← Geldende tekst · Geschiedenis

Regeling WPG Defensie

Geldende tekst a fecha 2019-01-01

Besluit:

Paragraaf 1. Algemene bepalingen

Artikel 1.1. Begrippen en definities

In deze regeling wordt verstaan onder:

a. Richtlijn: Richtlijn (EU) 2016/680 van het Europees parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad;

b. wet: Wet politiegegevens;

c. minister: Minister van Defensie;

d. ministerie: Ministerie van Defensie

e. politiegegeven, persoonsgegeven, gerelateerde gegevens, bestand, verwerken van politiegegevens, verstrekken van politiegegevens, ter beschikking stellen van politiegegevens, afschermen van politiegegevens, verwerkingsverantwoordelijke, betrokkene, verwerker; bevoegde autoriteit, ontvanger, derde land, internationale organisatie, inbreuk op de beveiliging, genetische gegevens, biometrische gegevens, gegevens over gezondheid, profilering: de definities daarvan, genoemd in artikel 1 van de wet;

f. bijzondere categorieën van politiegegevens: de politiegegevens, genoemd in artikel 5 van de wet;

g. ambtenaar van politie: de ambtenaar van de Koninklijke Marechaussee voor zover werkzaam in de uitvoering van de politietaak;

h. politietaak: de politietaak, genoemd in artikel 4 van de Politiewet 2012, met uitzondering van de bij of krachtens de Vreemdelingenwet 2000 opgedragen taken, bedoeld in artikel 4, onderdeel f, van de Politiewet 2012;

i. verwerkingsverantwoordelijke: de minister;

j. bevoegde autoriteit: de Koninklijke Marechaussee;

k. Autoriteit persoonsgegevens: Autoriteit persoonsgegevens als bedoeld in artikel 35 van de wet;

l. melding: de melding, genoemd in artikel 2.2, die is bestemd voor het bereiken van een doel of voor meerdere doelen die met elkaar samenhangen.

Artikel 1.2. Reikwijdte

Deze regeling is van toepassing op verwerking van politiegegevens door de Koninklijke Marechaussee die in een bestand zijn opgenomen of die bestemd zijn daarin te worden opgenomen en waarvoor de Minister van Defensie de verwerkingsverantwoordelijke is in de zin van de Wet politiegegevens.

Deze regeling is niet van toepassing op de verwerking van politiegegevens:

a. voor activiteiten met uitsluitend persoonlijke doeleinden;

b. voor de interne bedrijfsvoering.

Artikel 1.3. Wpg-beheerder en Wpg-onderbeheerder

De Commandant Koninklijke Marechaussee is Wpg-beheerder.

De Wpg-beheerder draagt zorg voor naleving van de regelgeving omtrent verwerking van politiegegevens door de Koninklijke Marechaussee. Hij doet dit namens de minister.

Ieder jaar rapporteert de Wpg-beheerder zijn bevindingen aan de functionaris voor gegevensbescherming WPG. Hij doet dit uiterlijk op 31 december van dat jaar.

De Wpg-beheerder zorgt er voor dat contacten met de Autoriteit persoonsgegevens geschieden door tussenkomst van de functionaris voor gegevensbescherming WPG.

De Wpg-beheerder kan zijn taken geheel of gedeeltelijk opdragen aan een Wpg-onderbeheerder. Hieronder valt het binnen de Koninklijke Marechaussee coördineren van de uitvoering van de regelgeving die van toepassing is op de verwerking van politiegegevens.

In uitzondering op het vorige lid kan de Wpg-beheerder het aangaan of beëindigen van een verwerkersovereenkomst, bedoeld in artikel 1.5, niet aan de Wpg-onderbeheerder opdragen.

De Wpg-beheerder deelt het opdragen van de taken mee aan de functionaris voor gegevensbescherming WPG.

Artikel 1.4. Privacyfunctionaris

De Wpg-beheerder wijst binnen de Koninklijke Marechaussee één of meer privacyfunctionarissen aan. Hij deelt dit mee aan de functionaris voor gegevensbescherming WPG.

De privacyfunctionaris:

a. adviseert binnen Defensie over de toepassing van regelgeving die betrekking heeft op de verwerking van politiegegevens;

b. adviseert binnen Defensie over gecoördineerde uitvoering daarvan;

c. ziet toe op de verwerking van politiegegevens;

d. draagt zorg voor melding van een datalek aan de Autoriteit persoonsgegevens.

De privacyfunctionaris rapporteert zijn bevindingen jaarlijks aan de Wpg-beheerder.

