← Geldende tekst · Geschiedenis

Regeling AVG Defensie

Geldende tekst a fecha 2018-05-25

Besluit:

Paragraaf 1. Algemene bepalingen

Artikel 1.1. Begrippen en definities

In deze regeling wordt verstaan onder:

a. AVG: Verordening (EU) 2016/679 van het Europees parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG;

b. wet: Uitvoeringswet Algemene verordening gegevensbescherming;

c. Minister: Minister van Defensie;

d. persoonsgegevens, verwerking, betrokkene, derde, ontvanger, verwerker: hetgeen daaronder wordt verstaan in artikel 4 van de AVG;

e. Privacy Impact Assessment: gegevensbeschermingseffectbeoordeling als bedoeld in artikel 35 AVG;

f. register: register als bedoeld in artikel 2.1 van deze regeling;

g. verwerkingsverantwoordelijke: Minister van Defensie;

h. AVG-beheerder: het diensthoofd die namens de minister belast is met de zorg voor de naleving van de AVG en de wet ten aanzien van verwerkingen die gevoerd worden binnen het dienstonderdeel;

i. AVG-coördinator: de in artikel 1.3, derde lid, van deze regeling bedoelde functionaris die de uitvoering van de AVG en de wet, en de feitelijke handelingen die daarvoor nodig zijn, binnen het dienstonderdeel coördineert;

i. Autoriteit persoonsgegevens: Autoriteit persoonsgegevens als bedoeld in artikel 6 van de wet;

j. functionaris voor gegevensbescherming: de functionaris voor gegevensbescherming in de zin van artikel 1.5 van deze regeling;

k. inbreuk in verband met persoonsgegevens: inbreuk in verband met persoonsgegevens als bedoeld in artikel 33, eerste lid, AVG.

Artikel 1.2. Reikwijdte

Deze regeling is van toepassing op alle verwerkingen van persoonsgegevens, waarop de wet en de AVG van toepassing respectievelijk van overeenkomstige toepassing zijn, en waarvoor de Minister van Defensie de verwerkingsverantwoordelijke is in de zin van de AVG.

In afwijking van het eerste lid, is deze regeling niet van toepassing op verwerkingen welke ingevolge artikel 3, derde lid, van de wet door de minister van Defensie zijn aangewezen.

Artikel 1.3. Beheerder

Als AVG-beheerder worden aangewezen:

a. de plaatsvervangend Secretaris-Generaal voor verwerkingen binnen de bestuursstaf alsmede defensiebrede verwerkingen;

b. de Commandant Koninklijke marechaussee voor verwerkingen binnen de Koninklijke marechaussee;

c. de Commandant Zeestrijdkrachten voor verwerkingen binnen het operationeel commando der zeestrijdkrachten;

d. de Commandant Luchtstrijdkrachten voor verwerkingen binnen het operationeel commando der luchtstrijdkrachten;

e. de Commandant Landstrijdkrachten voor verwerkingen binnen het operationeel commando der landstrijdkrachten;

f. de Commandant Defensie Ondersteuningscommando voor verwerkingen binnen het defensie ondersteuningscommando;

g. de Directeur Defensie Materieel Organisatie voor verwerkingen binnen de defensie materieel organisatie.

Een AVG-beheerder kan de aan hem belaste zorg voor de naleving van de AVG en de wet geheel of gedeeltelijk opdragen aan een AVG-onderbeheerder binnen zijn onderdeel. Hij doet hiervan mededeling aan de functionaris voor gegevensbescherming.

De AVG-beheerder, dan wel de AVG-onderbeheerder, wijst binnen zijn dienstonderdeel één of meer AVG-coördinatoren aan die de uitvoering van de AVG en de wet en de feitelijke handelingen die daarvoor nodig zijn, binnen zijn dienstonderdeel coördineert. Hij doet hiervan mededeling aan de functionaris voor gegevensbescherming.

De AVG-beheerder rapporteert jaarlijks vóór 1 januari aan de functionaris voor gegevensbescherming over de naleving van de AVG en de wet binnen zijn onderdeel.

De AVG-coördinator registreert alle verwerkingen van persoonsgegevens conform het gestelde in artikel 2.2 van deze regeling.

Voor die verwerkingen ten aanzien waarvan dit artikel niet in een aanwijzing van AVG-beheerder voorziet, kan de Secretaris-Generaal alsnog een AVG-beheerder aanwijzen.

