Regeling van de Minister van Onderwijs, Cultuur en Wetenschap van 7 oktober 2010, nr. 233714, houdende de toedeling van toezichtsbevoegdheden aan de functionarissen voor de gegevensbescherming van het Ministerie van Onderwijs, Cultuur en Wetenschap (Regeling toezichtsbevoegdheden functionarissen voor de gegevensbescherming OCW)

Artikel 1 Begripsbepalingen In deze regeling wordt verstaan onder: a. de minister: de Minister van Onderwijs, Cultuur en Wetenschap; b. het ministerie: het Ministerie van Onderwijs, Cultuur en Wetenschap; c. OCW: Onderwijs, Cultuur en Wetenschap; d. DUO: Dienst Uitvoering Onderwijs; e. de functionarissen voor gegevensbescherming: de bij het ministerie benoemde functionarissen voor gegevensbescherming, bedoeld in artikel 37 van de Algemene verordening gegevensbescherming; f. de functionaris voor gegevensbescherming OCW: de bij het ministerie, inclusief de daaronder ressorterende diensten en instellingen, met uitzondering van DUO, benoemde functionaris voor gegevensbescherming; g. de functionaris voor gegevensbescherming DUO: de bij het ministerie, voor zover het betreft verwerkingen van persoonsgegevens door of ten behoeve van DUO, benoemde functionaris voor gegevensbescherming. 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 21-06-2018

Artikel 2 Reikwijdte 1 Het toezicht van de functionarissen voor gegevensbescherming strekt zich uit tot de verwerking van alle persoonsgegevens waarvoor de minister de verwerkingsverantwoordelijke is. 2 De functionarissen voor gegevensbescherming kunnen onderling schriftelijke afspraken maken over vervanging van elkaars werkzaamheden. 3 Ook verwerkingen van persoonsgegevens die ten behoeve van de minister buiten het departement plaatsvinden door verwerkers, vallen onder het toezicht, bedoeld in het eerste lid. 4 Het bereik van het toezicht van de functionarissen voor gegevensbescherming kan worden uitgebreid, indien een andere verwerkingsverantwoordelijke dan de minister daarom uitdrukkelijk verzoekt en de minister met dit verzoek instemt. 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 21-06-2018

Artikel 3 Betreden plaatsen 1 De functionarissen voor gegevensbescherming zijn bevoegd, met medeneming van de benodigde apparatuur, elke plaats te betreden in de gebouwen en op de terreinen die bij het ministerie in gebruik zijn, waar persoonsgegevens worden verwerkt. 2 Zij zijn bevoegd daarbij personen mee te nemen die daartoe door hen zijn aangewezen. 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 21-06-2018

Artikel 4 Vorderen inlichtingen De functionarissen voor gegevensbescherming zijn bevoegd inlichtingen te vorderen van een ieder die onder het gezag van de minister werkzaam is alsmede van verwerkers. 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 21-06-2018

Artikel 5 Vorderen inzage 1 De functionarissen voor gegevensbescherming zijn bevoegd inzage te vorderen van zakelijke gegevens en bescheiden waarin persoonsgegevens zijn verwerkt. 2 Zij zijn bevoegd van de gegevens en bescheiden kopieën te maken. 3 Als het maken van kopieën niet ter plaatse kan geschieden, zijn zij bevoegd de gegevens en bescheiden voor dat doel voor korte tijd mee te nemen tegen een door hen af te geven schriftelijk bewijs. 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 21-06-2018

Artikel 6 Onderzoeken zaken 1 De functionarissen voor gegevensbescherming zijn bevoegd zaken te onderzoeken. 2 Zij zijn bevoegd daartoe verpakkingen te openen. 3 Als het onderzoek niet ter plaatse kan geschieden, zijn zij bevoegd de zaken voor dat doel voor korte tijd mee te nemen tegen een door hen af te geven schriftelijk bewijs. 4 De beheerder wordt zo spoedig mogelijk in kennis gesteld van de resultaten van het onderzoek. 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 21-06-2018

Artikel 7 Gebruik bevoegdheden artikelen 3 tot en met 6 De functionarissen voor gegevensbescherming maken van de in debeschreven bevoegdheden alleen gebruik voor zover dat redelijkerwijs voor de uitoefening van hun taken nodig is. 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 21-06-2018

Artikel 8 Legitimatiebewijs 1 Bij de uitoefening van hun bevoegdheden dragen de functionarissen voor gegevensbescherming een legitimatiebewijs bij zich, dat is uitgegeven door de minister en dat een foto bevat van de functionaris voor gegevensbescherming en in ieder geval diens naam en hoedanigheid vermeldt. 2 De functionarissen voor gegevensbescherming tonen hun legitimatiebewijs desgevraagd aanstonds. 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 21-06-2018

