LegalizeRegeling WPG Defensie
Besluit:
Paragraaf 1. Algemene bepalingen
Artikel 1.1. Begrippen en definities
In deze regeling wordt verstaan onder:
- a. Richtlijn: Richtlijn (EU) 2016/680 van het Europees parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad;
- b. wet: Wet politiegegevens;
- c. minister: Minister van Defensie;
- d. ministerie: Ministerie van Defensie
- e. politiegegeven, persoonsgegeven, gerelateerde gegevens, bestand, verwerken van politiegegevens, verstrekken van politiegegevens, ter beschikking stellen van politiegegevens, afschermen van politiegegevens, verwerkingsverantwoordelijke, betrokkene, verwerker; bevoegde autoriteit, ontvanger, derde land, internationale organisatie, inbreuk op de beveiliging, genetische gegevens, biometrische gegevens, gegevens over gezondheid, profilering: de definities daarvan, genoemd in artikel 1 van de wet;
- f. bijzondere categorieën van politiegegevens: de politiegegevens, genoemd in artikel 5 van de wet;
- g. ambtenaar van politie: de ambtenaar van de Koninklijke Marechaussee voor zover werkzaam in de uitvoering van de politietaak;
- h. politietaak: de politietaak, genoemd in artikel 4 van de Politiewet 2012, met uitzondering van de bij of krachtens de Vreemdelingenwet 2000 opgedragen taken, bedoeld in artikel 4, onderdeel f, van de Politiewet 2012 en de politietaak als bedoeld in artikel 36b, onder a, van de wet;
- i. verwerkingsverantwoordelijke: de minister;
- j. bevoegde autoriteit: de Koninklijke Marechaussee;
- k. Autoriteit persoonsgegevens: Autoriteit persoonsgegevens als bedoeld in artikel 35 van de wet.
Artikel 1.2. Reikwijdte
Deze regeling is van toepassing op verwerking van politiegegevens door de Koninklijke Marechaussee en andere opsporingsambtenaren bij Defensie, welke gegevens in een bestand zijn opgenomen of die bestemd zijn daarin te worden opgenomen en waarvoor de minister de verwerkingsverantwoordelijke is in de zin van de wet.
Artikel 1.3. Wpg-beheerder en Wpg-onderbeheerder
De Commandant Koninklijke Marechaussee is Wpg-beheerder.
De Wpg-beheerder draagt zorg voor naleving van de regelgeving omtrent verwerking van politiegegevens door de Koninklijke Marechaussee. Hij doet dit namens de minister.
Ieder jaar rapporteert de Wpg-beheerder zijn bevindingen aan de functionaris voor gegevensbescherming WPG. Hij doet dit uiterlijk op 31 december van dat jaar.
De Wpg-beheerder zorgt er voor dat contacten met de Autoriteit persoonsgegevens geschieden door tussenkomst van de functionaris voor gegevensbescherming WPG.
De Wpg-beheerder kan zijn in dit artikel geformuleerde taken geheel of gedeeltelijk opdragen aan een Wpg-onderbeheerder. Hieronder valt het binnen de Koninklijke Marechaussee coördineren van de uitvoering van de regelgeving die van toepassing is op de verwerking van politiegegevens.
In uitzondering op het vijfde lid kan de Wpg-beheerder het aangaan of beëindigen van een verwerkersovereenkomst, bedoeld in artikel 1.5, niet aan de Wpg-onderbeheerder opdragen.
De Wpg-beheerder deelt het opdragen van de taken mee aan de functionaris voor gegevensbescherming WPG.
Artikel 1.4. Privacyfunctionaris
De Wpg-beheerder wijst binnen de Koninklijke Marechaussee één of meer privacyfunctionarissen aan. Hij deelt dit mee aan de functionaris voor gegevensbescherming WPG.
De privacyfunctionaris:
- a. adviseert binnen Defensie over de toepassing van regelgeving die betrekking heeft op de verwerking van politiegegevens;
- b. adviseert binnen Defensie over gecoördineerde uitvoering daarvan;
- c. ziet toe op de verwerking van politiegegevens;
- d. draagt zorg voor melding van een datalek aan de Autoriteit persoonsgegevens.
De privacyfunctionaris rapporteert zijn bevindingen jaarlijks aan de Wpg-beheerder.
