Regeling WPG Defensie

Geraadpleegd op 11-12-2024.
Geldend van 01-01-2020 t/m heden

Regeling WPG Defensie

De Minister van Defensie

Besluit:

Paragraaf 1. Algemene bepalingen

Artikel 1.1. Begrippen en definities

In deze regeling wordt verstaan onder:

  • a. Richtlijn: Richtlijn (EU) 2016/680 van het Europees parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad;

  • b. wet: Wet politiegegevens;

  • c. minister: Minister van Defensie;

  • d. ministerie: Ministerie van Defensie

  • e. politiegegeven, persoonsgegeven, gerelateerde gegevens, bestand, verwerken van politiegegevens, verstrekken van politiegegevens, ter beschikking stellen van politiegegevens, afschermen van politiegegevens, verwerkingsverantwoordelijke, betrokkene, verwerker; bevoegde autoriteit, ontvanger, derde land, internationale organisatie, inbreuk op de beveiliging, genetische gegevens, biometrische gegevens, gegevens over gezondheid, profilering: de definities daarvan, genoemd in artikel 1 van de wet;

  • f. bijzondere categorieën van politiegegevens: de politiegegevens, genoemd in artikel 5 van de wet;

  • g. ambtenaar van politie: de ambtenaar van de Koninklijke Marechaussee voor zover werkzaam in de uitvoering van de politietaak;

  • h. politietaak: de politietaak, genoemd in artikel 4 van de Politiewet 2012, met uitzondering van de bij of krachtens de Vreemdelingenwet 2000 opgedragen taken, bedoeld in artikel 4, onderdeel f, van de Politiewet 2012 en de politietaak als bedoeld in artikel 36b, onder a, van de wet;

  • i. verwerkingsverantwoordelijke: de minister;

  • j. bevoegde autoriteit: de Koninklijke Marechaussee;

  • k. Autoriteit persoonsgegevens: Autoriteit persoonsgegevens als bedoeld in artikel 35 van de wet.

Artikel 1.2. Reikwijdte

Deze regeling is van toepassing op verwerking van politiegegevens door de Koninklijke Marechaussee en andere opsporingsambtenaren bij Defensie, welke gegevens in een bestand zijn opgenomen of die bestemd zijn daarin te worden opgenomen en waarvoor de minister de verwerkingsverantwoordelijke is in de zin van de wet.

Artikel 1.3. Wpg-beheerder en Wpg-onderbeheerder

  • 1 De Commandant Koninklijke Marechaussee is Wpg-beheerder.

  • 2 De Wpg-beheerder draagt zorg voor naleving van de regelgeving omtrent verwerking van politiegegevens door de Koninklijke Marechaussee. Hij doet dit namens de minister.

  • 3 Ieder jaar rapporteert de Wpg-beheerder zijn bevindingen aan de functionaris voor gegevensbescherming WPG. Hij doet dit uiterlijk op 31 december van dat jaar.

  • 4 De Wpg-beheerder zorgt er voor dat contacten met de Autoriteit persoonsgegevens geschieden door tussenkomst van de functionaris voor gegevensbescherming WPG.

  • 5 De Wpg-beheerder kan zijn in dit artikel geformuleerde taken geheel of gedeeltelijk opdragen aan een Wpg-onderbeheerder. Hieronder valt het binnen de Koninklijke Marechaussee coördineren van de uitvoering van de regelgeving die van toepassing is op de verwerking van politiegegevens.

  • 6 In uitzondering op het vijfde lid kan de Wpg-beheerder het aangaan of beëindigen van een verwerkersovereenkomst, bedoeld in artikel 1.5, niet aan de Wpg-onderbeheerder opdragen.

  • 7 De Wpg-beheerder deelt het opdragen van de taken mee aan de functionaris voor gegevensbescherming WPG.

Artikel 1.4. Privacyfunctionaris

  • 1 De Wpg-beheerder wijst binnen de Koninklijke Marechaussee één of meer privacyfunctionarissen aan. Hij deelt dit mee aan de functionaris voor gegevensbescherming WPG.

  • 2 De privacyfunctionaris:

    • a. adviseert binnen Defensie over de toepassing van regelgeving die betrekking heeft op de verwerking van politiegegevens;

    • b. adviseert binnen Defensie over gecoördineerde uitvoering daarvan;

    • c. ziet toe op de verwerking van politiegegevens;

    • d. draagt zorg voor melding van een datalek aan de Autoriteit persoonsgegevens.

