Reglement voor de registratie aanmelding, selectie en plaatsing

Transcriptie

1 Reglement voor de registratie Mededelingen IB-Groep verbindend voorschrift Datum: 20 augustus 1998 Kenmerk: OWD/AP Datum inwerkingtreding: zie artikel 20 Geldigheidsduur beleidsregel: n.v.t. Juridische grondslag: artikel 19 van de Wet Persoonsregistraties Relatie tot eerdere mededelingen: n.v.t. Informatie verkrijgbaar bij: Regiokantoren Informatie Beheer Groep, De hoofddirectie van de informatie beheer groep, Gelet op het bepaalde in de Wet persoonsregistraties (Stb. 1988, 665 en zoals laatstelijk gewijzigd), gericht op de bescherming van de persoonlijke levenssfeer in verband met persoonsregistraties, Met inachtneming van het Besluit voorschrift informatiebeveiliging rijksdienst (Stcrt. 1994, 173), houdende regels voor de exclusiviteit, integriteit en beschikbaarheid van informatiesystemen, de Commissie van Toezicht Registratieregelingen Onderwijs, Cultuur en Wetenschappen gehoord, Besluit: Artikel 1. Begripsbepalingen 1. De in dit reglement voorkomende begrippen hebben dezelfde betekenis als de begrippen in de Wet persoonsregistraties (Stb. 1988, 665), tenzij anders is aangegeven. 2. In dit reglement wordt verstaan onder: a. de minister: de minister van onderwijs, cultuur en wetenschappen; b. het ministerie: het Ministerie van Onderwijs, Cultuur en Wetenschappen; c. de registratie: de registratie, bedoeld in artikel 2; d. de Commissie van Toezicht: de commissie, bedoeld in de Regeling Commissie van Toezicht registratieregelingen OCenW 1996 (Kenmerk: FACB/IA d.d. 22 januari 1997); e. de wet: de Wet persoonsregistraties (Stb. 1988, 655); f. de Registratiekamer: de Registratiekamer, bedoeld in paragraaf 8 van de wet; g. houder: degene die zeggenschap heeft over de registratie: de hoofddirecteur van de Informatie Beheer Groep; h. beheerder: degene die, binnen de organisatie van de houder, namens houder is belast met het beheer van de registratie; i. gebruikers: degene die, binnen de organisatie van de houder, door geautoriseerd zijn om de gegevens te raadplegen, toe te voegen, te wijzigen of te verwijderen; j. derden: personen en instanties die niet behoren tot de organisatie van de houder, met uitzondering van de bewerker en de geregistreerde; k. geregistreerde: een ieder over wie gegevens in de registratie zijn opgenomen; l. belanghebbende: de geregistreerde, zijn wettelijk vertegenwoordiger of zijn gevolmachtigde; m. actieve relatie: opname en gebruik van gegevens in de registratie ten behoeve van het daadwerkelijk toepassen van de functies overeenkomstig het doel van de registratie. Artikel 2. Reikwijdte 1. Dit reglement is van toepassing op de registratie aanmelding, selectie (RASP). 2. De aan het reglement gehechte en als zodanig genoemde bijlagen maken daarvan deel uit. NUMMER september 1998

2 Reglement voor de registratie Artikel 3. Doel De registratie heeft tot doel: a. het vastleggen van persoonlijke gegevens en aanmeldingsgegevens, teneinde de beheerder van de in artikel 2 genoemde registratie de gegevens te verschaffen die deze nodig heeft voor een goed verloop van de procedure van van aanstaande eerstejaarsstudenten in het hoger onderwijs; b. het verschaffen van informatie aan de eventueel samenwerkende bevoegde gezagsorganen c.q. colleges van bestuur van de instellingen van hoger onderwijs over de aanmelding en toelating c.q. plaatsing van de studenten bij de instellingen van hoger onderwijs in het algemeen en de bij de daarbij voorkomende afdelingen in het bijzonder. Artikel 4. Houder 1. Houder van de registratie is de hoofddirecteur van de IB-Groep. De houder stelt