Aanwijzing verplichtingen in het kader van de Wet bescherming persoonsgegevens en de Wet justitiële en

Transcriptie

1 JU Aanwijzing verplichtingen in het kader van de Wet bescherming persoonsgegevens en de Wet justitiële en strafvorderlijke gegevens Categorie: Informatieverstrekking Rechtskarakter: Aanwijzing in de zin van artikel 130, vierde lid, van de Wet RO (nieuw) Afzender: College van procureursgeneraal Adressaat: Hoofden van de parketten, directeuren dienstonderdelen Registratienummer: 2004A015 Datum vaststelling: Datum inwerkingtreding: Geldigheidsduur: Publikatie in Stcrt.: , nr. 248 Vervallen: Relevante beleidsregels: Aanwijzing verstrekking van strafvorderlijke gegevens voor buiten de strafrechtspleging gelegen doelen (Aanwijzing Wet justitiële en strafvorderlijke gegevens) Wetsbepalingen: Jurisprudentie: ABRvS 2 juli 2003, zaaknummer /1 Bijlagen: 1. Achtergrond De Wet bescherming persoonsgegevens (Wbp) geeft regels voor het verwerken van persoonsgegevens. Eén van de regels is dat een geheel of gedeeltelijke geautomatiseerde verwerking van persoonsgegevens bij het College Bescherming Persoonsgegevens (CBP) in beginsel moet worden gemeld door degene die voor de verwerking verantwoordelijk is. Deze aanwijzing ziet op meldingen die aan het CBP moeten worden gedaan, de verplichtingen die daarbij in acht moeten worden genomen en daarmee verband houden. In de aanwijzing wordt aangegeven welke aspecten van belang zijn bij het doen van een melding bij het CBP. Er wordt een onderscheid gemaakt tussen meldingen die centraal, dat wil zeggen door het College van procureurs-generaal (CPG) worden gedaan en meldingen die decentraal, dat wil zeggen door de hoofden van de parketten/dienstonderdelen moeten worden gedaan. Tevens wordt stilgestaan bij andere voor het OM uit de Wbp voortvloeiende verplichtingen. Ten slotte wordt ingegaan op de relatie met de per 1 september 2004 in werking getreden Wet justitiële en strafvorderlijke gegevens (Wjsg) en de daarop gebaseerde Aanwijzing Wjsg. In het bijzonder wordt aandacht geschonken aan de verplichtingen die de Wjsg de verantwoordelijke oplegt voor de verwerking van strafvorderlijke gegevens. 2. Reikwijdte van de aanwijzing Deze aanwijzing ziet op meldingen aan het CBP van alle mogelijke verwerkingen van persoonsgegevens als bedoeld in de Wbp waarvoor het OM verantwoordelijkheid draagt. Met het in werking treden van de Wjsg is de reikwijdte van deze aanwijzing voor zover het de meldingen op grond van de Wbp betreft beperkt. De Wjsg bevat namelijk een aparte regeling ten aanzien van de verwerking van strafvorderlijke gegevens door het Openbaar Ministerie in COMPAS, diens opvolger GPS, de hoger beroepsystemen en andere systemen met strafvorderlijke gegevens die het OM beheert (en de onderliggende strafdossiers). Daarmee is een einde gekomen aan de toepasselijkheid van de Wbp op het verwerken van strafvorderlijke gegevens door het Openbaar Ministerie, tenzij de normen uit de Wbp in de Wjsg uitdrukkelijk van toepassing zijn verklaard. Dit betekent dat de verwerking van strafvorderlijke gegevens in de genoemde systemen en strafdossiers door het Openbaar Ministerie niet langer bij het CBP behoeft te worden gemeld. De meldingsplicht vervalt in ieder geval niet voor de verwerking van persoonsgegevens die niet door de Wjsg wordt gereguleerd, zoals de verwerking van persoonsgegevens op grond van andere (civielrechtelijke) taken van het OM. Ook gegevensverwerkingen door samenwerkingsverbanden met een eigen gegevensbestand moeten op grond van de Wbp worden gemeld. Voorts blijven ook voor de verwerking van strafvorderlijke gegevens door het Openbaar Ministerie een aantal andere verplichtingen uit de Wbp die hierna aan de orde komen van belang. Daarnaast voorziet de Wsjg in een aantal bijzondere bepalingen ten aanzien van die verplichtingen waar het gaat om de verwerking van strafvorderlijke gegevens. Deze Aanwijzing ziet niet op de verstrekking van strafvorderlijke gegevens voor buiten de strafrechtspleging gelegen doeleinden. Voor dit onderwerp wordt verwezen naar de