedrijfsvoering beleidsverantwoordelijk voor de implementatie van de AVG. In dat kader is onder meer een projectmanager Implementatie AVG Defensie aangesteld.

De defensieonderdelen zijn er voor verantwoordelijk dat bij de uitvoering van hun werkzaamheden de AVG en het ter zake geformuleerde beleid in acht wordt genomen.

De onder de centrale organisatie integriteit defensie ressorterende Adviseur AVG is belast met de centrale coördinatie van alle activiteiten die verband houden met de naleving en toepassing van de AVG binnen Defensie door onder andere het adviseren over het te voeren beleid in het algemeen en het bewaken van de beleidsuitvoering daarvan, met het ondersteunen van de defensieonderdelen bij de uitvoering en naleving van de AVG en met de coördinatie en deskundigheidsbevordering van met name de AVG-coördinatoren.

De directie juridische zaken is belast met specifieke en tweedelijns juridische advisering, de advisering inzake defensiebrede juridische beleidsvorming en de juridische advisering omtrent vraagstukken van (politiek) principiële aard.

De functionaris voor gegevensbescherming is belast met het toezicht op de uitvoering van de AVG conform het bepaalde in artikel 1.5 van deze regeling.

De auditdienst rijk is belast met het uitvoeren van audits (artikel 7 van deze regeling).

Artikel 1.2 Reikwijdte

De regeling is van toepassing op alle verwerkingen van persoonsgegevens waarop de wet en de AVG van toepassing respectievelijk van overeenkomstige toepassing zijn en waarvoor de Minister van Defensie de verwerkingsverantwoordelijke is in de zin van de AVG. Dit laatste impliceert dat de regeling niet van toepassing is op verwerking van persoonsgegevens door Defensie waar de wet en de AVG niet van (overeenkomstige) toepassing is. Dit is het geval bij de verwerking van persoonsgegevens door de militaire inlichtingen- en veiligheidsdienst. Voorts valt buiten de werking van de AVG (en daarmee ook buiten de werking van deze regeling) de verwerking van persoonsgegevens door de Koninklijke marechaussee met het oog op de uitvoering van de politietaak, als bedoeld in artikel 4 van de Politiewet 2012. Dit laatste weer met uitzondering van verwerking van persoonsgegevens in het kader van taken met betrekking tot de uitvoering van de vreemdelingenwetgeving en het toezicht op de naleving van wetgeving. Hierop is de AVG (en de onderhavige regeling) wel van toepassing. Voorts is de onderhavige regeling niet van toepassing op verwerkingen die ingevolge artikel 3, derde lid, van de wet door de minister van Defensie zijn aangewezen. Dat wil zeggen verwerkingen in het kader van daadwerkelijke operationele inzet van de krijgsmacht ter uitvoering van de in artikel 97 Grondwet omschreven taken en waarvan de minister van Defensie heeft bepaald dat daarop de bepalingen van de AVG niet onverkort van toepassing kunnen zijn.

Op dergelijke verwerkingen waarop de AVG derhalve niet integraal van toepassing kan zijn, leent ook toepassing van de onderhavige regeling zich niet goed.

Uit een aanwijzing ex. artikel 3, derde lid, van de wet in combinatie met artikel 1.2, eerste lid, vloeit al voort dat deze regeling op deze verwerkingen niet van toepassing is. Omdat ingevolge artikel 3, derde lid, van de wet door de minister van Defensie kan worden bepaald dat de wet en de AVG slechts gedeeltelijk niet van (overeenkomstige) toepassing zijn, is om ieder misverstand te voorkomen expliciet in het tweede lid van artikel 1.2 bepaald dat de onderhavige regeling hierop niet van toepassing is.

Artikel 1.3 Beheer

Het bestaande systeem met betrekking tot het beheer wordt gecontinueerd. Artikel 1.3 bevat de aanwijzing van de hoofden van de defensieonderdelen welke namens de minister van Defensie belast zijn met de zorg voor de naleving van de AVG en de wet ten aanzien van verwerkingen die gevoerd worden binnen het defensieonderdeel. De AVG-beheerder kan de zorgplicht geheel of gedeeltelijk opdragen aan een AVG-onderbeheerder binnen zijn defensieonderdeel. Hieruit voortvloeiend is aan AVG-beheerders c.q. AVG-onderbeheerders ingevolge de onderhavige regeling een aantal taken toebedeeld. De AVG-beheerder dan wel de AVG-onderbeheerder dient een AVG-coördinator aan te wijzen die de uitvoering van de AVG en de wet en de feitelijke handelingen die daarvoor nodig zijn binnen het dienstonderdeel coördineert. Nieuw ten opzichte van de huidige regeling is dat, indien gewenst, ook meerdere AVG-coördinatoren binnen een dienstonderdeel kunnen worden aangewezen. De AVG-onderbeheerders en de AVG-coördinatoren dienen te worden gemeld bij de functionaris voor gegevensbescherming zodat deze laatste weet wie bij het betreffende dienstonderdeel kan worden benaderd.