Artikel 1.5. Verwerker
De Wpg-beheerder kan politiegegevens laten verwerken door een verwerker, met inachtneming van artikel 6c van de wet en artikel 6:1b van het Besluit politiegegevens.
De overeenkomst tot verwerking van de betreffende politiegegevens wordt vastgelegd in een schriftelijke verwerkersovereenkomst tussen de verwerker en de Wpg-beheerder die optreedt namens de minister.
Artikel 1.6. Functionaris voor gegevensbescherming WPG
Er is een functionaris voor gegevensbescherming WPG. Hij wordt tijdig betrokken bij alle aangelegenheden die verband houden met de bescherming van politiegegevens.
De functionaris voor gegevensbescherming WPG vervult binnen het Ministerie de taken, genoemd in artikel 36, derde lid, van de wet en ziet toe op het evalueren van incidenten over het verwerken van politiegegevens binnen het ministerie.
De functionaris voor gegevensbescherming WPG rapporteert jaarlijks aan de minister over de naleving van de wet en daarop gebaseerde regelgeving binnen het ministerie.
Voor de uitoefening van het toezicht wordt de functionaris voor gegevensbescherming WPG toegang verleend tot de politiegegevens en beschikt hij over de bevoegdheden als bedoeld in Titel 5.2 van de Algemene wet bestuursrecht. De functionaris voor gegevensbescherming WPG maakt alleen gebruik van zijn bevoegdheden als dat nodig is voor de vervulling van zijn taak.
De functionaris voor gegevensbescherming WPG wordt alle medewerking verleend die hij redelijkerwijs kan vorderen, tenzij een wettelijke geheimhoudingsplicht daar aan in de weg staat.
De verwerkingsverantwoordelijke maakt de contactgegevens van de functionaris voor gegevensbescherming WPG openbaar. Hij deelt deze mee aan de Autoriteit persoonsgegevens.
Paragraaf 2. Weergaven van verwerkingen van politiegegevens
Artikel 2.1. Register
Er is een register van verwerkingsactiviteiten, als bedoeld in artikel 31d van de wet, van het ministerie.
Het register wordt opgesteld en geactualiseerd door de Wpg-beheerder.
Voordat met een nieuwe of gewijzigde verwerking van politiegegevens wordt begonnen, wordt deze verwerking opgenomen in het register.
Het register omvat:
- a. de in artikel 31d, eerste lid, van de wet bedoelde gegevens;
- b. indien van toepassing, een afschrift van de afspraken met een verwerker, als bedoeld in artikel 6c, tweede lid, van de wet;
- c. algemene informatie over de locaties en ICT-systemen waar de verwerking plaatsvindt;
- d. informatie over de onderdelen van het proces ten behoeve waarvan het verwerken van persoonsgegevens plaatsvindt;
- e. indien van toepassing een afschrift van de gegevensbeschermingseffectbeoordeling, bedoeld in artikel 4c van de wet.
De functionaris voor gegevensbescherming WPG en de Autoriteit persoonsgegevens krijgen op hun verzoek toegang tot het register.
Artikel 2.2. Documentatie
De Wpg-beheerder zorgt voor de schriftelijke of elektronische vastlegging van de aangelegenheden, bedoeld in artikel 32, eerste en tweede lid, van de wet.
Artikel 2.3. Logging
De Wpg-beheerder zorgt voor de elektronische vastlegging van ten minste het verzamelen, wijzigen, raadplegen, verstrekken, doorgeven, combineren of vernietigen van politiegegevens, conform artikel 32a van de wet.
De minimale duur van de logging van een politiegegeven is vier jaar.
Paragraaf 3. Gegevensbeschermingseffectbeoordeling / Privacy Impact Assessment
Artikel 3. Gegevensbeschermingseffectbeoordeling
De Wpg-beheerder voert de gegevensbeschermingseffectbeoordeling uit als bedoeld in artikel 4c van de wet, aan de hand van het Model gegevensbeschermingseffectbeoordeling Rijksdienst (PIA).
Het projectplan dat op de voorgenomen gegevensbeschermingseffectbeoordeling betrekking heeft, wordt vooraf ter advies voorgelegd aan de functionaris voor gegevensbescherming WPG. Het projectplan wordt daarnaast voorgelegd aan de Chief Information Officer als de gegevensverwerking gepaard gaat met de bouw of vergaande aanpassing van een ICT-systeem.
