← Geldende tekst · Geschiedenis

Regeling Wet bescherming persoonsgegevens ministerie van Defensie

Geldende tekst a fecha 2016-05-13

Besluit:

Paragraaf 1. Algemene bepalingen

Artikel 1.1. Begrippen en definities

In deze regeling wordt verstaan onder:

a. Wet: Wet bescherming persoonsgegevens;

b. Minister: Minister van Defensie;

c. persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

d. bijzondere persoonsgegevens: persoonsgegevens als bedoeld in artikel 16 van de wet;

e. verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen, of vernietigen van gegevens;

f. verwerker: een ieder die persoonsgegevens verwerkt in de zin van onderdeel e van dit artikel;

g. meldingsformulier: het meldingsformulier als bedoeld in artikel 2.2 van deze regeling;

h. register: register als bedoeld in artikel 2.4 van deze regeling;

i. verantwoordelijke: Minister van Defensie;

j. Wbp-beheerder: het diensthoofd die namens de minister belast is met de zorg voor de naleving van de wet ten aanzien van verwerkingen die gevoerd worden binnen het dienstonderdeel;

k. bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen;

l. gebruiker: degene die bevoegd is gegevens in te zien dan wel in te voeren of te muteren;

m. betrokkene: degene op wie een persoonsgegeven betrekking heeft;

n. derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken;

o. ontvanger: degene aan wie persoonsgegevens worden verstrekt;

p. College bescherming persoonsgegevens of het College: College als bedoeld in artikel 51 van de wet;

q. functionaris gegevensbescherming: de functionaris als bedoeld in artikel 62 van de wet;

r. melding: melding bij de functionaris gegevensbescherming van een verwerking van persoonsgegevens die voor de verwezenlijking van een doeleinde of van verscheidene samenhangende doeleinden bestemd is als bedoeld in artikel 28 van de wet en in artikel 2.2, eerste en tweede lid, van deze regeling;

s. verstrekken van gegevens: het bekend maken of ter beschikking stellen van persoonsgegevens, voor zover zulks geheel of grotendeels steunt op gegevens die verwerkt zijn, of die door verwerking daarvan, al dan niet in verband met andere gegevens, zijn verkregen;

t. Wbp: Wet bescherming persoonsgegevens.

Artikel 1.2. Reikwijdte

Deze regeling is van toepassing op alle verwerkingen van persoonsgegevens waarvoor de Minister van Defensie de verantwoordelijke is in de zin van de wet.

Artikel 1.3. Beheerder

Als Wbp-beheerder worden aangewezen:

a. de plaatsvervangend Secretaris-Generaal voor verwerkingen binnen de bestuursstaf alsmede defensiebrede verwerkingen;

b. de Commandant Koninklijke marechaussee voor verwerkingen binnen de Koninklijke marechaussee;

c. de Commandant Zeestrijdkrachten voor verwerkingen binnen het operationeel commando der zeestrijdkrachten;

d. de Commandant Luchtstrijdkrachten voor verwerkingen binnen het operationeel commando der luchtstrijdkrachten;

e. de Commandant Landstrijdkrachten voor verwerkingen binnen het operationeel commando der landstrijdkrachten;

f. de Commandant Commando Diensten Centra voor verwerkingen binnen het commando diensten centra;

g. de Directeur Defensie Materieel Organisatie voor verwerkingen binnen de defensie materieel organisatie.

Een Wbp-beheerder kan de aan hem belaste zorg voor de naleving van de wet geheel of gedeeltelijk opdragen aan een Wbp-onderbeheerder binnen zijn dienstonderdeel. Hij doet hiervan mededeling aan de functionaris voor de gegevensbescherming.

De Wbp-beheerder, dan wel de Wbp-onderbeheerder, wijst binnen zijn dienstonderdeel een Wbp-coördinator aan die de uitvoering van de wet en de feitelijke handelingen die daarvoor nodig zijn, binnen zijn dienstonderdeel coördineert. Hij doet hiervan mededeling aan de functionaris voor de gegevensbescherming. De Wbp-coördinator neemt deel aan het Wbp-coördinatorenoverleg.

De Wbp-beheerder rapporteert jaarlijks vóór 1 augustus aan de functionaris voor de gegevensbescherming over de naleving van de wet binnen zijn dienstonderdeel.

De Wbp-beheerder,dan wel de Wbp-onderbeheerder, meldt alle verwerkingen van persoonsgegevens bij de functionaris voor de gegevensbescherming conform het gestelde in artikel 2.2 van deze regeling.

De Wbp-beheerder, dan wel de Wbp-onderbeheerder, draagt er zorg voor dat contacten met het College geschieden door tussenkomst van de functionaris voor de gegevensbescherming.

Voor die verwerkingen ten aanzien waarvan dit artikel niet in een aanwijzing van Wbp-beheerder voorziet, kan de Secretaris-Generaal alsnog een Wbp-beheerder aanwijzen.

