Wet van 17 oktober 2018 tot wijziging van de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens ter implementatie van Europese regelgeving over de verwerking van persoonsgegevens met het oog op de voorkoming, het onderzoek, de opsporing en vervolging van strafbare feiten of de tenuitvoerlegging van straffen

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.

Allen, die deze zullen zien of horen lezen, saluut! doen te weten:

Alzo Wij in overweging genomen hebben, dat het noodzakelijk is richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad (PbEU 2016, L119) uit te voeren, en dat het wenselijk is de hiervoor noodzakelijke bepalingen aan te passen in de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens;

Zo is het, dat Wij, de Afdeling advisering van de Raad van State gehoord, en met gemeen overleg der Staten-Generaal, hebben goedgevonden en verstaan, gelijk Wij goedvinden en verstaan bij deze:

ARTIKEL I

De Wet politiegegevens wordt als volgt gewijzigd:

A

Artikel 1 wordt als volgt gewijzigd:

a. Onderdeel a komt te luiden:

a. politiegegeven:

elk persoonsgegeven dat wordt verwerkt in het kader van de uitvoering van de politietaak, bedoeld in de artikelen 3 en 4 van de Politiewet 2012, met uitzondering van:

  • de uitvoering van wettelijke voorschriften anders dan de Wet administratiefrechtelijke handhaving verkeersvoorschriften;

  • de bij of krachtens de Vreemdelingenwet 2000 opgedragen taken, bedoeld in artikel 1, eerste lid, onderdeel i, onder 1° en artikel 4, eerste lid, onderdeel f, van de Politiewet 2012;

b. Onderdeel b komt te luiden:

b. persoonsgegeven:

alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon;

c. Onderdeel c komt te luiden:

c. verwerken van politiegegevens:

elke bewerking of elk geheel van bewerkingen met betrekking tot politiegegevens of een geheel van politiegegevens, al dan niet uitgevoerd op geautomatiseerde wijze, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, afschermen of vernietigen van politiegegevens;

d. In onderdeel f wordt «verantwoordelijke» telkens vervangen door «verwerkingsverantwoordelijke», «verantwoordelijken» door «verwerkingsverantwoordelijken» en «bedoeld in artikel 4» door: bedoeld in de artikelen 4 en 4a.

e. Onderdeel h komt te luiden:

h. Autoriteit persoonsgegevens:

de autoriteit, bedoeld in artikel 6 van de Uitvoeringswet Algemene verordening gegevensbescherming;

f. Onderdeel i komt te luiden:

i. verwerker:

de natuurlijke persoon of rechtspersoon, overheidsinstantie, dienst of enig ander orgaan die of dat ten behoeve van de verwerkingsverantwoordelijke politiegegevens verwerkt. Indien een verwerker in strijd met het bij of krachtens deze wet bepaalde de doeleinden en middelen van de verwerking bepaalt, wordt die verwerker met betrekking tot die verwerking als verwerkingsverantwoordelijke aangemerkt;

g. Onderdeel k komt te luiden:

k. ambtenaar van politie:

de ambtenaar, bedoeld in artikel 2 van de Politiewet 2012, alsmede de ambtenaar van de Koninklijke marechaussee voor zover werkzaam ter uitvoering van de politietaak, bedoeld in onderdeel a, en indien artikel 46 wordt toegepast, de ambtenaar, werkzaam bij de in dat artikel genoemde dienst en de ambtenaar, bedoeld in artikel 142, eerste lid, van het Wetboek van Strafvordering;

h. Onderdeel l komt te luiden:

l. bevoegde autoriteit:

iedere overheidsinstantie die bevoegd is voor de taken, bedoeld in onderdeel a, of ieder ander orgaan dat of iedere andere entiteit die is gemachtigd openbaar gezag en openbare bevoegdheden uit te oefenen met het oog op de taken, bedoeld in onderdeel a;

i. Onderdeel m komt te luiden:

m. gerelateerde gegevens:

de politiegegevens die bij de vergelijking van gegevens, bedoeld in de artikelen 8, tweede lid, 11, eerste en tweede lid, 12, vierde lid en 24, eerste en tweede lid, overeenkomen en de erbij behorende gegevens alsmede de politiegegevens waarmee bij het in combinatie met elkaar verwerken van politiegegevens, bedoeld in de artikelen 8, derde lid, en 11, vierde lid, verband blijkt te bestaan;

j. De onderdelen o en p komen te luiden:

o. bestand:

elk gestructureerd geheel van politiegegevens dat volgens bepaalde criteria toegankelijk is, ongeacht of dit geheel van gegevens gecentraliseerd of gedecentraliseerd is, dan wel verspreid op een functioneel of geografisch bepaalde wijze;

p. ontvanger:

de natuurlijke persoon aan wie of de rechtspersoon of overheidsinstantie waaraan politiegegevens worden verstrekt;

k. Na onderdeel p worden negen onderdelen toegevoegd, luidende:

q. inbreuk op de beveiliging:

een inbreuk op de beveiliging met de vernietiging, het verlies, de wijziging, de bekendmaking of de ter beschikkingstelling van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte politiegegevens tot gevolg;

r. genetische gegevens:

persoonsgegevens met betrekking tot de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die persoon en die met name voortkomen uit een analyse van een biologisch monster van die persoon;

s. biometrische gegevens:

persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische, of gedragskenmerken van een natuurlijke persoon op grond waarvan de eenduidige identificatie van die persoon mogelijk is of bevestigd wordt, zoals afbeeldingen van het gezicht of dactyloscopische gegevens;

t. gegevens over gezondheid:

persoonsgegevens met betrekking tot de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten, waarmee informatie over zijn gezondheid wordt gegeven;

u. profilering:

elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van die gegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met de bedoeling met name aspecten betreffende zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen;

v. derde land:

ieder land of gebied dat geen lidstaat is of daarvan geen onderdeel uitmaakt;

w. internationale organisatie:

een organisatie en de daaronder ressorterende internationaalpubliekrechtelijke organen of andere organen die zijn opgericht bij of op grond van een overeenkomst tussen twee of meer landen;

x. richtlijn:

Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van het Kaderbesluit 2008/977/JBZ van de Raad;

y. lidstaat:

lidstaat van de Europese Unie die de richtlijn heeft geïmplementeerd.

B

In artikel 2 wordt in het eerste lid na «de verwerking van politiegegevens» ingevoegd: door een bevoegde autoriteit.

C

Artikel 3 wordt als volgt gewijzigd:

a. In het tweede lid wordt «voor zover zij rechtmatig zijn verkregen en» vervangen door: voor zover dit behoorlijk en rechtmatig is, de gegevens rechtmatig zijn verkregen en de gegevens.

b. Het derde lid komt te luiden:

  • 3. Politiegegevens die zijn verkregen voor een doel, als bedoeld in artikel 1, onder a, kunnen worden verwerkt voor een ander doel, bedoeld in artikel 1, onderdeel a, voor zover deze wet of Unierecht uitdrukkelijk daarin voorziet en de verwerking voor dat andere doel noodzakelijk is en in verhouding staat tot dat doel.

c. Onder vernummering van het vierde tot het vijfde lid wordt een lid ingevoegd, luidende:

  • 4. Politiegegevens kunnen voor een ander doel dan die, bedoeld in artikel 1, onderdeel a, worden verwerkt door personen en instanties die bij of krachtens de wet met het oog op een zwaarwegend algemeen belang of wetgeving van de Europese Unie zijn aangewezen.

d. In het vijfde lid (nieuw) wordt «de gegevens» vervangen door: deze gegevens.

D

Artikel 4 komt te luiden:

Artikel 4. (juistheid en volledigheid politiegegevens)

  • 1. De verwerkingsverantwoordelijke treft de nodige maatregelen opdat politiegegevens, gelet op de doeleinden waarvoor zij worden verwerkt, juist en nauwkeurig zijn. Hij zorgt voor het onverwijld vernietigen of rectificeren van politiegegevens als blijkt dat deze, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn. De bevoegde autoriteit controleert, voor zover praktisch uitvoerbaar, de kwaliteit van politiegegevens voordat de gegevens worden verstrekt. Voor zover mogelijk wordt bij de doorzending van politiegegevens de noodzakelijke informatie toegevoegd aan de hand waarvan de ontvangende bevoegde autoriteit de mate van juistheid, volledigheid en betrouwbaarheid van politiegegevens kan beoordelen, alsmede de mate waarin zij actueel zijn.

  • 2. De verwerkingsverantwoordelijke treft de nodige maatregelen opdat politiegegevens worden verwijderd of vernietigd zodra zij niet langer noodzakelijk zijn voor het doel waarvoor zij zijn verwerkt of dit door enige wettelijke bepaling wordt vereist.

  • 3. Voor zover mogelijk worden politiegegevens die op feiten zijn gebaseerd onderscheiden van politiegegevens die op een persoonlijk oordeel zijn gebaseerd.

  • 4. Indien wordt vastgesteld dat onjuiste politiegegevens zijn verstrekt, of dat de politiegegevens op onrechtmatige wijze zijn verstrekt, wordt de ontvanger daarvan onverwijld in kennis gesteld. In dat geval dienen de gegevens te worden gerectificeerd of vernietigd, of wordt de verwerking beperkt, als bedoeld in artikel 28, tweede lid.

E

Na artikel 4 worden drie artikelen ingevoegd, luidende:

Artikel 4a. (gegevensbescherming door beveiliging en ontwerp)

  • 1. De verwerkingsverantwoordelijke en de verwerker treffen passende technische en organisatorische maatregelen om:

    • a. te waarborgen en te kunnen aantonen dat de verwerking van politiegegevens wordt verricht in overeenstemming met hetgeen bij of krachtens deze wet is bepaald;

    • b. het gegevensbeschermingsbeleid en de gegevensbeschermingsbeginselen op een doeltreffende manier uit te voeren respectievelijk toe te passen;

    • c. bij de bepaling van de verwerkingsmiddelen en de verwerking zelf de nodige waarborgen, zoals pseudonimisering, in de verwerking in te bouwen ter naleving van hetgeen bij of krachtens deze wet is bepaald en ter bescherming van de rechten van de betrokkenen.

  • 2. De verwerkingsverantwoordelijke en de verwerker treffen passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat op het risico is afgestemd, met name met betrekking tot de verwerking van de bijzondere categorieën van politiegegevens, bedoeld in artikel 5, en op een zodanige manier dat de politiegegevens beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen opzettelijk verlies, vernietiging of beschadiging.

  • 3. Bij het treffen van de maatregelen, bedoeld in het eerste en tweede lid, houden de verwerkingsverantwoordelijke en de verwerker rekening met de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen.

  • 4. In aanvulling op het derde lid houden de verwerkingsverantwoordelijke en de verwerker ten aanzien van het eerste lid, onder c, en het tweede lid, rekening met de stand van de techniek en de uitvoeringskosten.

  • 5. De maatregelen, bedoeld in het eerste en tweede lid, worden periodiek geëvalueerd en zo nodig geactualiseerd.

  • 6. Bij of krachtens algemene maatregel van bestuur worden nadere regels gesteld over de maatregelen, bedoeld in het eerste en tweede lid.

Artikel 4b. (gegevensbescherming door standaardinstellingen)

  • 1. De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om te waarborgen dat standaard:

    • a. alleen die politiegegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking; en

    • b. politiegegevens niet zonder tussenkomst van een natuurlijke persoon voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.

  • 2. De in het eerste lid, onder a, bedoelde maatregelen betreffen in ieder geval de hoeveelheid verzamelde politiegegevens, de mate waarin zij worden verwerkt, de periode van opslag en de toegankelijkheid van de politiegegevens.

Artikel 4c. (gegevensbeschermingseffectbeoordeling)

  • 1. Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context of doelen ervan, waarschijnlijk een hoog risico voor de rechten en vrijheden van personen oplevert, voert de verwerkingsverantwoordelijke voorafgaande aan de verwerking een beoordeling uit van het effect van de voorgenomen verwerkingsactiviteiten op de bescherming van persoonsgegevens.

  • 2. De beoordeling bevat tenminste:

    • a. een algemene beschrijving van de beoogde verwerkingen;

    • b. een beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen;

    • c. de beoogde maatregelen ter beperking van de risico’s;

    • d. de voorzorgs- en beveiligingsmaatregelen en mechanismen om de politiegegevens te beschermen en aan te tonen dat aan het bij of krachtens deze wet bepaalde is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere betrokken personen.

  • 3. Indien nodig verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de verwerking overeenkomstig de gegevensbeschermingseffectbeoordeling wordt uitgevoerd, zulks ten minste wanneer sprake is van een verandering van het risico dat de verwerkingen inhouden.

F

Artikel 5 komt te luiden:

Artikel 5. (bijzondere categorieën van politiegegevens)

De verwerking van politiegegevens waaruit ras, etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakbond blijkt, en de verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een natuurlijke persoon, of gegevens over gezondheid, seksuele leven en seksuele gerichtheid vindt slechts plaats wanneer dit onvermijdelijk is voor het doel van de verwerking, in aanvulling op de verwerking van andere politiegegevens betreffende de persoon en de gegevens afdoende zijn beveiligd.

G

Artikel 6 wordt als volgt gewijzigd:

a. In het tweede lid wordt na «ambtenaren van politie» ingevoegd: die zijn belast met de taken, bedoeld in artikel 1, onderdeel a.

b. In het eerste tot en met vijfde lid en zevende lid wordt «verantwoordelijke» telkens vervangen door: verwerkingsverantwoordelijke.

H

Na artikel 6 worden drie artikelen ingevoegd, luidende:

Artikel 6a. (toegang tot politiegegevens)

  • 1. De verwerkingsverantwoordelijke heeft toegang tot de politiegegevens die onder zijn beheer worden verwerkt ten behoeve van het toezicht op de naleving van het bij of krachtens deze wet bepaalde.

  • 2. De verwerkingsverantwoordelijke verleent de ambtenaren van politie die onder zijn beheer vallen en die zijn belast met de taken, bedoeld in artikel 1, onderdeel a, toegang tot de politiegegevens die onder zijn beheer worden verwerkt, voor zover nodig voor de uitvoering van hun taak.

  • 3. De verwerkingsverantwoordelijke verleent de verwerker, bedoeld in artikel 6c, eerste lid, alsmede degenen die belast zijn met de controle en het toezicht, bedoeld in de artikelen 33, 34, 35 en 36, alsmede degenen die in zijn opdracht technische werkzaamheden verrichten, toegang tot de politiegegevens die onder zijn beheer worden verwerkt, voor zover zij deze behoeven voor de uitvoering van hun taak.

