Regeling bescherming persoonsgegevens V&W

In deze regeling wordt verstaan onder:

a. wet:

Wet bescherming persoonsgegevens;

b. verantwoordelijke:

Minister van Verkeer en Waterstaat;

c. minister:

Minister van Verkeer en Waterstaat

d. ministerie:

Ministerie van Verkeer en Waterstaat

e. persoonsgegeven:

hetgeen daaronder wordt verstaan in de wet;

f. verwerking van persoonsgegeven:

hetgeen daaronder wordt verstaan in de wet;

g. dienstonderdeel:

elk onderdeel van het ministerie dat in het Besluit mandaat, volmacht en machtiging secretaris-generaal Verkeer en Waterstaat 2001 als dienst is gedefinieerd, alsmede alle onderdelen van het Directoraat-Generaal Rijkswaterstaat waaraan een hoofdingenieur-directeur leiding geeft;

h. beheerder:

hoofd van een dienstonderdeel van het ministerie, aan wie krachtens de geldende organisatie- en mandaatregelingen de taken en bevoegdheden van de minister ten aanzien van verwerkingen van persoonsgegevens zijn gemandateerd;

i. bewerker:

hetgeen daaronder wordt verstaan in de wet;

j. betrokkene:

hetgeen daaronder wordt verstaan in de wet;

k. HDJZ:

de Hoofddirectie Juridische Zaken van het ministerie;

l. college:

het College bescherming persoonsgegevens, bedoeld in artikel 51 van de wet.

Deze regeling is van toepassing op alle verwerkingen van persoonsgegevens waarvoor de minister de verantwoordelijke is in de zin van de wet, met uitzondering van de verwerkingen, bedoeld in de artikelen 2, tweede en derde lid, en 3, van de wet.

• 1 Er is een functionaris voor de gegevensbescherming als bedoeld in artikel 62 van de wet, genaamd privacyfunctionaris V&W.

• 2 De privacyfunctionaris V&W heeft naast het houden van toezicht als bedoeld in artikel 2 van de Regeling toezichtbevoegdheden privacyfunctionaris V&W in ieder geval tot taak:

  • a. het geven van voorlichting en advies over de toepassing van de wet en over de bescherming van de persoonlijke levenssfeer bij beleidsontwikkelingen van het ministerie;

  • b. het ten minste één maal per jaar organiseren van het privacycoördinatorenoverleg;

• 1 De beheerder wijst een privacycoördinator aan die de uitvoering van de wet en de feitelijke handelingen die daarvoor nodig zijn, binnen zijn dienstonderdeel coördineert. De beheerder stelt ten behoeve van de coördinerende werkzaamheden van de privacycoördinator voldoende tijd en middelen ter beschikking.

• 2 De privacycoördinator neemt deel aan het privacycoördinatorenoverleg. Bij verhindering draagt de privacycoördinator zorg voor vervanging.

• 1 Er is een Meldingenregister verwerkingen persoonsgegevens V&W. In het register zijn de gegevensverwerkingen opgenomen die bij de privacyfunctionaris V&W zijn gemeld op grond van artikel 30 van de wet en artikel 7 van deze regeling, de daarbij behorende doelomschrijvingen en vastgestelde bewaartermijnen.

• 2 Het register kan kosteloos door een ieder worden ingezien bij het Informatiecentrum van het ministerie, Plesmanweg 1-6 te 's-Gravenhage.

• 3 Het register wordt door de privacyfunctionaris V&W ingericht, beheerd en onderhouden.

• 4 De privacyfunctionaris V&W draagt zorg voor plaatsing van het register op de website van het ministerie.

• 1 De beheerder stelt voor elke onder zijn verantwoordelijkheid plaatsvindende verwerking van persoonsgegevens een doelomschrijving vast.

• 2 Bij de vaststelling van de doelomschrijving wordt tevens de bewaartermijn van de betreffende persoonsgegevens vastgesteld indien de persoonsregistratie niet op grond van het bepaalde bij of krachtens de Archiefwet 1995 als archiefbescheiden moeten worden aangemerkt.

• 3 De beheerder draagt er zorg voor dat bij vastlegging van persoonsgegevens aantekening wordt gehouden van de aanvang van de termijn en draagt na het verstrijken van de termijn zorg voor de vernietiging van de gegevens.

• 1 Eenieder die persoonsgegevens verwerkt onder gezag van of op grond van een overeenkomst met de verantwoordelijke, meldt voordat wordt begonnen de verwerking aan de privacyfunctionaris V&W.

• 2 Melding wordt gedaan door tussenkomst van de beheerder door middel van:

  • a. een formulier voor verwerking van persoonsgegevens die meldingsplichtig zijn als bedoeld in artikel 27 van de wet, of

  • b. een formulier voor andere verwerkingen dan bedoeld onder a, of

  • c. het elektronische meldingsprogramma op de website van HDJZ.

• 3 De modellen van het formulier, genoemd in het tweede lid, onder a en b, is opgenomen in bijlage 1.

• 1 Verwerkingen waarbij de beheerder voornemens is gegevens te verwerken als bedoeld in artikel 31 van de wet, of aangewezen krachtens artikel 31 van de wet, worden door tussenkomst van de privacyfunctionaris V&W aan het college gemeld.

• 2 De privacyfunctionaris V&W meldt de uitkomsten van het voorafgaand onderzoek van het college aan de beheerder.

• 1 Indien de verantwoordelijke of een beheerder persoonsgegevens laat verwerken door een bewerker, vindt die verwerking uitsluitend plaats indien voorafgaand aan die verwerking een daartoe strekkende overeenkomst tussen de minister en de bewerker tot stand is gekomen.