Aanwijzing Wjsg. 3. Verplichtingen van de verantwoordelijke 3a. Verplichtingen voortvloeiend uit de Wbp De Wbp legt aan de verantwoordelijke voor de verwerking van persoonsgegevens een aantal verplichtingen op. Hierbij dient te worden bedacht dat het mogelijk is dat er bij een verwerking meerdere verantwoordelijken kunnen zijn. In dat geval zal de onderlinge verdeling van verantwoordelijkheid tussen de verantwoordelijken duidelijk moeten worden gemaakt en dient de melding te geschieden door of namens elke van de betrokken verantwoordelijken. In paragraaf 5 wordt stilgestaan bij de vraag wie de verantwoordelijke is. De Wbp beschrijft gedetailleerd aan welke eisen een gegevensverwerking moet voldoen. De belangrijkste bepalingen voor het Openbaar Ministerie zijn de volgende (N.B. de hieronder genoemde verplichtingen gelden ook voor die gegevensverwerkingen waarvoor onder de Wjsg geen meldingsplicht meer geldt, dus onder meer ook voor Compas, voor zover de Wjsg daarvoor geen bijzondere regeling kent): 1. Persoonsgegevens mogen alleen in overeenstemming met de wet en op een behoorlijke en zorgvuldige manier worden verwerkt. 2. Persoonsgegevens mogen alleen Uit: Staatscourant 23 december 2004, nr. 248 / pag. 28 1

2 voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en vervolgens alleen verder worden verwerkt voor doeleinden die daarmee niet onverenigbaar zijn. 3. Persoonsgegevens mogen zonder toestemming van de betrokkene worden verwerkt voor zover dat noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke is onderworpen of voor zover de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het verwerkende bestuursorgaan danwel het bestuursorgaan waaraan de gegevens worden verstrekt. 4. Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt. 5. De verantwoordelijke is verplicht maatregelen te treffen opdat persoonsgegevens juist en nauwkeurig zijn. Hieraan wordt door het Openbaar Ministerie gevolg gegeven bij het beheer van de kwaliteit van de bedrijfsprocessen, onderdeel van INK. 6. De gegevensverwerking moet op een passende manier worden beveiligd. Ook hierin is voorzien. Landelijke richtlijnen en aanbevelingen bij het beveiligen van persoonsgegevens zijn het Raamwerk Beveiliging Rechterlijke Organisatie en de daarvan deeluitmakende Basisvoorzieningen Informatiebeveiliging; tevens is een rol weggelegd voor de lokale beveiligingsfunctionarissen. Voor bijzondere gegevens, zoals gegevens over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels. De verwerking van dergelijke gegevens is verboden, tenzij wordt voldaan aan de voorwaarden genoemd in paragraaf 2 van de Wbp. Onder bijzondere gegevens worden ook strafrechtelijke persoonsgegevens begrepen. Het verbod om strafrechtelijke persoonsgegevens te verwerken geldt (uiteraard) niet indien de verwerking geschiedt door organen die krachtens de wet zijn belast met de toepassing van het strafrecht zoals het Openbaar Ministerie. Op de verwerking van strafvorderlijke gegevens is de Wjsg van toepassing. 3b. Verplichtingen voortvloeiend uit de Wjsg De Wjsg beschrijft aan welke eisen de verwerking van strafvorderlijke gegevens moet voldoen. Het gaat om de volgende verplichtingen: 1. Strafvorderlijke gegevens worden slechts verwerkt indien dit noodzakelijk is voor een goede vervulling van de taak van het openbaar ministerie of het nakomen van een andere wettelijke verplichting. 2. Strafvorderlijke gegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden genoemd onder Strafvorderlijke gegevens worden slechts verwerkt voor zover ze, gelet op de doeleinden waarvoor zij worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn. 4. Ook op grond van de Wjsg is de verantwoordelijke verplicht de nodige maatregelen te treffen, opdat de strafvorderlijke gegevens juist en nauwkeurig zijn en de verantwoordelijke heeft de plicht de gegevens te verbeteren indien hem blijkt dat ze onjuist of onvolledig zijn. 5. Evenals de Wbp verplicht de Wjsg de verantwoordelijke passende technische en organisatorische maatregelen te treffen om de gegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. 