met betrekking tot dit reglement een beheerinstructie vast en zendt hiervan een afschrift aan de Commissie van Toezicht. In deze instructie zijn de hoofdlijnen van het beheer van de registratie vastgelegd. De beheerinstructie is erop gericht dat de in de registratie opgenomen gegevens juist en volledig zijn en dat voorkomen wordt, dat gegevens in handen komen van personen die niet tot kennisneming van de gegevens bevoegd zijn. 2. Op de houder rust de zorgplicht voor een adequate beveiliging van de registratie en voor eventueel noodzakelijke afstemming met personen of instanties buiten de organisatie van de houder die verantwoordelijkheid dragen voor een adequate beveiliging van de registratie. 3. De houder draagt zorg voor een aanpassing van bijlage 1 indien zich wijziging voordoet van de daarin genoemde gegevens. Artikel 5. Categorieën van personen De registratie bevat uitsluitend gegevens omtrent de personen die zich hebben aangemeld om als student bij een instelling van hoger onderwijs te worden toegelaten c.q geplaatst. Artikel 6. Opneming van gegevens Omtrent de personen, bedoeld in artikel 5 worden uitsluitend de volgende gegevens opgenomen: a. persoonlijke gegevens; b. aanmeldingsgegevens; c. plaatsingsgegevens. De gegevens zijn, gerangschikt naar bovengenoemde soorten gegevens, in detail weergegeven in bijlage 1 van dit reglement. Artikel 7. Herkomst van gegevens De in artikel 6, onder a tot en met c, bedoelde gegevens worden respectievelijk als volgt verkregen: a. van de geregistreerde of uit de geautomatiseerde registratie CIOP; b. van de geregistreerde of van de instelling; c. uit het geautomatiseerde systeem waarop dit reglement van toepassing is. Artikel 8. Opnemingsduur 1. De in artikel 6 bedoelde gegevens blijven ten hoogste voor de duur van twee jaar na het beëindigen van de actieve relatie met de geregistreerde in de registratie opgenomen. 2. De in het eerste lid genoemde duur kan met een concrete termijn worden verlengd, indien het doel van de registratie dat verlangt en daaraan uit het oogpunt van de bescherming van de persoonlijke levenssfeer geen overwegende bezwaren zijn verbonden. Hierbij is de toestemming van de Commissie van Toezicht vereist. Artikel 9. Verwijdering en vernietiging 1. Na het verstrijken van de uit artikel 8 voortvloeiende periode gedurende welke de gegevens te hoogste in de registratie blijven opgenomen, dan wel zoveel eerder als het doel van de registratie toelaat, worden de in artikel 6 bedoelde gegevens verwijderd en vernietigd. 2. In afwijking van het vorige lid kunnen de gegevens onder nader aan te geven voorwaarden worden bewaard op een plaats en wijze die naar het oordeel van de Commissie van Toezicht daarvoor geschikt is. Voor kennisneming van de gegevens is de toestemming van de houder, de Commissie van Toezicht gehoord, vereist. 3. In geval van oorlog of andere buitengewone omstandigheden waarin ernstig gevaar dreigt dat persoonsgegevens in handen vallen van instanties die deze gegevens kunnen gebruiken in strijd met het doel van de registratie, zullen deze worden vernietigd conform de in artikel I, onderdeel 3, van de beheerinstructie bedoelde procedure. Artikel 10. Gegevensverstrekking aan derden 1. Gegevensverstrekking aan derden vindt niet plaats, tenzij deze: a. geschiedt op rechterlijk bevel, NUMMER september 1998

