Regeling bescherming persoonsgegevens V&W

[Regeling vervallen per 11-04-2014.]
Geraadpleegd op 24-11-2024. Gebruikte datum 'geldig op' 01-01-2013.
Geldend van 24-11-2002 t/m 10-04-2014

Regeling houdende regels met betrekking tot de verwerking van persoonsgegevens bij het Ministerie van Verkeer en Waterstaat

De Minister van Verkeer en Waterstaat,

Besluit:

Hoofdstuk 1. Algemene bepalingen

[Regeling vervallen per 11-04-2014]

Artikel 1

[Regeling vervallen per 11-04-2014]

In deze regeling wordt verstaan onder:

a. wet:

Wet bescherming persoonsgegevens;

b. verantwoordelijke:

Minister van Verkeer en Waterstaat;

c. minister:

Minister van Verkeer en Waterstaat

d. ministerie:

Ministerie van Verkeer en Waterstaat

e. persoonsgegeven:

hetgeen daaronder wordt verstaan in de wet;

f. verwerking van persoonsgegeven:

hetgeen daaronder wordt verstaan in de wet;

g. dienstonderdeel:

elk onderdeel van het ministerie dat in het Besluit mandaat, volmacht en machtiging secretaris-generaal Verkeer en Waterstaat 2001 als dienst is gedefinieerd, alsmede alle onderdelen van het Directoraat-Generaal Rijkswaterstaat waaraan een hoofdingenieur-directeur leiding geeft;

h. beheerder:

hoofd van een dienstonderdeel van het ministerie, aan wie krachtens de geldende organisatie- en mandaatregelingen de taken en bevoegdheden van de minister ten aanzien van verwerkingen van persoonsgegevens zijn gemandateerd;

i. bewerker:

hetgeen daaronder wordt verstaan in de wet;

j. betrokkene:

hetgeen daaronder wordt verstaan in de wet;

k. HDJZ:

de Hoofddirectie Juridische Zaken van het ministerie;

l. college:

het College bescherming persoonsgegevens, bedoeld in artikel 51 van de wet.

Artikel 2

[Regeling vervallen per 11-04-2014]

Deze regeling is van toepassing op alle verwerkingen van persoonsgegevens waarvoor de minister de verantwoordelijke is in de zin van de wet, met uitzondering van de verwerkingen, bedoeld in de artikelen 2, tweede en derde lid, en 3, van de wet.

Artikel 3

[Regeling vervallen per 11-04-2014]

  • 1 Er is een functionaris voor de gegevensbescherming als bedoeld in artikel 62 van de wet, genaamd privacyfunctionaris V&W.

  • 2 De privacyfunctionaris V&W heeft naast het houden van toezicht als bedoeld in artikel 2 van de Regeling toezichtbevoegdheden privacyfunctionaris V&W in ieder geval tot taak:

    • a. het geven van voorlichting en advies over de toepassing van de wet en over de bescherming van de persoonlijke levenssfeer bij beleidsontwikkelingen van het ministerie;

    • b. het ten minste één maal per jaar organiseren van het privacycoördinatorenoverleg;

Artikel 4

[Regeling vervallen per 11-04-2014]

  • 1 De beheerder wijst een privacycoördinator aan die de uitvoering van de wet en de feitelijke handelingen die daarvoor nodig zijn, binnen zijn dienstonderdeel coördineert. De beheerder stelt ten behoeve van de coördinerende werkzaamheden van de privacycoördinator voldoende tijd en middelen ter beschikking.

  • 2 De privacycoördinator neemt deel aan het privacycoördinatorenoverleg. Bij verhindering draagt de privacycoördinator zorg voor vervanging.

Hoofdstuk 2. Verwerking van persoonsgegevens

[Regeling vervallen per 11-04-2014]

Artikel 5

[Regeling vervallen per 11-04-2014]

  • 1 Er is een Meldingenregister verwerkingen persoonsgegevens V&W. In het register zijn de gegevensverwerkingen opgenomen die bij de privacyfunctionaris V&W zijn gemeld op grond van artikel 30 van de wet en artikel 7 van deze regeling, de daarbij behorende doelomschrijvingen en vastgestelde bewaartermijnen.