  • 3 De privacyfunctionaris rapporteert zijn bevindingen jaarlijks aan de Wpg-beheerder.

Artikel 1.5. Verwerker

  • 2 De overeenkomst tot verwerking van de betreffende politiegegevens wordt vastgelegd in een schriftelijke verwerkersovereenkomst tussen de verwerker en de Wpg-beheerder die optreedt namens de minister.

Artikel 1.6. Functionaris voor gegevensbescherming WPG

  • 1 Er is een functionaris voor gegevensbescherming WPG. Hij wordt tijdig betrokken bij alle aangelegenheden die verband houden met de bescherming van politiegegevens.

  • 2 De functionaris voor gegevensbescherming WPG vervult binnen het Ministerie de taken, genoemd in artikel 36, derde lid, van de wet en ziet toe op het evalueren van incidenten over het verwerken van politiegegevens binnen het ministerie.

  • 3 De functionaris voor gegevensbescherming WPG rapporteert jaarlijks aan de minister over de naleving van de wet en daarop gebaseerde regelgeving binnen het ministerie.

  • 4 Voor de uitoefening van het toezicht wordt de functionaris voor gegevensbescherming WPG toegang verleend tot de politiegegevens en beschikt hij over de bevoegdheden als bedoeld in Titel 5.2 van de Algemene wet bestuursrecht. De functionaris voor gegevensbescherming WPG maakt alleen gebruik van zijn bevoegdheden als dat nodig is voor de vervulling van zijn taak.

  • 5 De functionaris voor gegevensbescherming WPG wordt alle medewerking verleend die hij redelijkerwijs kan vorderen, tenzij een wettelijke geheimhoudingsplicht daar aan in de weg staat.

  • 6 De verwerkingsverantwoordelijke maakt de contactgegevens van de functionaris voor gegevensbescherming WPG openbaar. Hij deelt deze mee aan de Autoriteit persoonsgegevens.

Paragraaf 2. Weergaven van verwerkingen van politiegegevens

Artikel 2.1. Register

  • 1 Er is een register van verwerkingsactiviteiten, als bedoeld in artikel 31d van de wet, van het ministerie.

  • 2 Het register wordt opgesteld en geactualiseerd door de Wpg-beheerder.

  • 3 Voordat met een nieuwe of gewijzigde verwerking van politiegegevens wordt begonnen, wordt deze verwerking opgenomen in het register.

  • 4 Het register omvat:

    • a. de in artikel 31d, eerste lid, van de wet bedoelde gegevens;

    • b. indien van toepassing, een afschrift van de afspraken met een verwerker, als bedoeld in artikel 6c, tweede lid, van de wet;

    • c. algemene informatie over de locaties en ICT-systemen waar de verwerking plaatsvindt;

    • d. informatie over de onderdelen van het proces ten behoeve waarvan het verwerken van persoonsgegevens plaatsvindt;

    • e. indien van toepassing een afschrift van de gegevensbeschermingseffectbeoordeling, bedoeld in artikel 4c van de wet.

  • 5 De functionaris voor gegevensbescherming WPG en de Autoriteit persoonsgegevens krijgen op hun verzoek toegang tot het register.

Artikel 2.2. Documentatie

De Wpg-beheerder zorgt voor de schriftelijke of elektronische vastlegging van de aangelegenheden, bedoeld in artikel 32, eerste en tweede lid, van de wet.

Artikel 2.3. Logging

  • 1 De Wpg-beheerder zorgt voor de elektronische vastlegging van ten minste het verzamelen, wijzigen, raadplegen, verstrekken, doorgeven, combineren of vernietigen van politiegegevens, conform artikel 32a van de wet.

  • 2 De minimale duur van de logging van een politiegegeven is vier jaar.

Paragraaf 3. Gegevensbeschermingseffectbeoordeling / Privacy Impact Assessment

Artikel 3. Gegevensbeschermingseffectbeoordeling

  • 1 De Wpg-beheerder voert de gegevensbeschermingseffectbeoordeling uit als bedoeld in artikel 4c van de wet, aan de hand van het Model gegevensbeschermingseffectbeoordeling Rijksdienst (PIA).

  • 2 Het projectplan dat op de voorgenomen gegevensbeschermingseffectbeoordeling betrekking heeft, wordt vooraf ter advies voorgelegd aan de functionaris voor gegevensbescherming WPG. Het projectplan wordt daarnaast voorgelegd aan de Chief Information Officer als de gegevensverwerking gepaard gaat met de bouw of vergaande aanpassing van een ICT-systeem.

  • 3 Een voltooide PIA bestaat uit:

    • a. een algemene beschrijving van de voorgenomen verwerkingen en de verwerkingsdoeleinden;

    • b. een beschrijving en beoordeling van de rechtsgrond en de noodzaak van de voorgenomen verwerkingen in relatie tot de verwerkingsdoeleinden;

    • c. een beschrijving en beoordeling van risico’s van de voorgenomen verwerkingen voor de rechten en vrijheden van de betrokkenen; en

    • d. een beschrijving van de voorzorgs- en beveiligingsmaatregelen en mechanismen om de politiegegevens te beschermen en aan te tonen dat is voldaan aan de wet en daarop gebaseerde regelgeving, met inachtneming van de rechten en gerechtvaardigde belangen van betrokkenen.

  • 4 Wanneer uit de gegevensbeschermingseffectbeoordeling blijkt dat de verwerking een hoog risico als bedoeld in artikel 33b, eerste lid, van de wet oplevert, wordt de Autoriteit persoonsgegevens geraadpleegd, door tussenkomst van de functionaris voor gegevensbescherming, conform art. 33b van de wet.

Paragraaf 4. Datalek

Artikel 4.1. Melding datalek aan de Autoriteit persoonsgegevens

  • 1 De privacyfunctionaris meldt een inbreuk op de beveiliging, als bedoeld in artikel 33a, eerste lid, van de wet, aan de Autoriteit persoonsgegevens. Hij stuurt een kopie daarvan aan de functionaris voor gegevensbescherming WPG.

  • 3 De privacyfunctionaris doet de melding binnen 72 uur nadat hij kennis heeft genomen van het datalek en in ieder geval zodra hij de gegevens, bedoeld in het tweede lid, kan verstrekken.

  • 4 De privacyfunctionaris registreert de inbreuk op de beveiliging, ongeacht of deze een risico voor de beveiliging van de rechten en vrijheden van personen met zich meebrengt.

  • 5 Een te late melding gaat vergezeld van een motivering van de vertraging.

Artikel 4.2. Melding datalek aan de betrokkene

  • 1 De privacyfunctionaris deelt de inbreuk op de beveiliging mee aan de betrokkene wanneer deze inbreuk waarschijnlijk een hoog risico voor de rechten en vrijheden van personen met zich meebrengt.

  • 3 De mededeling is niet vereist wanneer:

    • a. passende technische en organisatorische maatregelen zijn getroffen en toegepast op de politiegegevens waarop het datalek betrekking heeft;

    • b. maatregelen zijn getroffen om er voor te zorgen dat het hoge risico, bedoeld in het eerste lid, zich waarschijnlijk niet meer zal voordoen; of

    • c. de mededeling een onevenredige inspanning zou vergen. In dat geval volgt een openbare vergelijkbare maatregel waarmee betrokkene even doeltreffend wordt geïnformeerd.

  • 4 De mededeling kan worden uitgesteld, beperkt of achterwege gelaten:

    • a. ter vermijding van belemmering van de gerechtelijke onderzoeken of procedures;

    • b. ter vermijding van nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen;

    • c. ter bescherming van de openbare of de nationale veiligheid;

    • d. ter bescherming van de rechten en vrijheden van derden.

Paragraaf 5. Rechten van betrokkene

Artikel 5.1. Informatieverstrekking aan de betrokkene

  • 1 Op verzoek van betrokkene wordt hem conform artikel 24a van de wet informatie verstrekt over de verwerking van politiegegevens. Dit wordt gedaan in beknopte en toegankelijke vorm en voor zover beveiliging dit toelaat.

  • 2 Op verzoek van betrokkene worden hem conform artikel 24b tweede lid, van de wet de gegevens verstrekt, tenzij ten aanzien van betrokkene het gegronde vermoeden bestaat dat hij een strafbaar feit heeft gepleegd of zal gaan plegen.

Artikel 5.2. Recht op inzage, rectificatie, aanvulling en vernietiging

  • 1 Betrokkene richt verzoeken om inzage, rectificatie, aanvulling en vernietiging van politiegegevens, als bedoeld in de artikelen 25 en 28 van de wet, aan de Wpg-beheerder.

  • 2 Het verzoek kan namens betrokkene worden gedaan door de Autoriteit persoonsgegevens of door de advocaat van betrokkene. Betrokkene machtigt zijn advocaat met een bijzondere, daartoe strekkende schriftelijke machtiging.

  • 3 Het verzoek kan namens betrokkene worden gedaan door zijn wettelijk vertegenwoordiger als betrokkene jonger is dan 16 jaar of onder curatele is gesteld.

  • 4 De Wpg-beheerder neemt het verzoek in behandeling.

  • 5 Bij het in behandeling nemen van het verzoek stelt de Wpg-beheerder

    • a. de identiteit van de verzoeker en van betrokkene vast;

    • b. betrokkene, in geval van een verzoek om inzage of rectificatie, schriftelijk in kennis van de ontvangst van het verzoek, de termijn voor uitsluitsel en de mogelijkheid om naar aanleiding daarvan een klacht in te dienen bij de Autoriteit persoonsgegevens.

  • 6 Het verzoek wordt afgewezen:

    • a. bij een kennelijk ongegrond of buitensporig verzoek; of

    • b. voor zover dit een noodzakelijke en evenredige maatregel is

      • 1e. ter vermijding van belemmering van de gerechtelijke onderzoeken of procedures;

      • 2e. ter vermijding van nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen;

      • 3e. ter bescherming van de openbare of de nationale veiligheid; of

      • 4e. ter bescherming van de rechten en vrijheden van derden.

  • 8 Op een verzoek om rectificatie, aanvulling of vernietiging van de politiegegevens, wordt binnen vier weken beslist.

  • 9 Een afwijzing van het verzoek wordt gemotiveerd.

Paragraaf 6. Juistheid, volledigheid, beveiliging en beheer

Artikel 6.1. Dataminimalisatie, juistheid en volledigheid

  • 2 De Wpg-beheerder treft de nodige maatregelen overeenkomstig artikel 4 van de wet, waaronder:

    • a. het vernietigen of rectificeren van politiegegevens zodra blijkt dat deze onjuist zijn;

    • b. het vernietigen of verwijderen van politiegegevens zodra deze niet langer noodzakelijk zijn voor het doel waarvoor ze zijn verwerkt;

    • c. het vernietigen of verwijderen van politiegegevens zodra een wettelijke bepaling dit vereist;

    • d. het onderscheiden tussen feitelijke politiegegevens en politiegegevens die op een persoonlijk oordeel zijn gebaseerd.

Artikel 6.2. Privacy by design en privacy by default

De verwerkingsverantwoordelijke treft technische en organisatorische maatregelen die zorgen voor een passend beveiligingsniveau van politiegegevens overeenkomstig de artikelen 4a en 4b van de wet en artikel 6:1a van het Besluit politiegegevens.

Artikel 6.3. Autorisatie

  • 1 Politiegegevens worden alleen verwerkt door defensiemedewerkers in de uitoefening van de politietaak of delen van de politietaak waarmee zij zijn belast en voorzover zij voor die verwerking zijn geautoriseerd door de Wpg-beheerder.

  • 2 Ten behoeve van het eerste lid kan de Wpg-beheerder ook defensiemedewerkers die niet werkzaam zijn bij de Koninklijke Marechaussee, autoriseren voor het verwerken van politiegegevens.

  • 3 De Wpg-beheerder onderhoudt een systeem van autorisaties dat voldoet aan de vereisten van zorgvuldigheid en evenredigheid, conform artikel 6 van de wet.

Paragraaf 7. Audit

Artikel 7. Audit Dienst Rijk

  • 1 De Audit Dienst Rijk voert, eventueel op verzoek van de Wpg-beheerder, een audit uit naar de naleving van deze wet en deze regeling.

  • 2 Wanneer de auditdienst het voornemen heeft een audit te verrichten, wordt de functionaris voor gegevensbescherming WPG hiervan op de hoogte gesteld.

  • 3 De auditdienst rapporteert haar bevindingen aan de minister en aan de functionaris voor gegevensbescherming WPG.

Paragraaf 9. Slotbepalingen

Artikel 9.1. Inwerkingtreding

Deze regeling treedt in werking met ingang van 1 januari 2019. Indien de Staatscourant waarin deze regeling wordt geplaatst, wordt uitgegeven na 31 december 2018, treedt zij in werking met ingang van de dag na de datum van uitgifte van de Staatscourant waarin zij wordt geplaatst en werkt zij terug tot en met 1 januari 2019.

Artikel 9.2. Citeertitel

Deze regeling wordt aangehaald als: Regeling WPG Defensie.

Deze regeling zal met de toelichting worden geplaatst in de Staatscourant.

’s-Gravenhage, 16 december 2018

De Minister van Defensie,

A.Th.B. Bijleveld-Schouten