3 b. wordt vereist ingevolge een wettelijk voorschrift, c. voortvloeit uit het in artikel 3 omschreven doel van de registratie, d. plaatsvindt met toestemming van de geregistreerde, e. geschiedt op de voet van artikel 18, derde lid van wet of f. op basis van dringende en noodzakelijke redenen die voortvloeien uit de wet. 2. De in artikel 6 bedoelde gegevens kunnen op de voet van de punten c, d of e van het vorige lid slechts worden verstrekt aan de volgende personen en instanties: a. de eventueel samenwerkende bevoegde gezagsorganen c.q.colleges van bestuur van instellingen van hoger onderwijs, waarvoor de student zich heeft aangemeld; b. de minister van onderwijs, cultuur en wetenschappen en de door deze aangewezen ambtenaren; c. de minister van landbouw, natuurbeheer en visserij en de door deze aangewezen ambtenaren. 3. Aan de in het tweede lid onder a, b, en c bedoelde personen en/of instanties kunnen slechts gegevens worden verstrekt voorzover deze voor de uitoefening van hun taak noodzakelijk zijn. 4. Gegevens kunnen slechts aan andere personen of instanties dan genoemd in het tweede lid worden verstrekt indien: a. de geregistreerde gegevens op zodanige wijze zijn bewerkt, dat de te verstrekken informatie direct noch indirect op de persoon herleidbaar is, dan wel b. de geregistreerde daarmee schriftelijk heeft ingestemd. Artikel 11. Toegang tot de gegevens 1. Tot de in de registratie opgenomen gegevens hebben uitsluitend rechtstreeks toegang: a. de beheerder en de door de beheerder aangewezen personen voor wie de toegang met het oog op de dagelijkse zorg voor, en het goed functioneren van, de registratie noodzakelijk is; b. de met het oog op controledoeleinden door de houder aangewezen personen; c. de Commissie van Toezicht en de door deze commissie voor controledoeleinden aangewezen personen; d. de Registratiekamer. 2. Personen die uit hoofde van hun functie kennis nemen van geregistreerde persoonsgegevens zijn gehouden deze niet anders te gebruiken dan voor de uitoefening van hun functie nodig is en deze gegevens niet aan onbevoegden mede te delen. 3. Personen die uit hoofde van hun functie kennis kunnen nemen van de in de bijlage genoemde gegevens dienen schriftelijk te verklaren dat zij zich zullen houden aan het in het vorige lid bepaalde. Artikel 12. Invoer, wijziging en verwijdering van gegevens 1. Met het invoeren, wijzigen of verwijderen van de gegevens zijn uitsluitend belast de in artikel 11 lid 1 onder a. bedoelde en uit hoofde van hun functie daartoe aangewezen personen. 2. Van personen die niet langer uit hoofde van hun functie toegang tot de gegevens behoeven te hebben, wordt de bevoegdheid daartoe onverwijld ingetrokken. Artikel 13. Verbanden met andere gegevensverzamelingen 1. De in artikel 6 onder a bedoelde gegevens worden geleverd aan de registratie CIOP ten behoeve van andere in het privacy-reglement CIOP genoemde registraties. 2. De houder dient voor ieder in het vorige lid genoemd verband de betrouwbaarheidseisen vast te stellen. Deze zullen in de beheerinstructie worden opgenomen. De Commissie van Toezicht ontvangt daarvan een afschrift. Artikel 14. Verzoek om kennisneming, correctie of mededeling van verstrekking van gegevens 1. De belanghebbende die toepassing van de artikelen 29 (kennisneming), 31 (correctie) of 32 (derdenverstrekking) van de wet verlangt, vermeldt in zijn daartoe strekkend schriftelijk en ondertekend verzoek naam, adres, woonplaats, geboortedatum en indien mogelijk het correspondentie- of administratienummer. Op verzoek van de houder verschaft de belanghebbende zo mogelijk andere gegevens die voor de afhandeling van het verzoek noodzakelijk kunnen zijn. 2. De verzoeken bedoeld in het vorige lid worden schriftelijk gericht aan: Informatie Beheer Groep t.a.v. de contactpersoon WPR/OWD Postbus AS Groningen 3. De belanghebbende legitimeert zich door het meezenden van een kopie van een geldig legitimatiebewijs, voorzien van de handtekening van de belanghebbende. 4. Verzoeken van belanghebbenden die de leeftijd van 16 jaar nog niet hebben bereikt en van belanghebbenden die onder curatele zijn gesteld, kunnen alleen door hun wettelijke vertegenwoordiger worden ingediend. Reglement voor de registratie NUMMER september 1998