Artikel 1.5. Verwerker

De Wpg-beheerder kan politiegegevens laten verwerken door een verwerker, met inachtneming van artikel 6c van de wet en artikel 6:1b van het Besluit politiegegevens.

De overeenkomst tot verwerking van de betreffende politiegegevens wordt vastgelegd in een schriftelijke verwerkersovereenkomst tussen de verwerker en de Wpg-beheerder die optreedt namens de minister.

Artikel 1.6. Functionaris voor gegevensbescherming WPG

Er is een functionaris voor gegevensbescherming WPG. Hij wordt tijdig betrokken bij alle aangelegenheden die verband houden met de bescherming van politiegegevens.

De functionaris voor gegevensbescherming WPG vervult binnen het Ministerie van Defensie de taken, genoemd in artikel 36, derde lid, van de wet en ziet toe op de afwikkeling van klachten en het evalueren van incidenten over het verwerken van politiegegevens binnen het ministerie.

De functionaris voor gegevensbescherming WPG rapporteert jaarlijks aan de minister over de naleving van de wet en daarop gebaseerde regelgeving binnen het ministerie.

Voor de uitoefening van het toezicht beschikt de functionaris voor gegevensbescherming WPG over de bevoegdheden als bedoeld in Titel 5.2 van de Algemene wet bestuursrecht. De functionaris voor gegevensbescherming WPG maakt alleen gebruik van zijn bevoegdheden als dat nodig is voor de vervulling van zijn taak.

De functionaris voor gegevensbescherming WPG wordt alle medewerking verleend die hij redelijkerwijs kan vorderen, tenzij een wettelijke geheimhoudingsplicht daar aan in de weg staat.

De verwerkingsverantwoordelijke maakt de contactgegevens van de functionaris voor gegevensbescherming WPG openbaar. Hij deelt deze mee aan de Autoriteit persoonsgegevens.

Paragraaf 2. Weergaven van verwerkingen van politiegegevens

Artikel 2.1. Register

Er is een register van verwerkingsactiviteiten, als bedoeld in artikel 31d van de wet, van het ministerie.

Het register wordt opgesteld en geactualiseerd door de Wpg-beheerder.

Voordat met een nieuwe of gewijzigde verwerking van politiegegevens wordt begonnen, wordt deze verwerking opgenomen in het register.

Het register omvat:

a. de in artikel 31d, eerste lid, van de wet bedoelde gegevens;

b. indien van toepassing, een afschrift van de afspraken met een verwerker, als bedoeld in artikel 6c, tweede lid, van de wet;

c. algemene informatie over de locaties en ICT-systemen waar de verwerking plaatsvindt;

d. informatie over de onderdelen van het proces ten behoeve waarvan het verwerken van persoonsgegevens plaatsvindt;

e. indien van toepassing een afschrift van de gegevensbeschermingseffectbeoordeling, bedoeld in artikel 4c van de wet.

De functionaris voor gegevensbescherming WPG en de Autoriteit persoonsgegevens krijgen op hun verzoek toegang tot het register.

Artikel 2.2. Documentatie

De Wpg-beheerder zorgt voor de schriftelijke of elektronische vastlegging van de aangelegenheden, bedoeld in artikel 32, eerste en tweede lid, van de wet.

Artikel 2.3. Logging

De Wpg-beheerder zorgt voor de elektronische vastlegging van ten minste het verzamelen, wijzigen, raadplegen, verstrekken, doorgeven, combineren of vernietigen van politiegegevens, conform artikel 32a van de wet.

De minimale duur van de logging van een politiegegeven is vier jaar.

Paragraaf 3. Gegevensbeschermingseffectbeoordeling / Privacy Impact Assessment

Artikel 3. Gegevensbeschermingseffectbeoordeling

De Wpg-beheerder voert de gegevensbeschermingseffectbeoordeling uit als bedoeld in artikel 4c van de wet, aan de hand van het Model gegevensbeschermingseffectbeoordeling Rijksdienst (PIA).

Het projectplan dat op de voorgenomen gegevensbeschermingseffectbeoordeling betrekking heeft, wordt ter advies voorgelegd aan de functionaris voor gegevensbescherming WPG. Het projectplan wordt daarnaast voorgelegd aan de Chief Information Officer als de gegevensverwerking gepaard gaat met de bouw of vergaande aanpassing van een ICT-systeem.