De regeling bevat een bepaling voor verwerkingen ten aanzien waarvan artikel 1.3 niet in een aanwijzing van een AVG-beheerder voorziet. Denkbaar is dat in de toekomst een nieuw onderdeel deel gaat uitmaken van de defensieorganisatie. In die situatie kan de Secretaris-Generaal alsnog (vooruitlopend op een wijziging van de onderhavige regeling) een AVG-beheerder aanwijzen. Ook blijft de verwerkingsverantwoordelijke (minister) bevoegd de uit de AVG voortvloeiende bevoegdheden van een verwerkingsverantwoordelijke zelf uit te oefenen indien dit in voorkomend geval wenselijk mocht zijn en blijft de minister als verwerkingsverantwoordelijke bevoegd om ten aanzien van bepaalde gegevensverwerkingen te voorzien in een bijzondere aanwijzing als AVG-beheerder.

Artikel 1.4 Verwerker

In artikel 1.4 van de onderhavige regeling wordt de positie van de verwerker geregeld. In de AVG is de verwerker gedefinieerd als een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan al dan niet een derde die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

De verwerking door een verwerker dient te worden geregeld in een overeenkomst tussen de verwerkingsverantwoordelijke en verwerker dan wel krachtens een andere rechtshandeling waardoor een verbintenis ontstaat tussen de verwerker en de verwerkingsverantwoordelijke.

In de overeenkomst wordt in het bijzonder geregeld de in artikel 28, derde lid, AVG genoemde aspecten. Hierbij moet onder meer worden gedacht aan het bijstand verlenen door de verwerker aan de verantwoordelijke bij: a. de beveiliging van persoonsgegevens (zoals de melding van inbreuken op de persoonsgegevens) of b. de beantwoording van verzoeken om uitoefening van de hoofdstuk 3 van de AVG genoemde rechten (zoals inzageverzoeken). Maar ook het waarborgen dat de tot verwerking van persoonsgegevens gemachtigde personen worden gebonden tot vertrouwelijkheid behoort tot de te regelen onderwerpen, alsmede dat verwerking van persoonsgegevens uitsluitend geschiedt op basis van schriftelijke instructie van de verwerkingsverantwoordelijke. In bepaalde gevallen wordt bij het opstellen van de verwerkersovereenkomst gebruik gemaakt van een modelverwerkingsovereenkomst.

Artikel 1.5 Functionaris voor gegevensbescherming

Onder de AVG wordt voor overheidsorganisaties de aanstelling van een functionaris voor gegevensbescherming verplicht. Defensie heeft reeds onder het regime van de Wbp een functionaris voor gegevensbescherming aangesteld. In artikel 1.5 van de onderhavige regeling worden de bevoegdheden van deze functionaris geregeld. Bepaald wordt dat de functionaris voor gegevensbescherming voor de uitoefening van het toezicht als bedoeld in artikel 39, eerste lid, onder b, van de AVG beschikt over de bevoegdheden als bedoeld in Afdeling 5.2 van Algemene wet bestuursrecht (Awb). De inzet van deze bevoegdheden door de functionaris voor gegevensbescherming is gebonden aan het beperkende voorschrift in titel 5:2 Awb waarin is aangegeven dat een toezichthouder van deze bevoegdheden slechts gebruik mag maken voor zover dat redelijkerwijs voor de vervulling van zijn taak nodig is. Om het toezicht daadwerkelijk te effectueren is in het vijfde lid van artikel 1.5 de verplichting opgenomen om medewerking te kunnen vorderen van een ieder, die voor of namens de minister persoonsgegevens verwerkt. In het zesde lid is vastgelegd dat contacten met de Autoriteit persoonsgegevens geschieden door tussenkomst van de functionaris voor gegevensbescherming. Volledigheidshalve zij opgemerkt dat dit niet betekent dat de melding van datalekken aan de Autoriteit persoonsgegevens door tussenkomst van de functionaris voor gegevensbescherming moet plaatsvinden. De melding geschiedt op grond van artikel 4.1 namens de verwerkingsverantwoordelijke door de AVG-beheerder, de AVG-onderbeheerder dan wel de AVG-coördinator. Een en ander is in lijn met de formulering van artikel 33, eerste lid, AVG.