Artikel 6b. (onderscheid tussen verschillende categorieën van betrokkenen)

De verwerkingsverantwoordelijke maakt in voorkomend geval en voor zover mogelijk een duidelijk onderscheid tussen politiegegevens betreffende verschillende categorieën van betrokkenen, zoals:

  • a. personen ten aanzien van wie gegronde vermoedens bestaan dat zij een strafbaar feit hebben gepleegd of zullen gaan plegen;

  • b. slachtoffers van een strafbaar feit, of personen ten aanzien van wie op basis van bepaalde feiten wordt vermoed dat zij slachtoffer kunnen worden van een strafbaar feit;

  • c. derden, zoals getuigen of personen die anderszins informatie kunnen verstrekken over strafbare feiten, of personen die contact hebben of banden onderhouden met één van de personen, bedoeld onder a of d;

  • d. personen die voor een strafbaar feit zijn veroordeeld.

Artikel 6c. (verwerker)

  • 1. Indien de verwerkingsverantwoordelijke politiegegevens te zijnen behoeve laat verwerken door een verwerker maakt hij uitsluitend gebruik van een verwerker die afdoende garandeert dat de passende technische en organisatorische maatregelen en procedures zodanig worden geïmplementeerd dat bij de verwerking wordt voldaan aan het bij of krachtens deze wet bepaalde en de rechten van de betrokkene worden gewaarborgd.

  • 2. De uitvoering van verwerkingen door een verwerker wordt geregeld in een schriftelijke overeenkomst of andere rechtshandeling die de verwerker aan de verwerkingsverantwoordelijke bindt. Bij of krachtens algemene maatregel van bestuur worden nadere regels gesteld over de inhoud van de overeenkomst of rechtshandeling.

  • 3. De verwerker en eenieder die handelt onder het beheer van de verwerkingsverantwoordelijke of van de verwerker verwerkt de politiegegevens uitsluitend volgens de instructies van de verwerkingsverantwoordelijke, tenzij hij op grond van de nationale wetgeving of Unierecht tot die verwerking verplicht is.

  • 4. De verwerker neemt geen andere verwerker in dienst dan na voorafgaande schriftelijke toestemming van de verwerkingsverantwoordelijke. In het geval van een algemene schriftelijke toestemming informeert de verwerker de verwerkingsverantwoordelijke over de toevoeging of vervanging van andere verwerkers, met de mogelijkheid van bezwaar door de verwerkingsverantwoordelijke.

  • 5. De verwerker stelt de verwerkingsverantwoordelijke zonder onnodige vertraging in kennis van een inbreuk op de beveiliging.

I

In artikel 7 wordt in het eerste lid «de politietaak» vervangen door: de taak, bedoeld in artikel 1, onderdeel a,.

J

Na artikel 7 wordt een artikel ingevoegd, luidende:

Artikel 7a (geautomatiseerde individuele besluitvorming)

  • 1. Een besluit dat uitsluitend op geautomatiseerde verwerking is gebaseerd, met inbegrip van profilering, dat voor de betrokkene nadelige rechtsgevolgen heeft of hem in aanmerkelijke mate treft, is verboden, tenzij wordt voorzien in voorafgaande menselijke tussenkomst door of namens de verwerkingsverantwoordelijke en in specifieke voorlichting aan de betrokkene.

  • 2. Een besluit, bedoeld in het eerste lid, wordt niet gebaseerd op de categorieën van politiegegevens, bedoeld in artikel 5, tenzij de Autoriteit persoonsgegevens over de voorgenomen verwerking is geraadpleegd, overeenkomstig artikel 33b, eerste lid.

  • 3. Profilering die leidt tot discriminatie van personen op grond van de in artikel 5 bedoelde categorieën van politiegegevens is verboden.

K

Artikel 13 wordt als volgt gewijzigd:

a. In de aanhef van het eerste lid wordt «politietaak» vervangen door «taak, bedoeld in artikel 1, onderdeel a,» en vervalt de laatste volzin volgend op onderdeel e.

b. In het tweede lid wordt «verantwoordelijke» telkens vervangen door «verwerkingsverantwoordelijke» en «politietaak» door: taak, bedoeld in artikel 1, onderdeel a,.

c. In het derde en vierde lid wordt «politietaak» telkens vervangen door: taak, bedoeld in artikel 1, onderdeel a,.

L

Artikel 15 wordt als volgt gewijzigd:

a. In het eerste en tweede lid wordt «verantwoordelijke» telkens vervangen door: verwerkingsverantwoordelijke.

b. In het tweede lid wordt «de politietaak» vervangen door: de taak, bedoeld in artikel 1, onderdeel a,.

M

Na artikel 15 wordt een artikel ingevoegd, luidende:

Artikel 15a. (ter beschikkingstelling binnen Europese Unie)

  • 1. Politiegegevens worden of kunnen worden ter beschikking gesteld aan de bevoegde autoriteiten in andere lidstaten van de Europese Unie of aan organen en instanties die zijn opgericht krachtens de hoofdstukken 4 en 5 van Titel V van het verdrag betreffende de werking van de Europese Unie, die zijn belast met de taken, bedoeld in artikel 1, onderdeel a, voor zover dat voortvloeit uit een rechtsinstrument op grond van het verdrag betreffende de werking van de Europese Unie.

  • 2. Bij algemene maatregel van bestuur worden nadere regels gesteld over de ter beschikkingstelling van politiegegevens, bedoeld in het eerste lid, alsmede over de verdere verwerking en de daarbij te stellen voorwaarden aan het gebruik daarvan door ontvangstgerechtigde autoriteiten of internationale organen en instanties, en over de ontvangst van politiegegevens vanuit andere lidstaten van de Europese Unie. Onverminderd specifieke voorzieningen in een rechtsinstrument, bedoeld in het eerste lid, mogen de voorwaarden niet afwijken van de voorwaarden voor vergelijkbare doorzendingen van politiegegevens binnen het Europese deel van Nederland.

N

In het opschrift van paragraaf 3 wordt «De verstrekking» vervangen door: De doorgifte of verstrekking.

O

Het opschrift van artikel 16 komt te luiden: (verstrekking aan gezagsdragers)

P

Artikel 16 wordt als volgt gewijzigd

a. Het eerste lid, komt te luiden:

  • 1. De verwerkingsverantwoordelijke verstrekt politiegegevens aan:

    • a. leden van het openbaar ministerie voor zover zij deze behoeven:

      • 1°. in verband met hun gezag of zeggenschap over de politie of over andere personen of instanties die met de opsporing van strafbare feiten zijn belast, of

      • 2°. voor de uitvoering van andere hun bij of krachtens de wet opgedragen taken;

    • b. de burgemeesters voor zover zij deze behoeven:

      • 1°. in verband met hun gezag en zeggenschap over de politie, of

      • 2°. in het kader van de handhaving van de openbare orde.

    • c. de verwerkingsverantwoordelijke voor zover hij deze behoeft in verband met:

      • 1°. het verrichten van een onderzoek naar aanleiding van klachten, als bedoeld in artikel 70 van de Politiewet 2012 en artikel 14 van de Wet op de bijzondere opsporingsdiensten, of

      • 2°. disciplinaire bestraffing vanwege niet-nakoming van verplichtingen of plichtsverzuim, als geregeld bij of krachtens artikel 47 van de Politiewet 2012 en de regelgeving die van toepassing is op de aanstelling of arbeidsovereenkomst van de opsporingsambtenaar, bedoeld in artikel 141, onderdeel d, van het Wetboek van Strafvordering, of

      • 3°. schorsing of ontslag van de ambtenaar van de Koninklijke marechaussee voor zover werkzaam ter uitvoering van de politietaken, bedoeld in artikel 4, eerste lid, onderdelen a, b, c, d, e, g en h van de Politiewet 2012 vanwege niet nakoming van verplichtingen of plichtsverzuim als geregeld bij of krachtens artikel 12 van de Militaire Ambtenarenwet 1931.

b. Het tweede lid komt te luiden:

  • 2. Op de verstrekkingen, bedoeld in het eerste lid, onderdeel c, is artikel 15, tweede lid, van overeenkomstige toepassing.

Q

In het opschrift van artikel 17 vervalt: en buitenlandse opsporingsinstanties.

R

Artikel 17 komt te luiden:

Artikel 17 (verstrekking aan inlichtingendiensten)

Politiegegevens kunnen worden verstrekt voor zover dit voortvloeit uit de Wet op de inlichtingen- en veiligheidsdiensten 2002.

S

Artikel 17a komt te luiden:

Artikel 17a. (doorgiften aan derde landen)

  • 1. Politiegegevens kunnen met inachtneming van het bij of krachtens deze wet bepaalde worden doorgegeven aan een verwerkingsverantwoordelijke in een derde land of aan een internationale organisatie, voor zover dit noodzakelijk is voor de doeleinden, bedoeld in artikel 1, onderdeel a, en indien de Commissie van de Europese Unie heeft besloten dat het derde land of de internationale organisatie een toereikend beschermingsniveau voor de voorgenomen gegevensverwerking verzekert.

  • 2. Bij ontstentenis van een besluit van de Commissie, bedoeld in het eerste lid, kunnen politiegegevens worden verstrekt of doorgegeven indien:

    • a. in een juridisch bindend instrument passende waarborgen voor de bescherming van persoonsgegevens zijn geboden; of

    • b. de verwerkingsverantwoordelijke na beoordeling van alle omstandigheden heeft geconcludeerd dat het derde land of de internationale organisatie passende waarborgen biedt voor de bescherming van persoonsgegevens. De verantwoordelijke informeert de Autoriteit persoonsgegevens over de categorieën van doorgifte op grond van dit onderdeel.

  • 3. Bij ontstentenis van een besluit van de Commissie, bedoeld in het eerste lid, of van passende waarborgen, bedoeld in het tweede lid, is een doorgifte of een categorie van doorgiften van politiegegevens aan een derde land of internationale organisatie slechts toegelaten indien de doorgifte noodzakelijk is:

    • a. om een vitaal belang van de betrokkene of van een andere persoon te beschermen;

    • b. is om de gerechtvaardigde belangen van de betrokkene te beschermen, wanneer het recht van de lidstaat van waaruit de doorgifte van politiegegevens plaatsvindt aldus bepaalt;

    • c. is om een onmiddellijk en ernstig gevaar voor de openbare veiligheid van een lidstaat of derde land te voorkomen;

    • d. in afzonderlijke gevallen met het oog op de uitvoering van de taak, bedoeld in artikel 1, onderdeel a;

    • e. in afzonderlijke gevallen met het oog op het instellen, uitoefenen of verdedigen van rechtsvorderingen in verband met de uitvoering van de taak, bedoeld in artikel 1, onderdeel a,

    en de grondrechten en fundamentele vrijheden van de betrokkene niet prevaleren boven het algemeen belang van de doorgifte, bedoeld in de onderdelen d en e.

  • 4. In het geval de doorgifte, bedoeld in het eerste, tweede en derde lid en onverminderd een internationale overeenkomst tussen lidstaten en derde landen, politiegegevens betreft die van een andere lidstaat afkomstig zijn, is onverminderd deze leden toestemming van de bevoegde autoriteit uit die lidstaat vereist voor doorgifte, tenzij de doorgifte noodzakelijk is met het oog op het voorkomen van een onmiddellijk en ernstig gevaar voor de openbare veiligheid van een lidstaat of een derde land of voor de fundamentele belangen van een lidstaat, en voorafgaande toestemming niet tijdig kan worden verkregen. De voor het geven van voorafgaande toestemming verantwoordelijke autoriteit wordt onverwijld in kennis gesteld.

  • 5. In afwijking van het eerste, tweede en derde lid, en onverminderd een van kracht zijnde bilaterale of multilaterale internationale overeenkomst tussen lidstaten en derde landen op het gebied van justitiële samenwerking in strafzaken en politiële samenwerking kunnen in afzonderlijke en specifieke gevallen politiegegevens worden doorgegeven aan een ontvanger in een derde land, zonder tussenkomst van een bevoegde autoriteit in dat land, indien de doorgifte strikt noodzakelijk is voor de uitvoering van de taak, bedoeld in artikel 1, onderdeel a, en indien aan de volgende voorwaarden is voldaan:

    • a. de doorgifte is strikt noodzakelijk voor de uitvoering van een in het Unierecht of het lidstatelijke recht omschreven taak van de bevoegde autoriteit die de doorgifte doet, ter verwezenlijking van de doeleinden van artikel 1, eerste lid;

    • b. de bevoegde autoriteit die de doorgifte doet, bepaalt dat er geen grondrechten en fundamentele vrijheden van de betrokkene zijn die zwaarder wegen dan het openbaar belang dat de doorgifte in dat specifieke geval noodzakelijk maakt;

    • c. de bevoegde autoriteit die de doorgifte doet, is van mening dat de doorgifte aan een autoriteit die in het derde land bevoegd is voor de in artikel 1, eerste lid, bedoelde doeleinden, ondoeltreffend of ongeschikt is, met name omdat de doorgifte niet tijdig kan worden bewerkstelligd;

    • d. de autoriteit die in het derde land bevoegd is voor de in artikel 1, eerste lid, bedoelde doeleinden wordt zonder onnodige vertraging op de hoogte gebracht, tenzij dit ondoeltreffend of ongeschikt is;

    • e. de bevoegde autoriteit die de doorgifte doet, licht de ontvanger in over het nader bepaalde doel of de nader bepaalde doeleinden waarvoor de persoonsgegevens bij uitsluiting door laatstgenoemde mogen worden verwerkt, op voorwaarde dat een dergelijke verwerking noodzakelijk is.

  • 6. Politiegegevens kunnen door een derde land of internationale organisatie verder worden doorgegeven aan een ander derde land of een andere internationale organisatie, indien de bevoegde autoriteit toestemming verleent voor die verdere doorgifte, na alle relevante factoren naar behoren in aanmerking te hebben genomen, waaronder de ernst van de inbreuk, het doel waarvoor de gegevens oorspronkelijk waren doorgegeven en het niveau van gegevensbescherming in het derde land of de internationale organisatie waaraan de persoonsgegevens verder worden doorgegeven.

  • 7. Bij algemene maatregel van bestuur worden nadere regels gesteld over de doorgifte van politiegegevens, bedoeld in het eerste, tweede, derde en zesde lid, alsmede over de verdere verwerking en de daarbij te stellen voorwaarden aan het gebruik daarvan door ontvangstgerechtigde autoriteiten of internationale organen, en over de ontvangst van politiegegevens vanuit derde landen.