6. Strafvorderlijke gegevens worden verwijderd: a. over misdrijven dertig jaren na onherroepelijke afdoening van de strafzaak in het kader waarvan die gegevens zijn verwerkt of het recht tot strafvordering door verjaring is vervallen dan wel achttien jaren na het overlijden van betrokkene, en b. over overtredingen vijf jaren na onherroepelijk afdoening van de strafzaak in het kader waarvan die gegevens zijn verwerkt of het vervallen van het recht tot strafvordering door verjaring dan wel twee jaren na het overlijden van de betrokkene. Ten aanzien van de bewaartermijnen van strafvorderlijke gegevens dient tevens acht te worden geslagen op de artikelen 4, derde lid, 5 en 6, tweede en derde lid, van de Wjsg. 3c. Landelijke coördinator Voor het toezien op de naleving van de uit de Wbp voortvloeiende verplichtingen voor de landelijke gegevensverwerkingen en voor het toezien op de naleving van de uit de Wjsg voortvloeiende verplichtingen is een landelijke coördinator aangewezen in de persoon van het hoofd van de afdeling Besturing, Programmering en Informatievoorziening (BPI) van het parket-generaal (zie voor de rol van de landelijke coördinator bij de meldingen van landelijke gegevensverwerkingen paragraaf 8). De wijze waarop het toezicht en de controle wordt georganiseerd valt buiten het bestek van deze Aanwijzing. 4. Wat moet worden gemeld bij het CBP? De geheel of gedeeltelijk geautomatiseerde verwerkingen zijn ingevolge de Wbp meldingplichtig, tenzij deze van melding zijn vrijgesteld op grond van het Vrijstellingsbesluit Wbp. De Wbp verstaat onder persoonsgegevens alle gegevens die informatie kunnen verschaffen over een geïdentificeerde of identificeerbare natuurlijke persoon. Hierbij kan worden gedacht aan naam-, adresgegevens, postcodes, woonplaatsgegevens, telefoon- en faxnummers, adressen; leeftijd, opleiding, werkervaring, gezondheid, schulden, vorderingen, kenmerken, kentekens van eigendommen, videobeelden. Gegevens over rechtspersonen zijn over het algemeen geen persoonsgegevens. Hebben deze gegevens echter eveneens betrekking op nog levende natuurlijke personen en kunnen zij mede bepalend zijn voor de wijze waarop deze in het maatschappelijk verkeer kunnen worden beoordeeld dan is dat wel het geval. In de Wjsg worden onder strafvorderlijke gegevens begrepen gegevens over een natuurlijke of rechtspersoon die zijn verkregen in het kader van een strafvorderlijk onderzoek en die het OM in een strafdossier of langs geautomatiseerde weg verwerkt. Onder verwerken van persoonsgegevens verstaat de Wbp elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens. Dat is dus een zeer ruim begrip. Handelingen die er volgens de Wbp in ieder geval onder vallen zijn het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens. Een verwerking kan uit een of meer van deze Uit: Staatscourant 23 december 2004, nr. 248 / pag. 28 2

3 handelingen bestaan. Het CBP beschouwt verwerkingshandelingen die in het maatschappelijk verkeer als eenheid worden beschouwd als een gegevensverwerking en een dergelijk geheel kan dus in een melding worden opgenomen. Bij een geheel geautomatiseerde verwerking gaat het om het invoeren van gegevens in de computer. Van een gedeeltelijk geautomatiseerde verwerking is sprake als gegevens die op papier staan gerelateerd zijn aan in de computer opgenomen gegevens. Onder een bestand verstaat de Wbp elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografische bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen. De Wbp en de daarin opgenomen meldingsplicht zien ook op handmatig verwerkte persoonsgegevens die zijn of worden opgenomen in een bestand en die systematisch toegankelijk zijn (bijvoorbeeld omdat ze zodanig gestructureerd zijn dat ze chronologisch of alfabetisch worden bewaard; daarbij kan gedacht worden aan een dossierkast waarin dossiers een naam hebben en op alfabetische volgorde staan). Gegevensverwerking ten behoeve van de politietaak ex artikel 2 van de Politiewet kent zijn eigen regime en valt niet onder de Wbp. De Wbp is niet van toepassing als de Wjsg van toepassing is (denk hierbij ook aan justitiële documentatie en de verklaring omtrent het gedrag). Verwerkingen die moeten worden aangemeld bij het CBP mogen niet eerder worden verricht dan nadat ze zijn gemeld. De verantwoordelijke voor de gegevensverwerking is verplicht de melding bij het CBP te (laten) doen. Zoals reeds vermeld is paragraaf 2 geldt deze verplichting niet voor strafvorderlijke gegevens. 