De Minister van Sociale Zaken en Werkgelegenheid Postbus LV Den Haag

Vergelijkbare documenten
De minister van Sociale Zaken en Werkgelegenheid Wijziging in SZW wetgeving

De Staatssecretaris van Sociale Zaken en Werkgelegenheid. Postbus LV DEN HAAG. Wetgevingsadvies lagere regelgeving Quotumwet.

Minister van Financiën. Postbus EE Den Haag

Ministerie van Infrastructuur en Milieu. Advies concept wetsvoorstel Basisregistratie Ondergrond. Geachte,

1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Persoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon.

De Minister van Veiligheid en Justitie. Postbus EH DEN HAAG

Ons kenmerk z Onderwerp Wetgevingsadvies Tijdelijk besluit experiment vervroegde inzet no-risk polis

c) persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

Privacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder:

Privacyreglement Bureau Beckers

Ons kenmerk z Contactpersoon

rechtmatigheid POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20

De Staatssecretaris van Volksgezondheid, Welzijn en Sport. Postbus EJ DEN HAAG. Advisering Besluit langdurige zorg.

1.1 Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Stichting RDC. Informatieverplichting

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking pre-employment screening van Randstad Nederland B.V.

1.1 Persoonsgegevens: Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Privacyreglement van De Zaak van Ermelo

Privacyreglement. Algemene bepalingen. Doelstelling

Privacyreglement. 1. Begripsbepalingen

8.50 Privacyreglement

Privacyreglement. verwerking persoonsgegevens. ROC Nijmegen

1.1 persoonsgegeven: elk gegeven betreffende een geïdentificeerd of identificeerbaar persoon.

De Minister van Sociale Zaken en Werkgelegenheid Wetgevingsadvies AMvB wijziging Besluit SUWI

De Minister van Veiligheid en Justitie. Postbus EH DEN HAAG

De minister van Infrastructuur en milieu

Privacyreglement Kindertherapeuticum

Privacy reglement kinderopvang Opgesteld volgens de Wet Bescherming Persoonsgegevens (W.B.P.)

De Minister van Economische Zaken. Advies over de novelle behorende bij het wetvoorstel 31374




Het CBP voldoet hierbij aan dit verzoek. Kader

Privacy reglement. Inleiding

a. persoonsgegeven: elke gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon

de wet: de Wet bescherming persoonsgegevens; persoonsgegeven: elk gegeven over een geïdentificeerde of identificeerbare natuurlijke

Privacyreglement. Artikel 1. Bereik

Met deze brief voldoet het CBP aan uw verzoek. In dit advies zullen beide voorstellen in onderlinge samenhang worden behandeld.

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking pre-employment screening van Adecco Group Nederland; z

Privacyreglement ZorgFamilie

Privacyreglement. Stichting Rapucation Postbus NL Amsterdam

Ons kenmerk z Onderwerp Advies concept besluit verplichte geestelijke gezondheidszorg

Documentinformatie: Wijzigingslog:

No.W /III 's-gravenhage, 23 juni 2011

Privacyreglement Esma dienstverlening (februari 2018)

GEDRAGSCODE VERWERKING PERSOONGSGEGEVENS STICHTING EDUROUTE mei 2007 GEDRAGSCODE VERWERKING PERSOONSGEGEVENS STICHTING EDUROUTE

Privacyreglement. Voorwoord Privacybepalingen Begripsbepalingen Toepassingsgebied... 3

Privacyreglement. WerkPro privacyreglement pagina: 1 van 5 Versiedatum: Eigenaar: Bedrijfsjurist

Reglement bescherming persoonsgegevens Lefier StadGroningen

Privacyreglement versie 1.2, d.d

PRIVACYREGLEMENT HOREND BIJ DE GRONDSLAG ZORG EN VEILIGHEID GEMEENTE NIJKERK

Privacyreglement Financieel Bureau Brabant

22 oktober Privacyreglement Stichting Tuchtrecht Banken

Staatsblad van het Koninkrijk der Nederlanden

de minister van Economische Zaken, de heer mr L.J. Brinkhorst Postbus EC Den Haag Ministeriële regeling afsluitingen

Definitieve bevindingen Rijnland ziekenhuis

Privacyreglement Ambitiouzz

privacyreglement Dit reglement is voor Adhesive Bonding Center B.V. 1. Aanhef Vaartweg PD Lelystad ( verder te noemen school) 2.

