Regeling Wet bescherming persoonsgegevens ministerie van Defensie

Artikel 1.1 Begrippen en definities In deze regeling wordt verstaan onder: a. Wet: Wet bescherming persoonsgegevens ; b. Minister: Minister van Defensie; c. persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; d. bijzondere persoonsgegevens: artikel 16 van de wet persoonsgegevens als bedoeld in; e. verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen, of vernietigen van gegevens; f. verwerker: een ieder die persoonsgegevens verwerkt in de zin van onderdeel e van dit artikel; g. meldingsformulier: artikel 2.2 het meldingsformulier als bedoeld invan deze regeling; h. register: artikel 2.4 register als bedoeld invan deze regeling; i. verantwoordelijke: Minister van Defensie; j. Wbp-beheerder: het diensthoofd die namens de minister belast is met de zorg voor de naleving van de wet ten aanzien van verwerkingen die gevoerd worden binnen het dienstonderdeel; k. bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen; l. gebruiker: degene die bevoegd is gegevens in te zien dan wel in te voeren of te muteren; m. betrokkene: degene op wie een persoonsgegeven betrekking heeft; n. derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken; o. ontvanger: degene aan wie persoonsgegevens worden verstrekt; p. College bescherming persoonsgegevens of het College: artikel 51 van de wet College als bedoeld in; q. functionaris gegevensbescherming: artikel 62 van de wet de functionaris als bedoeld in; r. melding: artikel 28 van de wet artikel 2.2, eerste en tweede lid melding bij de functionaris gegevensbescherming van een verwerking van persoonsgegevens die voor de verwezenlijking van een doeleinde of van verscheidene samenhangende doeleinden bestemd is als bedoeld inen in, van deze regeling; s. verstrekken van gegevens: het bekend maken of ter beschikking stellen van persoonsgegevens, voor zover zulks geheel of grotendeels steunt op gegevens die verwerkt zijn, of die door verwerking daarvan, al dan niet in verband met andere gegevens, zijn verkregen; t. Wbp: Wet bescherming persoonsgegevens . 2009 12209 18-08-2009 03-08-2009 C/2009011392 2009 12209 18-08-2009 03-08-2009 C/2009011392 01-09-2009

Artikel 1.2 Reikwijdte wet Deze regeling is van toepassing op alle verwerkingen van persoonsgegevens waarvoor de Minister van Defensie de verantwoordelijke is in de zin van de. 2009 12209 18-08-2009 03-08-2009 C/2009011392 2009 12209 18-08-2009 03-08-2009 C/2009011392 01-09-2009

Artikel 1.3 Beheerder 1 Als Wbp-beheerder worden aangewezen: a. de plaatsvervangend Secretaris-Generaal voor verwerkingen binnen de bestuursstaf alsmede defensiebrede verwerkingen; b. de Commandant Koninklijke marechaussee voor verwerkingen binnen de Koninklijke marechaussee; c. de Commandant Zeestrijdkrachten voor verwerkingen binnen het operationeel commando der zeestrijdkrachten; d. de Commandant Luchtstrijdkrachten voor verwerkingen binnen het operationeel commando der luchtstrijdkrachten; e. de Commandant Landstrijdkrachten voor verwerkingen binnen het operationeel commando der landstrijdkrachten; f. de Commandant Commando Diensten Centra voor verwerkingen binnen het commando diensten centra; g. de Directeur Defensie Materieel Organisatie voor verwerkingen binnen de defensie materieel organisatie. 2 Een Wbp-beheerder kan de aan hem belaste zorg voor de naleving van de wet geheel of gedeeltelijk opdragen aan een Wbp-onderbeheerder binnen zijn dienstonderdeel. Hij doet hiervan mededeling aan de functionaris voor de gegevensbescherming. 3 De Wbp-beheerder, dan wel de Wbp-onderbeheerder, wijst binnen zijn dienstonderdeel een Wbp-coördinator aan die de uitvoering van de wet en de feitelijke handelingen die daarvoor nodig zijn, binnen zijn dienstonderdeel coördineert. Hij doet hiervan mededeling aan de functionaris voor de gegevensbescherming. De Wbp-coördinator neemt deel aan het Wbp-coördinatorenoverleg. 4 wet De Wbp-beheerder rapporteert jaarlijks vóór 1 augustus aan de functionaris voor de gegevensbescherming over de naleving van debinnen zijn dienstonderdeel. 5 artikel 2.2 De Wbp-beheerder,dan wel de Wbp-onderbeheerder, meldt alle verwerkingen van persoonsgegevens bij de functionaris voor de gegevensbescherming conform het gestelde invan deze regeling. 6 De Wbp-beheerder, dan wel de Wbp-onderbeheerder, draagt er zorg voor dat contacten met het College geschieden door tussenkomst van de functionaris voor de gegevensbescherming. 7 Voor die verwerkingen ten aanzien waarvan dit artikel niet in een aanwijzing van Wbp-beheerder voorziet, kan de Secretaris-Generaal alsnog een Wbp-beheerder aanwijzen. 2016 24374 12-05-2016 03-05-2016 BS2016006800 2016 24374 12-05-2016 03-05-2016 BS2016006800 13-05-2016