5. Wie is verantwoordelijk voor de verwerking van gegevens? 5a. Verwerking van persoonsgegevens in de zin van de Wbp De verantwoordelijke voor de verwerking van persoonsgegevens is degene die het doel en de middelen voor de verwerking vaststelt. In de uitspraak van 2 juli 2003 (zaaknummer /1; LJN-nummer AH8979; AB 2004/131, JB 2003/228) heeft de Afdeling bestuursrechtspraak van de Raad van State overwogen dat het CPG de verantwoordelijke is voor de verwerking van strafrechtelijke persoonsgegevens. De Afdeling heeft daarbij gewezen op het feit dat in artikel 124 van de Wet RO de strafrechtelijke handhaving van de rechtsorde tot de taak van het openbaar ministerie behoort, waaraan het College van procureurs-generaal ingevolge artikel 130, tweede lid, en artikel 139, van de Wet RO als hoogste, landelijke leiding aan het hoofd staat. De Afdeling heeft daarbij tevens van belang geacht dat het College ingevolge artikel 130, vierde lid, van de Wet RO zowel algemene als bijzondere aanwijzingen kan geven. Hetzelfde heeft overigens te gelden voor de verwerking van niet strafrechtelijke persoonsgegevens door het OM. Het CPG heeft een taak waar het gaat om het melden van landelijke gebruikte bestanden. De hoofden van de parketten en de directeuren van de dienstonderdelen hebben een taak waar het om het melden van de niet landelijk gebruikte bestanden gaat. Op deze verdeling van taken wordt hieronder in paragrafen 8 en 9 nader ingegaan. 5b. Verwerking van strafvorderlijke gegevens in de zin van de Wjsg De verantwoordelijke voor het verwerken van strafvorderlijke gegevens is het CPG. Het hoofd van een arrondissementsparket, het landelijk parket of een ressortsparket voert het beheer over de strafvorderlijke gegevens. 6. Inhoud van de melding op grond van de Wbp De verantwoordelijke moet zijn geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens melden aan het CBP. Zoals hiervoor al is aangegeven zijn er ook geautomatiseerde gegevensverwerkingen die zijn vrijgesteld van de meldingsplicht. Het gaat hierbij onder meer om de personeels- en salarisadministratie en netwerk- en computersystemen (nadere informatie hierover is te vinden in het Vrijstellingsbesluit Wbp). De meldingen moeten worden gedaan bij het CBP, t.a.v. de Afdeling Bestandsbeheer, Postbus 93374, 2509 AJ Den Haag. Op de website van het CBP, is informatie te vinden over de Wbp, de Handleiding voor verwerkers van persoonsgegevens en de Handreiking bij het Vrijstellingsbesluit Wbp. Bij het CBP zijn naast meldingsformulieren tevens verkrijgbaar een toelichting bij het meldingsformulier verwerking persoonsgegevens en een informatieblad Vrijstellingen. De melding kan op elektronische wijze geschieden. De melding behelst een opgave van: a. de naam en het adres van de verantwoordelijke; b. het doel of de doeleinden van de verwerking; c. een beschrijving van de categorieën van betrokkenen en van de gegevens of categorieën van gegevens die daarop betrekking hebben d. de ontvangers of de categorieën van ontvangers aan wie de gegevens kunnen worden verstrekt; e. de voorgenomen doorgiften van gegevens naar landen buiten de Europese Unie; f. een algemene beschrijving om een voorlopig oordeel te kunnen geven over de gepastheid van de voorgenomen maatregelen om de beveiliging van de verwerking te kunnen waarborgen. De melding behelst voorts het doel of de doeleinden waarvoor de gegevens of de categorieën van gegevens zijn of worden verzameld. Een wijziging in de naam of het adres van de verantwoordelijke wordt binnen een week gemeld aan het CBP; wijzigingen in de opgave die betrekking hebben op de onderdelen b tot en met f moeten binnen een jaar na de voorafgaande melding worden gemeld voor zover ze van meer dan incidentele aard blijken te zijn. Dit betekent dat periodiek moet worden bezien of de melding nog in overeenstemming is met de praktijk van de gegevensverwerking. Een verwerking die afwijkt van hetgeen genoemd onder b tot en met f is gemeld wordt vastgelegd en bewaard gedurende ten minste drie jaren. Intrekking van een melding is mogelijk door het doen van een verzoek aan het CBP. Uit: Staatscourant 23 december 2004, nr. 248 / pag. 28 3