  • 2 Het register kan kosteloos door een ieder worden ingezien bij het Informatiecentrum van het ministerie, Plesmanweg 1-6 te 's-Gravenhage.

  • 3 Het register wordt door de privacyfunctionaris V&W ingericht, beheerd en onderhouden.

  • 4 De privacyfunctionaris V&W draagt zorg voor plaatsing van het register op de website van het ministerie.

Artikel 6

[Regeling vervallen per 11-04-2014]

  • 1 De beheerder stelt voor elke onder zijn verantwoordelijkheid plaatsvindende verwerking van persoonsgegevens een doelomschrijving vast.

  • 2 Bij de vaststelling van de doelomschrijving wordt tevens de bewaartermijn van de betreffende persoonsgegevens vastgesteld indien de persoonsregistratie niet op grond van het bepaalde bij of krachtens de Archiefwet 1995 als archiefbescheiden moeten worden aangemerkt.

  • 3 De beheerder draagt er zorg voor dat bij vastlegging van persoonsgegevens aantekening wordt gehouden van de aanvang van de termijn en draagt na het verstrijken van de termijn zorg voor de vernietiging van de gegevens.

Artikel 7

[Regeling vervallen per 11-04-2014]

  • 1 Eenieder die persoonsgegevens verwerkt onder gezag van of op grond van een overeenkomst met de verantwoordelijke, meldt voordat wordt begonnen de verwerking aan de privacyfunctionaris V&W.

  • 2 Melding wordt gedaan door tussenkomst van de beheerder door middel van:

    • a. een formulier voor verwerking van persoonsgegevens die meldingsplichtig zijn als bedoeld in artikel 27 van de wet, of

    • b. een formulier voor andere verwerkingen dan bedoeld onder a, of

    • c. het elektronische meldingsprogramma op de website van HDJZ.

  • 3 De modellen van het formulier, genoemd in het tweede lid, onder a en b, is opgenomen in bijlage 1.

Artikel 8

[Regeling vervallen per 11-04-2014]

  • 1 Verwerkingen waarbij de beheerder voornemens is gegevens te verwerken als bedoeld in artikel 31 van de wet, of aangewezen krachtens artikel 31 van de wet, worden door tussenkomst van de privacyfunctionaris V&W aan het college gemeld.

  • 2 De privacyfunctionaris V&W meldt de uitkomsten van het voorafgaand onderzoek van het college aan de beheerder.

Artikel 9

[Regeling vervallen per 11-04-2014]

  • 1 Indien de verantwoordelijke of een beheerder persoonsgegevens laat verwerken door een bewerker, vindt die verwerking uitsluitend plaats indien voorafgaand aan die verwerking een daartoe strekkende overeenkomst tussen de minister en de bewerker tot stand is gekomen.

  • 2 De overeenkomst bevat in ieder geval de navolgende bedingen:

    • a. de bewerker aanvaardt de aansprakelijkheid voor het risico van inbreuken op de persoonlijke levenssfeer in verband met de door hem verwerkte gegevens;

    • b. de bewerker verklaart bekend te zijn met de geheimhoudingsplicht bedoeld in artikel 12, tweede lid, van de wet;

    • c. de bewerker verklaart de nodige passende technische en organisatorische maatregelen als bedoeld in artikel 13 van de wet, te treffen om de persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking.

Artikel 10

[Regeling vervallen per 11-04-2014]

De artikelen 7 tot en met 9 zijn niet van toepassing op verwerkingen van persoonsgegevens indien de minister of de beheerder namens hem, ten behoeve van die verwerking een privacyreglement heeft opgesteld dat gelijkluidend is aan het Modelprivacyreglement van V&W, bedoeld in bijlage 2 van deze regeling.