4 Reglement voor de registratie Artikel 15. Afhandeling van verzoeken 1. Bij inwilliging van een verzoek om toepassing van artikel 29 of 32 van de wet kan de belanghebbende als volgt kennis nemen van de gegevens die over hem in de registratie zijn opgenomen, en van de herkomst daarvan: a. doordat hem afschrift wordt toegezonden van de hem betreffende gegevens met een aanduiding van de herkomst; b. doordat de hem betreffende gegevens in een andere dan schriftelijke vorm aan hem worden medegedeeld, doordat zij voor hem ter inzage liggen of doordat hij de registratie kan raadplegen, een en ander indien een gewichtig belang van de geregistreerde als bedoeld in artikel 29, derde lid van de wet dit vereist. 2. Het vorige lid is van overeenkomstige toepassing bij inwilliging van een verzoek om toepassing van artikel 31 van de wet. 3. De houder zorgt ervoor dat alle incidentele gegevensverstrekkingen afzonderlijk in een protocol worden aangetekend teneinde de uit de vorige leden van dit artikel voortvloeiende activiteiten te kunnen verrichten. Artikel 16. Beheer en bewerking 1. Beheerder van de registratie is de directeur van de productgroep Onderwijsdiensten. Hij neemt bij zijn beheer de beheerinstructie als bedoeld in artikel 4 lid 2 alsmede eventuele andere schriftelijke aanwijzingen van de houder in acht. 2. De beheerder ziet erop toe dat gebruikers handelen overeenkomstig de in de beheerinstructie gestelde eisen. 2. Dit reglement wordt voor een ieder ter inzage gelegd bij de bibliotheek van de Informatie Beheer Groep te Groningen en de regiokantoren van de Informatie Beheer Groep in Nederland, alsmede bij de bibliotheek van het Ministerie van Onderwijs, Cultuur en Wetenschappen te Zoetermeer. 3. Afschrift van dit reglement wordt gezonden aan de Commissie van Toezicht en aan de centrale privacyofficer van de Informatie Beheer Groep. 4. Het bepaalde in de vorige leden is van overeenkomstige toepassing bij wijziging of intrekking van dit reglement. 5. De schriftelijke mededeling aan de Registratiekamer bedoeld in artikel 19, derde lid van de wet geschiedt door middel van het daarvoor bestemde formulier. 6. Wijziging van het postadres van de houder dient conform artikel 19, vierde lid van de wet aan de Registratiekamer te worden gemeld. Artikel 20. Inwerkingtreding en citeertitel 1. Dit reglement treedt in werking op de dag volgend op de dag van bekendmaking in de Nederlandse Staatscourant, op de wijze als bedoeld in artikel 19, eerste lid, van dit reglement. 2. Het reglement kan worden aangehaald als privacyreglement registratie. drs. M.A. Becherer RC wnd. hoofddirecteur informatie beheer groep Bijlage 1 Artikel 17. Toezicht op de naleving De Commissie van Toezicht is ingevolge de in artikel 1 lid 2 genoemde beschikking belast met het toezicht op de naleving van dit reglement. Artikel 18. Intrekking oud reglement Het Reglement registratie c.q. toelating studenten hoger onderwijs van 16 juli 1990, kenmerk OA , wordt ingetrokken. Artikel 19. Terinzagelegging en bekendmaking 1. De houder van de registratie maakt dit reglement bekend in het officiële publikatieblad van het Ministerie van Onderwijs, Cultuur en Wetenschappen, alsmede in de Nederlandse Staatscourant. Bijlage bij het privacy-reglement registratie, ter nadere uitwerking van de gegevens als genoemd in artikel 6. Artikel 1. Persoonlijke gegevens De persoonlijke gegevens, bedoeld in artikel 6 van het reglement, zijn: a. correspondentienummer b. achternaam c. voorvoegsels d. eerste voornaam e. overige voorletters f. geslacht g. geboortedatum h. geboorteplaats i. datum overlijden NUMMER september 1998

