Reglement gegevensbeheer Kansspelautoriteit

De raad van bestuur van de Kansspelautoriteit;

gelet op artikel 33g van de Wet op de kansspelen;

besluit vast te stellen:

Paragraaf 1 Algemene bepalingen

Artikel 1.1 Begrippen en definities

In dit reglement wordt verstaan onder:

a. AVG:

Algemene verordening gegevensbescherming;

b. UAVG:

Uitvoeringswet Algemene verordening gegevensbescherming;

c. Wok:

Wet op de kansspelen;

d. persoonsgegevens:

alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon als bedoeld in artikel 4, sub 1, van de AVG;

e. gegevens:

alle gegevens inclusief persoonsgegevens;

f. strafrechtelijke gegevens:

persoonsgegevens of gegevens over een rechtspersoon, van strafrechtelijke aard;

g. burgerservicenummer:

het nummer bedoeld in artikel 1, onder b, van de Wet algemene bepalingen burgerservicenummer;

h. raad van bestuur:

de raad van bestuur van de Kansspelautoriteit, als bedoeld in artikel 33a van de Wok;

i. verwerkingsverantwoordelijke:

de raad van bestuur;

j. Autoriteit Persoonsgegevens:

de toezichthoudende autoriteit als bedoeld in artikel 51, eerste lid, van de AVG.

Artikel 1.2 Reikwijdte

  • 1. Dit reglement is van toepassing op de verwerking van persoonsgegevens waarvoor de raad van bestuur de verwerkingsverantwoordelijke is als bedoeld in artikel 33g, negende lid, van de Wok.

  • 2. Dit reglement is eveneens van toepassing op de uitwisseling van andere gegevens tussen de raad van bestuur en andere bestuursorganen, toezichthouders, instanties en personen, alsmede op de wijze waarop gegevens worden verstrekt en de doorlevering en vernietiging van gegevens.

Paragraaf 2 Het verstrekken en uitwisselen van gegevens

Artikel 2.1 Aanwijzing bestuursorganen en toezichthouders

Op grond van artikel 33g, derde lid, van de Wok worden de volgende bestuursorganen en toezichthouders aangewezen om de gegevens te verstrekken die noodzakelijk zijn voor de uitvoering van de taken van de raad van bestuur en de ambtenaren en personen bedoeld in artikel 34 van de Wok:

  • a. Autoriteit Financiële Markten;

  • b. Autoriteit Consument en Markt;

  • c. De Nederlandse Bank N.V.;

  • d. Nederlandse Zorgautoriteit;

  • e. Inspectie Leefomgeving en Transport;

  • f. Nederlandse Voedsel- en Warenautoriteit;

  • g. Fiscale inlichtingen- en opsporingsdienst;

  • h. Commissariaat voor de Media;

  • i. Uitvoeringsinstituut Werknemersverzekeringen;

  • j. Sociale Verzekeringsbank;

  • k. Immigratie- en Naturalisatiedienst;

  • l. de Minister van Defensie voor zover het gegevens betreft die de Koninklijke Marechaussee verstrekt;

  • m. de Korpschef van de Politie;

  • n. Openbaar Ministerie;

  • o. Autoriteit Persoonsgegevens;

  • p. het college van burgemeester en wethouders en de burgemeester van een gemeente en het college van gedeputeerde staten van een provincie;

  • q. de Rijksvertegenwoordiger van de openbare lichamen Bonaire, Sint Eustatius en Saba (Caribisch Nederland).

Artikel 2.2 Uitwisseling gegevens met andere instanties en personen

Met inachtneming van het bepaalde in de toepasselijke wet- en regelgeving, kan de raad van bestuur gegevens uitwisselen met andere bestuursorganen, toezichthouders, instanties en personen, voor zover dat noodzakelijk is voor de uitvoering van de taken bedoeld in artikel 33b van de Wok, of als er daarvoor een andere grondslag bestaat.

Paragraaf 3 De wijze waarop verstrekking van gegevens plaatsvindt

Artikel 3.1 De wijze van verstrekking

De verstrekking van gegevens, bedoeld in artikel 2.1 en 2.2, gebeurt schriftelijk of op elektronische wijze. Deze verstrekking kan eenmalig, incidenteel of periodiek plaatsvinden. Indien gegevens periodiek worden verstrekt, dan worden schriftelijke afspraken gemaakt tussen de raad van bestuur en de wederpartij over de gegevens die worden verstrekt en de wijze van verstrekking. In alle gevallen geschiedt de verstrekking kosteloos.