Artikel 1.4. Verwerker

Indien een AVG-beheerder, dan wel een AVG-onderbeheerder, persoonsgegevens laat verwerken door een verwerker, dan wel indien de minister optreedt als verwerker voor een externe verwerkingsverantwoordelijke, vindt verwerking van persoonsgegevens slechts plaats indien voorafgaand daaraan de uitvoering van de verwerkingen door de verwerker is geregeld in een overeenkomst tussen de verwerkingsverantwoordelijke en verwerker dan wel krachtens een andere rechtshandeling waardoor een verbintenis is ontstaan tussen de verwerker en de verwerkingsverantwoordelijke.

De overeenkomst of rechtshandeling bevat in ieder geval een regeling over:

a. de in artikel 28, derde lid, van de AVG bedoelde gegevens;

b. de rol en positie van partijen;

c. de werkzaamheden waarop de overeenkomst betrekking heeft en het toegestane gebruik van persoonsgegevens door de verwerker, en

d. een afdoende beveiliging van persoonsgegevens door de verwerker en de overige zorgplichten van de verwerker.

De overeenkomst of rechtshandeling wordt schriftelijk vastgelegd en wordt opgenomen in het in artikel 2.1 van deze regeling bedoelde register van verwerkingsactiviteiten.

Artikel 1.5. Functionaris voor gegevensbescherming

Er is een functionaris voor gegevensbescherming.

De functionaris voor gegevensbescherming vervult binnen het ministerie van Defensie de in artikel 39 AVG bedoelde taken ten aanzien van verwerkingen van persoonsgegevens door de verwerkingsverantwoordelijke en ziet voorts toe op de afwikkeling van klachten en het evalueren van incidenten ter zake van het verwerken van persoonsgegevens binnen het ministerie van Defensie. Wanneer een klacht terzake van het verwerken van persoonsgegevens bij het ministerie van Defensie wordt ingediend, wordt de functionaris voor gegevensbescherming door de klachtbehandelaar hiervan op de hoogte gesteld.

De functionaris voor gegevensbescherming rapporteert jaarlijks aan de minister over de naleving van de AVG en de wet binnen het ministerie.

De functionaris voor gegevensbescherming beschikt voor de uitoefening van het toezicht als bedoeld in artikel 39, eerste lid, onder b, van de AVG over de bevoegdheden als bedoeld in Afdeling 5.2 van de Algemene wet bestuursrecht. De functionaris voor gegevensbescherming maakt van zijn bevoegdheden slechts gebruik voor zover dat redelijkerwijs voor de vervulling van zijn taak nodig is.

Een ieder die werkzaam is onder het gezag van de minister alsmede een verwerker of eenieder die onder het gezag van een verwerker persoonsgegevens verwerkt, is verplicht aan de functionaris voor gegevensbescherming alle medewerking te verlenen die deze redelijkerwijs kan vorderen bij de uitoefening van zijn bevoegdheden, tenzij een geheimhoudingsplicht uit hoofde van een wettelijk voorschrift daaraan in de weg staat.

Contacten met de Autoriteit persoonsgegevens geschieden door tussenkomst van de functionaris voor gegevensbescherming.

Paragraaf 2. Register van verwerkingsactiviteiten ministerie van Defensie

Artikel 2.1. Register van verwerkingsactiviteiten ministerie van Defensie

Er is een register van verwerkingsactiviteiten, als bedoeld in artikel 30 AVG, van het ministerie van Defensie.

Artikel 2.2. Registratie verwerkingsactiviteiten

De AVG-coördinator registreert verwerkingen van persoonsgegevens voordat met de verwerking wordt begonnen in het register van de verwerkingsactiviteiten als bedoeld in artikel 2.1 van deze regeling.

De AVG-coördinator registreert wijzigingen ten aanzien van een verwerking, zo mogelijk voor aanvang van de wijziging, in het register als bedoeld in artikel 2.1 van deze regeling.

Het register omvat in ieder geval:

a. de in artikel 30, eerste lid, van de AVG bedoelde gegevens;

b. indien van toepassing, een afschrift van de afspraken als bedoeld in artikel 28, derde lid, van de AVG met een verwerker;

c. indien van toepassing een afschrift van de Privacy Impact Assessment, bedoeld in artikel 3 van deze regeling;

d. informatie over de grondslag van de verwerking.