Artikel 1.4. Bewerker

Indien een Wbp-beheerder, dan wel een Wbp-onderbeheerder, persoonsgegevens laat verwerken door een bewerker, dan wel indien de minister optreedt als bewerker voor een externe verantwoordelijke, vindt verwerking van persoonsgegevens slechts plaats indien voorafgaand daaraan de uitvoering van de verwerkingen door de bewerker is geregeld in een overeenkomst tussen de verantwoordelijke en bewerker dan wel krachtens een andere rechtshandeling waardoor een verbintenis is ontstaan tussen de bewerker en de verantwoordelijke.

De overeenkomst of rechtshandeling bevat in ieder geval een regeling over:

a. de rol en positie van partijen;

b. het, indien toepasselijk, informeren van betrokkenen;

c. de werkzaamheden waarop de overeenkomst betrekking heeft en het toegestane gebruik van persoonsgegevens door de bewerker, en

d. een afdoende beveiliging van persoonsgegevens door de bewerker en de overige zorgplichten van de bewerker.

De overeenkomst of rechtshandeling wordt schriftelijk vastgelegd.

Artikel 1.5. Zorgplicht verwerker

Onverminderd het bepaalde in de wet en in deze regeling draagt een ieder die persoonsgegevens verwerkt zorg voor de juistheid, nauwkeurigheid en accuraatheid van de gegevens.

Artikel 1.6. Functionaris gegevensbescherming

Er is een functionaris voor de gegevensbescherming.

De functionaris voor de gegevensbescherming heeft, naast het houden van toezicht op de verwerking van persoonsgegevens door de verantwoordelijke overeenkomstig het bij of krachtens de wet bepaalde, in ieder geval tot taak:

a. het jaarlijks rapporteren aan de minister over de naleving van de wet binnen het ministerie;

b. het bijhouden van een voor een ieder kosteloos raadpleegbaar meldingenregister;

c. het begeleiden en verzorgen van contacten tussen het ministerie en het college;

d. het, voortvloeiende uit het toezicht, adviseren van de minister en van de beheerders over de toepassing en uitvoering van de wet;

e. het geven van voorlichting over de wet, over de bescherming van de persoonlijke levenssfeer alsmede over de wijze waarop toezicht wordt gehouden;

f. het minstens jaarlijks organiseren van een Wbp-coördinatorenoverleg;

g. het toezien op de afwikkeling van klachten en het evalueren van incidenten terzake van het verwerken van persoonsgegevens binnen Defensie.

De functionaris voor de gegevensbescherming beschikt voor de uitoefening van het toezicht als bedoeld in artikel 64, eerste lid, van de wet over de bevoegdheden als bedoeld in Afdeling 5.2 van de Algemene wet bestuursrecht. De functionaris voor de gegevensbescherming maakt van zijn bevoegdheden slechts gebruik voor zover dat redelijkerwijs voor de vervulling van zijn taak nodig is.

Een ieder die werkzaam is onder het gezag van de minister alsmede een bewerker of eenieder die onder het gezag van een bewerker persoonsgegevens verwerkt, is verplicht aan de functionaris voor de gegevensbescherming alle medewerking te verlenen die deze redelijkerwijs kan vorderen bij de uitoefening van zijn bevoegdheden, tenzij een geheimhoudingsplicht uit hoofde van een wettelijk voorschrift daaraan in de weg staat.

Paragraaf 2. Verwerking van persoonsgegevens

Artikel 2.1. Doelbinding

Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld.

Artikel 2.2. Melding

De Wbp-beheerder, dan wel de Wbp-onderbeheerder, meldt verwerkingen van persoonsgegevens voordat met de verwerking wordt begonnen door middel van het in bijlage opgenomen meldingenformulier Defensie bij de functionaris voor de gegevensbescherming.

De Wbp-beheerder, dan wel de Wbp-onderbeheerder, meldt wijzigingen ten aanzien van een melding, zo mogelijk voor aanvang van de wijziging, doch uiterlijk één week na de wijziging, bij de functionaris voor de gegevensbescherming.

De Wbp-beheerder, dan wel de Wbp-onderbeheerder, beschikt over een Wbp-dossier per gemelde verwerking. Een Wbp-dossier omvat in ieder geval:

a. een afschrift van de gedane melding;

b. indien van toepassing, een afschrift van de afspraken als bedoeld in artikel 14 van de wet met een bewerker;

c. informatie over de locaties, dienstonderdelen en systemen waar de verwerking plaatsvindt;

d. informatie over de grondslag van de verwerking en over de onderdelen van het bedrijfsproces ten behoeve waarvan het verwerken van persoonsgegevens plaatsvindt;

e. informatie die blijk geeft van een afdoende beveiliging van persoonsgegevens;

f. informatie over de toepassing van artikel 43 van de wet.

Artikel 2.3. Melding verwerking met bijzonder risico

Verwerkingen die een bijzonder risico met zich brengen in de zin van artikel 31 van de wet worden als zodanig door de Wbp-beheerder, dan wel de Wbp-onderbeheerder bij de functionaris gegevensbescherming gemeld.

De functionaris gegevensbescherming meldt de ingevolge het eerste lid bij hem gemelde verwerkingen bij het College bescherming persoonsgegevens.