Een voltooide PIA bestaat uit:

a. een algemene beschrijving van de voorgenomen verwerkingen en de verwerkingsdoeleinden;

b. een beschrijving en beoordeling van de rechtsgrond en de noodzaak van de voorgenomen verwerkingen in relatie tot de verwerkingsdoeleinden;

c. een beschrijving en beoordeling van risico’s van de voorgenomen verwerkingen voor de rechten en vrijheden van de betrokkenen; en

d. een beschrijving van de voorzorgs- en beveiligingsmaatregelen en mechanismen om de politiegegevens te beschermen en aan te tonen dat is voldaan aan de wet en daarop gebaseerde regelgeving, met inachtneming van de rechten en gerechtvaardigde belangen van betrokkenen.

Wanneer uit de gegevensbeschermingseffectbeoordeling blijkt dat de verwerking een hoog risico als bedoeld in artikel 33b, eerste lid, van de wet oplevert, wordt de Autoriteit persoonsgegevens geraadpleegd, door tussenkomst van de functionaris voor gegevensbescherming, conform art. 33b van de wet.

Paragraaf 4. Datalek

Artikel 4.1. Melding datalek aan de Autoriteit persoonsgegevens

De privacyfunctionaris meldt een inbreuk op de beveiliging, als bedoeld in artikel 33a, eerste lid, van de wet, aan de Autoriteit persoonsgegevens. Hij stuurt een kopie daarvan aan de functionaris voor gegevensbescherming WPG.

De melding bevat de in artikel 33a, tweede lid, van de wet genoemde gegevens.

De privacyfunctionaris doet de melding binnen 72 uur nadat hij kennis heeft genomen van het datalek.

Als het niet waarschijnlijk is dat de inbreuk op de beveiliging een risico voor de rechten en vrijheden van personen met zich meebrengt, doet de privacyfunctionaris de melding zodra hij de informatie kan verstrekken, genoemd in artikel 33a, tweede lid van de wet.

Een te late melding gaat vergezeld van een motivering van de vertraging.

Artikel 4.2. Melding datalek aan de betrokkene

De privacyfunctionaris deelt de inbreuk op de beveiliging mee aan de betrokkene wanneer deze inbreuk waarschijnlijk een hoog risico voor de rechten en vrijheden van personen met zich meebrengt.

De mededeling bevat de in artikel 33a, vijfde lid, van de wet genoemde gegevens.

De mededeling is niet vereist wanneer:

a. passende technische en organisatorische maatregelen zijn getroffen en toegepast op de politiegegevens waarop het datalek betrekking heeft;

b. maatregelen zijn getroffen om er voor te zorgen dat het hoge risico, bedoeld in het eerste lid, zich waarschijnlijk niet meer zal voordoen; of

c. de mededeling een onevenredige inspanning zou vergen. In dat geval volgt een openbare vergelijkbare maatregel waarmee betrokkene even doeltreffend wordt geïnformeerd.

De mededeling kan worden uitgesteld, beperkt of achterwege gelaten:

a. ter vermijding van belemmering van de gerechtelijke onderzoeken of procedures;

b. ter vermijding van nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen;

c. ter bescherming van de openbare of de nationale veiligheid;

d. ter bescherming van de rechten en vrijheden van derden;

e. in geval van een kennelijk ongegrond of buitensporig verzoek.

Paragraaf 5. Rechten van betrokkene

Artikel 5.1. Informatieverstrekking aan de betrokkene

Op verzoek van betrokkene wordt hem conform artikel 24a van de wet informatie verstrekt over de verwerking van politiegegevens. Dit wordt gedaan in beknopte en toegankelijke vorm en voor zover beveiliging dit toelaat.

Op verzoek van betrokkene worden hem conform artikel 24b van de wet de gegevens verstrekt, tenzij ten aanzien van betrokkene het gegronde vermoeden bestaat dat hij een strafbaar feit heeft gepleegd of zal gaan plegen.

Artikel 5.2. Recht op inzage, rectificatie, aanvulling en vernietiging

Betrokkene richt verzoeken om inzage, rectificatie, aanvulling en vernietiging van politiegegevens, als bedoeld in de artikelen 25 en 28 van de wet, aan de Wpg-beheerder.

Het verzoek kan namens betrokkene worden gedaan door de Autoriteit persoonsgegevens of door de advocaat van betrokkene. Betrokkene machtigt zijn advocaat met een bijzondere, daartoe strekkende schriftelijke machtiging.

Het verzoek kan namens betrokkene worden gedaan door zijn wettelijk vertegenwoordiger als betrokkene jonger is dan 16 jaar of onder curatele is gesteld.

De Wpg-beheerder neemt het verzoek in behandeling.