Paragraaf 3. Gevensbeschermingseffectbeoordeling/Privacy Impact Assessment (PIA)

Artikel 3

Een Privacy Impact Assessment wordt geïnitieerd:

a. door de proceseigenaar van een IT-dienst bij de ontwikkeling van een IT-dienst waarmee verwerking van persoonsgegevens is gemoeid die waarschijnlijk een hoog risico inhouden voor de rechten en vrijheden van betrokkenen; of

b. door de betrokken beleidsdirectie bij de ontwikkeling van beleid en regelgeving waaruit verwerkingen van persoonsgegevens voortvloeien.

De Privacy Impact Assessment wordt conform het Model gegevensbeschermingseffect-beoordeling rijksdienst (PIA) uitgevoerd.

Na het doorlopen van de Privacy Impact Assessment wordt het advies ingewonnen van de functionaris voor gegevensbescherming.

Wanneer naar het oordeel van de functionaris voor gegevensbescherming uit de Privacy Impact Assessment blijkt dat de verwerking een hoog risico als bedoeld in artikel 36, eerste lid, AVG oplevert, wordt de Autoriteit persoonsgegevens geraadpleegd, door tussenkomst van de functionaris voor gegevensbescherming.

De vaststelling van de Privacy Impact Assessment geschiedt door de in het eerste lid, bedoelde functionaris.

Een afschrift van de vastgestelde Privacy Impact Assessment wordt gezonden aan de functionaris voor gegevensbescherming en de hoofddirecteur bedrijfsvoering.

Paragraaf 4. Melden datalek

Artikel 4.1. Aan de Autoriteit persoonsgegevens

De AVG-beheerder, de AVG-onderbeheerder, dan wel de AVG-coördinator meldt een datalek als bedoeld in artikel 33, eerste lid, van de AVG aan de Autoriteit persoonsgegevens. Hij stuurt een kopie daarvan aan de functionaris voor gegevensbescherming.

De melding bevat in ieder geval de in artikel 33, derde lid, van de AVG genoemde gegevens.

De AVG-beheerder, de AVG-onderbeheerder, dan wel de AVG-coördinator doet de melding binnen 72 uur nadat hij kennis heeft genomen van het datalek.

De in het eerste lid bedoelde functionaris houdt een overzicht bij van de aan de Autoriteit persoonsgegevens gedane meldingen.

Artikel 4.2. Aan de betrokkene

Tenzij een van de voorwaarden, genoemd in artikel 34, derde lid, van de AVG zich voordoet, deelt de AVG-beheerder, de AVG-onderbeheerder, dan wel de AVG-coördinator de betrokkene een datalek als bedoeld in artikel 33, eerste lid, van de AVG onverwijld mee wanneer de inbreuk waarschijnlijk een hoog risico voor de rechten en vrijheden van betrokkene inhoudt.

De mededeling geschiedt conform artikel 34, tweede lid, AVG en bevat de in artikel 34, tweede lid, AVG genoemde gegevens.

Paragraaf 5. Rechten van betrokkene

Artikel 5.1. Informatieverstrekking aan de betrokkene

Wanneer persoonsgegevens bij de betrokkene worden verzameld deelt de AVG-beheerder, de AVG-onderbeheerder, dan wel de AVG-coördinator de betrokkene de informatie mede conform artikel 13 van de AVG tenzij de betrokkene reeds over de informatie beschikt.

Wanneer persoonsgegevens niet van betrokkene zijn verkregen, deelt de AVG-beheerder, de AVG-onderbeheerder, dan wel de AVG-coördinator de betrokkene de informatie mede conform artikel 14 van de AVG tenzij zich een van de uitzonderingsgronden voordoet als bedoeld in het vijfde lid van artikel 14 AVG.