T

In artikel 18, tweede lid, wordt het «het College bescherming persoonsgegevens» vervangen door: de Autoriteit persoonsgegevens.

U

In artikel 19, eerste lid, wordt «verantwoordelijke» vervangen door: verwerkingsverantwoordelijke.

V

In artikel 20, eerste lid, wordt «verantwoordelijke» vervangen door «verwerkingsverantwoordelijke» en «van de politie» door: van de bevoegde autoriteiten.

W

Het opschrift van artikel 22 komt te luiden: (verwerking voor wetenschappelijk onderzoek en statistiek)

X

Artikel 22 wordt als volgt gewijzigd:

a. Het eerste lid komt te luiden:

  • 1. Politiegegevens kunnen worden verwerkt ten behoeve van beleidsinformatie, wetenschappelijk onderzoek of statistiek met het oog op de taak, bedoeld in artikel 1, onderdeel a, onder de voorwaarde dat de resultaten daarvan geen persoonsgegevens mogen bevatten.

b. In het tweede lid wordt «, bedoeld in het eerste lid» vervangen door: ten behoeve van het bepaalde in het eerste lid.

Y

Artikel 23 wordt als volgt gewijzigd:

a. Onder vernummering van het derde lid tot het vierde lid wordt een nieuw derde lid ingevoegd, luidende:

  • 3. Aan de korpschef, bedoeld in artikel 27 van de Politiewet 2012 en aan de Minister van Defensie kan verstrekking van politiegegevens als bedoeld in artikel 18 rechtstreeks plaatsvinden voor zover noodzakelijk met het oog op het uitvoeren van hun bij algemene maatregel van bestuur aangewezen wettelijke taken.

b. In het vierde lid (nieuw) worden de woorden «eerste en tweede lid» vervangen door «eerste, tweede en derde» lid en wordt «verantwoordelijke» vervangen door: verwerkingsverantwoordelijke.

Z

Artikel 24 wordt als volgt gewijzigd:

a. In het eerste lid, wordt «het hoofd van de Algemene Inlichtingen- en Veiligheidsdienst» vervangen door: de Directeur-Generaal van de Algemene Inlichtingen- en Veiligheidsdienst.

b. In het derde lid wordt «derde» vervangen door: vierde.

AA

Voor artikel 25 worden twee artikelen ingevoegd, luidende:

Artikel 24a. (informatie aan de betrokkene)

  • 1. De verwerkingsverantwoordelijke verstrekt aan de betrokkene informatie over de verwerking van politiegegevens in een beknopte en toegankelijke vorm en in duidelijke en eenvoudige taal. De informatie wordt met passende middelen, waaronder elektronische, verstrekt en in het algemeen in dezelfde vorm als de vorm van het verzoek.

  • 2. Indien de betrokkene verzoekt om inzage, op grond van artikel 25, eerste lid, of rectificatie, bedoeld in artikel 28, eerste lid, wordt hij schriftelijk en zonder onnodige vertraging in kennis gesteld van de ontvangst van het verzoek, de termijn voor uitsluitsel en de mogelijkheid om naar aanleiding daarvan een klacht in te dienen bij de Autoriteit persoonsgegevens.

  • 3. De verstrekking van de informatie, bedoeld in de artikelen 7a, 24b, 25, eerste lid, 28, 33a, vijfde lid, geschiedt kosteloos.

  • 4. In het geval van een kennelijk ongegrond of buitensporig verzoek, met name vanwege de geringe tussenpozen tussen opeenvolgende verzoeken, kan de verwerkingsverantwoordelijke weigeren gevolg te geven aan het verzoek.

  • 5. De verstrekking van informatie, bedoeld in de artikelen 24b, 25, eerste lid, en 28, vindt plaats overeenkomstig de artikelen 30 tot en met 34 van het Wetboek van Strafvordering als de gegevens in een processtuk worden verwerkt.

Artikel 24b. (verstrekking van informatie aan de betrokkene)

  • 1. De verwerkingsverantwoordelijke verstrekt in elk geval de volgende informatie aan de betrokkene:

    • a. de identiteit en contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van de functionaris voor gegevensbescherming;

    • b. de verwerkingsdoelen van de politiegegevens;

    • c. de rechten van de betrokkene, bedoeld in de artikelen 25, eerste lid, en 28, eerste en tweede lid;

    • d. het recht een klacht in te dienen bij de Autoriteit persoonsgegevens, en de contactgegevens van die autoriteit.

  • 2. In specifieke gevallen verstrekt de verwerkingsverantwoordelijke de volgende informatie aan de betrokkene:

    • a. de rechtsgrondslag van de verwerking;

    • b. de bewaartermijn van de politiegegevens;

    • c. in voorkomend geval, de categorieën van de ontvangers van de politiegegevens;

    • d. indien noodzakelijk, extra informatie, in het bijzonder wanneer de politiegegevens zonder medeweten van de betrokkene worden verzameld;

    • e. het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 7a, eerste lid, bedoelde profilering, en nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.

  • 3. De verwerkingsverantwoordelijke kan de verstrekking van informatie, als bedoeld in het tweede lid, uitstellen, beperken of achterwege laten voor zover dit een noodzakelijke en evenredige maatregel is in verband met een belang, bedoeld in artikel 27, eerste lid, onderdelen a tot en met e.

  • 4. Het tweede lid is niet van toepassing ten aanzien van de verwerking van gegevens van personen, bedoeld in artikel 6b, onder a.

AB

Artikel 25 komt te luiden:

Artikel 25. (recht op inzage)

  • 1. De betrokkene heeft het recht om op diens schriftelijke verzoek van de verwerkingsverantwoordelijke binnen zes weken uitsluitsel te verkrijgen over de verwerking van hem betreffende persoonsgegevens en, wanneer dat het geval is, om die persoonsgegevens in te zien en om informatie te verkrijgen over:

    • a. de doelen en de rechtsgrond van de verwerking;

    • b. de betrokken categorieën van politiegegevens;

    • c. de vraag of de deze persoon betreffende politiegegevens gedurende een periode van vier jaar voorafgaande aan het verzoek zijn verstrekt en over de ontvangers of categorieën van ontvangers aan wie de gegevens zijn verstrekt, met name ontvangers in derde landen of internationale organisaties;

    • d. de voorziene periode van opslag of indien dat niet mogelijk is, de criteria om die termijn te bepalen;

    • e. het recht te verzoeken om rectificatie, vernietiging of afscherming van de verwerking van hem betreffende politiegegevens;

    • f. het recht een klacht in te dienen bij de Autoriteit persoonsgegevens, en de contactgegevens van die autoriteit;

    • g. de herkomst, voor zover beschikbaar, van de verwerking van hem betreffende politiegegevens.

  • 2. De verwerkingsverantwoordelijke kan zijn beslissing voor ten hoogste vier weken verdagen, dan wel voor ten hoogste zes weken indien blijkt dat bij verschillende regionale eenheden of bij de landelijke eenheid van de politie politiegegevens over de verzoeker worden verwerkt. Van de verdaging wordt schriftelijk mededeling gedaan.

AC

Artikel 26, eerste lid, komt te luiden:

  • 1. Bij de behandeling van verzoeken als bedoeld in de artikelen 25 en 28 draagt de verwerkingsverantwoordelijke zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker. Wanneer de verwerkingsverantwoordelijke redenen heeft om te twijfelen aan de identiteit van de persoon die het verzoek doet, kan hij de nodige aanvullende informatie vragen ter bevestiging van de identiteit van de betrokkene.

AD

De artikelen 27 en 28 komen te luiden:

Artikel 27. (uitzonderingen)

  • 1. Een verzoek als bedoeld in de artikelen 25, eerste lid, en 28, eerste en tweede lid, wordt afgewezen voor zover dit een noodzakelijke en evenredige maatregel is:

    • a. ter vermijding van belemmering van de gerechtelijke onderzoeken of procedures;

    • b. ter vermijding van nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen;

    • c. ter bescherming van de openbare veiligheid;

    • d. ter bescherming van de rechten en vrijheden van derden;

    • e. ter bescherming van de nationale veiligheid;

    • f. ingeval van een kennelijk ongegrond of buitensporig verzoek, als bedoeld in artikel 24a, vierde lid.

  • 2. Een gehele of gedeeltelijke afwijzing van een verzoek als bedoeld in het eerste lid is schriftelijk en bevat de redenen voor de afwijzing.

  • 3. Een verzoek als bedoeld in de artikelen 25, eerste lid, en 28, eerste lid, wordt afgewezen als het verzoek de gegevens betreft, die worden verwerkt bij of krachtens artikel 12.

Artikel 28. (recht op rectificatie en vernietiging van politiegegevens)

  • 1. De betrokkene heeft het recht op diens schriftelijke verzoek van de verwerkingsverantwoordelijke rectificatie van de hem betreffende onjuiste politiegegevens te verkrijgen en, rekening houdend met het doel van de verwerking, het recht om onvolledige politiegegevens te laten aanvullen, onder meer door middel van een aanvullende verklaring. Het verzoek bevat de aan te brengen wijzigingen.

  • 2. De betrokkene heeft het recht op diens schriftelijke verzoek van de verwerkingsverantwoordelijke zonder onnodige vertraging vernietiging van de hem betreffende politiegegevens te verkrijgen indien de gegevens in strijd met een wettelijk voorschrift worden verwerkt of om te voldoen aan een wettelijke verplichting. In plaats van vernietiging draagt de verwerkingsverantwoordelijke zorg voor afscherming als:

    • a. de juistheid van de gegevens door de betrokkene wordt betwist en de juistheid of onjuistheid niet kan worden geverifieerd, in welk geval de verwerkingsverantwoordelijke de betrokkene informeert voordat de afscherming wordt opgeheven, of

    • b. de gegevens moeten worden bewaard als bewijsmateriaal.

  • 3. De verwerkingsverantwoordelijke stelt de betrokkene binnen vier weken schriftelijk in kennis met betrekking tot de opvolging van zijn verzoek.

  • 4. De verwerkingsverantwoordelijke geeft de rectificatie van de onjuiste politiegegevens door aan de bevoegde autoriteit van wie de gegevens afkomstig zijn.

  • 5. Indien de verwerkingsverantwoordelijke politiegegevens heeft gerectificeerd, vernietigd of afgeschermd, stelt hij de ontvangers daarvan in kennis.

AE

Na artikel 28 wordt een paragraaf ingevoegd, luidende:

§ 4a. Rechtsbescherming

AF

Artikel 29 wordt als volgt gewijzigd:

a. Het tweede lid komt te luiden:

  • 2. De belanghebbende kan zich binnen de termijn bepaald voor het beroep op grond van de Algemene wet bestuursrecht tot de Autoriteit persoonsgegevens wenden met het verzoek te bemiddelen of te adviseren in zijn geschil met de verwerkingsverantwoordelijke. In dat geval kan in afwijking van artikel 6:7 van de Algemene wet bestuursrecht het beroep nog worden ingesteld nadat de belanghebbende van de Autoriteit persoonsgegevens bericht heeft ontvangen dat de behandeling van de zaak is beëindigd, doch uiterlijk zes weken na dat tijdstip.

b. In het derde, vierde en vijfde lid wordt «verantwoordelijke» telkens vervangen door: verwerkingsverantwoordelijke.

AG

De artikelen 30 en 31 vervallen.

AH

Na artikel 31 (oud) worden drie artikelen ingevoegd, luidende:

Artikel 31a. (klacht bij Autoriteit persoonsgegevens)

  • 1. Onverminderd bestaande rechtsmiddelen heeft iedere betrokkene het recht een klacht in te dienen bij de Autoriteit persoonsgegevens indien de betrokkene van mening is dat de verwerking van hem betreffende persoonsgegevens niet in overeenstemming is met het bij of krachtens deze wet bepaalde.

  • 2. Indien de Autoriteit persoonsgegevens niet bevoegd is op grond van artikel 35, eerste lid, zendt zij de klacht zonder onnodige vertraging door aan de autoriteit in een andere lidstaat van de Europese Unie die bevoegd is tot het uitoefenen van het toezicht, bedoeld in artikel 35, eerste lid. De betrokkene wordt van de doorzending in kennis gesteld.

  • 3. Op verzoek van de betrokkene verleent de Autoriteit persoonsgegevens verdere bijstand.

  • 4. De Autoriteit persoonsgegevens faciliteert het indienen van klachten door maatregelen te nemen, zoals het ter beschikking stellen van een klachtformulier dat ook elektronisch kan worden ingevuld, zonder dat andere communicatiemiddelen worden uitgesloten.

  • 5. De Autoriteit persoonsgegevens neemt binnen drie maanden een beslissing op een klacht als bedoeld in het eerste lid. Een beslissing op een klacht geldt als een besluit in de zin van de Algemene wet bestuursrecht.

  • 6. In het geval van een kennelijk ongegronde of buitensporige klacht, met name vanwege de geringe tussenpozen tussen klachten, kan de Autoriteit persoonsgegevens weigeren gevolg te geven aan de klacht.

Artikel 31b. (rechtsvordering tegen Autoriteit persoonsgegevens)

Een vordering tegen de Autoriteit persoonsgegevens wordt ingesteld bij een gerecht, bedoeld in artikel 2 van de Wet op de rechterlijke organisatie, in Nederland.

Artikel 31c (schadevergoeding

  • 1. Indien iemand schade lijdt doordat ten opzichte van hem in strijd wordt gehandeld met de bij of krachtens deze wet gegeven voorschriften zijn de volgende leden van toepassing, onverminderd de aanspraken op grond van andere wettelijke regels.

  • 2. Voor nadeel dat niet in vermogensschade bestaat, heeft de benadeelde recht op een naar billijkheid vast te stellen schadevergoeding.

  • 3. De verwerkingsverantwoordelijke is aansprakelijk voor de schade of het nadeel, voortvloeiende uit het niet-nakomen van de in het eerste lid bedoelde voorschriften. De verwerker is aansprakelijk voor die schade of dat nadeel, voor zover ontstaan door zijn werkzaamheid.

  • 4. De verwerkingsverantwoordelijke of de verwerker kan geheel of gedeeltelijk worden ontheven van deze aansprakelijkheid, indien hij bewijst dat de schade hem niet kan worden toegerekend.