Artikel 3.2 Waarborg verstrekking

Verstrekking van gegevens aan een bestuursorgaan, instantie, toezichthouder of andere persoon als bedoeld in artikel 2.2 vindt uitsluitend plaats indien:

  • a. het bestuursorgaan, de instantie, de toezichthouder of de andere persoon afdoende duidelijk heeft gemaakt op basis van welke grondslag de verstrekking kan plaatsvinden,

  • b. de geheimhouding van de gegevens of inlichtingen in voldoende mate is gewaarborgd, en

  • c. voldoende is gewaarborgd dat de gegevens niet zullen worden gebruikt voor een ander doel dan waarvoor deze worden verstrekt.

Artikel 3.3 Doorlevering van verkregen gegevens

De raad van bestuur kan gegevens die hij heeft verkregen overeenkomstig artikel 2.1 en 2.2, alleen doorleveren aan een ander(e) bestuursorgaan, instantie, toezichthouder of persoon, indien dat noodzakelijk is voor de uitvoering van de taken bedoeld in artikel 33b van de Wok, of als er daarvoor een andere grondslag bestaat. Artikel 3.2 is van overeenkomstige toepassing.

Paragraaf 4 De wijze waarop gegevens worden verwerkt

Artikel 4.1 Bewaartermijn en vernietiging gegevens

De raad van bestuur bewaart en vernietigt de verkregen gegevens in overeenstemming met de geldende selectielijst van de Kansspelautoriteit en de Archiefwet 1995.

Artikel 4.2 Geheimhouding

Medewerkers van de Kansspelautoriteit en ieder ander die krachtens de Wok of dit reglement de beschikking krijgt over gegevens, zijn verplicht tot geheimhouding daarvan, behoudens de in de artikelen 3.3 genoemde redenen tot doorlevering.

Paragraaf 5 Beheer persoonsgegevens

Artikel 5.1 Zorgplicht persoonsgegevens

  • 1. Onverminderd het bepaalde in de AVG, de Wok en in dit reglement, draagt een ieder die persoonsgegevens verwerkt voor de Kansspelautoriteit zorg voor de juistheid, nauwkeurigheid en volledigheid van die persoonsgegevens.

  • 2. Persoonsgegevens worden verwerkt conform het privacybeleid van de raad van bestuur.

Artikel 5.2 Transparantie verwerking persoonsgegevens

De raad van bestuur stelt het verwerkingsregister of een beschrijving daarvan beschikbaar via de website van de Kansspelautoriteit.

Artikel 5.3 Audit verwerking persoonsgegevens

  • 1. De raad van bestuur laat periodiek, doch minimaal driejaarlijks, een externe auditor of de Functionaris Gegevensbescherming van de Kansspelautoriteit een audit uitvoeren naar de naleving van de privacy wet- en regelgeving door de Kansspelautoriteit.

  • 2. Indien uit de auditresultaten blijkt dat niet wordt voldaan aan de privacy wet- en regelgeving, dan stelt de raad van bestuur een plan van aanpak op waarmee op zo kort mogelijke termijn alsnog wordt voldaan aan die wet- en regelgeving.

  • 3. De raad van bestuur laat periodiek, doch minimaal driejaarlijks, onderzoek doen naar de naleving van de privacy wet- en regelgeving en dit reglement door de gecontracteerde verwerkers van persoonsgegevens, door een externe auditor of de Functionaris Gegevensbescherming van de Kansspelautoriteit.

Paragraaf 6 Beveiliging gegevens

Artikel 6.1 Beveiliging algemeen

  • 1. De raad van bestuur maakt voor de informatiebeveiliging gebruik van een Information Security Management System (ISMS) dat overeenkomstig de ISO NEN norm 27001 is geïmplementeerd.

  • 2. Gegevens worden beveiligd conform de beveiligingsmaatregelen die zijn vastgelegd in het Informatieveiligheidsbeleid van de raad van bestuur.

Artikel 6.2 Beveiliging gegevensuitwisseling

Uitwisseling van gegevens vindt plaats via adequaat beveiligde kanalen of platforms. De bestanden worden adequaat versleuteld indien de gevoeligheid of vertrouwelijkheid van de gegevens dat vereist.

Paragraaf 7 Slotbepalingen

Artikel 7.1 Inwerkingtreding

Dit reglement wordt met de toelichting in de Staatscourant geplaatst en treedt in werking op de eerste dag na de datum van bekendmaking.

Artikel 7.2 Intrekking

Het Reglement bescherming persoonsgegevens Kansspelautoriteit, bekendgemaakt in de Staatscourant 2014 nr. 21460 van 29 juli 2014, wordt ingetrokken.

Artikel 7.3 Citeertitel

Dit reglement wordt aangehaald als: Reglement gegevensbeheer Kansspelautoriteit.

Den Haag, 24 januari 2023

De raad van bestuur van de Kansspelautoriteit, R.J.P. Jansen, voorzitter

TOELICHTING

I Algemeen

Op 24 januari 2023 heeft de raad van bestuur van de Kansspelautoriteit het Reglement gegevensbeheer Kansspelautoriteit vastgesteld.

In artikel 33b van de Wet op de kansspelen (Wok) is bepaald dat de Kansspelautoriteit tot taak heeft:

  • het verlenen, wijzigen, schorsen en intrekken van vergunningen voor de diverse vormen van kansspelen, exploitatievergunningen en modeltoelatingen voor speelautomaten,

  • het beheer van het register bedoeld in artikel 33h van de Wok,

  • het bevorderen van het voorkomen en het beperken van kansspelverslaving,

  • het geven van voorlichting en informatie,

  • het bestrijden van niet toegestaan kansspelaanbod,

  • het toezicht op de naleving van de toepasselijke wet- en regelgeving en de vergunningen,

  • de handhaving daarvan, alsmede

  • het tegengaan en beperken van manipulatie met sportwedstrijden, voor zover deze betrekking heeft op sportwedstrijden waarvoor op grond van titel III, titel IV dan wel titel Vb van de Wok vergunning is verleend tot het organiseren van kansspelen.

Bij de uitvoering van haar taken gebruikt de Kansspelautoriteit (veel) gegevens en zijn er raakvlakken met andere organisaties en instanties. Deze organisaties beschikken namelijk over informatie die de Kansspelautoriteit kan gebruiken bij de uitvoering van haar taken. De informatie waarover deze organisaties beschikken is regelmatig onderworpen aan geheimhoudingsbepalingen of een verwerkingsverbod als bedoeld in de Algemene verordening gegevensbescherming (AVG). Indien noodzakelijk voor de goede uitvoering van de taken van de Kansspelautoriteit is de wettelijke basis voor het doorbreken van de geheimhouding of een verwerkingsverbod door deze organisaties en instanties gecreëerd in artikel 33g, derde lid, van de Wok.

Om de Wok doelmatig en efficiënt uit te kunnen voeren is het belangrijk om met bedoelde organisaties gegevens uit te kunnen wisselen. Daarbij mag er geen twijfel bestaan over de rechtmatigheid van die uitwisseling of het gebruik van deze gegevens. Met dat doel bevat artikel 33g, derde lid, van de Wok een bevoegdheid en verplichting voor andere (aangewezen) organisaties om (desgevraagd) gegevens aan de Kansspelautoriteit en haar toezichthouders te verstrekken die noodzakelijk zijn voor de uitvoering van hun taken. Het zesde en zevende lid van dit artikel bevat een verplichting voor de Kansspelautoriteit om nadere regels vast te leggen in een reglement. Het onderhavige reglement geeft hier uitvoering aan en bevat regels over de (categorieën) organisaties waarmee gegevens worden uitgewisseld en over de verwerking van (persoons)gegevens en de verstrekking, de uitwisseling, de doorlevering en de vernietiging van die gegevens. Ook bevat het reglement regels over het beheer en de beveiliging van deze gegevens.

Het voorgaande vanaf 1 januari 2013 geldende reglement (het Reglement bescherming persoonsgegevens Kansspelautoriteit) moest om een aantal redenen worden aangepast. Allereerst was dat reglement nog gebaseerd op de Wet bescherming persoonsgegevens (Wbp), terwijl inmiddels de AVG van toepassing is geworden. Daarnaast is er voor gekozen in het huidige reglement zowel regels op te nemen over de verwerking van persoonsgegevens, als regels over de uitwisseling van andere gegevens.

Door de omvangrijke wijziging ten opzichte van het Reglement bescherming persoonsgegevens Kansspelautoriteit is gekozen voor een geheel nieuw reglement ter vervanging van het vanaf 1 januari 2013 geldende reglement.

II Artikelsgewijs

Paragraaf 1 Algemene bepalingen

Artikel 1.1 Begrippen en definities

Het betreft definities die voor een deel zijn ontleend aan de wettelijke definities uit de AVG.

Artikel 1.2 Reikwijdte

Dit reglement is van toepassing op de verwerking van persoonsgegevens waarvoor de raad van bestuur verwerkingsverantwoordelijke is op grond van de Wok. Dit zijn zowel de interne handelingen met persoonsgegevens als de uitwisseling met derden van persoonsgegevens. Het reglement ziet echter ook op de uitwisseling met derden van andere soorten gegevens, zoals bedrijfsgegevens. De grondslag hiervoor ligt in artikel 33g, zesde en zevende lid, van de Wok. In de toelichting op artikel 33g van de Wok1, zegt de wetgever onder meer dat het voor een doelmatige uitvoering van de Wok nodig is dat de Kansspelautoriteit toegang heeft tot de daarvoor noodzakelijke gegevens en dat dit artikel een verplichting omvat tot het desgevraagd verstrekken van gegevens aan de Kansspelautoriteit. Ook vormt dit artikel, volgens de wetgever, de basis voor het tussen de Kansspelautoriteit en instanties als de Belastingdienst uitwisselen van gegevens. Voor zover de verwerking persoonsgegevens betreft, is de AVG uiteraard onverkort van toepassing.

De Kansspelautoriteit houdt ook toezicht op grond van de Wet ter voorkoming van witwassen en financiering van terrorisme (Wwft) in de kansspelsector. De verstrekking en uitwisseling van gegevens die plaatsvindt in het kader van dit specifieke wettelijke regime, valt buiten de reikwijdte van dit reglement.

Paragraaf 2 Het verstrekken en uitwisselen van gegevens

Artikel 2.1 Aanwijzing bestuursorganen en toezichthouders

Artikel 33g, derde lid, van de Wok ligt ten grondslag aan dit artikel in het reglement. De wetgever heeft de raad van bestuur de bevoegdheid gegeven om bestuursorganen en toezichthouders aan te wijzen die verplicht worden de gegevens te verstrekken die noodzakelijk zijn voor de uitoefening van de wettelijke taken die volgen uit de Wok. Daarbij gaat het om de taken van de raad van bestuur van de Kansspelautoriteit en de ambtenaren en personen bedoeld in artikel 34 van de Wok.

Het artikel ziet niet alleen op persoonsgegevens, maar op alle gegevens die noodzakelijk zijn voor een doelmatige uitvoering van de Wok, waaronder ook strafrechtelijke gegevens. Denk bijvoorbeeld aan fiscale antecedenten die worden betrokken bij de beoordeling van de betrouwbaarheid van kansspelaanbieders. Maar denk ook aan gegevens die noodzakelijk zijn voor toezichtstaken en het optreden tegen illegale gokpraktijken.

Artikel 33g, derde lid, van de Wok is de grondslag voor zowel de verplichting om desgevraagd gegevens te verstrekken als de bevoegdheid om uit eigen beweging gegevens te verstrekken aan de Kansspelautoriteit. Voor zover sprake is van strafrechtelijke gegevens, wordt hiermee niet beoogd het naast de AVG bestaande strafrechtelijke regime te doorkruisen. Het strafrechtelijke regime blijft namelijk onverkort gelden. Strafrechtelijke gegevens, in de zin van de AVG, die noodzakelijk zijn voor de uitvoering van de wettelijke taken van de Kansspelautoriteit, vallen voordat zij aan de Kansspelautoriteit verstrekt worden onder het regime van de Wet justitiële en strafvorderlijke gegevens (Wjsg) of de Wet politiegegevens (Wpg). De aanspraak op die gegevens is daarmee gelimiteerd.

Alleen de Minister van Veiligheid en Justitie, de rijksbelastingdienst en de Nederlandse Arbeidsinspectie worden in artikel 33g, derde lid, van de Wok zelf genoemd. Daarmee worden de voor deze instanties eventueel geldende wettelijke geheimhoudingsverplichtingen, op het niveau van de wet, doorbroken. Artikel 2.1 van het reglement wijst de bestuursorganen en toezichthouders aan die – naast de hiervoor genoemde instanties – vallen onder het bepaalde in artikel 33g, derde lid, van de Wok. Nu het gaat om een aanwijzing is sprake van een limitatieve opsomming.

Op grond van artikel 33g, tweede lid, van de Wok verstrekken de raad van bestuur en de ambtenaren en personen als bedoeld in artikel 34 van de Wok, elkaar de gegevens die zij nodig hebben om hun wettelijke taken uit te kunnen voeren. Dit gaat over gegevensuitwisseling in het kader van het toezicht op de naleving van de Wok. Het valt echter niet uit te sluiten dat het noodzakelijk is andere gegevens te verkrijgen van, of uit te wisselen met gemeentelijke bestuursorganen. Bijvoorbeeld in het kader van de integriteitsbeoordeling door de Kansspelautoriteit. De burgemeesters en de colleges van burgemeester en wethouders zijn daarom aangewezen in artikel 2.1 van het reglement.

Niet opgenomen is het Landelijk Bureau Bibob, als bedoeld in artikel 8 van de Wet bevordering integriteitsbeoordelingen door het openbaar bestuur (Wet Bibob). In die wet is in artikel 20, eerste lid, vastgelegd dat het Bureau geen persoonsgegevens verstrekt aan derden, die het heeft verkregen in het kader van zijn taakstelling. Er worden slechts persoonsgegevens verstrekt voor zover deze als motivering in het advies dienen te worden opgenomen. Dit reglement kan deze wettelijke beperking niet doorkruisen.

De aanwijzing van bestuursorganen en toezichthouders die uit eigen beweging bevoegd zijn of desgevraagd verplicht zijn gegevens te verstrekken aan de Kansspelautoriteit, staat er niet aan in de weg dat ook andere instanties of personen gegevens kunnen of mogen verstrekken aan de Kansspelautoriteit. Andere organisaties of samenwerkingsverbanden kunnen op basis van de AVG of andere wet- en regelgeving bevoegd zijn om gegevens te verstrekken aan de Kansspelautoriteit. Dit is primair ter beoordeling van de verstrekkende organisatie of het samenwerkingsverband.

Artikel 2.2 Uitwisseling gegevens met andere instanties en personen

Een ander onderdeel van het reglement is de uitwisseling van gegevens met andere bestuursorganen, toezichthouders, personen en instanties. De uitwisseling van gegevens voor de taken van die andere partijen vindt plaats op grond van de daarvoor geldende wettelijke regimes en de overige daarvoor geldende regels of grondslagen.

Het zevende lid van artikel 33g van de Wok bevat specifiek een opdracht om in het reglement regels op te nemen met betrekking tot de bestuursorganen, toezichthouders, instanties of personen waarmee gegevens kunnen worden uitgewisseld, de wijze waarop gegevens kunnen worden verstrekt en de doorlevering en vernietiging van gegevens.

In artikel 2.2 is vastgelegd dat uitwisseling van gegevens kan plaatsvinden met andere bestuursorganen, toezichthouders, instanties en personen, met inachtneming van de toepasselijke wet- en regelgeving, en voor zover dat noodzakelijk is voor de uitvoering van de taken bedoeld in artikel 33b van de Wok, of als er daarvoor een andere grondslag bestaat.

Het gaat hierbij in ieder geval om de in artikel 2.1 genoemde bestuursorganen en toezichthouders, en de volgende bestuursorganen, toezichthouders, instanties en personen:

  • a. de Minister van Justitie en Veiligheid;

  • b. Belastingdienst;

  • c. Nederlandse Arbeidsinspectie;

  • d. Stichting Reclame Code;

  • e. Meld Misdaad Anoniem;

  • f. toezichthoudende instanties of autoriteiten in landen binnen de Europese Unie, voor zover dit voortvloeit uit een verdrag of voor zover dit noodzakelijk is voor de uitvoering van de Wok of het uitoefenen van toezicht op kansspelen in het desbetreffende land;

  • g. toezichthoudende instanties of autoriteiten in landen buiten de Europese Unie, indien dat land partij is bij de op 2 mei 1992 te Oporto tot stand gekomen Overeenkomst betreffende de Europese Economische Ruimte (Trb. 1992, 132), voor zover dit noodzakelijk is voor de uitvoering van de Wok of het uitoefenen van toezicht op kansspelen in het desbetreffende land;

  • h. toezichthoudende instanties of autoriteiten in landen buiten de Europese Unie, waarvan de Commissie van de Europese Gemeenschappen of de Raad van de Europese Unie heeft vastgesteld dat die landen waarborgen bieden voor een passend beschermingsniveau, voor zover dit noodzakelijk is voor de uitvoering van de Wok of het uitoefenen van toezicht op kansspelen in het desbetreffende land;

  • i. toezichthoudende instanties of autoriteiten in landen buiten de Europese Unie, waarmee de Kansspelautoriteit een modelovereenkomst is aangegaan met de standaard contractsbepalingen, opgesteld bij het Uitvoeringsbesluit (EU) 2021/914 van de Commissie van 4 juni 2021 betreffende standaardcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad;

  • j. de Regionale Informatie en Expertise Centra (RIEC’s), voor zover zij deze gegevens behoeven voor het verrichten van een integrale casusanalyse ten behoeve van het bepalen van een gezamenlijke interventiestrategie en het uitvoeren daarvan voor het voorkomen, opsporen en vervolgen van strafbare feiten en het handhaven van nationale veiligheid;

  • k. het Landelijk Informatie en Expertise Centrum (LIEC), voor zover zij deze gegevens behoeven voor het bevorderen van een regio-overstijgende geïntegreerde aanpak van de georganiseerde criminaliteit.

Dit overzicht betreft een niet-limitatieve opsomming en maakt transparant met welke organisaties de Kansspelautoriteit in ieder geval gegevens uitwisselt. In de praktijk kan het voorkomen dat ook met andere organisaties gegevens worden uitgewisseld, voor zover daartoe een grondslag bestaat en dat ook overigens rechtmatig is. Zo moeten gegevens bijvoorbeeld ook uitgewisseld kunnen worden met niet genoemde instanties en personen, bijvoorbeeld met financiële instellingen, zoals banken, betaaldienstverleners en geldverstrekkers. Daarom is ervoor gekozen om geen uitputtende lijst op te nemen in het reglement zelf.

Het reglement is ook van toepassing op de uitwisseling van gegevens met buitenlandse toezichthouders en instanties, met inachtneming van wat hierover in de AVG is bepaald op het gebied van internationaal gegevensverkeer, voor zover het persoonsgegevens betreft. In dat kader moet onderscheid worden gemaakt tussen de landen binnen de Europese Unie, de drie landen binnen de EER (zijnde Noorwegen, IJsland en Liechtenstein) en de landen daarbuiten. Uitwisseling van persoonsgegevens met landen buiten de Europese Unie is mogelijk als sprake is van een passend beschermingsniveau als bedoeld in de AVG.

Paragraaf 3 De wijze waarop verstrekking van gegevens plaatsvindt

Artikel 3.1 De wijze van verstrekking

Dit artikel geeft een uitwerking aan artikel 33g, zevende lid, van de Wok en bevat een bepaling over de wijze waarop de gegevens kunnen worden verstrekt. Met een periodieke verstrekking wordt bedoeld een op geregelde tijden terugkerende verstrekking van doorgaans dezelfde categorie of categorieën van gegevens. Met organisaties waarmee de Kansspelautoriteit periodiek gegevens uitwisselt, is of wordt een convenant gesloten, zoals bijvoorbeeld met de Belastingdienst en het Commissariaat voor de Media.

Artikel 3.2 Waarborg verstrekking

In dit artikel is vastgelegd dat alleen gegevens worden verstrekt door de Kansspelautoriteit indien in afdoende mate vaststaat dat daarvoor een grondslag bestaat (bijvoorbeeld indien dit noodzakelijk is voor de uitvoering van een taak van algemeen belang) en de verstrekte gegevens zijn beschermd tegen ongeoorloofd gebruik. De Kansspelautoriteit heeft de verplichting dit na te gaan bij de ontvanger. Dat kan bijvoorbeeld door de privacyverklaring van de ontvangende partij te raadplegen of een convenant af te sluiten met afspraken hierover.

Artikel 3.3 Doorlevering van verkregen gegevens

Dit artikel bevat een bepaling over de doorlevering van de gegevens die de Kansspelautoriteit heeft verkregen van een bestuursorgaan, instantie, toezichthouder of ander persoon. Deze gegevens mogen alleen worden doorgeleverd aan een ander indien dat noodzakelijk is voor de uitvoering van de taken bedoeld in artikel 33b van de Wok, of als er daarvoor een andere grondslag bestaat (bijvoorbeeld een wettelijke verplichting of bevoegdheid). Dit moet dan ook vooraf worden nagegaan door de Kansspelautoriteit. In alle gevallen moet de Kansspelautoriteit zorgvuldig omgaan met zowel de verstrekking als de ontvangst van gegevens. Voor persoonsgegevens geldt daarbovenop de restrictie uit de AVG, dat persoonsgegevens alleen voor een ander doel verwerkt mogen worden als dat verenigbaar is met het oorspronkelijke doel waarvoor de gegevens zijn verzameld.

Paragraaf 4 De wijze waarop gegevens worden verwerkt

Artikel 4.1 Bewaartermijn en vernietiging gegevens

Documenten worden bewaard overeenkomstig de Archiefwet 1995 en de geldende selectielijst van de Kansspelautoriteit. Dit betekent dat die documenten na afloop van de bewaartermijn vernietigd worden. Persoonsgegevens worden in beginsel ook volgens bovengenoemde bewaartermijnen bewaard, omdat persoonsgegevens vaak niet kunnen ontbreken in een dossier of in documenten die bewaard moeten worden. Het kan echter voorkomen dat de grondslag om persoonsgegevens in documenten te (blijven) bewaren vervalt, bijvoorbeeld als het niet (langer) noodzakelijk is om de persoonsgegevens te bewaren. In dat geval kunnen de persoonsgegevens in documenten eerder worden vernietigd dan volgens de bovengenoemde bewaartermijnen het geval zou zijn.

Artikel 4.2 Geheimhouding

In dit artikel is de geheimhoudingverplichting vastgelegd. Medewerkers en anderen die voor de Kansspelautoriteit werken tekenen daarvoor ook een geheimhoudingsverklaring. Ten opzichte van artikel 2:5 van de Algemene wet bestuursrecht (Awb) is dit element strenger. Het betreft immers niet alleen gegevens met een vertrouwelijk karakter, maar alle gegevens die krachtens de Wok of dit reglement zijn verkregen. Uiteraard kunnen de gegevens wel worden doorgeleverd als aan de voorwaarde van artikel 3.3 is voldaan.

Paragraaf 5 Beheer persoonsgegevens

In deze paragraaf wordt uitvoering gegeven aan de verplichting om maatregelen te nemen die toezien op het zorgvuldig omgaan met persoonsgegevens door de Kansspelautoriteit. De Kansspelautoriteit verwerkt naast gewone persoonsgegevens ook strafrechtelijke gegevens en bijzondere persoonsgegevens, zoals over gezondheid. Persoonsgegevens moeten adequaat beveiligd worden door middel van technische en organisatorische maatregelen om datalekken te voorkomen.

Artikel 5.1 Zorgplicht persoonsgegevens

De Kansspelautoriteit stelt een privacybeleid op. In dit beleid ligt vast hoe de Kansspelautoriteit omgaat met persoonsgegevens en welke maatregelen zijn getroffen om te kunnen voldoen aan de privacy wet- en regelgeving.

Artikel 5.2 Transparantie verwerking persoonsgegevens

Om te kunnen aantonen dat een verwerking van persoonsgegevens aan de beginselen van de AVG voldoet, zoals rechtmatigheid, transparantie, doelbinding en juistheid, wordt elke verwerking van persoonsgegevens opgenomen in een verwerkingsregister. Op grond van het transparantiebeginsel moet een ieder dat verwerkingsregister kunnen inzien en begrijpen. Om die reden is een beschrijving van het verwerkingsregister van de Kansspelautoriteit opgenomen in de privacyverklaring op de website van de Kansspelautortiteit. Daar kan een ieder lezen welke persoonsgegevens worden verzameld en met welk doel en welke grondslag.

Artikel 5.3 Audit verwerking persoonsgegevens

De Kansspelautoriteit heeft de plicht de wettelijke eisen voor de bescherming van persoonsgegevens na te leven. Daartoe dient de Kansspelautoriteit de bepalingen van de AVG in de organisatie te vertalen naar een toereikend stelsel van maatregelen en procedures. Met behulp van een systeem van monitoring (evaluaties en privacy audits) gaat de Kansspelautoriteit na in hoeverre met de getroffen verwerkingsmaatregelen en -procedures de doelstelling van de wettelijke normen en het geformuleerde privacybeleid worden gerealiseerd. De Kansspelautoriteit laat een (externe) auditor of de Functionaris Gegevensbescherming een audit uitvoeren. De resultaten van de uitgevoerde audit vormen de basis voor eventuele correctieve acties, aanpassing van getroffen maatregelen en procedures, dan wel bijstelling van het geformuleerde beleid.

Het uitvoeren van privacy-audits is gebruikelijk bij overheidsinstellingen die over veel en gevoelige persoonsgegevens beschikken. Met de komst van het Centraal register uitsluiting kansspelen (Cruks) en de controledatabank (CDB) heeft de Kansspelautoriteit nog meer gevoelige informatie onder zich. Dit pleit voor een periodieke audit-cyclus zoals bijvoorbeeld ook bij de politie gebeurt.

Ook verwerkers moeten voldoen aan de privacy wet- en regelgeving. De Kansspelautoriteit doet hier periodiek onderzoek naar. Dit kan middels een audit maar ook op andere wijze. Er is daarom geen invulling gegeven aan de wijze van onderzoek.

Paragraaf 6 Beveiliging gegevens

Deze paragraaf ziet op de beveiliging van alle gegevens, in aanvulling op paragraaf 5 dat specifiek ziet op het beheer van persoonsgegevens. De technische en organisatorische beveiliging van ‘gewone’ gegevens is niet afwijkend van die van persoonsgegevens.

Verantwoord omgaan met gegevens omvat ook de verplichting tot een adequate beveiliging van de gegevens. De beveiliging van gegevens binnen de Kansspelautoriteit moet voor alle medewerkers en gedurende de gehele levensduur van de informatiesystemen punt van aandacht zijn. Van het allereerste ontwerp tot aan het onomkeerbaar wissen van de bestanden na afloop van een bewaartermijn. De beveiligingsvoorschriften richten zich op het voorkomen van verlies van, ongewenste toegang tot, of enige vorm van onrechtmatige verwerking van gegevens. Onder onrechtmatige verwerking vallen de aantasting van de gegevens, onbevoegde kennisneming, wijziging of verstrekking daarvan. Hiermee strekt de beveiligingsverplichting zich uit tot alle onderdelen van het proces van gegevensverwerking.

Artikel 6.1 Beveiliging algemeen

De basis van informatiebeveiliging wordt gevormd door beleid, governance en het identificeren van dreigingen en beoordelen van risico's. Binnen de overheidssector wordt de Code voor informatiebeveiliging (NEN-ISO 27001/27002), in het algemeen als ‘passend’ beschouwd en zeer veel gebruikt. Deze code biedt richtlijnen en algemene principes voor het initiëren, implementeren, handhaven en verbeteren van de informatiebeveiliging in een organisatie.

Het Voorschrift informatiebeveiliging rijksdienst 2007 (Vir) en het Voorschrift informatiebeveiliging rijksdienst – bijzondere informatie (Vir-bi) regelen de wijze waarop binnen de rijksoverheid wordt omgegaan met de beveiliging van informatie. Het Vir en het Vir-bi zijn geen lijst met maatregelen die moeten worden doorgevoerd maar geven een aantal basisregels. Het zijn doelstellende regelingen, die veel overlaten aan de verantwoordelijkheid van het lijnmanagement.

Voor (persoons)gegevens geldt dat overheden passende technische en organisatorische maatregelen moeten nemen om deze te beveiligen. In de begrippen ‘passende’ en ‘technische’ ligt besloten dat de beveiliging in overeenstemming is met de stand van de techniek. Dit is in eerste instantie een vraag ter beantwoording door de persoon belast met de informatiebeveiliging, de CISO (Chief Information Security Officer). Het begrip ‘passend’ duidt er verder op dat er een redelijke verhouding moet zijn tussen de maatregelen en de aard van de te beschermen gegevens (proportionaliteit).

Naarmate er meer gevoelige of bijzondere gegevens worden verwerkt, worden zwaardere eisen gesteld aan de beveiliging van deze gegevens. Er moet bovendien sprake zijn van zowel technische als organisatorische maatregelen. Er is pas sprake van een passend beveiligingsniveau als de gekozen maatregelen onderdeel zijn van de dagelijkse praktijk van de Kansspelautoriteit.

Artikel 6.2 Beveiliging gegevensuitwisseling

In dit artikel is vastgelegd dat bij gegevensuitwisseling beoordeeld moet worden of de uitwisseling gevoelige en vertrouwelijke gegevens betreft. Als dat het geval is, moet gekozen worden voor een passende beveiligde uitwisseling, door bijvoorbeeld encryptie van gegevens of het gebruik van een veilig bevonden platform waarop gegevens kunnen worden uitgewisseld.

Paragraaf 7 Slotbepalingen

Het reglement wordt met de toelichting in de Staatscourant geplaatst. Met de inwerkingtreding van het reglement wordt het vanaf 1 januari 2013 geldende Reglement bescherming persoonsgegevens Kansspelautoriteit in zijn geheel ingetrokken. Omdat sprake is van een omvangrijke wijziging is er voor gekozen een geheel nieuw reglement vast te stellen. Omdat het reglement niet alleen betrekking heeft op persoonsgegevens maar op alle gegevens die worden uitgewisseld, is de naam van het reglement gewijzigd.

X Noot
1

Kamerstukken 2012–2013, Kamerstuk 33 403, nr. 9, nota van wijziging, pagina 10 ev.

Naar boven