Regeling WPG Defensie

Artikel 1.1 Begrippen en definities In deze regeling wordt verstaan onder: a. Richtlijn: Richtlijn (EU) 2016/680 van het Europees parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad; b. wet: Wet politiegegevens ; c. minister: Minister van Defensie; d. ministerie: Ministerie van Defensie e. politiegegeven, persoonsgegeven, gerelateerde gegevens, bestand, verwerken van politiegegevens, verstrekken van politiegegevens, ter beschikking stellen van politiegegevens, afschermen van politiegegevens, verwerkingsverantwoordelijke, betrokkene, verwerker; bevoegde autoriteit, ontvanger, derde land, internationale organisatie, inbreuk op de beveiliging, genetische gegevens, biometrische gegevens, gegevens over gezondheid, profilering: artikel 1 van de wet de definities daarvan, genoemd in; f. bijzondere categorieën van politiegegevens: artikel 5 van de wet de politiegegevens, genoemd in; g. ambtenaar van politie: de ambtenaar van de Koninklijke Marechaussee voor zover werkzaam in de uitvoering van de politietaak; h. politietaak: artikel 4 van de Politiewet 2012 Vreemdelingenwet 2000 artikel 36b, onder a, van de wet de politietaak, genoemd in, met uitzondering van de bij of krachtens deopgedragen taken, bedoeld in artikel 4, onderdeel f, van de Politiewet 2012 en de politietaak als bedoeld in; i. verwerkingsverantwoordelijke: de minister; j. bevoegde autoriteit: de Koninklijke Marechaussee; k. Autoriteit persoonsgegevens: artikel 35 van de wet Autoriteit persoonsgegevens als bedoeld in. 2019 62419 18-11-2019 08-11-2019 BS2019020015 2019 62419 18-11-2019 08-11-2019 BS2019020015 01-01-2020

Artikel 1.2 Reikwijdte wet Deze regeling is van toepassing op verwerking van politiegegevens door de Koninklijke Marechaussee en andere opsporingsambtenaren bij Defensie, welke gegevens in een bestand zijn opgenomen of die bestemd zijn daarin te worden opgenomen en waarvoor de minister de verwerkingsverantwoordelijke is in de zin van de. 2019 62419 18-11-2019 08-11-2019 BS2019020015 2019 62419 18-11-2019 08-11-2019 BS2019020015 01-01-2020

Artikel 1.3 Wpg-beheerder en Wpg-onderbeheerder 1 De Commandant Koninklijke Marechaussee is Wpg-beheerder. 2 De Wpg-beheerder draagt zorg voor naleving van de regelgeving omtrent verwerking van politiegegevens door de Koninklijke Marechaussee. Hij doet dit namens de minister. 3 Ieder jaar rapporteert de Wpg-beheerder zijn bevindingen aan de functionaris voor gegevensbescherming WPG. Hij doet dit uiterlijk op 31 december van dat jaar. 4 De Wpg-beheerder zorgt er voor dat contacten met de Autoriteit persoonsgegevens geschieden door tussenkomst van de functionaris voor gegevensbescherming WPG. 5 De Wpg-beheerder kan zijn in dit artikel geformuleerde taken geheel of gedeeltelijk opdragen aan een Wpg-onderbeheerder. Hieronder valt het binnen de Koninklijke Marechaussee coördineren van de uitvoering van de regelgeving die van toepassing is op de verwerking van politiegegevens. 6 artikel 1.5 In uitzondering op het vijfde lid kan de Wpg-beheerder het aangaan of beëindigen van een verwerkersovereenkomst, bedoeld in, niet aan de Wpg-onderbeheerder opdragen. 7 De Wpg-beheerder deelt het opdragen van de taken mee aan de functionaris voor gegevensbescherming WPG. 2019 62419 18-11-2019 08-11-2019 BS2019020015 2019 62419 18-11-2019 08-11-2019 BS2019020015 01-01-2020