Hoofdstuk 3. Organisatorische en procedurele maatregelen

[Regeling vervallen per 11-04-2014]

Artikel 11

[Regeling vervallen per 11-04-2014]

  • 1 De beheerder treft zodanige organisatorische en procedurele maatregelen dat :

    • a. aan een betrokkene die persoonsgegevens aan de beheerder heeft verstrekt, zo spoedig mogelijk na de verstrekking van de gegevens wordt meegedeeld voor welke doeleinden de beheerder deze gegevens verwerkt, tenzij redelijkerwijs kan worden aangenomen dat de betrokkene daarvan reeds op de hoogte is;

    • b. aan een betrokkene zo spoedig mogelijk na de vastlegging van persoonsgegevens die hem betreffen wordt meegedeeld voor welke doeleinden de beheerder de gegevens verwerkt, indien de gegevens niet door opgave van de betrokkene zijn verkregen;

    • c. aan een betrokkene die een verzoek om inzage in zijn gegevens indient als bedoeld in artikel 35, eerste lid, van de wet, binnen vier weken na ontvangst van het verzoek schriftelijk wordt meegedeeld of hem betreffende persoonsgegevens worden verwerkt;

    • d. een betrokkene die een verzoek tot wijziging van zijn persoonsgegevens indient als bedoeld in artikel 36, eerste lid, van de wet, binnen vier weken na ontvangst van het verzoek schriftelijk wordt meegedeeld of dan wel in hoeverre de beheerder aan dit verzoek voldoet;

    • e. aan een betrokkene die gebruik maakt van het recht van verzet als bedoeld in artikel 40, eerste lid, van de wet, de beheerder binnen vier weken na ontvangst van het verzet hem bericht of het verzet gerechtvaardigd is;

    • f. de verwerking terstond wordt beëindigd indien het verzet gerechtvaardigd is.

  • 2 Indien een betrokkene een verzoek indient als bedoeld in het eerste lid, onderdelen c of d, draagt de beheerder zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker.

Artikel 12

[Regeling vervallen per 11-04-2014]

De privacyfunctionaris V&W treft organisatorische en procedurele maatregelen die ertoe leiden dat aan degene die een verzoek bij de verantwoordelijke indient als bedoeld in artikel 30, derde lid, van de wet, binnen redelijke termijn de gegevens als bedoeld in artikel 28, eerste lid, onder a tot en met e, van de wet, worden verstrekt.

Hoofdstuk 4. Beveiliging en beheer

[Regeling vervallen per 11-04-2014]

Artikel 13

[Regeling vervallen per 11-04-2014]

  • 1 De beheerder treft technische en organisatorische maatregelen om de persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking. Deze maatregelen voldoen aan het Voorschrift Informatiebeveiliging Rijksdienst 1994 en aan de Minimumeisen Informatiebeveiliging V&W.

  • 2 De maatregelen worden vastgelegd in het plan van aanpak dat ingevolge de Minimumeisen Informatiebeveiliging V&W jaarlijks wordt opgesteld.

  • 3 De beheerder ziet er op toe dat degenen die belast zijn met het verwerken van persoonsgegevens kennis nemen van de beveiligingsvoorschriften en deze naleven.

Hoofdstuk 5. Toezicht

[Regeling vervallen per 11-04-2014]

Artikel 14

[Regeling vervallen per 11-04-2014]

  • 1 Indien de privacyfunctionaris V&W bij de uitoefening van het toezicht als bedoeld in artikel 2 van de Regeling toezichtbevoegdheden privacyfunctionaris V&W onregelmatigheden aantreft bij de verwerking van persoonsgegevens brengt hij hierover verslag uit aan de beheerder. Hij kan dit verslag vergezeld doen gaan van een aanbeveling die strekt tot een verbetering in de bescherming van de persoonsgegevens die door of namens de verantwoordelijke worden verwerkt.

  • 2 Indien de aanbeveling niet of niet voldoende door de beheerder wordt opgevolgd, rapporteert de privacyfunctionaris V&W de gang van zaken aan de verantwoordelijke. In het rapport kan de privacyfunctionaris V&W aanbevelingen doen die strekken tot een betere bescherming van de gegevens die worden verwerkt.

  • 3 De privacyfunctionaris V&W brengt jaarlijks vóór 1 april een verslag uit aan de verantwoordelijke over zijn werkzaamheden en bevindingen in het daaraan voorafgaande kalenderjaar. Een kopie daarvan wordt ter kennisneming gezonden aan de departementale ondernemingsraad en aan het college.