AI

Het opschrift van paragraaf 5 komt te luiden:

§ 5. Controle en toezicht op de gegevensverwerking

AJ

Voor artikel 32 wordt een artikel ingevoegd, luidende:

Artikel 31d. (register)

  • 1. De verwerkingsverantwoordelijke houdt een register bij dat de volgende gegevens bevat:

    • a. de naam en de contactgegevens van de verwerkingsverantwoordelijke, de gezamenlijk verwerkingsverantwoordelijken en de functionaris voor gegevensbescherming;

    • b. de doelen van de verwerking;

    • c. de categorieën van ontvangers aan wie politiegegevens zijn of zullen worden verstrekt, met inbegrip van ontvangers in derde landen of internationale organisaties;

    • d. een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;

    • e. in voorkomend geval, het gebruik van profilering;

    • f. in voorkomend geval, de categorieën van doorgiften van politiegegevens aan een derde land of een internationale organisatie;

    • g. een aanwijzing van de rechtsgrondslag van de verwerking, met inbegrip van doorgiften, waarvoor de politiegegevens bedoeld zijn;

    • h. zo mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens worden verwijderd of vernietigd;

    • i. zo mogelijk, een algemene beschrijving van de technische en organisatorische maatregelen ter beveiliging, bedoeld in artikel 4a;

    • j. de toekenning van de autorisaties, bedoeld in artikel 6.

  • 2. De verwerker houdt een register bij dat de volgende gegevens bevat:

    • a. de naam en de contactgegevens van de verwerker of verwerkers en van iedere verwerkingsverantwoordelijke ten behoeve van wie de verwerker handelt en, in voorkomend geval, van de functionaris voor gegevensbescherming;

    • b. de categorieën van verwerkingen die namens iedere verwerkingsverantwoordelijke zijn uitgevoerd;

    • c. indien van toepassing, doorgiften van politiegegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie, indien door de verwerkingsverantwoordelijke uitdrukkelijk daartoe geïnstrueerd;

    • d. indien mogelijk, een algemene beschrijving van de technische en organisatorische maatregelen, bedoeld in artikel 4a.

AK

Artikel 32 komt te luiden:

Artikel 32. (documentatie)

  • 1. De verwerkingsverantwoordelijke draagt zorg voor de schriftelijke vastlegging van:

    • a. de doelen van de onderzoeken, bedoeld in artikel 9, tweede lid;

    • b. de verstrekking of doorgifte van politiegegevens op grond van paragraaf 3, met uitzondering van de verstrekking, bedoeld in artikel 17 en artikel 24, eerste en tweede lid, indien dit zich niet verdraagt met het belang van de veiligheid van de staat;

    • c. de feitelijke of juridische redenen die ten grondslag liggen aan een afwijzing, bedoeld in artikel 27, eerste lid;

    • d. een inbreuk op de beveiliging van persoonsgegevens, bedoeld in artikel 33a, inclusief de feiten omtrent de inbreuk, de gevolgen ervan en de maatregelen die zijn getroffen ter correctie.

  • 2. Bij de doorgifte van politiegegevens aan een verwerkingsverantwoordelijke in een derde land of aan een internationale organisatie, bedoeld in artikel 17a, tweede lid, onderdeel b, en derde lid, omvat de schriftelijke vastlegging de datum en tijd van doorgifte, informatie over de ontvangende bevoegde autoriteit, de reden van doorgifte en de doorgegeven gegevens zelf.

  • 3. De verantwoordelijke draagt zorg voor de schriftelijke melding van een gemeenschappelijke verwerking van politiegegevens aan de Autoriteit persoonsgegevens.

  • 4. De politiegegevens, bedoeld in het eerste lid, worden bewaard tenminste tot de datum waarop de laatste controle, bedoeld in artikel 33, is verricht.

  • 5. Bij of krachtens algemene maatregel van bestuur worden nadere regels gesteld over de wijze van vastlegging.

AL

Na artikel 32 wordt een artikel ingevoegd, luidende:

Artikel 32a. (logging)

  • 1. De verwerkingsverantwoordelijke en de verwerker dragen zorg voor de vastlegging langs elektronische weg (logging) van ten minste de volgende verwerkingen van politiegegevens in geautomatiseerde systemen: het verzamelen, wijzigen, raadplegen, verstrekken onder meer in de vorm van doorgiften, combineren of vernietigen van politiegegevens.

  • 2. De vastgelegde gegevens, bedoeld in het eerste lid, worden uitsluitend gebruikt voor de controle van de rechtmatigheid van de gegevensverwerking, voor interne controles, ter waarborging van de integriteit en de beveiliging van de politiegegevens en voor strafrechtelijke procedures.

AM

Artikel 33 wordt als volgt gewijzigd:

a. In het eerste, tweede en derde lid wordt «verantwoordelijke» telkens vervangen door: verwerkingsverantwoordelijke;.

b. In het tweede lid wordt «het College bescherming persoonsgegevens» vervangen door: de Autoriteit persoonsgegevens.

AN

Na artikel 33 worden twee artikelen ingevoegd, luidende:

Artikel 33a. (melding datalekken)

  • 1. De verwerkingsverantwoordelijke meldt een inbreuk op de beveiliging onverwijld en uiterlijk binnen 72 uur nadat hij ervan heeft kennis genomen aan de Autoriteit persoonsgegevens, tenzij het niet waarschijnlijk is dat de inbreuk een risico voor de rechten en vrijheden van personen met zich meebrengt. In het geval de melding na 72 uur wordt gedaan, gaat deze vergezeld van een motivering voor de vertraging.

  • 2. De melding, bedoeld in het eerste lid, bevat ten minste de volgende informatie:

    • a. een beschrijving van de aard en omvang van de inbreuk, bedoeld in het eerste lid, waaronder begrepen, waar mogelijk, de categorieën van betrokkenen en van gegevensbestanden en, bij benadering, het aantal betrokkenen en gegevensbestanden;

    • b. de mededeling van de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;

    • c. een beschrijving van de waarschijnlijke gevolgen van de inbreuk, bedoeld in het eerste lid;

    • d. een beschrijving van de voorgestelde of uitgevoerde maatregelen om de inbreuk, bedoeld in het eerste lid, te beëindigen en, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen ervan.

  • 3. Voor zover het niet mogelijk is de informatie, bedoeld in het tweede lid, gelijktijdig te verstrekken, kan deze zonder onnodige vertraging in stappen worden verstrekt.

  • 4. De verwerkingsverantwoordelijke deelt een inbreuk op de beveiliging van politiegegevens, die zijn doorgezonden door of aan een verwerkingsverantwoordelijke van een andere lidstaat, zonder onnodige vertraging mee aan de verwerkingsverantwoordelijke van deze lidstaat.

  • 5. De verwerkingsverantwoordelijke deelt een inbreuk op de beveiliging mede aan de betrokkenen als deze inbreuk waarschijnlijk een hoog risico voor de rechten en vrijheden van personen met zich meebrengt. De mededeling bevat een omschrijving van de aard van de inbreuk op de beveiliging en ten minste de informatie, bedoeld in het tweede lid, onderdelen b, c en d.

  • 6. De mededeling aan de betrokkenen, bedoeld in het vijfde lid, is niet vereist wanneer:

    • a. de verwerkingsverantwoordelijke passende technische en organisatorische beschermingsmaatregelen heeft getroffen en deze maatregelen zijn toegepast op de politiegegevens waarop de inbreuk, bedoeld in het eerste lid, betrekking heeft;

    • b. de verwerkingsverantwoordelijke maatregelen heeft getroffen om ervoor te zorgen dat het hoge risico, bedoeld in het eerste lid, zich waarschijnlijk niet meer zal voordoen, of

    • c. de mededeling een onevenredige inspanning zou vergen. In dat geval volgt een openbare mededeling of vergelijkbare maatregel waarmee de betrokkenen even doeltreffend worden geïnformeerd.

  • 7. De mededeling aan de betrokkene kan worden uitgesteld, beperkt of achterwege gelaten op de gronden, bedoeld in artikel 27, tweede lid.

Artikel 33b. (voorafgaand raadplegen Autoriteit persoonsgegevens)

  • 1. De Autoriteit persoonsgegevens wordt door de verwerkingsverantwoordelijke of de verwerker geraadpleegd over de voorgenomen verwerking van politiegegevens die in een nieuw bestand zullen worden opgenomen, wanneer:

    • a. de aard van de verwerking, in het bijzonder met gebruikmaking van nieuwe technologieën, mechanismen of procedures, een hoog risico voor de rechten en vrijheden van de betrokkene met zich meebrengt;

    • b. uit een gegevensbeschermingseffectbeoordeling, bedoeld in artikel 4c, eerste lid, blijkt dat de verwerking een hoog risico zou opleveren als de verwerkingsverantwoordelijke geen maatregelen treft om het risico te beperken.

  • 2. De Autoriteit persoonsgegevens kan een lijst opstellen van de verwerkingen waarvoor raadpleging, overeenkomstig het eerste lid, vereist is.

  • 3. De verwerkingsverantwoordelijke verstrekt de Autoriteit persoonsgegevens de gegevensbeschermingseffectbeoordeling, bedoeld in artikel 4c, en, desgevraagd, alle andere informatie op grond waarvan de Autoriteit persoonsgegevens de conformiteit van de verwerking en met name de risico’s voor de bescherming van persoonsgegevens van de betrokkene en de betrokken waarborgen kan beoordelen.

  • 4. Wanneer de Autoriteit persoonsgegevens van oordeel is dat de voorgenomen verwerking van politiegegevens, bedoeld in het eerste lid, niet voldoet aan het bij of krachtens deze wet bepaalde, geeft zij binnen een termijn van ten hoogste zes weken schriftelijk advies aan de verwerkingsverantwoordelijke en, in voorkomend geval, aan de verwerker.

  • 5. De termijn, bedoeld in het vierde lid, kan, rekening houdend met de complexiteit van de voorgenomen verwerking, worden verlengd met een maand. In dit geval wordt de verwerkingsverantwoordelijke en, in voorkomend geval, de verwerker, binnen een maand na de ontvangst van het verzoek in kennis gesteld van de verlenging en de redenen daarvoor.

AO

Artikel 34 wordt als volgt gewijzigd:

a. Het eerste lid komt te luiden:

  • 1. De verwerkingsverantwoordelijke benoemt een of meer privacyfunctionarissen. De privacyfunctionaris dient de verwerkingsverantwoordelijke en de personen die voor de verwerkingsverantwoordelijke werkzaam zijn van advies en ziet namens de verwerkingsverantwoordelijke toe op de verwerking van politiegegevens overeenkomstig het bij of krachtens de wet bepaalde.

b. Het vierde lid vervalt.

AP

Artikel 35 komt te luiden:

Artikel 35. (toezicht Autoriteit persoonsgegevens)

  • 1. De Autoriteit persoonsgegevens, bedoeld in artikel 6, eerste lid, van de Uitvoeringswet Algemene verordening gegevensbescherming, ziet in het Europese deel van Nederland toe op de verwerking van politiegegevens overeenkomstig het bij en krachtens deze wet bepaalde.

  • 2. Artikel 16 van de Uitvoeringswet Algemene verordening gegevensbescherming is van overeenkomstige toepassing.

AQ

Na artikel 35 wordt vijf artikelen ingevoegd, luidende:

Artikel 35a. (positie Autoriteit persoonsgegevens)

  • 1. De Autoriteit persoonsgegevens treedt bij de uitvoering van haar taken en de uitoefening van haar bevoegdheden volledig onafhankelijk op.

  • 2. Ieder lid van de Autoriteit persoonsgegevens beschikt over de nodige kwalificaties, ervaring en vaardigheden, met name op het gebied van de bescherming van persoonsgegevens, voor het uitvoeren van zijn taken en het uitoefenen van zijn bevoegdheden.

  • 3. De leden van de Autoriteit persoonsgegevens blijven vrij van al dan niet rechtstreekse externe invloed en vragen noch aanvaarden instructies van wie dan ook bij de uitvoering van hun taken en de uitoefening van hun bevoegdheden overeenkomstig deze paragraaf.

  • 4. De leden van de Autoriteit persoonsgegevens onthouden zich van alle handelingen die onverenigbaar zijn met hun taken en verrichten gedurende hun ambtstermijn geen al dan niet bezoldigde beroepswerkzaamheden die onverenigbaar zijn met hun taken.

Artikel 35b. (taken Autoriteit persoonsgegevens)

  • 1. De Autoriteit persoonsgegevens heeft tot taak:

    • a. het toezien op de verwerking van persoonsgegevens overeenkomstig het bij of krachtens deze wet bepaalde en het handhaven daarvan;

    • b. het geven van advies over voorstellen van wet en ontwerpen van algemene maatregelen van bestuur die geheel of voor een belangrijk deel betrekking hebben op de verwerking van persoonsgegevens;

    • c. het beter bekend maken van het brede publiek met, en verschaffen van meer inzicht in de risico's, de regels, de waarborgen en de rechten in verband met de verwerking van persoonsgegevens;

    • d. het beter bekend maken van de verwerkingsverantwoordelijken en de verwerkers met hun verplichtingen uit hoofde van het bij of krachtens deze wet bepaalde;

    • e. het desgevraagd verstrekken van informatie aan iedere betrokkene over de uitoefening van zijn rechten uit hoofde van het bij of krachtens deze wet bepaalde en het, in voorkomend geval, daartoe samenwerken met de autoriteiten in andere lidstaten, bedoeld in artikel 35d, eerste lid, die zijn belast met het toezicht;

    • f. het behandelen van klachten van betrokkenen, of van organen, organisaties of verenigingen die de betrokkene vertegenwoordigen, het onderzoeken van de inhoud van de klacht en de klager binnen een redelijke termijn in kennis stellen van de voortgang en het resultaat van het onderzoek, met name indien verder onderzoek of coördinatie met een andere toezichthoudende autoriteit nodig is;

    • g. het naar aanleiding van een klacht, bedoeld in artikel 31a, eerste lid, controleren van de rechtmatigheid van de verwerking en de betrokkene binnen een redelijke termijn informeren over het resultaat van de controle of van de redenen waarom de controle niet is verricht;

    • h. het samenwerken met andere autoriteiten die zijn belast met het toezicht, bedoeld in artikel 35d, eerste lid, teneinde voor de samenhang in de toepassing en de handhaving van het bij of krachtens deze wet bepaalde te zorgen, onder meer door informatie te delen en wederzijdse bijstand aan te bieden;

    • i. het verrichten van onderzoeken naar de naleving van het bij of krachtens deze wet bepaalde, ook op basis van informatie die de Autoriteit persoonsgegevens ontvangt van een andere autoriteit die is belast met het toezicht, bedoeld in artikel 35, eerste lid, of een andere overheidsinstantie;

    • j. het volgen van de relevante ontwikkelingen voor zover deze de bescherming van persoonsgegevens beïnvloeden, met name de ontwikkeling van de informatie- en communicatietechnologieën;

    • k. het verstrekken van advies naar aanleiding van een voorafgaande raadpleging, bedoeld in artikel 33b, eerste lid, en

    • l. het leveren van een bijdrage aan de activiteiten van het Comité, opgericht bij Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.