Artikel 1.4 Privacyfunctionaris 1 De Wpg-beheerder wijst binnen de Koninklijke Marechaussee één of meer privacyfunctionarissen aan. Hij deelt dit mee aan de functionaris voor gegevensbescherming WPG. 2 De privacyfunctionaris: a. adviseert binnen Defensie over de toepassing van regelgeving die betrekking heeft op de verwerking van politiegegevens; b. adviseert binnen Defensie over gecoördineerde uitvoering daarvan; c. ziet toe op de verwerking van politiegegevens; d. draagt zorg voor melding van een datalek aan de Autoriteit persoonsgegevens. 3 De privacyfunctionaris rapporteert zijn bevindingen jaarlijks aan de Wpg-beheerder. 2018 72552 27-12-2018 16-12-2018 BS2018031009 2018 72552 27-12-2018 16-12-2018 BS2018031009 01-01-2019

Artikel 1.5 Verwerker 1 artikel 6c van de wet artikel 6:1b van het Besluit politiegegevens De Wpg-beheerder kan politiegegevens laten verwerken door een verwerker, met inachtneming vanen. 2 De overeenkomst tot verwerking van de betreffende politiegegevens wordt vastgelegd in een schriftelijke verwerkersovereenkomst tussen de verwerker en de Wpg-beheerder die optreedt namens de minister. 2018 72552 27-12-2018 16-12-2018 BS2018031009 2018 72552 27-12-2018 16-12-2018 BS2018031009 01-01-2019

Artikel 1.6 Functionaris voor gegevensbescherming WPG 1 Er is een functionaris voor gegevensbescherming WPG. Hij wordt tijdig betrokken bij alle aangelegenheden die verband houden met de bescherming van politiegegevens. 2 artikel 36, derde lid, van de wet De functionaris voor gegevensbescherming WPG vervult binnen het Ministerie de taken, genoemd inen ziet toe op het evalueren van incidenten over het verwerken van politiegegevens binnen het ministerie. 3 De functionaris voor gegevensbescherming WPG rapporteert jaarlijks aan de minister over de naleving van de wet en daarop gebaseerde regelgeving binnen het ministerie. 4 Titel 5.2 van de Algemene wet bestuursrecht Voor de uitoefening van het toezicht wordt de functionaris voor gegevensbescherming WPG toegang verleend tot de politiegegevens en beschikt hij over de bevoegdheden als bedoeld in. De functionaris voor gegevensbescherming WPG maakt alleen gebruik van zijn bevoegdheden als dat nodig is voor de vervulling van zijn taak. 5 De functionaris voor gegevensbescherming WPG wordt alle medewerking verleend die hij redelijkerwijs kan vorderen, tenzij een wettelijke geheimhoudingsplicht daar aan in de weg staat. 6 De verwerkingsverantwoordelijke maakt de contactgegevens van de functionaris voor gegevensbescherming WPG openbaar. Hij deelt deze mee aan de Autoriteit persoonsgegevens. 2019 62419 18-11-2019 08-11-2019 BS2019020015 2019 62419 18-11-2019 08-11-2019 BS2019020015 01-01-2020

Artikel 2.1 Register 1 artikel 31d van de wet Er is een register van verwerkingsactiviteiten, als bedoeld in, van het ministerie. 2 Het register wordt opgesteld en geactualiseerd door de Wpg-beheerder. 3 Voordat met een nieuwe of gewijzigde verwerking van politiegegevens wordt begonnen, wordt deze verwerking opgenomen in het register. 4 Het register omvat: a. artikel 31d, eerste lid, van de wet de inbedoelde gegevens; b. artikel 6c, tweede lid, van de wet indien van toepassing, een afschrift van de afspraken met een verwerker, als bedoeld in; c. algemene informatie over de locaties en ICT-systemen waar de verwerking plaatsvindt; d. informatie over de onderdelen van het proces ten behoeve waarvan het verwerken van persoonsgegevens plaatsvindt; e. artikel 4c van de wet indien van toepassing een afschrift van de gegevensbeschermingseffectbeoordeling, bedoeld in. 5 De functionaris voor gegevensbescherming WPG en de Autoriteit persoonsgegevens krijgen op hun verzoek toegang tot het register. 2018 72552 27-12-2018 16-12-2018 BS2018031009 2018 72552 27-12-2018 16-12-2018 BS2018031009 01-01-2019