Artikel 15

[Regeling vervallen per 11-04-2014]

  • 1 Het hoofd van de accountantsdienst voert hetzij ambtshalve, hetzij op verzoek van de privacyfunctionaris V&W periodiek een audit uit naar de naleving van de wet en deze regeling.

  • 2 Het hoofd van de accountantsdienst rapporteert ten minste eenmaal per jaar zijn bevindingen aan de minister, de privacyfunctionaris V&W en de beheerder van de desbetreffende verwerking.

Hoofdstuk 6. Slotbepalingen

[Regeling vervallen per 11-04-2014]

Artikel 16

[Regeling vervallen per 11-04-2014]

Deze regeling treedt in werking met ingang van de tweede dag na de dagtekening van de Staatscourant waarin zij wordt geplaatst.

Artikel 17

[Regeling vervallen per 11-04-2014]

Deze regeling wordt aangehaald als: Regeling bescherming persoonsgegevens V&W.

Deze regeling zal met toelichting in de Staatscourant worden geplaatst.

De

Minister

van Verkeer en Waterstaat,

Roelf H. de Boer

Bijlage 2. , bedoeld in artikel 10 van de Regeling bescherming persoonsgegevens V&W

[Regeling vervallen per 11-04-2014]

MINISTERIE VAN VERKEER EN WATERSTAAT

...............................(datum)

Dienstonderdeel

MODEL

Besluit, houdende vaststelling van een privacyreglement voor de verwerking van persoonsgegevens ten behoeve van ......

(citeertitel, bijvoorbeeld Privacy-reglement X)

De Minister van Verkeer en Waterstaat/...

Gelet op de Wet bescherming persoonsgegevens (Stb. 2000, 302);

Besluit:

Artikel 1

[Regeling vervallen per 11-04-2014]

In dit reglement wordt verstaan onder:

a. wet:

Wet bescherming persoonsgegevens;

b. verantwoordelijke:

de Minister van Verkeer en Waterstaat ...;

c. persoonsgegevens:

de gegevens verkregen (door middel) van ....;

d. bestand:

het gestructureerde geheel waarin de persoonsgegevens worden verwerkt;

e. betrokkene:

natuurlijke persoon ten aanzien van wie gegevens worden verwerkt;

f. bewerker:

(kan een ander dienstonderdeel zijn, maar ook een externe organisatie, b.v. een ICT-bedrijf).

Artikel 2

[Regeling vervallen per 11-04-2014]

Dit Reglement regelt de taken en bevoegdheden van de verantwoordelijke met betrekking tot de verwerking van persoonsgegevens verkregen door

Artikel 3

[Regeling vervallen per 11-04-2014]

Het doel van de verwerking van persoonsgegevens is het systematisch vastleggen, opslaan en ter beschikking stellen van gegevens ten behoeve van:

  • a. ...

  • b. ...

  • c. ...

Artikel 4

[Regeling vervallen per 11-04-2014]

Het bestand bevat uitsluitend gegevens over de volgende categorieën van personen:

  • a. ...

  • b. ...

Artikel 5

[Regeling vervallen per 11-04-2014]

  • 1 Het bestand bevat over de in artikel 4, onder a, bedoelde personen uitsluitend de volgende soorten van gegevens:

    • a. ...

    • b. ...

  • 2 Het bestand bevat over de in artikel 4, onder b, bedoelde personen uitsluitend de volgende soorten van gegevens:

    • a. ...

    • b. ...

Artikel 6

[Regeling vervallen per 11-04-2014]

De in het bestand opgenomen gegevens worden verkregen van:

  • a. ... voor zover het betreft ... (soorten van gegevens)

  • b. ... idem

  • c. ... idem

Artikel 7

[Regeling vervallen per 11-04-2014]

  • 1 De verantwoordelijke voor de verwerking van persoonsgegevens verwijdert de persoonsgegevens uit de registratie uiterlijk ... (gefixeerde periode te koppelen hetzij aan de opname van de gegevens, hetzij aan een bepaald voorval), tenzij - ... (eventuele uitzonderingen).

  • 2 Indien ... (uitzondering eerste lid), worden de gegevens bewaard ten hoogste ... (termijn).

  • 3 Indien ... (uitzondering eerste lid), worden de gegevens niet uit de ...registratie verwijderd.