  • 2. De Autoriteit persoonsgegevens verricht haar taken kosteloos voor de betrokkene en voor de functionaris voor gegevensbescherming.

Artikel 35c. (bevoegdheden Autoriteit persoonsgegevens)

  • 1. De Autoriteit persoonsgegevens is bevoegd:

    • a. de verwerkingsverantwoordelijke of de verwerker te waarschuwen dat met de voorgenomen verwerkingen waarschijnlijk een inbreuk wordt gemaakt op het bij of krachtens deze wet bepaalde;

    • b. een last onder bestuursdwang op te leggen ter handhaving van het bij of krachtens deze wet bepaalde;

    • c. een bestuurlijke boete op te leggen indien de verwerkingsverantwoordelijke handelt in strijd met hetgeen is bepaald bij of krachtens:

      • de artikelen 4a, 4b, 4c, 6c, 31d, 32, 33a, 33b en 36 van ten hoogste het bedrag van de geldboete van de vijfde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht;

      • de artikelen 5, 7a, 24a, 24b, 25 en 28 van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht;

    • d. een advies te verstrekken aan de verwerkingsverantwoordelijke naar aanleiding van een voorafgaande raadpleging, bedoeld in artikel 33b, eerste lid;

    • e. de verwerkingsverantwoordelijke te verplichten een inbreuk in verband met persoonsgegevens te melden aan de betrokkene.

  • 2. Bij het besluit over het opleggen van een bestuurlijke boete, bedoeld in het vierde lid, en over de hoogte daarvan wordt voor elk concreet geval naar behoren rekening gehouden met:

    • a) de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;

    • b) de opzettelijke of nalatige aard van de inbreuk;

    • c) de door de verwerkingsverantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken;

    • d) de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 4a en 4b;

    • e) eerdere relevante inbreuken door de verwerkingsverantwoordelijke of de verwerker;

    • f) de mate waarin er met de Autoriteit persoonsgegevens is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken;

    • g) de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft;

    • h) de wijze waarop de Autoriteit persoonsgegevens kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de verwerkingsverantwoordelijke of de verwerker de inbreuk heeft gemeld;

    • i. de naleving van de in het eerste lid genoemde maatregelen, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke of de verwerker in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen.

  • 3. De werking van de beschikking tot oplegging van de bestuurlijke boete, bedoeld in het eerste lid, onder c, wordt opgeschort totdat de bezwaar- of beroepstermijn is verstreken of, indien bezwaar is gemaakt respectievelijk beroep is ingesteld, op het bezwaar respectievelijk het beroep is beslist.

  • 4. De bevoegdheden, bedoeld in het eerste lid, onderdelen d en e, gelden als een besluit in de zin van de Algemene wet bestuursrecht.

Artikel 35d. (samenwerking met toezichthoudende autoriteiten in andere lidstaten)

  • 1. De Autoriteit persoonsgegevens verstrekt aan een autoriteit in een andere lidstaat die is belast met het toezicht, bedoeld in artikel 35, eerste lid, relevante informatie en wederzijdse bijstand om deze richtlijn op een consequente manier ten uitvoer te leggen en toe te passen, en neemt maatregelen om doeltreffend met elkaar samen te werken.

  • 2. De Autoriteit persoonsgegevens neemt alle passende maatregelen die nodig zijn om een verzoek om informatie of wederzijdse bijstand van een andere autoriteit, bedoeld in het eerste lid, zonder onnodige vertraging en in ieder geval binnen één maand na de ontvangst ervan te beantwoorden. De verzoekende autoriteit wordt geïnformeerd over de resultaten of, in voorkomend geval, de voortgang van de maatregelen die naar aanleiding van het verzoek zijn genomen.

  • 3. Een verzoek om bijstand van de Autoriteit persoonsgegevens bevat alle nodige informatie, waaronder het doel van en de redenen voor het verzoek. De uitgewisselde informatie wordt alleen gebruikt voor het doel waarvoor om die informatie is verzocht.

  • 4. De Autoriteit persoonsgegevens kan een verzoek om bijstand van een andere autoriteit, bedoeld in het eerste lid, gemotiveerd afwijzen indien:

    • a. zij niet bevoegd is voor het onderwerp van het verzoek of voor de maatregelen die zij wordt verzocht uit te voeren, of

    • b. inwilliging van het verzoek indruist tegen de richtlijn of het Unierecht of het Nederlandse recht dat op de Autoriteit persoonsgegevens van toepassing is.

  • 5. Behoudens regels voor vergoeding voor specifieke uitgaven die voortvloeien uit het verstrekken van wederzijdse bijstand in uitzonderlijke omstandigheden geschiedt de wederzijdse bijstand, bedoeld in het tweede lid, kosteloos.

  • 6. Bij algemene maatregel van bestuur kunnen nadere regels worden gesteld over de wijze van verstrekking van de informatie, bedoeld in het eerste lid.

AR

Artikel 36 komt als volgt te luiden:

Artikel 36. (functionaris voor gegevensbescherming)

  • 1. De verwerkingsverantwoordelijke benoemt een functionaris voor gegevensbescherming. Voor verschillende bevoegde autoriteiten kan, rekening houdend met hun organisatiestructuur en omvang, één functionaris voor gegevensbescherming worden aangewezen. De functionaris voor gegevensbescherming wordt door de verwerkingsverantwoordelijke tijdig en naar behoren betrokken bij alle aangelegenheden die verband houden met de bescherming van politiegegevens.

  • 2. De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de taken, bedoeld in het derde lid, te vervullen.

  • 3. De functionaris voor gegevensbescherming is tenminste belast met de volgende taken:

    • a. het toezien op de naleving van het bepaalde bij of krachtens deze wet en op het beleid van de verwerkingsverantwoordelijke met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van de autorisaties, bedoeld in artikel 6, de bewustmaking en opleiding van de ambtenaren van politie die zijn betrokken bij de verwerking van politiegegevens en de audits, bedoeld in artikel 33;

    • b. het informeren en adviseren van de verwerkingsverantwoordelijke en de ambtenaren van politie die politiegegevens verwerken over hun verplichtingen op grond van het bepaalde bij of krachtens deze wet en andere gegevensbeschermingsbepalingen op grond van het Unierecht of het Nederlandse recht;

    • c. het desgevraagd verstrekken van advies over de gegevensbeschermingseffectbeoordeling, bedoeld in artikel 4c, en het toezien op de uitvoering ervan;

    • d. het samenwerken met de Autoriteit persoonsgegevens;

    • e. het optreden als contactpunt voor de Autoriteit persoonsgegevens inzake aangelegenheden in verband met de verwerking van persoonsgegevens en, voor zover dienstig, het plegen van overleg over enige andere aangelegenheid.

  • 4. De functionaris voor gegevensbescherming stelt jaarlijks een verslag op van zijn bevindingen.

  • 5. De verwerkingsverantwoordelijke maakt de contactgegevens van de functionaris voor gegevensbescherming openbaar en meldt de functionaris voor gegevensbescherming aan bij de Autoriteit persoonsgegevens.

  • 6. De verwerkingsverantwoordelijke stelt de functionaris voor gegevensbescherming de benodigde middelen ter beschikking voor het vervullen van de taken, bedoeld in het derde lid, en voor het in standhouden van zijn deskundigheid.

AS

Artikel 36b wordt als volgt gewijzigd:

a. In de aanhef wordt «onder b, f en k,» vervangen door: onder a, f en k.

b. In onderdeel b wordt «verantwoordelijke» vervangen door: verwerkingsverantwoordelijke.

AT

Artikel 36c wordt als volgt gewijzigd:

a. In het eerste lid vervallen de onderdelen a, g en l, onder lettering van de onderdelen b, c, d, e, f, tot respectievelijk de onderdelen a, b, c, d en e en van de onderdelen h, i, j en k tot respectievelijk de onderdelen f, g, h en i.

b. In het eerste lid, onderdeel f (nieuw) worden «de artikelen 18, tweede lid, 32, tweede lid, 33, tweede lid, en 34, vierde lid» vervangen door: de artikelen 18, tweede lid, 25, eerste lid, onder f, 29, tweede lid, 32, tweede lid, en 33, tweede lid.

c. In het eerste lid, onderdeel i (nieuw) wordt «eerste lid» vervangen door «tweede lid» en wordt de puntkomma aan het slot vervangen door een punt.

d. Het tweede lid komt te luiden:

  • 2. De artikelen 1, onder h, 4, derde lid, 4a, 4b, 4c, 6b, 6c, 7a, 15a, 17a, 24a, 24b, 31a, 31b, 32a, 33a, 33b, 35, 35a, 35b, 35c, 35d, 36 en 46 zijn niet van toepassing.

e. Na het tweede lid worden drie nieuwe leden ingevoegd, luidende:

  • 3. De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om politiegegevens te beveiligen tegen onbedoelde of onrechtmatige vernietiging, tegen wijziging, ongeoorloofde mededeling of toegang, met name indien de verwerking verzending van gegevens via een netwerk of beschikbaarstelling via directe geautomatiseerde toegang omvat, en tegen alle andere vormen van onrechtmatige verwerking, waarbij met name rekening wordt gehouden met de risico’s van de verwerking en de aard van de te beschermen gegevens. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau, gelet op de risico’s van de verwerking en de aard van de politiegegevens.

  • 4. De artikelen 14, eerste, tweede, derde en vijfde lid, 39 en 40 van de Wet bescherming persoonsgegevens BES zijn van overeenkomstige toepassing.

  • 5. De verwerkingsverantwoordelijke meldt de privacyfunctionaris, bedoeld in artikel 34, eerste lid, aan bij de Commissie van toezicht bescherming persoonsgegevens BES.

AU

Artikel 36d wordt als volgt gewijzigd:

a. In het eerste lid wordt «verantwoordelijke» vervangen door: verwerkingsverantwoordelijke.

b. In het tweede lid wordt «onder c» vervangen door: onder b.

AV

Artikel 36e wordt als volgt gewijzigd:

a. Het opschrift komt te luiden: (verstrekking aan Nederlandse opsporingsinstanties en het openbaar ministerie en aan derde landen en internationale organisaties)

b. In het eerste lid, wordt «verantwoordelijken» vervangen door verwerkingsverantwoordelijken.

c. Na het derde lid worden vijf nieuwe leden ingevoegd, luidende:

  • 4. Politiegegevens kunnen worden verstrekt aan een internationaal orgaan of aan een internationaal strafgerecht voor zover dit voortvloeit uit een verdrag.

  • 5. Politiegegevens kunnen worden verstrekt aan autoriteiten in een land binnen het Koninkrijk of aan een ander land die zijn belast met de uitvoering van de politietaak, of van onderdelen daarvan, voor zover dit noodzakelijk is voor de goede uitvoering van de politietaak in Bonaire, Sint Eustatius en Saba of de politietaak in het desbetreffende land.

  • 6. Politiegegevens worden alleen ingevolge het vierde en vijfde lid verstrekt of doorgegeven indien het ontvangende land of internationale orgaan een toereikend beschermingsniveau voor de voorgenomen gegevensverwerking garandeert. Of het beschermingsniveau toereikend is wordt beoordeeld met inachtneming van alle omstandigheden die op de doorgifte van gegevens of een groep van gegevensverstrekkingen van invloed zijn. In het bijzonder wordt rekening gehouden met de aard van de gegevens, met het doel en de duur van de voorgenomen verwerking en verwerkingen, het land van herkomst en het land of internationale orgaan van eindbestemming van de gegevens, de algemene en sectorale rechtsregels die in het derde land of het internationale orgaan gelden, alsmede de beroepscodes en de veiligheidsmaatregelen die in het land of voor het orgaan van toepassing zijn.

  • 7. In afwijking van het zesde lid kunnen politiegegevens worden verstrekt of doorgegeven indien:

    • a. dit noodzakelijk is ten behoeve van specifieke belangen van de betrokkene of een dringend zwaarwegend algemeen belang, of

    • b. het betreffende land of ontvangende internationale orgaan passende garanties biedt voor een zorgvuldige gegevensverwerking in het concrete geval.

  • 8. Bij algemene maatregel van bestuur worden nadere regels gesteld over de verstrekking of doorgifte van politiegegevens, bedoeld in het vierde tot en met het zevende lid, alsmede over de verdere verwerking en de daarbij te stellen voorwaarden aan het gebruik daarvan door ontvangstgerechtigde autoriteiten of internationale organen en over de ontvangst van politiegegevens vanuit het buitenland.

AW

In artikel 36f, eerste en derde lid, wordt «verantwoordelijke» telkens vervangen door: verwerkingsverantwoordelijke.

AX

Artikel 46, eerste en tweede lid, komen te luiden:

  • 1. Het bij of krachtens de Wet politiegegevens bepaalde met betrekking tot de gegevensverwerking, bedoeld in de artikelen 10, eerste lid onder a, en 12, is van overeenkomstige toepassing op de verwerking van persoonsgegevens door een ambtenaar, werkzaam bij een bijzondere opsporingsdienst, bedoeld in artikel 2 van de Wet op de bijzondere opsporingsdiensten. Op voordracht van Onze Ministers en Onze Minister wie het mede aangaat worden bij algemene maatregel van bestuur ook andere onderdelen van het bij of krachtens deze wet bepaalde van overeenkomstige toepassing verklaard op de verwerking van persoonsgegevens door een ambtenaar, werkzaam bij een bijzondere opsporingsdienst, bedoeld in artikel 2 van de Wet op de bijzondere opsporingsdiensten, of een buitengewoon opsporingsambtenaar, bedoeld in artikel 142, eerste lid, van het Wetboek van Strafvordering.

  • 2. Voor zover toepassing is gegeven aan het eerste lid:

    • a. stelt de verwerkingsverantwoordelijke politiegegevens voor verdere verwerking ter beschikking aan opsporingsambtenaren, als bedoeld in de artikelen 141, onderdeel d, en 142, eerste lid, van het Wetboek van Strafvordering, voor zover zij deze behoeven voor de vervulling van hun taak;

    • b. stelt de verwerkingsverantwoordelijke van de bijzondere opsporingsdienst of van de buitengewoon opsporingsambtenaar, bedoeld in artikel 142, eerste lid, van het Wetboek van Strafvordering, de gegevens waarop het bepaalde bij of krachtens deze wet van toepassing of van overeenkomstige toepassing is ter beschikking aan personen die overeenkomstig artikel 6, tweede lid, zijn geautoriseerd voor de verwerking van politiegegevens, voor zover zij deze behoeven voor de vervulling van hun taak.