Artikel 2.2 Documentatie artikel 32, eerste en tweede lid, van de wet De Wpg-beheerder zorgt voor de schriftelijke of elektronische vastlegging van de aangelegenheden, bedoeld in. 2018 72552 27-12-2018 16-12-2018 BS2018031009 2018 72552 27-12-2018 16-12-2018 BS2018031009 01-01-2019

Artikel 2.3 Logging 1 artikel 32a van de wet De Wpg-beheerder zorgt voor de elektronische vastlegging van ten minste het verzamelen, wijzigen, raadplegen, verstrekken, doorgeven, combineren of vernietigen van politiegegevens, conform. 2 De minimale duur van de logging van een politiegegeven is vier jaar. 2018 72552 27-12-2018 16-12-2018 BS2018031009 2018 72552 27-12-2018 16-12-2018 BS2018031009 01-01-2019

Artikel 3 Gegevensbeschermingseffectbeoordeling 1 artikel 4c van de wet De Wpg-beheerder voert de gegevensbeschermingseffectbeoordeling uit als bedoeld in, aan de hand van het Model gegevensbeschermingseffectbeoordeling Rijksdienst (PIA). 2 Het projectplan dat op de voorgenomen gegevensbeschermingseffectbeoordeling betrekking heeft, wordt vooraf ter advies voorgelegd aan de functionaris voor gegevensbescherming WPG. Het projectplan wordt daarnaast voorgelegd aan de Chief Information Officer als de gegevensverwerking gepaard gaat met de bouw of vergaande aanpassing van een ICT-systeem. 3 Een voltooide PIA bestaat uit: a. een algemene beschrijving van de voorgenomen verwerkingen en de verwerkingsdoeleinden; b. een beschrijving en beoordeling van de rechtsgrond en de noodzaak van de voorgenomen verwerkingen in relatie tot de verwerkingsdoeleinden; c. een beschrijving en beoordeling van risico’s van de voorgenomen verwerkingen voor de rechten en vrijheden van de betrokkenen; en d. wet een beschrijving van de voorzorgs- en beveiligingsmaatregelen en mechanismen om de politiegegevens te beschermen en aan te tonen dat is voldaan aan deen daarop gebaseerde regelgeving, met inachtneming van de rechten en gerechtvaardigde belangen van betrokkenen. 4 artikel 33b, eerste lid, van de wet Wanneer uit de gegevensbeschermingseffectbeoordeling blijkt dat de verwerking een hoog risico als bedoeld inoplevert, wordt de Autoriteit persoonsgegevens geraadpleegd, door tussenkomst van de functionaris voor gegevensbescherming, conform art. 33b van de wet. 2019 62419 18-11-2019 08-11-2019 BS2019020015 2019 62419 18-11-2019 08-11-2019 BS2019020015 01-01-2020

Artikel 4.1 Melding datalek aan de Autoriteit persoonsgegevens 1 artikel 33a, eerste lid, van de wet De privacyfunctionaris meldt een inbreuk op de beveiliging, als bedoeld in, aan de Autoriteit persoonsgegevens. Hij stuurt een kopie daarvan aan de functionaris voor gegevensbescherming WPG. 2 artikel 33a, tweede lid, van de wet De melding bevat de ingenoemde gegevens. 3 De privacyfunctionaris doet de melding binnen 72 uur nadat hij kennis heeft genomen van het datalek en in ieder geval zodra hij de gegevens, bedoeld in het tweede lid, kan verstrekken. 4 De privacyfunctionaris registreert de inbreuk op de beveiliging, ongeacht of deze een risico voor de beveiliging van de rechten en vrijheden van personen met zich meebrengt. 5 Een te late melding gaat vergezeld van een motivering van de vertraging. 2019 62419 18-11-2019 08-11-2019 BS2019020015 2019 62419 18-11-2019 08-11-2019 BS2019020015 01-01-2020