Artikel 1.4 Bewerker 1 Indien een Wbp-beheerder, dan wel een Wbp-onderbeheerder, persoonsgegevens laat verwerken door een bewerker, dan wel indien de minister optreedt als bewerker voor een externe verantwoordelijke, vindt verwerking van persoonsgegevens slechts plaats indien voorafgaand daaraan de uitvoering van de verwerkingen door de bewerker is geregeld in een overeenkomst tussen de verantwoordelijke en bewerker dan wel krachtens een andere rechtshandeling waardoor een verbintenis is ontstaan tussen de bewerker en de verantwoordelijke. 2 De overeenkomst of rechtshandeling bevat in ieder geval een regeling over: a. de rol en positie van partijen; b. het, indien toepasselijk, informeren van betrokkenen; c. de werkzaamheden waarop de overeenkomst betrekking heeft en het toegestane gebruik van persoonsgegevens door de bewerker, en d. een afdoende beveiliging van persoonsgegevens door de bewerker en de overige zorgplichten van de bewerker. 3 De overeenkomst of rechtshandeling wordt schriftelijk vastgelegd. 2009 12209 18-08-2009 03-08-2009 C/2009011392 2009 12209 18-08-2009 03-08-2009 C/2009011392 01-09-2009

Artikel 1.5 Zorgplicht verwerker wet Onverminderd het bepaalde in deen in deze regeling draagt een ieder die persoonsgegevens verwerkt zorg voor de juistheid, nauwkeurigheid en accuraatheid van de gegevens. 2009 12209 18-08-2009 03-08-2009 C/2009011392 2009 12209 18-08-2009 03-08-2009 C/2009011392 01-09-2009

Artikel 1.6 Functionaris gegevensbescherming 1 Er is een functionaris voor de gegevensbescherming. 2 wet De functionaris voor de gegevensbescherming heeft, naast het houden van toezicht op de verwerking van persoonsgegevens door de verantwoordelijke overeenkomstig het bij of krachtens debepaalde, in ieder geval tot taak: a. het jaarlijks rapporteren aan de minister over de naleving van de wet binnen het ministerie; b. het bijhouden van een voor een ieder kosteloos raadpleegbaar meldingenregister; c. het begeleiden en verzorgen van contacten tussen het ministerie en het college; d. wet het, voortvloeiende uit het toezicht, adviseren van de minister en van de beheerders over de toepassing en uitvoering van de; e. wet het geven van voorlichting over de, over de bescherming van de persoonlijke levenssfeer alsmede over de wijze waarop toezicht wordt gehouden; f. het minstens jaarlijks organiseren van een Wbp-coördinatorenoverleg; g. het toezien op de afwikkeling van klachten en het evalueren van incidenten terzake van het verwerken van persoonsgegevens binnen Defensie. 3 artikel 64, eerste lid, van de wet Afdeling 5.2 van de Algemene wet bestuursrecht De functionaris voor de gegevensbescherming beschikt voor de uitoefening van het toezicht als bedoeld inover de bevoegdheden als bedoeld in. De functionaris voor de gegevensbescherming maakt van zijn bevoegdheden slechts gebruik voor zover dat redelijkerwijs voor de vervulling van zijn taak nodig is. 4 Een ieder die werkzaam is onder het gezag van de minister alsmede een bewerker of eenieder die onder het gezag van een bewerker persoonsgegevens verwerkt, is verplicht aan de functionaris voor de gegevensbescherming alle medewerking te verlenen die deze redelijkerwijs kan vorderen bij de uitoefening van zijn bevoegdheden, tenzij een geheimhoudingsplicht uit hoofde van een wettelijk voorschrift daaraan in de weg staat. 2009 12209 18-08-2009 03-08-2009 C/2009011392 2009 12209 18-08-2009 03-08-2009 C/2009011392 01-09-2009