Artikel 2.1 en 2.2 Register van verwerkingsactiviteiten ministerie van Defensie

De onder de Wbp bestaande verplichting om bepaalde gegevensverwerkingen te melden bij de Autoriteit persoonsgegevens (dan wel de Functionaris voor Gegevensbescherming) is met het van kracht worden van de AVG te vervallen. Daarvoor in de plaats komt ingevolge artikel 30 AVG de plicht voor de gegevensverantwoordelijke om een register bij te houden van de onder zijn verantwoordelijkheid vallende verwerkingsactiviteiten. Zoals in het algemeen deel van deze toelichting reeds is verwoord, betreft een van de deelprojecten van het programmaplan implementatie AVG Defensie de introductie bij Defensie van een reeds bij het ministerie van Economische Zaken en Klimaat in gebruik zijnde tool voor een register van verwerkingsactiviteiten. Dit hulpmiddel is verworven ter ondersteuning van de AVG-(onder-) beheerders bij hun registraties van verwerkingsactiviteiten en om deze registraties te uniformeren en te vergemakkelijken. Het register zal gaan fungeren als het register van verwerkingsactiviteiten, als bedoeld in artikel 30 AVG, van het ministerie van Defensie. Voordat met een verwerking wordt begonnen, registreert de AVG-coördinator de verwerking in het register. In het register moet een aantal gegevens in ieder geval worden opgenomen. Het gaat daarbij onder andere om contactgegevens van de verantwoordelijke en de functionaris voor gegevensbescherming, de verwerkingsdoeleinden, een beschrijving van de categorieën betrokkenen, de categorieën van te verwerken gegevens en de categorieën ontvangers.

Artikel 3 Gegevensbeschermingseffectbeoordeling / Privacy Impact Assessment

De Regeling Wet bescherming persoonsgegevens ministerie van Defensie bevatte reeds in artikel 2.5 een bepaling met betrekking tot het in bepaalde gevallen verrichten van een Privacy Impact Assessment (PIA). De plicht tot het vervullen van een PIA vloeide voort uit het regeerakkoord van het kabinet Rutte II en de motie van het lid Franken (Kamerstukken I 2010–2011, 31 051, nr. D). Ter nadere invulling daarvan werd door de Minister van Wonen en Rijksdienst in juni 2013 aan het parlement toegezonden het Toetsmodel Privacy Impact Assessment Rijksdienst.

Met de komst van de AVG is in de nieuwe privacywetgeving zelf de verplichting opgenomen tot het verrichten van een PIA wanneer een verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen (artikel 35 AVG), zoals grote verwerkingsbestanden, de verwerking van biometrische gegevens of grootschalige camera/beeldopnamen.

Naar aanleiding van een evaluatie van het Toetsmodel Privacy Impact Assessment Rijksdienst is een nieuw model gegevensbeschermingseffectbeoordeling rijksdienst (PIA) opgesteld en door de minister van Binnenlandse Zaken en Koninkrijksrelaties in september 2017 aan het parlement aangeboden. Het model is verplicht voor de gehele rijksdienst en is toegesneden op de nieuwe Europese privacyregels zoals die zijn vervat in de AVG. Dit model wordt ook één op één bij Defensie toegepast.

Een PIA wordt geïnitieerd door de proceseigenaar van een IT-dienst bij de ontwikkeling van een IT-dienst waarmee verwerking van persoonsgegevens is gemoeid die waarschijnlijk een hoog risico inhouden voor de rechten en vrijheden van betrokkenen. De term proceseigenaar wordt gehanteerd in (de uitvoeringsbepalingen van) het Defensie beveiligingsbeleid en betreft de voor de accreditatie van een IT-dienst verantwoordelijke functionaris die bepaalt welk doel een bepaalde IT-dienst heeft en hoe deze IT-dienst eruit komt te zien. De proceseigenaar van de IT-dienst zal doorgaans voor wat betreft de uitvoering van de PIA een beroep doen op (een risico-analist van) de defensie materieel organisatie. Hiermee wordt synergie beoogd omdat deze ook zijn belast met het opstellen van risicoanalyses vanuit het defensie beveiligingsbeleid bij het accrediteren van IT-diensten. Maar in voorkomend geval kan voor de uitvoering ook een beroep op een andere partij worden gedaan.