• 2 De overeenkomst bevat in ieder geval de navolgende bedingen:

  • a. de bewerker aanvaardt de aansprakelijkheid voor het risico van inbreuken op de persoonlijke levenssfeer in verband met de door hem verwerkte gegevens;

  • b. de bewerker verklaart bekend te zijn met de geheimhoudingsplicht bedoeld in artikel 12, tweede lid, van de wet;

  • c. de bewerker verklaart de nodige passende technische en organisatorische maatregelen als bedoeld in artikel 13 van de wet, te treffen om de persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking.

De artikelen 7 tot en met 9 zijn niet van toepassing op verwerkingen van persoonsgegevens indien de minister of de beheerder namens hem, ten behoeve van die verwerking een privacyreglement heeft opgesteld dat gelijkluidend is aan het Modelprivacyreglement van V&W, bedoeld in bijlage 2 van deze regeling.

• 1 De beheerder treft zodanige organisatorische en procedurele maatregelen dat :

  • a. aan een betrokkene die persoonsgegevens aan de beheerder heeft verstrekt, zo spoedig mogelijk na de verstrekking van de gegevens wordt meegedeeld voor welke doeleinden de beheerder deze gegevens verwerkt, tenzij redelijkerwijs kan worden aangenomen dat de betrokkene daarvan reeds op de hoogte is;

  • b. aan een betrokkene zo spoedig mogelijk na de vastlegging van persoonsgegevens die hem betreffen wordt meegedeeld voor welke doeleinden de beheerder de gegevens verwerkt, indien de gegevens niet door opgave van de betrokkene zijn verkregen;

  • c. aan een betrokkene die een verzoek om inzage in zijn gegevens indient als bedoeld in artikel 35, eerste lid, van de wet, binnen vier weken na ontvangst van het verzoek schriftelijk wordt meegedeeld of hem betreffende persoonsgegevens worden verwerkt;

  • d. een betrokkene die een verzoek tot wijziging van zijn persoonsgegevens indient als bedoeld in artikel 36, eerste lid, van de wet, binnen vier weken na ontvangst van het verzoek schriftelijk wordt meegedeeld of dan wel in hoeverre de beheerder aan dit verzoek voldoet;

  • e. aan een betrokkene die gebruik maakt van het recht van verzet als bedoeld in artikel 40, eerste lid, van de wet, de beheerder binnen vier weken na ontvangst van het verzet hem bericht of het verzet gerechtvaardigd is;

  • f. de verwerking terstond wordt beëindigd indien het verzet gerechtvaardigd is.

• 2 Indien een betrokkene een verzoek indient als bedoeld in het eerste lid, onderdelen c of d, draagt de beheerder zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker.

De privacyfunctionaris V&W treft organisatorische en procedurele maatregelen die ertoe leiden dat aan degene die een verzoek bij de verantwoordelijke indient als bedoeld in artikel 30, derde lid, van de wet, binnen redelijke termijn de gegevens als bedoeld in artikel 28, eerste lid, onder a tot en met e, van de wet, worden verstrekt.

• 1 De beheerder treft technische en organisatorische maatregelen om de persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking. Deze maatregelen voldoen aan het Voorschrift Informatiebeveiliging Rijksdienst 1994 en aan de Minimumeisen Informatiebeveiliging V&W.

• 2 De maatregelen worden vastgelegd in het plan van aanpak dat ingevolge de Minimumeisen Informatiebeveiliging V&W jaarlijks wordt opgesteld.

• 3 De beheerder ziet er op toe dat degenen die belast zijn met het verwerken van persoonsgegevens kennis nemen van de beveiligingsvoorschriften en deze naleven.

• 1 Indien de privacyfunctionaris V&W bij de uitoefening van het toezicht als bedoeld in artikel 2 van de Regeling toezichtbevoegdheden privacyfunctionaris V&W onregelmatigheden aantreft bij de verwerking van persoonsgegevens brengt hij hierover verslag uit aan de beheerder. Hij kan dit verslag vergezeld doen gaan van een aanbeveling die strekt tot een verbetering in de bescherming van de persoonsgegevens die door of namens de verantwoordelijke worden verwerkt.

• 2 Indien de aanbeveling niet of niet voldoende door de beheerder wordt opgevolgd, rapporteert de privacyfunctionaris V&W de gang van zaken aan de verantwoordelijke. In het rapport kan de privacyfunctionaris V&W aanbevelingen doen die strekken tot een betere bescherming van de gegevens die worden verwerkt.

• 3 De privacyfunctionaris V&W brengt jaarlijks vóór 1 april een verslag uit aan de verantwoordelijke over zijn werkzaamheden en bevindingen in het daaraan voorafgaande kalenderjaar. Een kopie daarvan wordt ter kennisneming gezonden aan de departementale ondernemingsraad en aan het college.

• 1 Het hoofd van de accountantsdienst voert hetzij ambtshalve, hetzij op verzoek van de privacyfunctionaris V&W periodiek een audit uit naar de naleving van de wet en deze regeling.

• 2 Het hoofd van de accountantsdienst rapporteert ten minste eenmaal per jaar zijn bevindingen aan de minister, de privacyfunctionaris V&W en de beheerder van de desbetreffende verwerking.

Deze regeling treedt in werking met ingang van de tweede dag na de dagtekening van de Staatscourant waarin zij wordt geplaatst.

Deze regeling wordt aangehaald als: Regeling bescherming persoonsgegevens V&W.