Artikel 5.2. Rechten van betrokkene

Betrokkene kan verzoeken betreffende de uitoefening van de aan hem toegekende rechten als bedoeld in de artikelen 15 tot en met 22 van de AVG richten aan:

a. het dienstencentrum human resources van de divisie personeel & organisatie van het defensie ondersteuningscommando indien het betreft personeelsgegevens van medewerkers in actieve dienst of persoonsgegevens van ingeschrevenen voor de dienstplicht;

b. de afdeling semi-statisch informatiebeheer van het joint IV commando van de defensie materieel organisatie indien het betreft personeelsgegevens van oud-defensiepersoneel of oud-dienstplichtigen;

c. de defensie gezondheidsorganisatie van het defensie ondersteuningscommando indien het betreft persoonsgegevens gerelateerd aan medische dossiers of medische keuringen;

d. het dienstencentrum personeelslogistiek van de divisie personeel & organisatie van het defensie ondersteuningscommando indien het betreft persoonsgegevens van sollicitanten;

e. de AVG-beheerder dan wel de AVG-onderbeheerder van de Koninklijke marechaussee indien het betreft persoonsgegevens welke worden verwerkt op basis van de onder de AVG vallende politietaken van de Koninklijke marechaussee;

f. de AVG-beheerder, de AVG-onderbeheerder dan wel AVG-coördinator van het betrokken dienstonderdeel ten aanzien van de overige verzoeken.

De ingevolge het eerste lid met de behandeling van het verzoek belaste functionaris beslist op het verzoek en draagt zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker.

Ten aanzien van verzoeken met een principieel beleidsmatig of een politiek gevoelig karakter kan de AVG-beheerder van de bestuursstaf door tussenkomst van de AVG-coördinator van de bestuursstaf besluiten zelf hierover een beslissing te nemen.

Een verzoek als bedoeld in het eerste lid kan, onder overlegging van een bijzondere daartoe strekkende schriftelijke machtiging, namens de betrokkene worden gedaan door diens advocaat. Een verzoek als bedoeld in het eerste lid kan, onder overlegging van een bijzondere daartoe strekkende schriftelijke machtiging, namens de betrokkene eveneens worden gedaan door een ander. Mededelingen aan een dergelijke gemachtigde vinden niet plaats indien aangenomen kan worden dat deze mede een zelfstandig belang heeft bij de mede te delen gegevens of indien tegen hem ernstige bezwaren bestaan.

Indien een verzoek als bedoeld in het eerste lid, wordt ingediend bij een functionaris die op grond van het eerste lid niet is belast met de behandeling van het verzoek, zendt hij het verzoek door aan de functionaris die dat op grond van het eerste lid wel is.

Op een verzoek als bedoeld in het eerste lid wordt binnen een maand beslist. Wanneer aan het verzoek gevolg wordt gegeven, kan de termijn met nog eens twee maanden worden verlengd afhankelijk van de complexiteit van het verzoek of van het aantal verzoeken. Betrokkene wordt hierover schriftelijk geïnformeerd.

Artikel 5.3. Bezwaar tegen besluit artikel 5.2, vijfde lid

Het besluit als bedoeld in artikel 5.2, vijfde lid, bevat de mededeling dat bezwaar gemaakt kan worden en aan wie het bezwaar gericht dient te zijn.

Binnen zes weken na de dag van verzending van een besluit als bedoeld in artikel 5.2, vijfde lid, kan een ieder wiens belang rechtstreeks bij dit besluit is betrokken, bezwaar maken.

Paragraaf 6. Beveiliging en beheer

Artikel 6

De te treffen technische en organisatorische maatregelen dienen te zorgen voor een passend niveau van beveiliging van persoonsgegevens tegen verlies en onrechtmatige verwerking.

Paragraaf 7. Audit

Artikel 7

De audit dienst rijk kan, al dan niet op verzoek van de functionaris voor gegevensbescherming of een AVG-beheerder, en al dan niet periodiek, een audit uitvoeren naar de naleving van de AVG en deze regeling en zal hierover rapporteren.

Het in het eerste lid bedoelde verzoek wordt door een AVG-beheerder niet gedaan dan na overleg met de functionaris voor gegevensbescherming.

Wanneer de audit dienst rijk het voornemen heeft een audit te verrichten, wordt de functionaris voor gegevensbescherming hiervan op de hoogte gesteld.

Paragraaf 8. Aanwijzing

Artikel 8

De Secretaris-Generaal kan nadere aanwijzingen geven ter uitvoering van het bepaalde in deze regeling.

Paragraaf 9. Slotbepalingen

Artikel 9.1. Inwerkingtreding

Deze regeling treedt in werking met ingang van 25 mei 2018.

Artikel 9.2. Citeertitel

Deze regeling wordt aangehaald als: Regeling AVG Defensie.

Deze regeling zal met de toelichting worden geplaatst in de Staatscourant en in de serie Ministeriële publicaties.