Voorts kan een PIA worden geïnitieerd door de betrokken beleidsdirectie in het geval van de ontwikkeling van beleid en regelgeving waaruit verwerkingen van persoonsgegevens voortvloeien. Hierbij moet worden gedacht aan het (laten) uitvoeren van een PIA door bijvoorbeeld de directie juridische zaken of de hoofddirectie personeel in het kader van de totstandbrenging van regelgeving waaruit verwerkingen van persoonsgegevens voortvloeien.

Na het doorlopen van de PIA wordt het advies ingewonnen van de functionaris voor gegevensbescherming. Wanneer uit de PIA blijkt dat een verwerking een hoog risico zou opleveren indien geen maatregelen worden genomen om het risico te beperken, dient op grond van artikel 36, eerste lid, van de AVG de Autoriteit persoonsgegevens voorafgaand aan de verwerking te worden geraadpleegd. In artikel 3, derde lid, van de onderhavige regeling is vastgelegd dat de raadpleging dient te geschieden door tussenkomst van de functionaris voor gegevensbescherming.

Artikel 4.1 en 4.2 Melden datalek

De AVG bevat in de artikelen 33 en 34, net als de Wbp in artikel 34a, een regeling met betrekking tot de melding van datalekken en komt ook grotendeels overeen met de bestaande regeling in artikel 34a Wbp.

Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, dient deze binnen 72 uur aan de Autoriteit persoonsgegevens te worden gemeld. Ingevolge artikel 33, derde lid, AVG wordt kortgezegd in ieder geval mede gedeeld a. de aard van de inbreuk (en waar mogelijk de categorieën van betrokkenen en het aantal betrokkenen), b. de contactgegevens van de functionaris voor gegevensbescherming, c. de waarschijnlijke gevolgen van de inbreuk, alsmede d. de voorgestelde of genomen maatregelen om de inbreuk op de persoonsgegevens aan te pakken.

Bij datalekken wordt binnen defensie de procedure zoals vastgelegd in de SG-aanwijzing 005 gehanteerd. Indien een defensiemedewerker een datalek ontdekt of veroorzaakt, meldt deze dat direct telefonisch bij het defensie operatie centrum en meldt dat binnen 24 uur ook digitaal (via de IV-applicatie Melden van voorvallen) op het defensie-intranetportaal. Tevens informeert de defensiemedewerker de AVG-coördinator van het eigen defensieonderdeel. De datalekmelding gaat, mits ingediend via genoemde IV-applicatie Melden van voorvallen, ook automatisch naar de functionaris voor gegevensbescherming, de adviseur AVG en de AVG-coördinatoren.

De melding aan de Autoriteit persoonsgegevens geschiedt vervolgens door de AVG-beheerder, de AVG-onderbeheerder, dan wel de AVG-coördinator met in kennisstelling van de functionaris voor gegevensbescherming. Op grond van de onderhavige regeling wijzen de AVG-(onder-)beheerders voor hun dienstonderdeel een AVG-coördinator aan. Het ligt in de rede dat de AVG-coördinatoren binnen hun defensieonderdeel in beginsel de meldingen ter hand nemen.

Wanneer het datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen wordt de betrokkene van het datalek onverwijld op de hoogte gesteld. De mededeling dient op grond van artikel 34, tweede lid, AVG in duidelijke en eenvoudige taal de aard van het datalek te omschrijven alsmede de gegevens bedoeld in artikel 33, derde lid, onder b tot en met d, AVG te bevatten. De mededelingsplicht aan betrokkene leidt uitzondering wanneer een van de voorwaarden, genoemd in artikel 34, derde lid, van de AVG, zich voordoet. Daarvan is sprake indien a. er maatregelen zijn getroffen waardoor de betreffende persoonsgegevens onbegrijpelijk zijn voor onbevoegden (versleuteling) b. er achteraf maatregelen getroffen zijn waardoor het hoge risico voor de rechten en vrijheden zich niet meer voordoet, of c. wanneer de mededeling onevenredige inspanningen zou vergen. In dat laatste geval dient betrokkenen door middel van een openbare mededeling of een soortgelijke maatregel te worden geïnformeerd.