    Artikel 15, tweede lid, is van overeenkomstige toepassing.

ARTIKEL II

De Wet justitiële en strafvorderlijke gegevens wordt als volgt gewijzigd:

A

Artikel 1 wordt als volgt gewijzigd:

a. In onderdeel a wordt na «het strafrecht of de strafvordering» toegevoegd: , die in een gegevensbestand zijn of worden verwerkt.

b. In onderdeel b wordt na «langs geautomatiseerde weg» ingevoegd: in een gegevensbestand.

c. In onderdeel c wordt «een dossier» vervangen door: een gestructureerd dossier.

d. Onder lettering van de onderdelen d en e tot f en g, worden twee onderdelen ingevoegd, luidende:

d. tenuitvoerleggingsgegevens:

persoonsgegevens of gegevens over een rechtspersoon inzake de tenuitvoerlegging van strafrechtelijke beslissingen, die in een dossier of een ander gegevensbestand zijn of worden verwerkt;

e. gerechtelijke strafgegevens:

persoonsgegevens of gegevens over een rechtspersoon die zijn verkregen in het kader van het behandelen en beslissen van zaken waarop het Nederlandse strafrecht van toepassing is en die in een gegevensbestand zijn of worden verwerkt;

e. Onderdeel f (oud) wordt geletterd tot onderdeel h en de onderdelen g en h (oud) vervallen;

f. Onderdeel i komt te luiden:

i. persoonsgegeven:

alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon;

g. Onder lettering van onderdeel j tot y, wordt een onderdeel ingevoegd, luidende:

j. betrokkene:

degene op wie een justitieel, strafvorderlijk, gerechtelijk strafgegeven of een tenuitvoerleggingsgegeven betrekking heeft, of van wie persoonsgegevens in een persoonsdossier zijn verwerkt;

h. Onderdeel k komt te luiden:

k. verwerkingsverantwoordelijke:

dit is voor:

  • 1°. justitiële gegevens en rapporten in een persoonsdossier: Onze Minister;

  • 2°. strafvorderlijke gegevens: het College van procureurs-generaal;

  • 3°. tenuitvoerleggingsgegevens: Onze Minister dan wel het College van procureurs-generaal;

  • 4°. gerechtelijke strafgegevens: de gerechten, bedoeld in artikel 2 van de Wet op de rechterlijke organisatie;

i. Na onderdeel k worden dertien onderdelen toegevoegd, luidende:

l. verwerker:

de natuurlijke persoon of rechtspersoon, overheidsinstantie, dienst of een ander orgaan die of dat ten behoeve van de verwerkingsverantwoordelijke justitiële of strafvorderlijke gegevens, gerechtelijke strafgegevens, tenuitvoerleggingsgegevens of persoonsgegevens uit een persoonsdossier, verwerkt. Indien een verwerker in strijd met het bij of krachtens deze wet bepaalde de doeleinden en middelen van de verwerking bepaalt, wordt die verwerker met betrekking tot die verwerking als verwerkingsverantwoordelijke aangemerkt;

m. verwerking:

elke bewerking of elk geheel van bewerkingen met betrekking tot justitiële of strafvorderlijke gegevens, gerechtelijke strafgegevens, tenuitvoerleggingsgegevens of rapporten, of afschriften daarvan, die zijn of worden opgenomen in een persoonsdossier, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, afschermen, of vernietigen van deze gegevens, rapporten of afschriften daarvan;

n. afschermen:

het markeren van opgeslagen justitiële of strafvorderlijke gegevens, gerechtelijke strafgegevens, tenuitvoerleggingsgegevens of persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken;

o. gegevensbestand:

justitiële documentatie, persoonsdossiers, documentatie persoonsdossiers en elk ander gestructureerd geheel van justitiële of strafvorderlijke gegevens, gerechtelijke strafgegevens of tenuitvoerleggingsgegevens dat volgens bepaalde criteria toegankelijk is, ongeacht of dit geheel van gegevens gecentraliseerd of gedecentraliseerd is, dan wel verspreid op een functioneel of geografisch bepaalde wijze;

p. inbreuk op de beveiliging:

een inbreuk op de beveiliging met de vernietiging, het verlies, de wijziging, de bekendmaking of de ter beschikkingstelling van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte justitiële of strafvorderlijke gegevens, gerechtelijke strafgegevens, tenuitvoerleggingsgegevens of rapporten in persoonsdossiers, tot gevolg;

q. genetische gegevens:

persoonsgegevens met betrekking tot de overgeërfde of verworven genetische kenmerken van een natuurlijke persoon die unieke informatie verschaffen over de fysiologie of de gezondheid van die persoon en die met name voorkomen uit een analyse van een biologisch monster van die persoon;

r. biometrische gegevens:

persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische, of gedragskenmerken van een natuurlijke persoon op grond waarvan de eenduidige identificatie van die persoon mogelijk is of bevestigd wordt, zoals afbeeldingen van het gezicht of dactyloscopische gegevens;

s. gegevens over gezondheid:

persoonsgegevens met betrekking tot de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder gegevens over verleende gezondheidsdiensten, waarmee informatie over zijn gezondheid wordt gegeven;

t. profilering:

elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van die gegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met de bedoeling met name aspecten betreffende zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen;

u. ontvanger:

de natuurlijke persoon aan wie of rechtspersoon of overheidsinstantie waaraan justitiële of strafvorderlijke gegevens, gerechtelijke strafgegevens, tenuitvoerleggingsgegevens of afschriften van rapporten uit persoonsdossiers, worden verstrekt;

v. bevoegde autoriteit:

de overheidsinstantie die bevoegd is voor of ieder ander orgaan of iedere andere entiteit met openbaar gezag of openbare bevoegdheden ter voorkoming van, het onderzoek naar, de opsporing van of de vervolging van strafbare feiten, of voor de tenuitvoerlegging van straffen of maatregelen;

w. derde land:

ieder land of gebied dat geen lidstaat is of daarvan geen uitmaakt;

x. internationale organisatie:

een organisatie en de daaronder ressorterende internationaalpubliekrechtelijke organen of andere organen die zijn opgericht bij of op grond van een overeenkomst tussen twee of meer landen;

j. Na onderdeel y worden een drie onderdelen ingevoegd, luidende:

z. Autoriteit persoonsgegevens:

de autoriteit, bedoeld in artikel 1 van de Uitvoeringswet algemene verordening gegevensbescherming;

aa. lidstaat:

lidstaat van de Europese Unie die de richtlijn heeft geïmplementeerd;

ab. richtlijn:

richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van het Kaderbesluit 2008/977/JBZ van de Raad.

B

Artikel 3 wordt als volgt gewijzigd:

a. In artikel 3, eerste lid, komt de laatste volzin te luiden:

Hij zorgt voor het onverwijld vernietigen of rectificeren van justitiële gegevens als blijkt dat deze, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn.

b. Onder vernummering van het derde tot zesde lid worden drie leden ingevoegd, luidende:

  • 3. Justitiële gegevens worden slechts verwerkt voor zover dit behoorlijk en rechtmatig is, de gegevens rechtmatig zijn verkregen en de gegevens, gelet op de doeleinden waarvoor zij worden verwerkt, toereikend, terzake dienend en niet bovenmatig zijn.

  • 4. Justitiële gegevens kunnen worden verwerkt voor een ander doel dan een bij of krachtens deze wet vastgesteld doel waarvoor zij zijn verkregen, voor zover bij wet of in een ieder verbindend besluit van de Europese Unie uitdrukkelijk daarin is voorzien en de verwerking voor dat andere doel noodzakelijk is en in verhouding staat tot dat doel. De verdere verwerking is alleen mogelijk door personen en instanties die bij of krachtens de wet met het oog op een zwaarwegend algemeen belang of in een bindend besluit van de Europese Unie zijn aangewezen.

  • 5. Onze Minister controleert, voor zover praktisch uitvoerbaar, de kwaliteit van justitiële gegevens voordat de gegevens worden verstrekt. Voor zover mogelijk wordt bij de doorzending van justitiële gegevens de noodzakelijke informatie toegevoegd aan de hand waarvan de ontvangende bevoegde autoriteit de mate van juistheid, volledigheid en betrouwbaarheid van justitiële gegevens kan beoordelen, alsmede de mate waarin zij actueel zijn.

C

Artikel 7 komt te luiden:

Artikel 7

  • 1. De verwerkingsverantwoordelijke en de verwerker treffen passende technische en organisatorische maatregelen om:

    • a. te waarborgen en te kunnen aantonen dat de verwerking van justitiële gegevens wordt verricht in overeenstemming met hetgeen bij of krachtens deze wet is bepaald;

    • b. het gegevensbeschermingsbeleid en de gegevensbeschermingsbeginselen op een doeltreffende manier uit te voeren respectievelijk toe te passen;

    • c. bij de bepaling van de verwerkingsmiddelen en de verwerking zelf de nodige waarborgen in de verwerking in te bouwen ter naleving van hetgeen bij of krachtens deze wet is bepaald en ter bescherming van de rechten van de betrokkenen.

  • 2. De verwerkingsverantwoordelijke en de verwerker treffen passende en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat op het risico is afgestemd.

  • 3. Bij het treffen van de maatregelen, bedoeld in het eerste en tweede lid, houden de verwerkingsverantwoordelijke en de verwerker rekening met de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen.

  • 4. In aanvulling op het derde lid houden de verwerkingsverantwoordelijke en de verwerker ten aanzien van het eerste lid, onder c, rekening met de stand van de techniek en de uitvoeringskosten.

  • 5. De maatregelen, bedoeld in het eerste en tweede lid, worden periodiek geëvalueerd en zo nodig geactualiseerd.

  • 6. Bij of krachtens algemene maatregel van bestuur worden nadere regels gesteld over de maatregelen, bedoeld in het eerste en tweede lid.

  • 7. Toegang tot justitiële gegevens is uitsluitend voorbehouden aan personen die onder het beheer van de verwerkingsverantwoordelijke voor die gegevens ressorteren of op grond van zijn instructie, behoudens een bij of krachtens de wet gegeven voorschrift.

D

Na artikel 7 worden zes artikelen ingevoegd, luidende:

Artikel 7a

  • 1. De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om te waarborgen dat standaard:

    • a. alleen die justitiële gegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking, en

    • b. justitiële gegevens niet zonder tussenkomst van een natuurlijke persoon voor een onbeperkt aantal natuurlijke personen toegankelijk wordt gemaakt.

  • 2. De maatregelen, bedoeld in het eerste lid, onder a, betreffen in ieder geval de hoeveelheid verzamelde justitiële gegevens, de mate waarin zij worden verwerkt, de periode van opslag en de toegankelijkheid van de justitiële gegevens.

Artikel 7b

  • 1. Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context of doelen ervan, waarschijnlijk een hoog risico voor de rechten en vrijheden van personen oplevert, voert de verwerkingsverantwoordelijke voorafgaand aan de verwerking een beoordeling uit van het effect van de voorgenomen verwerkingsactiviteiten op de bescherming van persoonsgegevens.

  • 2. De beoordeling bevat ten minste:

    • a. een algemene beschrijving van de beoogde verwerkingen;

    • b. een beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen;

    • c. de beoogde maatregelen ter beperking van de risico’s;

    • d. de voorzorgs- en beveiligingsmaatregelen en mechanismen om de justitiële gegevens te beschermen en aan te tonen dat aan het bij of krachtens deze wet bepaalde is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere betrokken personen.

  • 3. Indien nodig verricht de verwerkingsverantwoordelijke een toetsing om te beoordelen of de verwerking overeenkomstig de gegevensbeschermingseffectbeoordeling wordt uitgevoerd, zulks ten minste wanneer sprake is van een toename van het risico dat de verwerkingen inhouden.

Artikel 7c

De verwerkingsverantwoordelijke maakt in voorkomend geval en voor zover mogelijk een duidelijk onderscheid tussen justitiële gegevens betreffende verschillende categorieën van betrokkenen, zoals:

  • a. personen die terzake van een strafbaar feit zijn veroordeeld;

  • b. personen die terzake van een strafbaar feit zijn ontslagen van rechtsvervolging;

  • c. personen die terzake van een strafbaar feit zijn vrijgesproken.

Artikel 7d

  • 1. Indien Onze Minister justitiële gegevens te zijnen behoeve laat verwerken door een verwerker maakt hij uitsluitend gebruik van een verwerker die afdoende garandeert dat de passende technische en organisatorische maatregelen en procedures zodanig worden geïmplementeerd dat bij de verwerking wordt voldaan aan het bij of krachtens deze wet bepaalde en de rechten van de betrokkene worden gewaarborgd.

  • 2. De uitvoering van verwerkingen door een verwerker wordt geregeld in een schriftelijke overeenkomst of andere rechtshandeling die de verwerker aan de verwerkingsverantwoordelijke bindt. Bij of krachtens algemene maatregel van bestuur worden nadere regels gesteld over de inhoud van de overeenkomst of rechtshandeling.

  • 3. De verwerker en eenieder die onder het gezag van Onze Minister of van de verwerker staat verwerkt de justitiële gegevens uitsluitend met inachtneming van de instructies van Onze Minister, tenzij hij bij of krachtens wet of een ieder verbindend besluit van Europese Unie tot die verwerking verplicht is.

  • 4. De verwerker schakelt geen andere verwerker in dan na voorafgaande schriftelijke toestemming van de verwerkingsverantwoordelijke. In het geval van een algemene schriftelijke toestemming informeert de verwerker de verwerkingsverantwoordelijke over de toevoeging of vervanging van andere verwerkers, met de mogelijkheid van bezwaar door de verwerkingsverantwoordelijke.

  • 5. De verwerker stelt de verwerkingsverantwoordelijke zonder onredelijke vertraging in kennis van een inbreuk op de bescherming van persoonsgegevens.

Artikel 7e

  • 1. Een besluit dat uitsluitend is gebaseerd op geautomatiseerde verwerking, met inbegrip van profilering, dat voor de betrokkene nadelige rechtsgevolgen heeft of hem in aanmerkelijke mate treft en waarin justitiële gegevens zijn verwerkt, is verboden, tenzij wordt voorzien in voorafgaande menselijke tussenkomst door of namens de verwerkingsverantwoordelijke en in specifieke voorlichting aan de betrokkene.

  • 2. Profilering die leidt tot discriminatie van personen is verboden.

Artikel 7f

  • 1. Indien iemand schade lijdt doordat ten opzichte van hem in strijd wordt gehandeld met de bij of krachtens deze wet gegeven voorschriften zijn de volgende leden van toepassing, onverminderd de aanspraken op grond van andere wettelijke regels.

  • 2. Voor nadeel dat niet in vermogensschade bestaat, heeft de benadeelde recht op een naar billijkheid vast te stellen schadevergoeding.

  • 3. De verwerkingsverantwoordelijke is aansprakelijk voor de schade of het nadeel, voortvloeiende uit het niet-nakomen van de in het eerste lid bedoelde voorschriften. De verwerker is aansprakelijk voor die schade of dat nadeel, voor zover ontstaan door zijn werkzaamheid.

  • 4. De verwerkingsverantwoordelijke of de verwerker kan geheel of gedeeltelijk worden ontheven van deze aansprakelijkheid, indien hij bewijst dat de schade hem niet kan worden toegerekend.

E

Artikel 8 wordt als volgt gewijzigd:

a. In het eerste lid vervalt: en rechterlijke ambtenaren van Aruba, Curaçao, Sint Maarten, Bonaire, Sint Eustatius en Saba.

b. Het vierde tot en met achtste lid vervallen.

c. Onder vernummering van het negende lid tot het vierde lid komt het vierde lid (nieuw) te luiden:

  • 4. Bij algemene maatregel van bestuur worden nadere regels gesteld over de verstrekking of doorgifte van justitiële gegevens, bedoeld in het eerste, tweede en derde lid, alsmede over de daarbij te stellen voorwaarden aan het gebruik daarvan door ontvangstgerechtigde autoriteiten.

F

Artikel 8a wordt als volgt gewijzigd:

a. In het eerste lid wordt «artikel 39e of 39f» vervangen door: artikel 39e, 39f, of 39ga.

b. Het tweede lid, komt te luiden:

  • 2. Artikel 39f, tweede lid, onder a, en derde lid, is van overeenkomstige toepassing.

G

In artikel 9, tweede lid, wordt «Artikel 8, vierde lid» vervangen door: Artikel 3, derde en vierde lid.

H

In artikel 13, tweede lid, wordt «Artikel 8, vierde lid» vervangen door: Artikel 3, derde en vierde lid.

I

In artikel 14, eerste lid, wordt «het College bescherming persoonsgegevens» vervangen door: de Autoriteit persoonsgegevens.

J

Artikel 15 wordt als volgt gewijzigd:

a. In het eerste lid wordt «kunnen worden verstrekt» vervangen door: , kunnen met het oog op de doelen waarvoor die gegevens dienen, worden verwerkt.

b. In het tweede lid wordt «, bedoeld in het eerste lid» vervangen door: ten behoeve van het bepaalde in het eerste lid.

K

Na artikel 15 worden twee artikelen ingevoegd, luidende:

Artikel 16

  • 1. Justitiële gegevens worden of kunnen worden ter beschikking gesteld ten behoeve van de strafrechtspleging aan de bevoegde autoriteit van een andere lidstaat van de Europese Unie of aan organen en instanties die zijn opgericht krachtens de hoofdstukken 4 en 5 van titel V van het verdrag betreffende de werking van de Europese Unie, die zijn belast met taken van rechtshandhaving, voor zover dat voortvloeit uit een rechtsinstrument op grond van het verdrag betreffende de werking van de Europese Unie.

  • 2. Bij algemene maatregel van bestuur worden nadere regels gesteld over het ter beschikking stellen van justitiële gegevens, bedoeld in het eerste lid, alsmede over de aan het gebruik daarvan te stellen voorwaarden door ontvangstgerechtigde bevoegde autoriteiten of internationale organen en instanties, en over de ontvangst van justitiële gegevens vanuit andere lidstaten van de Europese Unie. Onverminderd specifieke voorzieningen in een rechtsinstrument, bedoeld in het eerste lid, mogen de voorwaarden niet afwijken van de voorwaarden voor vergelijkbare doorzendingen van politiegegevens binnen het Europese deel van Nederland.

Artikel 16a

  • 1. Justitiële gegevens kunnen met inachtneming van het bij of krachtens deze wet bepaalde worden doorgegeven aan rechterlijke ambtenaren dan wel aan andere bevoegde autoriteiten in een derde land of aan een internationale organisatie, voor zover dit noodzakelijk is ten behoeve van de strafrechtspleging, en indien de Commissie van de Europese Unie heeft besloten dat het derde land of de internationale organisatie een toereikend beschermingsniveau voor de voorgenomen gegevensverwerking verzekert.

  • 2. Bij ontstentenis van een besluit van de Commissie, bedoeld in het eerste lid, kunnen justitiële gegevens worden doorgegeven, indien:

    • a. in een juridisch bindend instrument passende waarborgen voor de bescherming van persoonsgegevens zijn geboden, of

    • b. de verwerkingsverantwoordelijke na beoordeling van alle omstandigheden heeft geconcludeerd dat het betreffende derde land of de ontvangende internationale organisatie passende waarborgen biedt voor de bescherming van persoonsgegevensverwerking. De verwerkingsverantwoordelijke informeert de Autoriteit persoonsgegevens over de categorieën van doorgifte op grond van dit onderdeel.

  • 3. Bij ontstentenis van een besluit van de Commissie, bedoeld in het eerste lid, of van passende waarborgen, bedoeld in het tweede lid, is een doorgifte of een categorie van doorgiften van justitiële gegevens aan een derde land of internationale organisatie slechts toegelaten indien de doorgifte noodzakelijk is:

    • a. om een vitaal belang van de betrokkene of van een ander persoon te beschermen;

    • b. om de gerechtvaardigde belangen van de betrokkene te beschermen, wanneer het recht van de lidstaat van waaruit de doorgifte van justitiële gegevens plaatsvindt aldus bepaalt;

    • c. om een onmiddellijk en ernstig gevaar voor de openbare veiligheid van een lidstaat of derde land te voorkomen;

    • d. in afzonderlijke gevallen met het oog op de strafrechtspleging;

    • e. in afzonderlijke gevallen is met het oog op het instellen, uitoefenen of verdedigen van rechtsvorderingen met het oog op de strafrechtspleging,

    en de grondrechten en fundamentele vrijheden van de betrokkene niet prevaleren boven het algemeen belang van de doorgifte, bedoeld in de onderdelen d en e.

  • 4. In afwijking van het eerste, tweede en derde lid en onverminderd een internationale overeenkomst tussen lidstaten en derde landen, kunnen in afzonderlijke en specifieke gevallen justitiële gegevens worden doorgegeven aan een ontvanger in een derde land, zonder tussenkomst van een bevoegde autoriteit in dat land, indien de doorgifte strikt noodzakelijk is voor de strafrechtspleging en indien aan de volgende voorwaarden is voldaan:

    • a. de doorgifte is strikt noodzakelijk voor de uitvoering van een in het Unierecht of het lidstatelijke recht omschreven taak van de bevoegde autoriteit die de doorgifte doet, ter verwezenlijking van de doeleinden van artikel 1, eerste lid;

    • b. de bevoegde autoriteit die de doorgifte doet, bepaalt dat er geen grondrechten en fundamentele vrijheden van de betrokkene zijn die zwaarder wegen dan het openbaar belang dat de doorgifte in dat specifieke geval noodzakelijk maakt;

    • c. de bevoegde autoriteit die de doorgifte doet, is van mening dat de doorgifte aan een autoriteit die in het derde land bevoegd is voor de in artikel 1, eerste lid, bedoelde doeleinden, ondoeltreffend of ongeschikt is, met name omdat de doorgifte niet tijdig kan worden bewerkstelligd;

    • d. de autoriteit die in het derde land bevoegd is voor de in artikel 1, eerste lid, bedoelde doeleinden wordt zonder onnodige vertraging op de hoogte gebracht, tenzij dit ondoeltreffend of ongeschikt is;

    • e. de bevoegde autoriteit die de doorgifte doet, licht de ontvanger in over het nader bepaalde doel of de nader bepaalde doeleinden waarvoor de persoonsgegevens bij uitsluiting door laatstgenoemde mogen worden verwerkt, op voorwaarde dat een dergelijke verwerking noodzakelijk is.

  • 5. Indien een doorgifte als bedoeld in het eerste, tweede of derde lid justitiële gegevens betreft die van een andere lidstaat afkomstig zijn, is onverminderd deze leden toestemming van de bevoegde autoriteit uit die lidstaat voor doorgifte vereist, tenzij doorgifte noodzakelijk is met het oog op het voorkomen van een onmiddellijk en ernstig gevaar voor de openbare veiligheid van een lidstaat of derde land of voor de fundamentele belangen van een lidstaat. De voor het geven van voorafgaande toestemming verantwoordelijke autoriteit wordt onverwijld in kennis gesteld.

  • 6. Justitiële gegevens kunnen door een derde land of internationale organisatie verder worden doorgegeven aan een ander derde land of een andere internationale organisatie, indien de verwerkingsverantwoordelijke die deze gegevens oorspronkelijk had doorgegeven toestemming verleent voor die verdere doorgifte, na alle relevante factoren naar behoren in aanmerking te hebben genomen, waaronder de ernst van de inbreuk, het doel waarvoor de gegevens oorspronkelijk waren doorgegeven en het niveau van gegevensbescherming in het derde land of de internationale organisatie waaraan de persoonsgegevens verder worden doorgegeven.

  • 7. Bij algemene maatregel van bestuur worden nadere regels gesteld over de doorgifte van justitiële gegevens, bedoeld in het eerste tot en met derde en zesde lid, alsmede over de aan het gebruik daarvan te stellen voorwaarden door ontvangstgerechtigde autoriteiten of internationale organen, en over de ontvangst van justitiële gegevens vanuit derde landen.

L

Het opschrift van titel 2, afdeling 3 komt te luiden:

AFDELING 3. RECHTEN VAN DE BETROKKENE

M

Voor artikel 18 worden twee artikelen ingevoegd, luidende:

Artikel 17a

Onze Minister maakt ten minste de volgende informatie toegankelijk voor de betrokkene:

  • a. de identiteit en contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van de functionaris voor gegevensbescherming;

  • b. de doelen van de verwerking waarvoor de justitiële gegevens zijn bestemd;

  • c. het recht een klacht in te dienen bij de Autoriteit persoonsgegevens, en de contactgegevens van die autoriteit;

  • d. de rechten van de betrokkene, bedoeld in de artikelen 18, eerste lid, en 22, eerste en tweede lid.

Artikel 17b

  • 1. Onze Minister verstrekt aan een betrokkene informatie over de verwerking van justitiële gegevens in een beknopte en toegankelijke vorm en in duidelijke en eenvoudige taal. De informatie wordt met passende middelen, waaronder elektronische, verstrekt en in het algemeen in dezelfde vorm als de vorm van het verzoek.

  • 2. Indien de betrokkene verzoekt om inzage, op grond van artikel 18, eerste lid, of rectificatie, bedoeld in artikel 22, eerste en tweede lid, wordt hij schriftelijk in kennis gesteld van de ontvangst van het verzoek, de termijn voor uitsluitsel en de mogelijkheid om naar aanleiding daarvan een klacht in te dienen bij de Autoriteit persoonsgegevens.

  • 3. In specifieke gevallen stelt Onze Minister de volgende informatie ter beschikking aan de betrokkene:

    • a. de rechtsgrondslag van de verwerking;

    • b. de bewaartermijn van de justitiële gegevens;

    • c. in voorkomend geval, de categorieën van de ontvangers van de justitiële gegevens;

    • d. indien noodzakelijk, extra informatie, in het bijzonder wanneer de justitiële gegevens zonder medeweten van de betrokkene worden verzameld;

    • e. het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 7e, eerste lid bedoelde profilering, en nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.

  • 4. De verwerkingsverantwoordelijke kan de verstrekking van informatie, als bedoeld in het derde lid, uitstellen, beperken of achterwege laten voor zover dit een noodzakelijke en evenredige maatregel is in verband met een belang, bedoeld in artikel 21, tweede lid, onderdelen a tot en met e.

N

Artikel 18 wordt als volgt gewijzigd:

a. Het eerste lid komt te luiden:

  • 1. De betrokkene heeft het recht om op diens schriftelijke verzoek van Onze Minister binnen vier weken uitsluitsel te verkrijgen over de al dan niet verwerking van hem betreffende justitiële gegevens en, wanneer dat het geval is, om die justitiële gegevens in te zien en om de volgende informatie te verkrijgen:

    • a. de doelen en de rechtsgrond van de verwerking;

    • b. de betrokken categorie van de gegevens;

    • c. de vraag of de deze persoon betreffende justitiële gegevens gedurende een periode van vier jaar voorafgaande aan het verzoek zijn verstrekt en over de ontvangers of categorieën van ontvangers aan wie de gegevens zijn verstrekt, met name ontvangers in derde landen of internationale organisaties;

    • d. de voorziene periode van opslag of indien dat niet mogelijk is, de criteria om die termijn te bepalen;

    • e. het recht te verzoeken om verbetering, vernietiging of afscherming van de verwerking van hem betreffende persoonsgegevens;

    • f. het recht een klacht in te dienen bij de Autoriteit persoonsgegevens, en de contactgegevens van die autoriteit;

    • g. alle beschikbare informatie over de oorsprong van de verwerking van hem betreffende justitiële gegevens.

b. In het tweede lid wordt na «geen mededelingen in schriftelijke vorm», ingevoegd: over de verwerking van de betrokkene betreffende justitiële gegevens.

c. Het derde lid vervalt.

O

In artikel 19 vervalt het tweede lid alsmede de aanduiding «1.» voor het eerste lid en wordt «deze Afdeling» vervangen door: Afdeling 2.

P

Artikel 20, eerste lid, komt te luiden:

  • 1. Bij de behandeling van verzoeken als bedoeld in de artikelen 18 en 22, eerste lid, draagt Onze Minister zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker. Wanneer Onze Minister redenen heeft om te twijfelen aan de identiteit van de persoon die het verzoek doet, kan hij de nodige aanvullende informatie vragen ter bevestiging van de identiteit van de betrokkene.

Q

De artikelen 21 en 22 komen te luiden:

Artikel 21

  • 1. Indien de betrokkene verzoekt om inzage, op grond van artikel 18, eerste lid, of rectificatie, bedoeld in artikel 22, eerste en tweede lid, wordt hij schriftelijk in kennis gesteld van de ontvangst van het verzoek, de termijn voor uitsluitsel en de mogelijkheid om een klacht in te dienen bij de Autoriteit persoonsgegevens.