Privacyreglement Revalidatiecentrum Haaglanden

Ons tenmert z

Privacyreglement Edese Schoolvereniging

De voorgestelde wijziging in artikel I B geven het CBP aanleiding tot het maken van de volgende op- en aanmerkingen.

1. Aanhef Dit reglement is voor KBS De Plataan, gevestigd te Meppel, Vledderstraat 3 E, 7941LC. 2. Definities

Ons kenmerk z Contactpersoon

Protocol bescherming persoonsgegevens van de Trimclub ABC

Zorgverzekeraars Nederland Definitieve bevindingen Ambtshalve onderzoek aangaande toepassing Controle op Verzekering van VECOZO B.V.

Privacyreglement van Thuiszorg Naborgh

Privacyreglement. Privacyreglement, eigenaar bedrijfsjurist, datum bewerking: Pagina 1 van 6

1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit

PRIVACYREGLEMENT. Btw nummer B01 K.v.K. nr Maastricht. Inhoudsopgave

De minister van Veiligheid en Justitie. Postbus EH DEN HAAG. Wetgevingsadvies invoering flexibel cameratoezicht.

Burgemeester en wethouders van de gemeente Teylingen; gelet op het bepaalde in de Wet bescherming persoonsgegevens; besluiten:

Definitieve bevindingen Centrale Huisartsenpost Gorinchem

Impuls Kindercampus PRIVACYREGLEMENT

Inleiding, toelichting Algemene bepalingen Artikel 1: Begripsbepalingen Artikel 2: Reikwijdte Artikel 3: Doel...

Privacyreglement. NLeducatie

Privacyreglement Potenco

Privacyreglement 2018

Privacyreglement verwerking leerlingengegevens PPOZV. Maart 2014

Documentinformatie: Wijzigingslog:

1. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Privacyreglement. Inhoudsopgave. Vastgestelde privacyreglement Kraamzorg Novo Peri, 13 juni 2012

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking van screeningsgegevens van Curriculum Vitae Zeker B.V.; z

Bewerkersovereenkomst Noordhoff Uitgevers Beroepsonderwijs

Learning Analytics en de Wet bescherming persoonsgegevens. Mr.ir. A.P. Engelfriet, Partner bij ICTRecht.nl

Rubriek Onderwerp Nummer Datum document KWALITEIT - BELEID Privacybeleid

Algemene Verordening Gegevensbescherming (AVG)

Protocol bescherming persoonsgegevens van de Alvleeskliervereniging Nederland

Privacyreglement van de Stichting Welzijnswerk. inzage-exemplaar voor klanten

Privacybeleid Sugato Coaching & Consulting

Privacy-reglement Spataderen-Amsterdam

Artikel 2 Reikwijdte 2.1 Dit reglement is van toepassing op alle verwerkingen van persoonsgegevens binnen Flevotaal.

Stichting Openbaar Voortgezet Onderwijs Gouda

P R I V A C Y R E G L E M E N T

Versie Privacyreglement. van Gilde Educatie activiteiten BV

De Minister van Veiligheid en Justitie. Postbus EH Den Haag. Advies wetsvoorstel toevoegen gegevens aan procesdossier minderjarige

PRIVACYREGLEMENT STICHTING KINDEROPVANG SWALMEN

PRIVACY REGLEMENT

Transcriptie:

POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl AAN De Minister van Sociale Zaken en Werkgelegenheid Postbus 90801 2509 LV Den Haag DATUM 8 april 2014 CONTACTPERSOON UW BRIEF VAN 18 februari 2014 UW KENMERK ONDERWERP Advies besluit uitvoering Wet allocatie arbeidskrachten door intermediairs Geachte, Bij brief van 17 februari 2014 heeft u, mede namens de staatssecretaris van Financiën, het College bescherming persoonsgegevens (CBP) verzocht advies uit te brengen over hoofdstuk 2 van het concept besluit uitvoering Wet allocatie arbeidskrachten door intermediairs (Buwaadi, hierna het conceptbesluit), dat ertoe strekt invulling te geven aan de gegevensverstrekking door de Inspectie SZW en de rijksbelastingdienst op grond van artikel 14b, eerste en tweede lid, van de Wet allocatie arbeidskrachten door intermediairs (Waadi). Met dit advies voldoet het CBP aan uw verzoek. Inhoud conceptbesluit De Rijksoverheid moedigt bedrijven en instellingen aan alleen zaken te doen met uitzendbureaus die een keurmerk hebben van de Stichting Normering Arbeid (SNA). Dit keurmerk is bedoeld om aan te geven of een uitzendbureau betrouwbaar is en zich aan de wet houdt. Ondernemingen die het SNA-keurmerk mogen voeren, moeten voldoen aan de gestelde eisen in de NEN 4400 norm. Deze norm is ontwikkeld voor Nederlandse (NEN 4400-1) en buitenlandse ondernemingen die zich op de Nederlandse markt begeven (NEN 4400-2) en die arbeid ter beschikking stellen en/of werk aannemen. De ondernemingen in het register van SNA worden periodiek gecontroleerd en alleen opgenomen als zij voldoen aan de gestelde eisen. De inspecties voor het SNA-keurmerk worden uitgevoerd door private certificerende instellingen die zijn erkend door de Raad voor Accreditatie. De gegevensverwerking De voorgenomen gegevensverwerking betreft gegevensleveringen aan de hierboven genoemde private certificerende instellingen. Deze gegevensleveringen hebben betrekking op opgelegde boetes aan ondernemingen wegens overtreding van de Wet arbeid vreemdelingen, de Wet minimumloon en vakantiebijslag en de Waadi of over het fiscale en betalingsgedrag van die BIJLAGEN BLAD 1

ondernemingen. Het doel van de gegevensverstrekking is de bestrijding van fraude in de uitzendbranche ( malafide uitzendbureaus). De gegevens kunnen voor certificerende instellingen een signaal zijn om de frequentie van de controles bij de desbetreffende gecertificeerde ondernemingen te verhogen. Een controle kan leiden tot intrekking van het certificaat. In artikel 14b, vijfde lid, van de Waadi, dat de wettelijke grondslag bevat voor de gegevensverstrekking, is ook een delegatiebepaling opgenomen, waaruit blijkt dat de nadere uitwerking plaatsvindt bij Algemene Maatregel van Bestuur. Onderhavig conceptbesluit strekt hiertoe. Persoonsgegevens De ondernemingen waar dit besluit betrekking op heeft, zijn uitzendondernemingen die in het handelsregister als bedoeld in artikel 2 van de Handelsregisterwet 2007 zijn opgenomen. Voor het overgrote deel gaat het om de gegevens van rechtspersonen. Incidenteel hebben de gegevens betrekking op een natuurlijke persoon. In een aantal gevallen kunnen uit de te verstrekken gegevens (van rechtspersonen) persoonsgegevens worden afgeleid. Om deze reden is op 7 december 2010 de wijziging van de Wet allocatie arbeidskrachten door intermediairs aan het CBP ter advisering voorgelegd, en is ook dit conceptbesluit aan het CBP voorgelegd. Beoordeling Verantwoordelijke en bewerker De verantwoordelijke is de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (artikel 1, onder d, Wbp). De bewerker is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen (artikel 1, onder e Wbp). De Inspectie SZW en de rijksbelastingdienst verstrekken gegevens aan de SNA. Dit is het startpunt van de gegevensverwerking. De stichting SNA zendt de gegevens vervolgens door naar de betreffende certificerende instelling. Volgens de nota van toelichting wordt de SNA aangewezen als bewerker in de zin van artikel 14 Wbp. De certificerende instellingen worden als verantwoordelijke beschouwd. Het conceptbesluit maakt niet duidelijk waarom de certificerende instellingen als verantwoordelijke worden beschouwd. De vraag die in dit geval beantwoordt dient te worden, is wie uiteindelijk bepaalt of er gegevens worden verwerkt en zo ja, welke verwerking, van welke persoonsgegevens en voor welk doel. Zowel het doel als de middelen voor de gegevensverwerking worden bij of krachtens de Waadi bepaald, en niet door de certificerende instellingen. Van belang bij het beantwoorden van de vraag of en zo ja in hoeverre de certificerende instellingen verantwoordelijke zijn voor de gegevensverwerking is ook het feit dat deze instellingen zelf bepalen wat zij met de ontvangen gegevens doen, maar niet bepalen welke gegevens zij ontvangen. Dit laatste wordt bepaald door de Inspectie SZW; de Inspectie SZW zal per geval bekijken welke gegevens relevant zijn om de certificerende instellingen in staat te stellen een grondige beoordeling van het desbetreffende bedrijf te kunnen doen. Dit betekent dat de Inspectie SZW van wezenlijke invloed is op de gegevensverwerking. Ook zal de rijksbelastingdienst volgens het conceptbesluit een set van BLAD 2