Artikel 4.2 Melding datalek aan de betrokkene 1 De privacyfunctionaris deelt de inbreuk op de beveiliging mee aan de betrokkene wanneer deze inbreuk waarschijnlijk een hoog risico voor de rechten en vrijheden van personen met zich meebrengt. 2 artikel 33a, vijfde lid, van de wet De mededeling bevat de ingenoemde gegevens. 3 De mededeling is niet vereist wanneer: a. passende technische en organisatorische maatregelen zijn getroffen en toegepast op de politiegegevens waarop het datalek betrekking heeft; b. maatregelen zijn getroffen om er voor te zorgen dat het hoge risico, bedoeld in het eerste lid, zich waarschijnlijk niet meer zal voordoen; of c. de mededeling een onevenredige inspanning zou vergen. In dat geval volgt een openbare vergelijkbare maatregel waarmee betrokkene even doeltreffend wordt geïnformeerd. 4 De mededeling kan worden uitgesteld, beperkt of achterwege gelaten: a. ter vermijding van belemmering van de gerechtelijke onderzoeken of procedures; b. ter vermijding van nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen; c. ter bescherming van de openbare of de nationale veiligheid; d. ter bescherming van de rechten en vrijheden van derden. 2019 62419 18-11-2019 08-11-2019 BS2019020015 2019 62419 18-11-2019 08-11-2019 BS2019020015 01-01-2020

Artikel 5.1 Informatieverstrekking aan de betrokkene 1 artikel 24a van de wet Op verzoek van betrokkene wordt hem conforminformatie verstrekt over de verwerking van politiegegevens. Dit wordt gedaan in beknopte en toegankelijke vorm en voor zover beveiliging dit toelaat. 2 artikel 24b tweede lid, van de wet Op verzoek van betrokkene worden hem conformde gegevens verstrekt, tenzij ten aanzien van betrokkene het gegronde vermoeden bestaat dat hij een strafbaar feit heeft gepleegd of zal gaan plegen. 2019 62419 18-11-2019 08-11-2019 BS2019020015 2019 62419 18-11-2019 08-11-2019 BS2019020015 01-01-2020

Artikel 5.2 Recht op inzage, rectificatie, aanvulling en vernietiging 1 artikelen 25 28 van de wet Betrokkene richt verzoeken om inzage, rectificatie, aanvulling en vernietiging van politiegegevens, als bedoeld in deen, aan de Wpg-beheerder. 2 Het verzoek kan namens betrokkene worden gedaan door de Autoriteit persoonsgegevens of door de advocaat van betrokkene. Betrokkene machtigt zijn advocaat met een bijzondere, daartoe strekkende schriftelijke machtiging. 3 Het verzoek kan namens betrokkene worden gedaan door zijn wettelijk vertegenwoordiger als betrokkene jonger is dan 16 jaar of onder curatele is gesteld. 4 De Wpg-beheerder neemt het verzoek in behandeling. 5 Bij het in behandeling nemen van het verzoek stelt de Wpg-beheerder a. de identiteit van de verzoeker en van betrokkene vast; b. betrokkene, in geval van een verzoek om inzage of rectificatie, schriftelijk in kennis van de ontvangst van het verzoek, de termijn voor uitsluitsel en de mogelijkheid om naar aanleiding daarvan een klacht in te dienen bij de Autoriteit persoonsgegevens. 6 Het verzoek wordt afgewezen: a. bij een kennelijk ongegrond of buitensporig verzoek; of b. voor zover dit een noodzakelijke en evenredige maatregel is 1e. ter vermijding van belemmering van de gerechtelijke onderzoeken of procedures; 2e. ter vermijding van nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen; 3e. ter bescherming van de openbare of de nationale veiligheid; of 4e. ter bescherming van de rechten en vrijheden van derden. 7 artikel 25, tweede lid, van de wet Op een verzoek om inzage in de gegevens wordt binnen zes weken beslist, tenzij sprake is van verdaging als bedoeld in. 8 Op een verzoek om rectificatie, aanvulling of vernietiging van de politiegegevens, wordt binnen vier weken beslist. 9 Een afwijzing van het verzoek wordt gemotiveerd. 10 artikelen 25 28 van de wet artikel 7.1, eerste lid, onderdeel g, van de Algemene wet bestuursrecht Tegen afwijzing van een verzoek als bedoeld in deen, staat beroep open conformen de Regeling rechtstreeks beroep. 2019 62419 18-11-2019 08-11-2019 BS2019020015 2019 62419 18-11-2019 08-11-2019 BS2019020015 01-01-2020

Artikel 5.3 Bezwaar Vervallen 2019 62419 18-11-2019 08-11-2019 BS2019020015 2019 62419 18-11-2019 08-11-2019 BS2019020015 01-01-2020