5 j. straat k. huisnummer l. postcode m. woonplaats n. land o. telefoonnummer Artikel 2. Aanmeldingsgegevens De aanmeldingsgegevens, bedoeld in artikel 6 van het reglement, zijn: a. code diploma b. jaar diploma c. vakkenpakket d. code opleiding eerste voorkeur e. code instelling eerste voorkeur f. nevenvestiging eerste voorkeur g. code instelling tweede voorkeur h. code instelling derde voorkeur i. code instelling vierde voorkeur j. voltijd/deeltijd/duaal k. code opleiding tweede voorkeur l. code instelling m. nevenvestiging n. voltijd/deeltijd/duaal o. code colloquium doctum p. jaar colloquium doctum q. intrekking aanmelding r. reden intrekking aanmelding Artikel 3. Plaatsingsgegevens De plaatsingsgegevens, bedoeld in artikel 6 van het reglement, zijn: a. lotnummer b. lotingsklasse c. resultaat selectie d. reden selectie e. soort plaatsing f. red g. geplaatste opleiding h. geplaatste instelling i. atum aanmaak bewijs van toelating Beheerinstructie voor de registratie bedoeld in het privacy-reglement voor de Registratie Aanmelding, Selectie en Plaatsing. Deze beheerinstructie behoort bij het privacy-reglement voor de Registratie Aanmelding, Selectie en Plaatsing (Reglement RASP) van de Informatie Beheer Groep (IB-Groep). De beheerinstructie is opgesteld overeenkomstig het gestelde in artikel 4 lid 2 van voornoemd reglement. De beheerinstructie is ingedeeld naar verantwoordelijkheid ten aanzien van Wpr-aangelegenheden. De betrokken functionaris heeft daarmee een overzicht van zijn taken, die in het kader van de privacy-bescherming moeten worden uitgevoerd. De procedures en richtlijnen voor de dagelijkse omgang met gegevens zijn bij de IB-Groep beschreven in handboeken AO (Administratieve Organisatie) behorende bij de registraties. In het Handboek RASP is een hoofdstuk Privacy opgenomen, met daarin de instructies voor de gebruiker. In deze beheerinstructie wordt waar nodig verwezen naar voornoemd handboek. Tenzij anders aangegeven, wordt bij artikelverwijzingen steeds het Reglement RASP bedoeld. De registratie is opgenomen in het automatiseringssyteem RASP van de productgroep Onderwijsdiensten en wordt gevoerd bij het Intern Rekencentrum van de IB-Groep. I. Houder (artikel 4, lid 1) De houder heeft ten aanzien van de registratie de volgende taken: 1. Het zorgdragen voor de totstandkoming van het privacy-reglement en de daaraan gekoppelde beheerinstructie (artikel 4, lid 2). 2. Het zorgdragen voor het voorleggen van adviesverzoeken en wijzigingen ten aanzien van de registratie en het reglement aan de Commissie van Toezicht. Na besluitvorming worden afschriften aan de Commissie toegezonden. 3. Het zorgdragen voor een adequate beveiliging conform het Voorschrift Informatiebeveiliging Rijksdienst (Stcrt. 1994, 173). Hiertoe wordt een Statuut voor de Informatiebeveiliging IB-Groep opgesteld. Daarmee wordt tevens invulling gegeven aan de betrouwbaarheidsvereisten van artikel 13 lid Het bewaken van de opstelling van het jaarverslag. 5. Het bewerkstelligen van de publicatie van het reglement conform het bepaalde in het reglement. 6. De aanmelding van de registratie, alsmede de wijzigingen, bij de Registratiekamer. 7. Het bepalen of gegevens aan een derde mogen worden verstrekt, conform het reglement en de Wet persoonsregistraties. 8. Het opdragen van de taken aan de centrale privacyofficer van de IB-Groep. Reglement voor de registratie NUMMER september 1998