Artikel 2.4. Register

Er is een register dat onder de verantwoordelijkheid van de functionaris gegevensbescherming wordt bijgehouden.

De meldingen worden in ieder geval op het defensie intranet geplaatst.

Artikel 2.5. Privacy Impact Assessment (PIA)

Voorafgaand aan de ontwikkeling van Defensie-wetgeving of Defensie-beleid waarmee de bouw van nieuwe ICT-systemen of de aanleg van grote databestanden wordt voorzien, wordt door de Wbp-beheerder dan wel de Wbp-onderbeheerder een privacy impact assessment uitgevoerd conform het toetsmodel Privacy Impact Assessment Rijksdienst.

Een afschrift van de resultaten van de privacy impact assessment wordt gezonden aan de functionaris voor de gegevensbescherming en de hoofddirecteur bedrijfsvoering.

Paragraaf 3. Rechten van betrokkene

Artikel 3.1. Informatieverstrekking aan de betrokkene

De Wbp-beheerder, dan wel de Wbp-onderbeheerder, deelt de betrokkene de informatie mede conform de artikelen 33 en 34 van de wet tenzij de betrokkene daarvan reeds op de hoogte is.

Artikel 3.2. Recht op kennisneming, correctie en verzet

Betrokkene kan verzoeken betreffende de uitoefening van de aan hem toegekende rechten als bedoeld in de artikelen 35, 36, 40, 41 en 42 van de wet richten aan de Wbp-beheerder dan wel de Wbp-onderbeheerder.

De Wbp-beheerder, dan wel de Wbp-onderbeheerder, draagt zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker.

Een verzoek als bedoeld in het eerste lid kan, onder overlegging van een bijzondere daartoe strekkende schriftelijke machtiging, namens de betrokkene worden gedaan door diens advocaat. Een verzoek als bedoeld in het eerste lid kan, onder overlegging van een bijzondere daartoe strekkende schriftelijke machtiging, namens de betrokkene eveneens worden gedaan door een ander. Mededelingen aan een dergelijke gemachtigde vinden niet plaats indien aangenomen kan worden dat deze mede een zelfstandig belang heeft bij de mede te delen gegevens of indien tegen hem ernstige bezwaren bestaan.

De Wbp-beheerder draagt in voorkomende gevallen zorg voor doorgeleiding van een verzoek van betrokkene aan de Wbp-beheerder(s) dan wel Wbp-onderbeheerder(s) die het verzoek mede aangaan.

Op een verzoek als bedoeld in het eerste lid wordt binnen vier weken beslist.

Artikel 3.3. Bezwaar

Het besluit als bedoeld in artikel 3.2, vijfde lid, bevat de mededeling dat bezwaar gemaakt kan worden en aan wie het bezwaar gericht dient te zijn.

Binnen zes weken na de dag van verzending van een besluit als bedoeld in artikel 3.2, vijfde lid, kan een ieder wiens belang rechtstreeks bij dit besluit is betrokken, bezwaar maken.

Paragraaf 4. Beveiliging en beheer

Artikel 4

De te treffen technische en organisatorische maatregelen dienen te zorgen voor een passend niveau van beveiliging van persoonsgegevens tegen verlies en onrechtmatige verwerking.

Paragraaf 5. Audit

Artikel 5

De Audit Dienst Rijk/Defensie voert, al dan niet op verzoek van de functionaris voor de gegevensbescherming, periodiek een audit uit naar de naleving van de wet en deze regeling.

De Audit Dienst Rijk/Defensie rapporteert periodiek haar bevindingen aan de minister en de functionaris gegevensbescherming.

Paragraaf 6. Aanwijzing

Artikel 6

De Secretaris-Generaal kan nadere aanwijzingen geven ter uitvoering van het bepaalde in deze regeling.

Paragraaf 7. Slotbepalingen

Artikel 7.1. Overgangsrecht

De meldingen aan de functionaris gegevensbescherming van op de datum van inwerkingtreding van deze regeling al bestaande verwerkingen als bedoeld in artikel 2.2, eerste lid, worden gedaan uiterlijk 6 maanden na inwerkingtreding van deze regeling.

De functionaris voor de gegevensbescherming draagt zorg voor intrekking van de bestaande meldingen bij het college zodra vervangende meldingen ontvangen zijn.

Artikel 7.2. Inwerkingtreding

Deze regeling treedt in werking met ingang van 1 september 2009.

Artikel 7.3. Citeertitel

Deze regeling wordt aangehaald als: Regeling Wet bescherming persoonsgegevens ministerie van Defensie.

Bijlage

Meldingenformulier als bedoeld in artikel 2.2, eerste lid, van de Regeling bescherming persoonsgegevens ministerie van Defensie

[ ] Eerste melding

[ ] Doorgeven wijziging eerdere melding (nr. MvD/Wbp/.....)

Deze regeling zal worden geplaatst in de Staatscourant en in de serie Ministeriële publicaties.

Artikel 2.6. Verwijderen van persoonsgegevens

De persoonsgegevens worden verwijderd wanneer deze voor het doel van de verwerking niet meer noodzakelijk zijn.