gegevens verstrekken. De rijksbelastingdienst heeft echter niet de vrijheid om te bepalen of bepaalde gegevens worden verstrekt of niet. Het CBP adviseert om in het conceptbesluit nader te motiveren welke organisaties Wbpverantwoordelijkheid dragen. Bij deze nadere gedachtenvorming hieromtrent zouden ook de posities van de Minister van Sociale Zaken en Werkgelegenheid en de Minister van Financiën betrokken moeten worden. Bewerkersovereenkomst Artikel 14, tweede lid, Wbp bepaalt dat de uitvoering van verwerkingen door een bewerker geregeld wordt in een overeenkomst of krachtens een andere rechtshandeling waardoor een verbintenis ontstaat tussen de bewerker en de verantwoordelijke. In de toelichting op artikel 2:5 wordt aangegeven dat de verantwoordelijke en de bewerker, gelet op artikel 14 Wbp, een overeenkomst dan wel een andere verbintenis met elkaar aangaan over de uitvoering van de verwerkingen door de bewerker. Indien het conceptbesluit uiteindelijk bepaalt dat de SNA de bewerker is voor één of meerdere verantwoordelijke(n) (certificerende instellingen, de Minister van Sociale Zaken en Werkgelegenheid (Inspectie SZW) en/of de rijksbelastingdienst), en de uitvoering van gegevensverwerkingen door de bewerker in het conceptbesluit wordt omschreven, dan kan dit worden opgevat als een rechtshandeling (een eenzijdige publiekrechtelijke rechtshandeling) als bedoeld in artikel 14, tweede lid, Wbp. In het geval dat de uitvoering van de gegevensverwerkingen duidelijk wordt geregeld in het conceptbesluit, kan een overeenkomst, voor zover deze de verwerkingen van de SNA in het kader van de Waadi en Buwaadi zou regelen, achterwege blijven. Bewaartermijnen Artikel 10, eerste lid, Wbp stelt dat persoonsgegevens niet langer mogen worden bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden bewerkt. In het conceptbesluit wordt aangegeven dat de gegevens die worden verzameld door de certificerende instellingen in principe maximaal vijf jaar bewaard kunnen worden. Deze termijn is volgens de toelichting noodzakelijk omdat het mogelijk is dat een uitgevoerde controle door een certificerende instelling naar aanleiding van een signaal van de Inspectie SZW of de rijksbelastingdienst nog niet hoeft te betekenen dat een certificaat wordt ingetrokken. In dat geval is het, volgens de nota van toelichting, van toegevoegde waarde dat een certificerende instelling de gegevens van deze onderneming wat langer dat wil zeggen vijf jaar nadat zij de gegevens heeft ontvangen, kan bewaren omdat het goed mogelijk is dat er binnen een termijn van vijf jaar nog een melding komt dat het bedrijf wetten heeft overtreden. BLAD 3

