Regeling toezichtsbevoegdheden functionarissen voor gegevensbescherming OCW

In deze regeling wordt verstaan onder:

• a. de minister: de Minister van Onderwijs, Cultuur en Wetenschap;

• b. het ministerie: het Ministerie van Onderwijs, Cultuur en Wetenschap;

• c. OCW: Onderwijs, Cultuur en Wetenschap;

• d. DUO: Dienst Uitvoering Onderwijs;

• e. de functionarissen voor gegevensbescherming: de bij het ministerie benoemde functionarissen voor gegevensbescherming, bedoeld in artikel 37 van de Algemene verordening gegevensbescherming;

• f. de functionaris voor gegevensbescherming OCW: de bij het ministerie, inclusief de daaronder ressorterende diensten en instellingen, met uitzondering van DUO, benoemde functionaris voor gegevensbescherming;

• g. de functionaris voor gegevensbescherming DUO: de bij het ministerie, voor zover het betreft verwerkingen van persoonsgegevens door of ten behoeve van DUO, benoemde functionaris voor gegevensbescherming.

• 1 Het toezicht van de functionarissen voor gegevensbescherming strekt zich uit tot de verwerking van alle persoonsgegevens waarvoor de minister de verwerkingsverantwoordelijke is.

• 2 De functionarissen voor gegevensbescherming kunnen onderling schriftelijke afspraken maken over vervanging van elkaars werkzaamheden.

• 3 Ook verwerkingen van persoonsgegevens die ten behoeve van de minister buiten het departement plaatsvinden door verwerkers, vallen onder het toezicht, bedoeld in het eerste lid.

• 4 Het bereik van het toezicht van de functionarissen voor gegevensbescherming kan worden uitgebreid, indien een andere verwerkingsverantwoordelijke dan de minister daarom uitdrukkelijk verzoekt en de minister met dit verzoek instemt.

• 1 De functionarissen voor gegevensbescherming zijn bevoegd, met medeneming van de benodigde apparatuur, elke plaats te betreden in de gebouwen en op de terreinen die bij het ministerie in gebruik zijn, waar persoonsgegevens worden verwerkt.

• 2 Zij zijn bevoegd daarbij personen mee te nemen die daartoe door hen zijn aangewezen.

De functionarissen voor gegevensbescherming zijn bevoegd inlichtingen te vorderen van een ieder die onder het gezag van de minister werkzaam is alsmede van verwerkers.

• 1 De functionarissen voor gegevensbescherming zijn bevoegd inzage te vorderen van zakelijke gegevens en bescheiden waarin persoonsgegevens zijn verwerkt.

• 2 Zij zijn bevoegd van de gegevens en bescheiden kopieën te maken.

• 3 Als het maken van kopieën niet ter plaatse kan geschieden, zijn zij bevoegd de gegevens en bescheiden voor dat doel voor korte tijd mee te nemen tegen een door hen af te geven schriftelijk bewijs.

• 1 De functionarissen voor gegevensbescherming zijn bevoegd zaken te onderzoeken.

• 2 Zij zijn bevoegd daartoe verpakkingen te openen.

• 3 Als het onderzoek niet ter plaatse kan geschieden, zijn zij bevoegd de zaken voor dat doel voor korte tijd mee te nemen tegen een door hen af te geven schriftelijk bewijs.

• 4 De beheerder wordt zo spoedig mogelijk in kennis gesteld van de resultaten van het onderzoek.

De functionarissen voor gegevensbescherming maken van de in de artikelen 3 tot en met 6 beschreven bevoegdheden alleen gebruik voor zover dat redelijkerwijs voor de uitoefening van hun taken nodig is.

• 1 Bij de uitoefening van hun bevoegdheden dragen de functionarissen voor gegevensbescherming een legitimatiebewijs bij zich, dat is uitgegeven door de minister en dat een foto bevat van de functionaris voor gegevensbescherming en in ieder geval diens naam en hoedanigheid vermeldt.

• 2 De functionarissen voor gegevensbescherming tonen hun legitimatiebewijs desgevraagd aanstonds.

• 1 Eenieder die werkzaam is onder het gezag van de minister dan wel een verwerker is verplicht aan de functionarissen voor gegevensbescherming binnen de door hen gestelde redelijke termijn alle medewerking te verlenen die deze redelijkerwijs kunnen vorderen bij de uitoefening van hun bevoegdheden.

• 2 De minister wijst op verzoek van de functionarissen voor gegevensbescherming één of meer ambtenaren aan die in voorkomend geval ten behoeve van de functionarissen voor gegevensbescherming systemen of bronnen van gegevens kunnen ontsluiten.

• 3 Het is aan de functionarissen voor gegevensbescherming om te bepalen of systemen of bronnen van gegevens voor hun onderzoek relevante informatie kunnen bevatten.

Indien een functionaris voor gegevensbescherming bij de uitoefening van zijn toezichttaak onregelmatigheden aantreft bij de verwerking van persoonsgegevens brengt hij aan de minister rechtstreeks verslag uit, nadat hij de betreffende beheerder over de aangetroffen onregelmatigheden heeft geïnformeerd. Hij kan dit verslag vergezeld doen gaan van een aanbeveling die strekt tot een betere bescherming van de gegevens die worden verwerkt.

De functionarissen voor gegevensbescherming stellen ieder, jaarlijks vóór 1 april, een verslag op van hun werkzaamheden en bevindingen in het daaraan voorafgaande kalenderjaar. Zij sturen een kopie van hun verslag ter kennisneming aan de departementale ondernemingsraad (DOR), aan de ondernemingsraad van DUO en aan de Autoriteit persoonsgegevens. Tevens bieden de functionarissen voor gegevensbescherming, jaarlijks vóór 1 mei, een gezamenlijk verslag aan de minister aan.

De functionarissen voor gegevensbescherming kunnen privacy-audits uit laten voeren ter ondersteuning van hun toezichttaak. Een privacy-audit is een beoordeling bij een organisatie of organisatie-onderdeel van een verwerking van persoonsgegevens of van een systeem of project dat als doel heeft persoonsgegevens te verwerken of te gaan verwerken, waarbij het accent ligt op de naleving van wettelijke eisen ter bescherming van persoonsgegevens.

De functionarissen voor gegevensbescherming kunnen rechtstreeks aanbevelingen doen aan de minister, die strekken tot een betere bescherming van de gegevens die worden verwerkt. In gevallen van twijfel overleggen zij met de Autoriteit persoonsgegevens.

De functionarissen voor gegevensbescherming alsmede de in voorkomend geval door hen ingeschakelde personen, bedoeld in artikel 3, tweede lid, zijn verplicht tot geheimhouding van hetgeen hen op grond van een klacht of een verzoek van de betrokkene, bedoeld in artikel 4, onderdeel 1, van de Algemene verordening gegevensbescherming, bekend is geworden, tenzij deze betrokkene met bekendmaking instemt.

Deze regeling berust op artikel 37 van de Algemene verordening gegevensbescherming.

De Regeling taken en bevoegdheden functionaris gegevensbescherming OCW en de Regeling taken en bevoegdheden van de functionaris voor de gegevensbescherming Informatie Beheer Groep worden ingetrokken.

Deze regeling treedt in werking met ingang van de dag na de datum van uitgifte van de Staatscourant, waarin zij wordt geplaatst.

Deze regeling wordt aangehaald als: Regeling toezichtsbevoegdheden functionarissen voor gegevensbescherming OCW.