Artikel 6.1 Dataminimalisatie, juistheid en volledigheid 1 artikel 3 van de wet Politiegegevens worden slechts verwerkt met inachtneming van. 2 artikel 4 van de wet De Wpg-beheerder treft de nodige maatregelen overeenkomstig, waaronder: a. het vernietigen of rectificeren van politiegegevens zodra blijkt dat deze onjuist zijn; b. het vernietigen of verwijderen van politiegegevens zodra deze niet langer noodzakelijk zijn voor het doel waarvoor ze zijn verwerkt; c. het vernietigen of verwijderen van politiegegevens zodra een wettelijke bepaling dit vereist; d. het onderscheiden tussen feitelijke politiegegevens en politiegegevens die op een persoonlijk oordeel zijn gebaseerd. 2018 72552 27-12-2018 16-12-2018 BS2018031009 2018 72552 27-12-2018 16-12-2018 BS2018031009 01-01-2019

Artikel 6.2 Privacy by design en privacy by default artikelen 4a 4b van de wet artikel 6:1a van het Besluit politiegegevens De verwerkingsverantwoordelijke treft technische en organisatorische maatregelen die zorgen voor een passend beveiligingsniveau van politiegegevens overeenkomstig deenen. 2019 62419 18-11-2019 08-11-2019 BS2019020015 2019 62419 18-11-2019 08-11-2019 BS2019020015 01-01-2020

Artikel 6.3 Autorisatie 1 Politiegegevens worden alleen verwerkt door defensiemedewerkers in de uitoefening van de politietaak of delen van de politietaak waarmee zij zijn belast en voorzover zij voor die verwerking zijn geautoriseerd door de Wpg-beheerder. 2 Ten behoeve van het eerste lid kan de Wpg-beheerder ook defensiemedewerkers die niet werkzaam zijn bij de Koninklijke Marechaussee, autoriseren voor het verwerken van politiegegevens. 3 artikel 6 van de wet De Wpg-beheerder onderhoudt een systeem van autorisaties dat voldoet aan de vereisten van zorgvuldigheid en evenredigheid, conform. 2019 62419 18-11-2019 08-11-2019 BS2019020015 2019 62419 18-11-2019 08-11-2019 BS2019020015 01-01-2020

Artikel 7 Audit Dienst Rijk 1 wet De Audit Dienst Rijk voert, eventueel op verzoek van de Wpg-beheerder, een audit uit naar de naleving van dezeen deze regeling. 2 Wanneer de auditdienst het voornemen heeft een audit te verrichten, wordt de functionaris voor gegevensbescherming WPG hiervan op de hoogte gesteld. 3 De auditdienst rapporteert haar bevindingen aan de minister en aan de functionaris voor gegevensbescherming WPG. 4 artikel 2, eerste lid, van de Regeling periodieke audit politiegegevens Het voorgaande laat onverlet de verplichting tot het voeren van interne audits als bedoeld in. 2019 62419 18-11-2019 08-11-2019 BS2019020015 2019 62419 18-11-2019 08-11-2019 BS2019020015 01-01-2020

Artikel 8 De Secretaris-Generaal kan nadere aanwijzingen geven ter uitvoering van het bepaalde in deze regeling. 2018 72552 27-12-2018 16-12-2018 BS2018031009 2018 72552 27-12-2018 16-12-2018 BS2018031009 01-01-2019

Artikel 9.1 Inwerkingtreding Deze regeling treedt in werking met ingang van 1 januari 2019. Indien de Staatscourant waarin deze regeling wordt geplaatst, wordt uitgegeven na 31 december 2018, treedt zij in werking met ingang van de dag na de datum van uitgifte van de Staatscourant waarin zij wordt geplaatst en werkt zij terug tot en met 1 januari 2019. 2018 72552 27-12-2018 16-12-2018 BS2018031009 2018 72552 27-12-2018 16-12-2018 BS2018031009 01-01-2019

Artikel 9.2 Citeertitel Deze regeling wordt aangehaald als: Regeling WPG Defensie. 2018 72552 27-12-2018 16-12-2018 BS2018031009 2018 72552 27-12-2018 16-12-2018 BS2018031009 01-01-2019