Een voltooide PIA bestaat uit:
- a. een algemene beschrijving van de voorgenomen verwerkingen en de verwerkingsdoeleinden;
- b. een beschrijving en beoordeling van de rechtsgrond en de noodzaak van de voorgenomen verwerkingen in relatie tot de verwerkingsdoeleinden;
- c. een beschrijving en beoordeling van risico’s van de voorgenomen verwerkingen voor de rechten en vrijheden van de betrokkenen; en
- d. een beschrijving van de voorzorgs- en beveiligingsmaatregelen en mechanismen om de politiegegevens te beschermen en aan te tonen dat is voldaan aan de wet en daarop gebaseerde regelgeving, met inachtneming van de rechten en gerechtvaardigde belangen van betrokkenen.
Wanneer uit de gegevensbeschermingseffectbeoordeling blijkt dat de verwerking een hoog risico als bedoeld in artikel 33b, eerste lid, van de wet oplevert, wordt de Autoriteit persoonsgegevens geraadpleegd, door tussenkomst van de functionaris voor gegevensbescherming, conform art. 33b van de wet.
Paragraaf 4. Datalek
Artikel 4.1. Melding datalek aan de Autoriteit persoonsgegevens
De privacyfunctionaris meldt een inbreuk op de beveiliging, als bedoeld in artikel 33a, eerste lid, van de wet, aan de Autoriteit persoonsgegevens. Hij stuurt een kopie daarvan aan de functionaris voor gegevensbescherming WPG.
De melding bevat de in artikel 33a, tweede lid, van de wet genoemde gegevens.
De privacyfunctionaris doet de melding binnen 72 uur nadat hij kennis heeft genomen van het datalek en in ieder geval zodra hij de gegevens, bedoeld in het tweede lid, kan verstrekken.
De privacyfunctionaris registreert de inbreuk op de beveiliging, ongeacht of deze een risico voor de beveiliging van de rechten en vrijheden van personen met zich meebrengt.
Een te late melding gaat vergezeld van een motivering van de vertraging.
Artikel 4.2. Melding datalek aan de betrokkene
De privacyfunctionaris deelt de inbreuk op de beveiliging mee aan de betrokkene wanneer deze inbreuk waarschijnlijk een hoog risico voor de rechten en vrijheden van personen met zich meebrengt.
De mededeling bevat de in artikel 33a, vijfde lid, van de wet genoemde gegevens.
De mededeling is niet vereist wanneer:
- a. passende technische en organisatorische maatregelen zijn getroffen en toegepast op de politiegegevens waarop het datalek betrekking heeft;
- b. maatregelen zijn getroffen om er voor te zorgen dat het hoge risico, bedoeld in het eerste lid, zich waarschijnlijk niet meer zal voordoen; of
- c. de mededeling een onevenredige inspanning zou vergen. In dat geval volgt een openbare vergelijkbare maatregel waarmee betrokkene even doeltreffend wordt geïnformeerd.
De mededeling kan worden uitgesteld, beperkt of achterwege gelaten:
- a. ter vermijding van belemmering van de gerechtelijke onderzoeken of procedures;
- b. ter vermijding van nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen;
- c. ter bescherming van de openbare of de nationale veiligheid;
- d. ter bescherming van de rechten en vrijheden van derden.
Paragraaf 5. Rechten van betrokkene
Artikel 5.1. Informatieverstrekking aan de betrokkene
Op verzoek van betrokkene wordt hem conform artikel 24a van de wet informatie verstrekt over de verwerking van politiegegevens. Dit wordt gedaan in beknopte en toegankelijke vorm en voor zover beveiliging dit toelaat.
Op verzoek van betrokkene worden hem conform artikel 24b tweede lid, van de wet de gegevens verstrekt, tenzij ten aanzien van betrokkene het gegronde vermoeden bestaat dat hij een strafbaar feit heeft gepleegd of zal gaan plegen.
Artikel 5.2. Recht op inzage, rectificatie, aanvulling en vernietiging
Betrokkene richt verzoeken om inzage, rectificatie, aanvulling en vernietiging van politiegegevens, als bedoeld in de artikelen 25 en 28 van de wet, aan de Wpg-beheerder.
De raadpleging van dit document komt niet in de plaats van het lezen van het oorspronkelijke Staatsblad of de Staatscourant. Wij aanvaarden geen aansprakelijkheid voor eventuele onnauwkeurigheden die voortvloeien uit de omzetting van het origineel naar dit formaat.