4 7. Privacyscan Hulpmiddel bij het doen van een melding en een goede naleving van de Wbp is de zogenaamde privacyscan. De privacyscan is het centrale basisdocument voor de beschrijving van verwerkingen. Het invullen van de privacyscan is niet verplicht; de privacyscan behoeft ook geen deel uit te maken van een melding aan het Cbp. Het gebruik maken van de privacyscan is echter wel aan te raden gelet op de verschillende in deze paragraaf genoemde functies die een ingevulde privacyscan kan vervullen. In de privacyscan staan de gegevens aan de hand waarvan de naleving van de materiële normen van de Wbp kan worden beoordeeld en gewaarborgd. Een ingevulde scan geeft antwoord op vragen als: wat zijn de doelen waarvoor de gegevens worden verwerkt, wat zijn de gronden voor gegevensverwerking, over welke personen worden gegevens verwerkt, welke gegevens zijn dat, welke bijzondere gegevens worden verwerkt en welke verstrekkingen vinden plaats. De privacyscan maakt het verder ook mogelijk inzicht te krijgen in de beveiligingsaspecten die het verwerken van persoongegevens betreffen en de controlemogelijkheden op juistheid en nauwkeurigheid van de verwerkingen. In dat licht is het een handig instrument bij het toezicht op de naleving van de voor het Openbaar Ministerie uit de Wbp voortvloeiende verplichtingen. Bij het invullen van de privacyscan ten behoeve van de beschrijving van verwerkingen van strafvorderlijke gegevens dient ook acht te worden geslagen op de verplichtingen die de Wjsg aan die verwerkingen stelt en die in paragraaf 3b zijn genoemd. De door het ministerie van justitie ontwikkelde privacyscan is te vinden op Justitieweb, onder de link Wbp en privacy, als onderdeel van het Handboek WBP-justitie. 8. Meldingen door het College van procureurs-generaal: landelijke gegevensverwerkingen Het College van procureurs-generaal is verantwoordelijk voor de meldingen van de landelijk beheerde systemen waarin de verwerking van persoonsgegevens plaatsvindt, alsmede voor eventuele samenwerkingsverbanden op landelijk niveau. Vanuit zijn coördinerende rol ziet de landelijke coördinator genoemd in paragraaf 3c toe op de meldingen van landelijke gegevensverwerkingen en de contacten daarover met het CBP. 9. Meldingen door de hoofden van de parketten en directeuren van dienstonderdelen: lokale gegevensverwerkingen en samenwerkingsverbanden Lokale gegevensverwerkingen: waar mogelijk afbouwen De hoofden van de parketten en de directeuren van de dienstonderdelen dragen de verantwoordelijkheid voor de melding van lokale gegevensverwerkingen. Daarbij geldt als uitgangspunt dat parketten en dienstonderdelen voor de verwerking van persoonsgegevens gebruik maken van de landelijk aangemelde systemen en dat alleen gegevensverwerkingen die op geen enkele wijze in een van de landelijke gemelde systemen plaatsvinden en toch noodzakelijk zijn voor een goede uitvoering van de taken van een parket/dienstonderdeel in een lokaal bestand worden opgenomen. De gegevensverwerkingen die plaatsvinden in lokale bestanden en die in landelijke bestanden kunnen worden ondergebracht moeten worden afgebouwd. Samenwerkingsverbanden Naast verwerking van persoonsgegevens in lokale bestanden binnen het eigen parket/dienstonderdeel kunnen de parketten/dienstonderdelen te maken krijgen met de verwerking van persoonsgegevens in het kader van samenwerkingsverbanden. Een effectieve en efficiënte uitvoering van de taken van het Openbaar Ministerie kan immers ook buiten de strafrechtspleging samenwerking met verschillende andere partners, zoals hulpverleningsinstellingen