Het CBP kan deze redenering niet goed volgen omdat deze niet duidelijk maakt waarom de termijn van vijf jaar van belang is voor de beoordeling van de geldigheid van een afgegeven certificaat. Er wordt immers geen relatie gelegd tussen de bewaartermijn en het doel van de gegevensverwerking (het beoordelen van de geldigheid van een afgegeven certificaat). Als het bijvoorbeeld zo is dat een afgegeven certificaat zijn geldigheid verliest indien de onderneming binnen een periode van vijf jaar wederom wetten bedoeld in artikel 2:2 en 2:3 van het conceptbesluit overtreedt, dan is er een duidelijke relatie gelegd tussen de bewaartermijn van vijf jaar en het doel van de gegevensverwerking. Het CBP adviseert om ten aanzien van de bewaartermijn van vijf jaar aan te geven waarom deze bewaartermijn van belang (noodzakelijk) is voor de beoordeling van de geldigheid van een afgegeven certificaat. Beveiligingsmaatregelen Artikel 13 Wbp bepaalt dat de verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer dient te leggen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Artikel 14, eerste lid, Wbp stelt dat indien de verantwoordelijke persoonsgegevens te zijnen behoeve laat verwerken door een bewerker, draagt hij zorg dat deze voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen. In artikel 2:5 van het conceptbesluit worden de technische en organisatorische voorzieningen beschreven die de certificerende instellingen ten minste moeten treffen met betrekking tot de te verrichten verwerking van de verstrekte gegevens. De voorzieningen betreffen volgens artikel 2:5 van het conceptbesluit in ieder geval: a. Maatregelen gericht op personen die werkzaam zijn voor de certificerende instelling; b. Maatregelen gericht op toegang tot gebouwen en ruimten waarin de gegevens aanwezig zijn; c. Maatregelen gericht op het beheer van de gegevens; d. Maatregelen voor het geval de geheimhouding van de vermelde gegevens is geschaad; e. Maatregelen ter voorkoming van calamiteiten en het afhandelen daarvan. Het CBP mist in verband met deze beveiligingsmaatregelen een expliciete verwijzing naar artikel 13 Wbp. Hierbij zou ook verwezen kunnen worden naar de CBP Richtsnoeren Beveiliging van persoonsgegevens en de hierin beschreven beveiligingsmaatregelen. Het CBP adviseert om in de tekst expliciet te verwijzen naar artikel 13 Wbp. Informatieplicht en de rechten van betrokkenen BLAD 4

Artikel 34 Wbp bepaalt dat indien persoonsgegevens buiten de betrokkene om worden verkregen, de verantwoordelijke de betrokkene zijn identiteit en de doeleinden van de verwerking waarvoor de gegevens zijn bestemd, mededeelt. Voorts verstrekt de verantwoordelijke nadere informatie voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt, nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen. Artikel 35 en 36 Wbp beschrijven rechten die betrokkenen kunnen uitoefenen. Artikel 35 beschrijft het recht op inzage, artikel 36 het recht op verbetering, aanvulling, verwijdering of afscherming. In de memorie van toelichting bij de Wet allocatie arbeidskrachten door intermediairs wordt aangegeven dat natuurlijke personen die betrokken zijn bij uitzendondernemingen die zich willen laten certificeren door de inspecterende instellingen en de SNA geïnformeerd worden over het feit dat bij de inspectie aanvullende bronnen worden gebruikt. Daarbij zullen zij er tevens van op de hoogte worden gesteld dat gegevens van derden, zoals de rijksbelastingdienst en de AI, kunnen worden gebruikt. Voorts wordt gesteld dat hiermee wordt voldaan aan de informatieplicht op grond van de Wbp. Deze stelling is niet geheel juist. De mededeling dat persoonsgegevens gebruikt kunnen worden is niet genoeg om te voldoen aan de informatieplicht. De verplichting van de verantwoordelijke op eigen initiatief de betrokkene op de hoogte te stellen van het bestaan van de verwerking van persoonsgegevens die op hem betrekking hebben, is een belangrijk instrument om het gegevensverkeer transparant te maken. De verantwoordelijke mag zich pas ontslagen achten van zijn informatieplicht, als hij weet dat de betrokkene op de hoogte is van het bestaan van een gegevensverwerking. Het conceptbesluit gaat niet in op de informatieplicht als bedoeld in artikel 34 Wbp. Evenmin bevat het conceptbesluit een concrete invulling van de rechten van betrokkenen als bedoeld in artikel 35 en 36 Wbp. Mede gelet op de onduidelijkheid ten aanzien van de Wbp-verantwoordelijkheid voor de gegevensverwerkingen, adviseert het CBP om de informatieplicht te beleggen bij één Wbp verantwoordelijke. Deze organisatie zal dan tevens fungeren als aanspreekpunt voor betrokkenen die hun rechten op grond van de Wbp willen uitoefenen. Advies BLAD 5

Het CBP adviseert u aan het vorenstaande op passende wijze aandacht te schenken. Hoogachtend, Het College bescherming persoonsgegevens, Voor het College, Mr. W.B.M. Tomesen Lid van het College BLAD 6

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback