Reglement gegevensbeheer Kansspelautoriteit

In dit reglement wordt verstaan onder:

• a. AVG: Algemene verordening gegevensbescherming;

• b. UAVG: Uitvoeringswet Algemene verordening gegevensbescherming;

• c. Wok: Wet op de kansspelen;

• d. persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon als bedoeld in artikel 4, sub 1, van de AVG;

• e. gegevens: alle gegevens inclusief persoonsgegevens;

• f. strafrechtelijke gegevens: persoonsgegevens of gegevens over een rechtspersoon, van strafrechtelijke aard;

• g. burgerservicenummer: het nummer bedoeld in artikel 1, onder b, van de Wet algemene bepalingen burgerservicenummer;

• h. raad van bestuur: de raad van bestuur van de Kansspelautoriteit, als bedoeld in artikel 33a van de Wok;

• i. verwerkingsverantwoordelijke: de raad van bestuur;

• j. Autoriteit Persoonsgegevens: de toezichthoudende autoriteit als bedoeld in artikel 51, eerste lid, van de AVG.

• 1 Dit reglement is van toepassing op de verwerking van persoonsgegevens waarvoor de raad van bestuur de verwerkingsverantwoordelijke is als bedoeld in artikel 33g, negende lid, van de Wok.

• 2 Dit reglement is eveneens van toepassing op de uitwisseling van andere gegevens tussen de raad van bestuur en andere bestuursorganen, toezichthouders, instanties en personen, alsmede op de wijze waarop gegevens worden verstrekt en de doorlevering en vernietiging van gegevens.

Op grond van artikel 33g, derde lid, van de Wok worden de volgende bestuursorganen en toezichthouders aangewezen om de gegevens te verstrekken die noodzakelijk zijn voor de uitvoering van de taken van de raad van bestuur en de ambtenaren en personen bedoeld in artikel 34 van de Wok:

• a. Autoriteit Financiële Markten;

• b. Autoriteit Consument en Markt;

• c. De Nederlandse Bank N.V.;

• d. Nederlandse Zorgautoriteit;

• e. Inspectie Leefomgeving en Transport;

• f. Nederlandse Voedsel- en Warenautoriteit;

• g. Fiscale inlichtingen- en opsporingsdienst;

• h. Commissariaat voor de Media;

• i. Uitvoeringsinstituut Werknemersverzekeringen;

• j. Sociale Verzekeringsbank;

• k. Immigratie- en Naturalisatiedienst;

• l. de Minister van Defensie voor zover het gegevens betreft die de Koninklijke Marechaussee verstrekt;

• m. de Korpschef van de Politie;

• n. Openbaar Ministerie;

• o. Autoriteit Persoonsgegevens;

• p. het college van burgemeester en wethouders en de burgemeester van een gemeente en het college van gedeputeerde staten van een provincie;

• q. de Rijksvertegenwoordiger van de openbare lichamen Bonaire, Sint Eustatius en Saba (Caribisch Nederland).

Met inachtneming van het bepaalde in de toepasselijke wet- en regelgeving, kan de raad van bestuur gegevens uitwisselen met andere bestuursorganen, toezichthouders, instanties en personen, voor zover dat noodzakelijk is voor de uitvoering van de taken bedoeld in artikel 33b van de Wok, of als er daarvoor een andere grondslag bestaat.

De verstrekking van gegevens, bedoeld in artikel 2.1 en 2.2, gebeurt schriftelijk of op elektronische wijze. Deze verstrekking kan eenmalig, incidenteel of periodiek plaatsvinden. Indien gegevens periodiek worden verstrekt, dan worden schriftelijke afspraken gemaakt tussen de raad van bestuur en de wederpartij over de gegevens die worden verstrekt en de wijze van verstrekking. In alle gevallen geschiedt de verstrekking kosteloos.

Verstrekking van gegevens aan een bestuursorgaan, instantie, toezichthouder of andere persoon als bedoeld in artikel 2.2 vindt uitsluitend plaats indien:

• a. het bestuursorgaan, de instantie, de toezichthouder of de andere persoon afdoende duidelijk heeft gemaakt op basis van welke grondslag de verstrekking kan plaatsvinden,

• b. de geheimhouding van de gegevens of inlichtingen in voldoende mate is gewaarborgd, en

• c. voldoende is gewaarborgd dat de gegevens niet zullen worden gebruikt voor een ander doel dan waarvoor deze worden verstrekt.

De raad van bestuur kan gegevens die hij heeft verkregen overeenkomstig artikel 2.1 en 2.2, alleen doorleveren aan een ander(e) bestuursorgaan, instantie, toezichthouder of persoon, indien dat noodzakelijk is voor de uitvoering van de taken bedoeld in artikel 33b van de Wok, of als er daarvoor een andere grondslag bestaat. Artikel 3.2 is van overeenkomstige toepassing.

De raad van bestuur bewaart en vernietigt de verkregen gegevens in overeenstemming met de geldende selectielijst van de Kansspelautoriteit en de Archiefwet 1995.

Medewerkers van de Kansspelautoriteit en ieder ander die krachtens de Wok of dit reglement de beschikking krijgt over gegevens, zijn verplicht tot geheimhouding daarvan, behoudens de in de artikelen 3.3 genoemde redenen tot doorlevering.

• 1 Onverminderd het bepaalde in de AVG, de Wok en in dit reglement, draagt een ieder die persoonsgegevens verwerkt voor de Kansspelautoriteit zorg voor de juistheid, nauwkeurigheid en volledigheid van die persoonsgegevens.

• 2 Persoonsgegevens worden verwerkt conform het privacybeleid van de raad van bestuur.

De raad van bestuur stelt het verwerkingsregister of een beschrijving daarvan beschikbaar via de website van de Kansspelautoriteit.

• 1 De raad van bestuur laat periodiek, doch minimaal driejaarlijks, een externe auditor of de Functionaris Gegevensbescherming van de Kansspelautoriteit een audit uitvoeren naar de naleving van de privacy wet- en regelgeving door de Kansspelautoriteit.

• 2 Indien uit de auditresultaten blijkt dat niet wordt voldaan aan de privacy wet- en regelgeving, dan stelt de raad van bestuur een plan van aanpak op waarmee op zo kort mogelijke termijn alsnog wordt voldaan aan die wet- en regelgeving.

• 3 De raad van bestuur laat periodiek, doch minimaal driejaarlijks, onderzoek doen naar de naleving van de privacy wet- en regelgeving en dit reglement door de gecontracteerde verwerkers van persoonsgegevens, door een externe auditor of de Functionaris Gegevensbescherming van de Kansspelautoriteit.

• 1 De raad van bestuur maakt voor de informatiebeveiliging gebruik van een Information Security Management System (ISMS) dat overeenkomstig de ISO NEN norm 27001 is geïmplementeerd.

• 2 Gegevens worden beveiligd conform de beveiligingsmaatregelen die zijn vastgelegd in het Informatieveiligheidsbeleid van de raad van bestuur.

Uitwisseling van gegevens vindt plaats via adequaat beveiligde kanalen of platforms. De bestanden worden adequaat versleuteld indien de gevoeligheid of vertrouwelijkheid van de gegevens dat vereist.

Dit reglement wordt met de toelichting in de Staatscourant geplaatst en treedt in werking op de eerste dag na de datum van bekendmaking.

Het Reglement bescherming persoonsgegevens Kansspelautoriteit, bekendgemaakt in de Staatscourant 2014 nr. 21460 van 29 juli 2014, wordt ingetrokken.

Dit reglement wordt aangehaald als: Reglement gegevensbeheer Kansspelautoriteit.