Artikel 2.1 Doelbinding Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld. 2009 12209 18-08-2009 03-08-2009 C/2009011392 2009 12209 18-08-2009 03-08-2009 C/2009011392 01-09-2009

Artikel 2.2 Melding 1 bijlage De Wbp-beheerder, dan wel de Wbp-onderbeheerder, meldt verwerkingen van persoonsgegevens voordat met de verwerking wordt begonnen door middel van het inopgenomen meldingenformulier Defensie bij de functionaris voor de gegevensbescherming. 2 De Wbp-beheerder, dan wel de Wbp-onderbeheerder, meldt wijzigingen ten aanzien van een melding, zo mogelijk voor aanvang van de wijziging, doch uiterlijk één week na de wijziging, bij de functionaris voor de gegevensbescherming. 3 De Wbp-beheerder, dan wel de Wbp-onderbeheerder, beschikt over een Wbp-dossier per gemelde verwerking. Een Wbp-dossier omvat in ieder geval: a. een afschrift van de gedane melding; b. artikel 14 van de wet indien van toepassing, een afschrift van de afspraken als bedoeld inmet een bewerker; c. informatie over de locaties, dienstonderdelen en systemen waar de verwerking plaatsvindt; d. informatie over de grondslag van de verwerking en over de onderdelen van het bedrijfsproces ten behoeve waarvan het verwerken van persoonsgegevens plaatsvindt; e. informatie die blijk geeft van een afdoende beveiliging van persoonsgegevens; f. artikel 43 van de wet informatie over de toepassing van. 2009 12209 18-08-2009 03-08-2009 C/2009011392 2009 12209 18-08-2009 03-08-2009 C/2009011392 01-09-2009

Artikel 2.3 Melding verwerking met bijzonder risico 1 artikel 31 van de wet Verwerkingen die een bijzonder risico met zich brengen in de zin vanworden als zodanig door de Wbp-beheerder, dan wel de Wbp-onderbeheerder bij de functionaris gegevensbescherming gemeld. 2 De functionaris gegevensbescherming meldt de ingevolge het eerste lid bij hem gemelde verwerkingen bij het College bescherming persoonsgegevens. 2009 12209 18-08-2009 03-08-2009 C/2009011392 2009 12209 18-08-2009 03-08-2009 C/2009011392 01-09-2009

Artikel 2.4 Register 1 Er is een register dat onder de verantwoordelijkheid van de functionaris gegevensbescherming wordt bijgehouden. 2 De meldingen worden in ieder geval op het defensie intranet geplaatst. 2009 12209 18-08-2009 03-08-2009 C/2009011392 2009 12209 18-08-2009 03-08-2009 C/2009011392 01-09-2009

Artikel 2.5 Privacy Impact Assessment (PIA) 1 Voorafgaand aan de ontwikkeling van Defensie-wetgeving of Defensie-beleid waarmee de bouw van nieuwe ICT-systemen of de aanleg van grote databestanden wordt voorzien, wordt door de Wbp-beheerder dan wel de Wbp-onderbeheerder een privacy impact assessment uitgevoerd conform het toetsmodel Privacy Impact Assessment Rijksdienst. 2 Een afschrift van de resultaten van de privacy impact assessment wordt gezonden aan de functionaris voor de gegevensbescherming en de hoofddirecteur bedrijfsvoering. 2016 24374 12-05-2016 03-05-2016 BS2016006800 2016 24374 12-05-2016 03-05-2016 BS2016006800 13-05-2016

Artikel 2.6 Verwijderen van persoonsgegevens De persoonsgegevens worden verwijderd wanneer deze voor het doel van de verwerking niet meer noodzakelijk zijn. 2016 24374 12-05-2016 03-05-2016 BS2016006800 2016 24374 12-05-2016 03-05-2016 BS2016006800 13-05-2016 Voorheen art. 2.5.