Artikel 8

[Regeling vervallen per 11-04-2014]

Gegevens uit het bestand kunnen binnen de organisatie van de verantwoordelijke uitsluitend worden verstrekt aan:

  • a. ... (diensthoofd/hoofd van een uitvoerende dienst);

  • b. personen die zijn belast met of leiding geven aan het invoeren, wijzigen en verwijderen van gegevens;

  • c. ... (diensthoofd/hoofd van een uitvoerende dienst waaraan de gegevens worden verstrekt);

Artikel 9

[Regeling vervallen per 11-04-2014]

  • 1 Gegevens uit het bestand kunnen buiten de organisatie van de verantwoordelijke desgevraagd worden verstrekt aan:

    • a. ... (de bewerker)

    • b. de betrokkene voor zover het betreft ... (soorten van gegevens);

    • c. derden die schriftelijk toestemming van de betrokkene hebben verkregen voor zover het betreft ... (soorten van gegevens);

    • d. derden indien zulks voortvloeit uit een wettelijk voorschrift voor zover het betreft ... (soorten van gegevens).

  • 2 Van het verstrekken van gegevens aan derden houdt de verantwoordelijke een protocol waarin staat vermeld aan wie, op welk tijdstip welke gegevens zijn verstrekt.

  • 3 De in het tweede lid neergelegde verplichting geldt niet voor zover verstrekking van gegevens rechtstreeks uit het reglement kan worden afgeleid.

  • 4 De verantwoordelijke verwijdert ten minste jaarlijks de aantekening uit het protocol betreffende de verstrekkingen die meer dan een jaar daarvoor hebben plaatsgevonden.

Artikel 10

[Regeling vervallen per 11-04-2014]

  • 1 Het bestand is uitsluitend toegankelijk op de volgende persoonsgegevens:

    • a. ...

    • b. ...

    • c. ...

  • 2 Rechtstreekse toegang tot het bestand hebben:

    • a. ... (diensthoofd/hoofd van een uitvoerende dienst) voor zover het betreft ... (soorten persoonsgegevens);

    • b. personen die zijn belast met of leiding geven aan het invoeren, wijzigen en verwijderen van gegevens (waaronder begrepen de bewerker);

    • c. personen die daartoe krachtens wettelijk voorschrift zijn gerechtigd voor zover het betreft ... (soorten persoonsgegevens).

Artikel 11

[Regeling vervallen per 11-04-2014]

  • 1 Verzoeken om inzage als bedoeld in artikel 35 van de wet worden gericht aan de verantwoordelijke en ingediend bij ...

  • 2 De verantwoordelijke kan van de verzoeker verlangen dat deze in persoon verschijnt voor een door hem aangewezen persoon en zich legitimeert.

  • 3 Desgewenst wordt aan de verzoeker een afschrift van de betrokken gegevens verstrekt.

Artikel 12

[Regeling vervallen per 11-04-2014]

Verzoeken om correctie als bedoeld in artikel 36van de wet worden schriftelijk gericht aan de verantwoordelijke en ingediend bij ... onder vermelding van de gewenste correctie.

Artikel 13

[Regeling vervallen per 11-04-2014]

De verantwoordelijke ziet er op toe dat ten aanzien van de technische en organisatorische beveiliging de maatregelen in acht worden genomen die zijn beschreven in de Minimumeisen Informatiebeveiliging Verkeer en Waterstaat 2001.

Artikel 14

[Regeling vervallen per 11-04-2014]

Dit reglement treedt in werking met ingang van de tweede dag na de dagtekening van de Staatscourant waarin mededeling wordt gedaan van de terinzagelegging van dit reglement.

Artikel 15

[Regeling vervallen per 11-04-2014]

Dit reglement kan worden aangehaald als ...

Dit reglement zal voor een ieder ter inzage worden gelegd ...

De Minister van Verkeer en Waterstaat/...,

(namens deze:)

Leidraad bij de toepassing van het model-privacyreglement

I. Wie is aan te merken als `de verantwoordelijke'?

[Regeling vervallen per 11-04-2014]

Artikel 1 van de Wbp omschrijft de verantwoordelijke als `de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt'.

In de praktijk worden bestanden veelal aangelegd ten behoeve van een wettelijk opgedragen bestuurstaak. Uit de parlementaire geschiedenis blijkt dat in dergelijke gevallen als de verantwoordelijke wordt aangewezen degene aan wie voor de vervulling van die taak uitdrukkelijke bevoegdheden zijn toegekend. Op rijksniveau gaat het dus in de eerste plaats om een minister voor wat betreft zijn ministerie, met inbegrip van de daaronder ressorterende diensten, instellingen en bedrijven. Daarnaast betreft het functionarissen of organen, waaraan de wetgever bestuursbevoegdheden heeft geattribueerd of waaraan krachtens de wet bevoegdheden zijn gedelegeerd.

Met deze aanpak blijven zeggenschap over de registratie en bevoegdheid ten dienste waarvan deze is aangelegd, in één hand. De concrete uitoefening van beide kan via de gebruikelijke mandaatsverhoudingen verlopen. Zo zal op verzoeken om inzage of correctie (zie artikelen 11 en 12 concept-model) niet steeds door de minister zelf behoeven te worden beslist.

Zie ook onder punt III.

II. Wat is het doel van de verwerking van persoonsgegevens?

[Regeling vervallen per 11-04-2014]

Artikel 7 Wbp dwingt de verantwoordelijke tot specificatie van de doelstelling.

De formulering van de doelstelling is cruciaal, omdat de wet het doel van de verwerking aanmerkt als toetsingscriterium bij de beantwoording van de vraag over wie welke gegevens mogen worden opgenomen, en of de verwerking van de gegevens en de verstrekkingen aan derden toelaatbaar zijn.

Een effectieve bescherming van de persoonlijke levenssfeer vereist het trekken van nauwkeurige grenzen bij de doelomschrijving Als rechtmatige gronden voor het aanleggen van een persoonsregistratie zijn bijvoorbeeld aan te merken de uitvoering van nauwkeurig aan te geven wettelijke taken, de opsporing van strafbare feiten en het uitvoeren van exact te omschrijven beleids- en beheerstaken.. Gestreefd dient te worden naar een stringente formulering. In de praktijk wordt een bestand veelal aangelegd ten behoeve van een bepaalde rechtsverhouding tussen de houder en de geregistreerde. Bij dergelijke registraties ligt het voor de hand bij de doelomschrijving aan te sluiten op datgene dat uit de onderliggende relatie voortvloeit. Dit is in overeenstemming met de persoonlijke levenssfeer, omdat de gegevens die de geregistreerde van zijn kant beschikbaar stelt, ook zijn verstrekt in het kader van die onderliggende relatie. In de praktijk zijn er ook bestanden waaraan niet een duidelijke relatie met de geregistreerden ten grondslag ligt. Te denken valt aan registraties ten behoeve van wetenschappelijk onderzoek of statistiek.

Ingevolge artikel 8 van de WBP mag men slechts tot het verwerken van persoonsgegevens overgaan bij indien:

  • a. de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend;

  • b. de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen n.a.v. een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst;

  • c. de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is;

  • d. de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene;

  • e. de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt, of

  • f. de gegevensverwerking noodzakelijk is voor d behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op de bescherming van de persoonlijke levenssfeer, prevaleert.

Valt de verwerking van persoonsgegevens niet onder een van deze criteria, dan is een dergelijke verwerking onrechtmatig en mag deze niet worden uitgevoerd.

III. Wie stelt het privacyreglement vast?

[Regeling vervallen per 11-04-2014]

Het ligt in de rede dat het reglement vastgesteld wordt door de verantwoordelijke voor de verwerkingen, maar voor de goede orde nog het volgende. Indien de minister de verantwoordelijke is, behoeft deze niet steeds het reglement zelf vast te stellen. Gelet op de mandaatregeling voor Verkeer en Waterstaat kan voor die registraties die niet van zodanige betekenis zijn dat het reglement door de minister zelf moet worden ondertekend, het reglement in mandaat worden afgedaan. Ondertekening in mandaat is in een dergelijk geval alleen toegestaan door de Secretaris-Generaal en de plaatsvervangend Secretaris-Generaal of door het hoofd van de betrokken dienst en diens plaatsvervanger.