Bij het in behandeling nemen van het verzoek stelt de Wpg-beheerder

a. de identiteit van de verzoeker en van betrokkene vast;

b. betrokkene, in geval van een verzoek om inzage of rectificatie, schriftelijk in kennis van de ontvangst van het verzoek, de termijn voor uitsluitsel en de mogelijkheid om naar aanleiding daarvan een klacht in te dienen bij de Autoriteit persoonsgegevens.

Het verzoek wordt afgewezen:

a. bij een kennelijk ongegrond of buitensporig verzoek; of

b. voor zover dit een noodzakelijke en evenredige maatregel is

1e. ter vermijding van belemmering van de gerechtelijke onderzoeken of procedures;

2e. ter vermijding van nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen;

3e. ter bescherming van de openbare of de nationale veiligheid; of

4e. ter bescherming van de rechten en vrijheden van derden.

Op een verzoek om inzage in de gegevens wordt binnen zes weken beslist, tenzij sprake is van verdaging als bedoeld in artikel 25, tweede lid, van de wet.

Op een verzoek om rectificatie, aanvulling of vernietiging van de politiegegevens, wordt binnen vier weken beslist.

Een afwijzing van het verzoek wordt gemotiveerd.

Artikel 5.3. Bezwaar

Het besluit als bedoeld in artikel 5.2, zevende en achtste lid, bevat de mededeling dat bezwaar gemaakt kan worden en aan wie het bezwaar gericht dient te zijn.

Binnen zes weken na de dag van verzending van een besluit als bedoeld in artikel 5.2, zevende en achtste lid, kan een ieder wiens belang rechtstreeks bij dit besluit is betrokken, bezwaar maken.

Paragraaf 6. Juistheid, volledigheid, beveiliging en beheer

Artikel 6.1. Dataminimalisatie, juistheid en volledigheid

Politiegegevens worden slechts verwerkt met inachtneming van artikel 3 van de wet.

De Wpg-beheerder treft de nodige maatregelen overeenkomstig artikel 4 van de wet, waaronder:

a. het vernietigen of rectificeren van politiegegevens zodra blijkt dat deze onjuist zijn;

b. het vernietigen of verwijderen van politiegegevens zodra deze niet langer noodzakelijk zijn voor het doel waarvoor ze zijn verwerkt;

c. het vernietigen of verwijderen van politiegegevens zodra een wettelijke bepaling dit vereist;

d. het onderscheiden tussen feitelijke politiegegevens en politiegegevens die op een persoonlijk oordeel zijn gebaseerd.

Artikel 6.2. Privacy by design en privacy bij default

De verwerkingsverantwoordelijke treft technische en organisatorische maatregelen die zorgen voor een passend beveiligingsniveau van politiegegevens overeenkomstig de artikelen 4a en 4b van de wet en artikel 6:1a van het Besluit politiegegevens.

Artikel 6.3. Autorisatie

Politiegegevens worden alleen verwerkt door ambtenaren, tewerkgesteld of ingedeeld bij de Koninklijke Marechaussee die dit doen in de uitoefening van de politietaak en voorzover zij voor die verwerking zijn geautoriseerd door de Wpg-beheerder.

De Wpg-beheerder onderhoudt een systeem van autorisaties dat voldoet aan de vereisten van zorgvuldigheid en evenredigheid, conform artikel 6 van de wet.

Paragraaf 7. Audit

Artikel 7. Audit Dienst Rijk

De Audit Dienst Rijk kan, eventueel op verzoek van de functionaris voor gegevensbescherming WPG, een audit uitvoeren naar de naleving van de wet en deze regeling.

Wanneer een auditdienst het voornemen heeft een audit te verrichten, wordt de functionaris voor gegevensbescherming WPG hiervan op de hoogte gesteld.

De auditdienst rapporteert haar bevindingen aan de minister en aan de functionaris voor gegevensbescherming WPG.

Paragraaf 8. Aanwijzing

Artikel 8

De Secretaris-Generaal kan nadere aanwijzingen geven ter uitvoering van het bepaalde in deze regeling.

Paragraaf 9. Slotbepalingen

Artikel 9.1. Inwerkingtreding

Deze regeling treedt in werking met ingang van 1 januari 2019. Indien de Staatscourant waarin deze regeling wordt geplaatst, wordt uitgegeven na 31 december 2018, treedt zij in werking met ingang van de dag na de datum van uitgifte van de Staatscourant waarin zij wordt geplaatst en werkt zij terug tot en met 1 januari 2019.

Artikel 9.2. Citeertitel

Deze regeling wordt aangehaald als: Regeling WPG Defensie.

Deze regeling zal met de toelichting worden geplaatst in de Staatscourant.