Artikel 9 Verplichte medewerking 1 Eenieder die werkzaam is onder het gezag van de minister dan wel een verwerker is verplicht aan de functionarissen voor gegevensbescherming binnen de door hen gestelde redelijke termijn alle medewerking te verlenen die deze redelijkerwijs kunnen vorderen bij de uitoefening van hun bevoegdheden. 2 De minister wijst op verzoek van de functionarissen voor gegevensbescherming één of meer ambtenaren aan die in voorkomend geval ten behoeve van de functionarissen voor gegevensbescherming systemen of bronnen van gegevens kunnen ontsluiten. 3 Het is aan de functionarissen voor gegevensbescherming om te bepalen of systemen of bronnen van gegevens voor hun onderzoek relevante informatie kunnen bevatten. 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 21-06-2018

Artikel 10 Rapportage over onregelmatigheden Indien een functionaris voor gegevensbescherming bij de uitoefening van zijn toezichttaak onregelmatigheden aantreft bij de verwerking van persoonsgegevens brengt hij aan de minister rechtstreeks verslag uit, nadat hij de betreffende beheerder over de aangetroffen onregelmatigheden heeft geïnformeerd. Hij kan dit verslag vergezeld doen gaan van een aanbeveling die strekt tot een betere bescherming van de gegevens die worden verwerkt. 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 21-06-2018

Artikel 11 Verslag De functionarissen voor gegevensbescherming stellen ieder, jaarlijks vóór 1 april, een verslag op van hun werkzaamheden en bevindingen in het daaraan voorafgaande kalenderjaar. Zij sturen een kopie van hun verslag ter kennisneming aan de departementale ondernemingsraad (DOR), aan de ondernemingsraad van DUO en aan de Autoriteit persoonsgegevens. Tevens bieden de functionarissen voor gegevensbescherming, jaarlijks vóór 1 mei, een gezamenlijk verslag aan de minister aan. 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 21-06-2018

Artikel 12 Privacy-audits De functionarissen voor gegevensbescherming kunnen privacy-audits uit laten voeren ter ondersteuning van hun toezichttaak. Een privacy-audit is een beoordeling bij een organisatie of organisatie-onderdeel van een verwerking van persoonsgegevens of van een systeem of project dat als doel heeft persoonsgegevens te verwerken of te gaan verwerken, waarbij het accent ligt op de naleving van wettelijke eisen ter bescherming van persoonsgegevens. 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 21-06-2018

Artikel 13 Register Vervallen 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 21-06-2018

Artikel 14 Aanbevelingen De functionarissen voor gegevensbescherming kunnen rechtstreeks aanbevelingen doen aan de minister, die strekken tot een betere bescherming van de gegevens die worden verwerkt. In gevallen van twijfel overleggen zij met de Autoriteit persoonsgegevens. 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 21-06-2018

Artikel 15 Geheimhouding artikel 3, tweede lid De functionarissen voor gegevensbescherming alsmede de in voorkomend geval door hen ingeschakelde personen, bedoeld in, zijn verplicht tot geheimhouding van hetgeen hen op grond van een klacht of een verzoek van de betrokkene, bedoeld in artikel 4, onderdeel 1, van de Algemene verordening gegevensbescherming, bekend is geworden, tenzij deze betrokkene met bekendmaking instemt. 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 21-06-2018

Artikel 15a Nieuwe grondslag Deze regeling berust op artikel 37 van de Algemene verordening gegevensbescherming. 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 21-06-2018

Artikel 16 Intrekking regelingen Regeling taken en bevoegdheden functionaris gegevensbescherming OCW Regeling taken en bevoegdheden van de functionaris voor de gegevensbescherming Informatie Beheer Groep Deen deworden ingetrokken. 2010 17465 10-11-2010 07-11-2010 233714 2010 17465 10-11-2010 07-11-2010 233714 11-11-2010

Artikel 17 Inwerkingtreding Deze regeling treedt in werking met ingang van de dag na de datum van uitgifte van de Staatscourant, waarin zij wordt geplaatst. 2010 17465 10-11-2010 07-11-2010 233714 2010 17465 10-11-2010 07-11-2010 233714 11-11-2010

Artikel 18 Citeertitel Deze regeling wordt aangehaald als: Regeling toezichtsbevoegdheden functionarissen voor gegevensbescherming OCW. 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 2018 33885 20-06-2018 11-06-2018 WJZ/1352811(9410) 21-06-2018