Artikel 5.1 Informatieverstrekking aan de betrokkene

De AVG kent, net als de EU-richtlijn uit 1995 en de Wbp, bepalingen met betrekking tot het verstrekken van informatie aan een betrokkene wanneer gegevens over zo’n betrokkene worden verzameld. Op grond van de onderhavige regeling is het aan de AVG-beheerder, dan wel AVG-onderbeheerder, om hieraan invulling te geven voor hun dienstonderdeel. Wanneer gegevens bij de betrokkene worden verzameld, dient de in artikel 13, eerste tot en met derde lid, AVG genoemde informatie aan betrokkene te worden verschaft. Indien de persoonsgegevens niet van betrokkenen zijn verkregen, dient de in artikel 14, eerste, tweede en vierde lid, genoemde informatie te worden verstrekt. In bepaalde gevallen gelden de informatieverplichtingen op grond van artikel 13, vierde lid, en artikel 14, vijfde lid, niet. Het gaat daar met name om de situatie dat betrokkenen reeds over de informatie beschikt.

Artikel 5.2 Rechten van betrokkene

De artikelen 15 tot en met 22 van de AVG bevatten een regeling van de rechten van betrokkenen. Het gaat daarbij om het recht op inzage, op rectificatie, op gegevenswissing, op beperking van de verwerking en het recht op overdraagbaarheid van gegevens. In artikel 5.2 van de onderhavige regeling wordt nader ingegaan op de te volgen procedure binnen defensie en worden regels gesteld met betrekking tot de vaststelling van de identiteit van de verzoeker en doen van verzoeken door een gemachtigde. Het vijfde lid van artikel 5.2 weerspiegelt de in artikel 12, derde en vierde lid, AVG opgenomen regeling met betrekking tot de termijn waarbinnen op het verzoek dient te worden gereageerd. Op een verzoek wordt binnen een maand beslist. Wanneer aan het verzoek gevolg wordt gegeven, kan de termijn met nog eens twee maanden worden verlengd afhankelijk van de complexiteit van het verzoek of van het aantal verzoeken. Betrokkene wordt hierover schriftelijk geïnformeerd.

Artikel 5.3 Bezwaar tegen besluit artikel 5.2, vijfde lid

Een door een bestuursorgaan genomen schriftelijke beslissing op een verzoek als bedoeld in de artikelen 15 tot en met 22 van de AVG geldt ingevolge artikel 34 van de wet als een besluit in de zin van de Algemene wet bestuursrecht. Tegen een besluit als bedoeld in artikel 5.2 van de onderhavige regeling kan dan ook de belanghebbende, wiens belang rechtstreeks bij dit besluit betrokken is, zo nodig bezwaar maken binnen zes weken bij de minister van Defensie.

Artikel 6 Beveiliging en beheer

In artikel 6 van de regeling is vastgelegd dat de te treffen technische en organisatorische maatregelen dienen te zorgen voor een passend niveau van beveiliging van persoonsgegevens tegen verlies en onrechtmatige verwerking. Een en ander betekent dat deze maatregelen in ieder geval dienen te voldoen aan het Besluit voorschrift informatiebeveiliging rijksdienst 2007, het Besluit Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie 2013 (VIRBI 2013), welke voor Defensie overigens zijn door vertaald in het Defensie beveiligingsbeleid. Maar hiernaast kunnen ook besluiten inzake beveiliging van de Autoriteit persoonsgegevens richtinggevend zijn.

Artikel 7 Audit

In artikel 7 van de onderhavige regeling wordt bepaald dat de audit dienst rijk, al dan niet op verzoek van de functionaris voor gegevensbescherming of een AVG-beheerder, en al dan niet periodiek, een audit kan uitvoeren naar de naleving van de AVG en deze regeling. Omdat het niet de bedoeling is dat de functionaris voor gegevensbescherming en de audit dienst rijk zich richten op hetzelfde toezicht object, informeert de audit dienst rijk de functionaris voor de gegevensbescherming wanneer de audit dienst rijk het voornemen heeft een audit te verrichten. Artikel 7 laat overigens onverlet dat hiernaast ter bevordering van de naleving van de AVG binnen het defensieonderdeel een AVG-beheerder zelf een audit laat uitvoeren.

Artikel 8 Aanwijzing SG

De Secretaris-Generaal kan op basis van dit artikel aanwijzingen geven over de vorm en de manier waarop beheerders uitvoering dienen te geven aan de bepalingen van deze regeling. Die aanwijzingen kunnen bijvoorbeeld betrekking hebben op de manier waarop zorg gedragen wordt voor de juistheid, nauwkeurigheid en accuraatheid van de persoonsgegevens.

De Staatssecretaris van Defensie, B. Visser

Naar boven