Artikel 3.1 Informatieverstrekking aan de betrokkene artikelen 33 34 van de wet De Wbp-beheerder, dan wel de Wbp-onderbeheerder, deelt de betrokkene de informatie mede conform deentenzij de betrokkene daarvan reeds op de hoogte is. 2009 12209 18-08-2009 03-08-2009 C/2009011392 2009 12209 18-08-2009 03-08-2009 C/2009011392 01-09-2009

Artikel 3.2 Recht op kennisneming, correctie en verzet 1 artikelen 35 36 40 41 42 van de wet Betrokkene kan verzoeken betreffende de uitoefening van de aan hem toegekende rechten als bedoeld in de,,,enrichten aan de Wbp-beheerder dan wel de Wbp-onderbeheerder. 2 De Wbp-beheerder, dan wel de Wbp-onderbeheerder, draagt zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker. 3 Een verzoek als bedoeld in het eerste lid kan, onder overlegging van een bijzondere daartoe strekkende schriftelijke machtiging, namens de betrokkene worden gedaan door diens advocaat. Een verzoek als bedoeld in het eerste lid kan, onder overlegging van een bijzondere daartoe strekkende schriftelijke machtiging, namens de betrokkene eveneens worden gedaan door een ander. Mededelingen aan een dergelijke gemachtigde vinden niet plaats indien aangenomen kan worden dat deze mede een zelfstandig belang heeft bij de mede te delen gegevens of indien tegen hem ernstige bezwaren bestaan. 4 De Wbp-beheerder draagt in voorkomende gevallen zorg voor doorgeleiding van een verzoek van betrokkene aan de Wbp-beheerder(s) dan wel Wbp-onderbeheerder(s) die het verzoek mede aangaan. 5 Op een verzoek als bedoeld in het eerste lid wordt binnen vier weken beslist. 2009 12209 18-08-2009 03-08-2009 C/2009011392 2009 12209 18-08-2009 03-08-2009 C/2009011392 01-09-2009

Artikel 3.3 Bezwaar 1 artikel 3.2, vijfde lid Het besluit als bedoeld in, bevat de mededeling dat bezwaar gemaakt kan worden en aan wie het bezwaar gericht dient te zijn. 2 artikel 3.2, vijfde lid Binnen zes weken na de dag van verzending van een besluit als bedoeld in, kan een ieder wiens belang rechtstreeks bij dit besluit is betrokken, bezwaar maken. 2009 12209 18-08-2009 03-08-2009 C/2009011392 2009 12209 18-08-2009 03-08-2009 C/2009011392 01-09-2009

Artikel 4 De te treffen technische en organisatorische maatregelen dienen te zorgen voor een passend niveau van beveiliging van persoonsgegevens tegen verlies en onrechtmatige verwerking. 2009 12209 18-08-2009 03-08-2009 C/2009011392 2009 12209 18-08-2009 03-08-2009 C/2009011392 01-09-2009

Artikel 5 1 De Audit Dienst Rijk/Defensie voert, al dan niet op verzoek van de functionaris voor de gegevensbescherming, periodiek een audit uit naar de naleving van de wet en deze regeling. 2 De Audit Dienst Rijk/Defensie rapporteert periodiek haar bevindingen aan de minister en de functionaris gegevensbescherming. 2016 24374 12-05-2016 03-05-2016 BS2016006800 2016 24374 12-05-2016 03-05-2016 BS2016006800 13-05-2016

Artikel 6 De Secretaris-Generaal kan nadere aanwijzingen geven ter uitvoering van het bepaalde in deze regeling. 2009 12209 18-08-2009 03-08-2009 C/2009011392 2009 12209 18-08-2009 03-08-2009 C/2009011392 01-09-2009

Artikel 7.1 Overgangsrecht 1 artikel 2.2, eerste lid De meldingen aan de functionaris gegevensbescherming van op de datum van inwerkingtreding van deze regeling al bestaande verwerkingen als bedoeld in, worden gedaan uiterlijk 6 maanden na inwerkingtreding van deze regeling. 2 De functionaris voor de gegevensbescherming draagt zorg voor intrekking van de bestaande meldingen bij het college zodra vervangende meldingen ontvangen zijn. 2009 12209 18-08-2009 03-08-2009 C/2009011392 2009 12209 18-08-2009 03-08-2009 C/2009011392 01-09-2009

Artikel 7.2 Inwerkingtreding Deze regeling treedt in werking met ingang van 1 september 2009. 2009 12209 18-08-2009 03-08-2009 C/2009011392 2009 12209 18-08-2009 03-08-2009 C/2009011392 01-09-2009

Artikel 7.3 Citeertitel Deze regeling wordt aangehaald als: Regeling Wet bescherming persoonsgegevens ministerie van Defensie. 2009 12209 18-08-2009 03-08-2009 C/2009011392 2009 12209 18-08-2009 03-08-2009 C/2009011392 01-09-2009

artikel 2.2, eerste lid