en gemeenten vergen. Gedacht kan worden aan de samenwerking met jeugdhulpverleningsinstellingen ten behoeve van de integrale aanpak van kindermishandeling, de samenwerking met gemeenten bij de aanpak van drugsdealers om overlast, onveiligheid en misbruik van gemeenschapsgeld tegen te gaan, of samenwerking met gemeenten, reclassering en instellingen op het terrein van verslavingszorg ten behoeve van de aanpak van (jeugdige) veelplegers. Voor dergelijke samenwerking is een efficiënte wijze van gegevensuitwisseling vaak onontbeerlijk. Teneinde die gegevensuitwisseling in te kaderen en zodoende oog te houden op de bescherming van de belangen van de verschillende betrokkenen, verdient het aanbeveling een samenwerkingsovereenkomst te sluiten. Twee soorten samenwerkingsverbanden zijn te onderscheiden. Ten eerste het samenwerkingsverband waarbij een apart bestand wordt gecreëerd en ten tweede het samenwerkingsverband waarbij dat niet gebeurt. Indien in een samenwerkingsverband bijvoorbeeld casusoverleggen worden gevoerd, daarvan notulen worden gemaakt en opgeslagen en/of gezamenlijke (integrale) actieplannen worden opgesteld ten aanzien van bepaalde personen en deze worden opgeslagen, is sprake van een samenwerkingsverband waarbij een apart bestand wordt gecreëerd. Hierbij is van grote betekenis of het bestand voor de partijen van het samenwerkingsverband raadpleegbaar is. Indien dat het geval is, is er sprake van een apart bestand, dat valt onder de Wbp en dat moet worden gemeld. Het samenwerkingsverband waarbij géén apart bestand wordt gecreëerd Bij dergelijke samenwerkingsverbanden bestaat voor het Openbaar Ministerie geen meldingsverplichting aan het CBP. Het Openbaar Ministerie verstrekt in dat geval alléén gegevens aan de afzonderlijke partners. De Wbp is voor het Openbaar Ministerie niet van toepassing op verstrekkingen binnen het samenwerkingsverband, voor de overige betrokkenen wel (tenzij die ook een bijzondere wet hebben, zoals de politie). De verstrekking van strafvorderlijke informatie door het Openbaar Ministerie dient op basis van de Wjsg en de Aanwijzing Wjsg te worden beoordeeld ten aanzien van alle individuele ontvangers. Samenwerkingsovereenkomsten dienen in algemene zin voor alle voorgenomen verstrekkingen aan (de verschillende partners) van het samenwerkingsverband antwoord te geven op vragen als wat is het doel van de verstrekking, wat zijn de gronden voor de gegevensverwerking, over Uit: Staatscourant 23 december 2004, nr. 248 / pag. 28 4

5 welke personen worden gegevens verstrekt, welke bijzondere gegevens worden verstrekt, welke verstrekkingen vinden plaats. De samenwerkingsovereenkomst dient ruimschoots voor aanvang van de informatieverstrekking aan het samenwerkingsverband, aan de Helpdesk privacy van het parket-generaal te zijn voorgelegd. Voordeel van het sluiten van een samenwerkingsovereenkomst is bijvoorbeeld dat in bepaalde gevallen ten aanzien van bepaalde ontvangers niet-standaardverstrekkingen kunnen plaatsvinden zonder tussenkomst van de Helpdesk privacy van het parketgeneraal (voor de rol van Helpdesk privacy van het parket-generaal bij verstrekkingen aan derden voor buiten de strafrechtspleging gelegen doelen wordt verwezen naar de Aanwijzing Wjsg). Deze verstrekkingen en de voorwaarden waaronder ze geschieden zijn immers al in algemene zin getoetst en akkoord bevonden door de Helpdesk. Informatiestromen schematisch: dient de verwerking door de verantwoordelijke te worden gemeld bij het CBP. De verantwoordelijke van de gegevensverwerking binnen het samenwerkingsverband draagt de verantwoordelijkheden die de Wbp hem geeft. Deze dient zorg te dragen voor de melding van de verwerking (het bestand) bij het CBP, maar zal er ook op moeten toezien dat aan de andere uit de Wbp voortvloeiende verplichtingen wordt voldaan. In paragraaf 6 is aangegeven waarvan bij een melding opgave moet worden gedaan. Het samenwerkingsverband waaraan het Openbaar Ministerie gegevens verstrekt, dient ten behoeve van die melding ieder geval de in die paragraaf genoemde onderwerpen in (een) samenwerkingsovereenkomst(en) te hebben geregeld. De verstrekking door het Openbaar Ministerie aan het samenwerkingsverband wordt beoordeeld aan de hand van de Wjsg en de Aanwijzing Wjsg. Het samenwerkingsverband als vastgelegd in de samenwerkingsovereenkomst is dan de ontvanger van de verstrekte gegevens. Informatiestromen schematisch: Samenwerkingsovereenkomst melden aan Helpdesk privacy van het parketgeneraal De Helpdesk privacy van het parketgeneraal dient ruimschoots voor aanvang van de informatieverstrekking aan het samenwerkingsverband, het convenant dat die informatieverstrekking aan het samenwerkingsverband regelt ter toetsing voorgelegd te krijgen. Bij de beoordeling van de voorgenomen verstrekking aan het samenwerkingsverband, zal door de Helpdesk privacy nadrukkelijk worden betrokken hetgeen is geregeld ten aanzien van de informatie-uitwisseling binnen het samenwerkingsverband omtrent de vraag onder welke voorwaarden de informatie door wie kan worden verwerkt. De samenwerkingsovereenkomst op basis waarvan de melding aan het CBP zal geschieden, vormt daarvoor de basis. Meer informatie hierover is te vinden in de Aanwijzing Wjsg. Het samenwerkingsverband waarbij een apart bestand in het leven wordt geroepen In dat geval zijn de Wjsg en de Aanwijzing Wjsg van toepassing op de verstrekking van daarin opgenomen strafvorderlijke gegevens van het Openbaar Ministerie aan het samenwerkingsverband. De verwerkingen binnen het samenwerkingsverband worden beheerst door de Wbp. De verwerking van gegevens in het bestand zal in beginsel moeten worden aangemeld bij het CBP. Dit heeft een aantal gevolgen. De samenwerkingsovereenkomst regelt de wijze van omgang met de persoonsgegevens binnen het samenwerkingsverband met inachtneming van het bepaalde in de Wbp. Aangezien het een nieuwe verwerking betreft en de Wbp van toepassing is, Uit: Staatscourant 23 december 2004, nr. 248 / pag. 28 5

6 De parketten en de dienstonderdelen dienen ten aanzien van de in deze paragraaf genoemde gegevensverwerkingen niet alleen te voldoen aan de meldingsplicht, voor zover deze van toepassing is, maar ook aan de andere verplichtingen die de Wbp stelt en die in paragraaf 3 zijn genoemd (het toezicht op de naleving van de regels betreffende met name het bewaren/schonen, beveiligen en controleren van de juistheid en nauwkeurigheid van de gegevensverwerkingen). De ingevulde privacyscan (zie paragraaf 7) biedt daarvoor een handvat. 10. Sancties Bedacht dient te worden dat het CBP sancties ten dienste staan in het geval een verantwoordelijke zich niet houdt aan de verplichtingen die ingevolge de Wbp op hem rusten. Zo is het CBP bevoegd tot het toepassen van bestuursdwang ter handhaving van de bij of krachtens de Wbp gestelde verplichtingen. Dit betekent dat door feitelijk handelen door of vanwege het CBP kan worden opgetreden tegen hetgeen in strijd met de Wbp door de verantwoordelijke wordt gedaan, gehouden of nagelaten. Voor de praktijk is wellicht belangrijker dat de bevoegdheid voor het CBP om bestuursdwang toe te passen tevens impliceert de bevoegdheid om een last onder dwangsom op te leggen aan de verantwoordelijke die zich niet aan de verplichtingen van de Wbp houdt. Een last onder dwangsom strekt er dan toe de verantwoordelijke onder bedreiging van een dwangsom te bewegen tot het alsnog voldoen aan de verplichtingen van de Wbp. Eveneens belangrijk voor de praktijk is de mogelijkheid van het CBP om de verantwoordelijke die niet voldoet aan de meldingsplicht een bestuurlijke boete op te leggen van ten hoogste 4.500,-. Overigens biedt de Wbp ook de mogelijkheid om in het kader van het strafrecht handhavend op te treden. Het CBP ziet niet alleen toe op de verwerking van persoonsgegevens als bedoeld in de Wbp, maar ook op de verwerking van strafvorderlijke persoonsgegevens als bedoeld in de Wjsg en het CBP is in dat kader bevoegd tot het doen van onderzoek. Overgangsrecht De beleidsregels in deze aanwijzing hebben onmiddellijke gelding vanaf de datum van inwerkingtreding. Uit: Staatscourant 23 december 2004, nr. 248 / pag. 28 6