6 Reglement voor de registratie II. Taken centrale privacy-officer De centrale privacy-officer heeft de volgende taken: 1. Het opstellen van het jaarverslag. 2. Het zorgdragen voor publicatie van de reglementen, conform het bepaalde in die reglementen. 3. Het zorgdragen voor het aanmelden van de registraties, alsmede de wijzigingen, bij de Registratiekamer. 4. Het adviseren van de houder met betrekking tot te nemen maatregelen ter bescherming van de privacy. 5. Het zorgdragen voor (consistentie in de) maatregelen ter bescherming van de privacy. 6. Het uitvoeren van overige door de houder aan hem opgedragen taken. III. Het beheer (atikel 16) Het beheer wordt uitgevoerd door de directeur van de productgroep Onderwijsdiensten (OWD). De directeur draagt vervolgens de Productmanager Centraal Bureau Aanmelding, Selectie en Plaatsing/Diplomawaardering (CBAP/DW) op alle beheertaken, die nodig zijn voor de dagelijkse afhandeling, uit te voeren. De beheerder heeft de volgende taken: 1. Het zorgdragen voor juiste en consequente behandeling van gegevens conform het Handboek RASP. 2. Het zorgdragen voor tijdige en juiste informatieoverdracht aan de houder. 3. Het zorgdragen voor tijdige en correcte afhandeling van verzoeken om inzage, wijziging of verwijdering op grond van de artikelen 14 en 15 van het reglement. 4. Het zorgdragen voor een correcte voorlichting. 5. Het instrueren van de decentrale privacy-officer OWD ten aanzien van het uit te voeren takenpakket. 6. Het zorgdragen voor de opname van maatregelen ter bescherming van de privacy in het handboek RASP. 7. Het zorgdragen voor een juiste bewaking van de logische en fysieke toegangsbeveiliging door de securityofficer OWD en de leidinggevenden, zoals neergelegd in het autorisatie-besluit van de productgroep. 8. De in artikel 9 lid 3 genoemde genoemde noodvernietigingsprocedure zal bekend zijn nadat het rapport met betrekking tot een onderzoek daartoe is afgerond. 9. De in artikel 13 lid 2 genoemde betrouwbaarheidseisen zullen bekend zijn nadat het rapport met betrekking tot een onderzoek daartoe is afgerond. IV. Taken decentrale privacyofficer De decentrale privacy-officer heeft de volgende taken: 1. Het opstellen en actueel houden van het privacyreglement, de daarbij behorende bijlagen en de beheerinstructie. 2. Het afhandelen van verzoeken om inzage in, wijziging of verwijdering van gegevens. 3. Het protocolleren van de verstrekking van gegevens aan derden, conform de werkinstructie. 4. Het verzorgen van de instructies aan de gebruikers met betrekking tot de in het Handboek opgenomen maatregelen ter bescherming van de privacy. 5. Het opstellen van maatregelen ter bescherming van de privacy ten behoeve van het Handboek AO. 6. Het adviseren van de beheerder omtrent aangelegenheden die verband houden met de registratie. V. Gebruiker De gebruiker heeft de volgende taak: 1. Het behandelen van de gegevens overeenkomstig het Handboek RASP. VI. Overzicht Overzicht van betrokkenen de bij de registratie RASP binnen de organisatie van de houder: Taken met betrekking tot de fysieke en logische beveiliging c toezicht: beheerder, de directeur van de Productgroep OWD c uitvoering: (decentrale) security-officer en productmanager van de afdelin-gen CBAP/DW. Taken met betrekking tot de bescherming van de privacy c toezicht: houder, de hoofddirecteur van de IB-Groep, de centrale privacy-officer van de IB- Groep. c uitvoering: decentrale privacy-officer van de productgroep OWD Gebruiker c medewerkers van de productgroep OWD NUMMER september 1998