  • 2. Een verzoek als bedoeld in artikel 18, eerste lid, of artikel 22, eerste en tweede lid, wordt afgewezen voor zover dit een noodzakelijke en evenredige maatregel is:

    • a. ter vermijding van belemmering van de gerechtelijke onderzoeken of procedures;

    • b. ter vermijding van nadelige gevolgen voor de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen;

    • c. ter bescherming van de openbare veiligheid;

    • d. ter bescherming van de rechten en vrijheden van derden;

    • e. ter bescherming van de nationale veiligheid;

    • f. ingeval van een kennelijk ongegrond of buitensporig verzoek, als bedoeld in artikel 25, tweede lid.

  • 3. Een gehele of gedeeltelijke afwijzing van een verzoek als bedoeld in het eerste lid is schriftelijk en bevat de redenen voor de afwijzing.

Artikel 22

  • 1. De betrokkene heeft het recht op diens schriftelijke verzoek van de verwerkingsverantwoordelijke rectificatie van de hem betreffende justitiële gegevens te verkrijgen en, rekening houdend met het doel van de verwerking, onvolledige justitiële gegevens te laten aanvullen. Het verzoek bevat de aan te brengen wijzigingen.

  • 2. De betrokkene heeft het recht op diens schriftelijke verzoek van de verwerkingsverantwoordelijke zonder onnodige vertraging vernietiging van de hem betreffende justitiële gegevens te verkrijgen, indien de gegevens in strijd met een wettelijk voorschrift worden verwerkt of een wettelijk voorschrift tot vernietiging verplicht.

  • 3. In plaats van vernietiging draagt de verwerkingsverantwoordelijke zorg voor afscherming van justitiële gegevens, als:

    • a. de juistheid van de gegevens door de betrokkene wordt betwist en de juistheid of onjuistheid niet kan worden geverifieerd, in welk geval de verwerkingsverantwoordelijke de betrokkene informeert voordat de afscherming wordt opgeheven, of

    • b. de persoonsgegevens moeten worden bewaard als bewijsmateriaal.

  • 4. De verwerkingsverantwoordelijke stelt de betrokkene binnen vier weken na ontvangst van het verzoek schriftelijk in kennis of, dan wel in hoeverre, hij daaraan voldoet.

  • 5. De verwerkingsverantwoordelijke deelt de rectificatie van de onjuiste justitiële gegevens mede aan de bevoegde autoriteit van wie de gegevens afkomstig zijn.

R

Artikel 23 wordt als volgt gewijzigd:

a. In het eerste lid wordt «artikel 18, 19 of 22» vervangen door: artikel 18 of 22.

b. Het tweede lid komt te luiden:

  • 2. De belanghebbende kan zich binnen de termijn bepaald voor het beroep op grond van de Algemene wet bestuursrecht tot de Autoriteit persoonsgegevens wenden met het verzoek te bemiddelen of te adviseren in zijn geschil met de verwerkingsverantwoordelijke. In dat geval kan in afwijking van artikel 6:7 van de Algemene wet bestuursrecht het beroep nog worden ingesteld nadat de belanghebbende van de Autoriteit persoonsgegevens bericht heeft ontvangen dat de behandeling van de zaak is beëindigd, doch uiterlijk zes weken na dat tijdstip.

S

Artikel 24, eerste lid, komt te luiden:

  • 1. Indien Onze Minister heeft vastgesteld dat onjuiste justitiële gegevens zijn verstrekt, of dat de justitiële gegevens onrechtmatig zijn verstrekt stelt hij de ontvangers onverwijld hiervan in kennis. In dat geval dienen de gegevens te worden gerectificeerd, vernietigd of te worden afgeschermd.

T

Artikel 25 komt te luiden:

Artikel 25

  • 1. De verstrekking van de informatie, bedoeld in de artikelen 18, eerste lid, en 22, eerste lid, geschiedt kosteloos.

  • 2. In het geval van kennelijk ongegronde of buitensporige verzoeken, met name vanwege de geringe tussenpozen tussen opeenvolgende verzoeken, kan Onze Minister weigeren gevolg te geven aan het verzoek.

U

Na artikel 26 worden twee artikelen ingevoegd, luidende:

Artikel 26a

  • 1. Onverminderd bestaande rechtsmiddelen heeft iedere betrokkene het recht een klacht in te dienen bij de Autoriteit persoonsgegevens, indien de betrokkene van mening is dat de verwerking van hem betreffende justitiële gegevens niet in overeenstemming is met het bij of krachtens deze wet bepaalde.

  • 2. Indien de Autoriteit persoonsgegevens niet bevoegd is op grond van artikel 27, eerste lid, zendt zij de klacht zonder onnodige vertraging door aan de autoriteit in een andere lidstaat van de Europese Unie die bevoegd is tot het uitoefenen van het toezicht. De betrokkene wordt van de doorzending in kennis gesteld.

  • 3. Op verzoek van de betrokkene verleent de Autoriteit persoonsgegevens verdere bijstand.

  • 4. De Autoriteit persoonsgegevens faciliteert het indienen van klachten door maatregelen te nemen, zoals het ter beschikking stellen van een klachtformulier dat ook elektronisch kan worden ingevuld, zonder dat andere communicatiemiddelen worden uitgesloten.

  • 5. De Autoriteit persoonsgegevens neemt binnen drie maanden een beslissing op een klacht als bedoeld in het eerste lid. Een beslissing op een klacht geldt als een besluit in de zin van de Algemene wet bestuursrecht.

  • 6. In het geval van een kennelijk ongegronde of buitensporige klacht, met name vanwege de geringe tussenpozen tussen opéénvolgende klachten, kan de Autoriteit persoonsgegevens weigeren gevolg te geven aan de klacht.

Artikel 26b

Een vordering tegen de Autoriteit persoonsgegevens wordt ingesteld bij een gerecht, bedoeld in artikel 2 van de Wet op de rechterlijke organisatie, in Nederland.

V

In het opschrift van afdeling 4 wordt «het toezicht» vervangen door: controle en toezicht.

W

Voor artikel 27 worden zes artikelen ingevoegd, luidende:

Artikel 26c

  • 1. De verwerkingsverantwoordelijke houdt een register bij dat de volgende gegevens bevat:

    • a. de naam en de contactgegevens van de verwerkingsverantwoordelijke en de functionaris voor gegevensbescherming;

    • b. de doelen van de verwerking;

    • c. de categorieën van ontvangers aan wie justitiële gegevens zijn of zullen worden verstrekt, met inbegrip van ontvangers in derde landen of internationale organisaties;

    • d. een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;

    • e. in voorkomend geval, het gebruik van profilering;

    • f. in voorkomend geval, de categorieën van doorgiften van justitiële gegevens aan een derde land of een internationale organisatie;

    • g. een aanwijzing van de rechtsgrondslag van de verwerking, met inbegrip van doorgiften, waarvoor de justitiële gegevens bedoeld zijn;

    • h. zo mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens worden verwijderd of vernietigd;

    • i. zo mogelijk, een algemene beschrijving van de technische en organisatorische maatregelen ter beveiliging, bedoeld in artikel 7.

  • 2. De verwerker houdt een register bij dat de volgende gegevens bevat:

    • a. de naam en de contactgegevens van de verwerker of verwerkers en van iedere verwerkingsverantwoordelijke ten behoeve van wie de verwerker handelt en, in voorkomend geval, van de functionaris voor gegevensbescherming;

    • b. de categorieën van verwerkingen die namens iedere verwerkingsverantwoordelijke zijn uitgevoerd;

    • c. indien van toepassing, doorgiften van justitiële gegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie, indien daartoe door de verwerkingsverantwoordelijke uitdrukkelijk geïnstrueerd;

    • d. indien mogelijk, een algemene beschrijving van de technische en organisatorische maatregelen, bedoeld in artikel 7.

Artikel 26d

  • 1. De verwerkingsverantwoordelijke draagt zorg voor de schriftelijke vastlegging van:

    • a. de feitelijke of juridische redenen die ten grondslag liggen aan een beslissing tot afwijzing op een verzoek tot inzage of rectificatie;

    • b. de verstrekking of doorgifte van justitiële gegevens, bedoeld in artikel 16b, tweede lid, onderdeel b, derde en vierde lid;

    • c. een inbreuk op de beveiliging van justitiële gegevens, inclusief de feiten omtrent de inbreuk, de gevolgen ervan en de maatregelen die zijn getroffen ter correctie.

  • 2. Bij de doorgifte van justitiële gegevens aan een verwerkingsverantwoordelijke in een derde land of van een internationale organisatie omvat de schriftelijke vastlegging de datum en tijd van doorgifte, informatie over de ontvangende bevoegde autoriteit, de reden van doorgifte en de doorgegeven gegevens.

Artikel 26e

  • 1. De verwerkingsverantwoordelijke en de verwerker dragen zorg voor de vastlegging langs elektronische weg (logging) van ten minste de volgende verwerkingen van justitiële gegevens in geautomatiseerde systemen: het verzamelen, wijzigen, raadplegen, verstrekken onder meer in de vorm van doorgiften, combineren en vernietigen van justitiële gegevens.

  • 2. De vastgelegde gegevens, bedoeld in het eerste lid, worden uitsluitend gebruikt voor de controle van de rechtmatigheid van de gegevensverwerking, voor interne controles, ter waarborging van de integriteit en de beveiliging van de justitiële gegevens en voor strafrechtelijke procedures.

Artikel 26f

  • 1. De verwerkingsverantwoordelijke benoemt een functionaris voor gegevensbescherming. Voor verschillende bevoegde autoriteiten kan, rekening houdend met hun organisatiestructuur en omvang, één functionaris voor gegevensbescherming worden aangewezen. De functionaris voor gegevensbescherming wordt door de verwerkingsverantwoordelijke tijdig en naar behoren betrokken bij alle aangelegenheden die verband houden met de bescherming van justitiële gegevens.

  • 2. De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de taken, bedoeld in het derde lid, te vervullen.

  • 3. De functionaris voor gegevensbescherming is tenminste belast met de volgende taken:

    • a. het informeren en adviseren van de verwerkingsverantwoordelijke en het onder hem ressorterend personeel dat justitiële gegevens verwerkt over hun verplichtingen op grond van het bepaalde bij of krachtens deze wet en andere gegevensbeschermingsbepalingen op grond van het Unierecht of het Nederlandse recht;

    • b. het toezien op de naleving van het bepaalde bij of krachtens deze wet, van andere gegevensbeschermingsbepalingen van het Unierecht of het Nederlandse recht en van het beleid van de verwerkingsverantwoordelijke met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het voor de verwerkingsverantwoordelijke werkzame personeel dat betrokken is bij de verwerking van justitiële gegevens en de betreffende audits;

    • c. het desgevraagd verstrekken van advies over de effectbeoordeling, bedoeld in artikel 7b, en het toezien op de uitvoering ervan;

    • d. het samenwerken met de Autoriteit persoonsgegevens;

    • e. het optreden als contactpunt voor de Autoriteit persoonsgegevens inzake aangelegenheden in verband met de verwerking van persoonsgegevens en, voor zover dienstig, plegen van overleg over enige andere aangelegenheid.

  • 4. De functionaris voor de gegevensbescherming stelt jaarlijks een verslag op van zijn bevindingen.

  • 5. De verwerkingsverantwoordelijke maakt de contactgegevens van de functionaris voor gegevensbescherming openbaar en meldt hem aan bij de Autoriteit persoonsgegevens.

  • 6. De verwerkingsverantwoordelijke ondersteunt de functionaris voor gegevensbescherming bij de vervulling van zijn taken door hem toegang te verschaffen tot persoonsgegevens en stelt de functionaris voor gegevensbescherming de benodigde middelen ter beschikking voor het vervullen van de taken, bedoeld in het derde lid, en het in standhouden van zijn deskundigheid.

Artikel 26g

  • 1. De verwerkingsverantwoordelijke meldt een inbreuk op de beveiliging onverwijld en uiterlijk binnen 72 uur nadat hij ervan kennis heeft genomen aan de Autoriteit persoonsgegevens, tenzij het niet waarschijnlijk is dat de inbreuk een risico voor de rechten en vrijheden van personen met zich meebrengt. In het geval de melding na 72 uur wordt gedaan, gaat deze vergezeld van een motivering voor de vertraging.

  • 2. De melding, bedoeld in het eerste lid, bevat ten minste de volgende informatie:

    • a. een beschrijving van de aard en omvang van de inbreuk, bedoeld in het eerste lid, waaronder begrepen, waar mogelijk, de categorieën van betrokkenen en van gegevensbestanden en, bij benadering, het aantal betrokkenen en gegevensbestanden.

    • b. de mededeling van de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;

    • c. een beschrijving van de waarschijnlijke gevolgen van de inbreuk, bedoeld in het eerste lid;

    • d. een beschrijving van de voorgestelde of uitgevoerde maatregelen om de inbreuk, bedoeld in het eerste lid, te beëindigen en, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen ervan.

  • 3. Voor zover het niet mogelijk is de informatie, bedoeld in het tweede lid, gelijktijdig te verstrekken, kan deze zonder onnodige vertraging in stappen worden verstrekt.

  • 4. De verwerkingsverantwoordelijke deelt een inbreuk op de beveiliging met betrekking tot justitiële gegevens, die zijn doorgezonden door of aan een verwerkingsverantwoordelijke van een andere lidstaat, zonder onnodige vertraging mee aan de verwerkingsverantwoordelijke van deze lidstaat.

  • 5. De verwerkingsverantwoordelijke deelt een inbreuk op de beveiliging mede aan de betrokkene als deze inbreuk waarschijnlijk een hoog risico voor de rechten en vrijheden van personen met zich meebrengt. De mededeling bevat een omschrijving van de aard van de inbreuk op de beveiliging en ten minste de informatie, bedoeld in het tweede lid, onderdelen b, c en d.

  • 6. De mededeling aan de betrokkene, bedoeld in het vijfde lid, is niet vereist wanneer:

    • a. de verwerkingsverantwoordelijke passende technische en organisatorische beschermingsmaatregelen heeft getroffen en deze maatregelen zijn toegepast op de justitiële gegevens waarop de inbreuk, bedoeld in het eerste lid, betrekking heeft;

    • b. de verwerkingsverantwoordelijke maatregelen heeft getroffen om ervoor te zorgen dat het hoge risico, bedoeld in het eerste lid, zich waarschijnlijk niet meer zal voordoen, of

    • c. de mededeling een onevenredige inspanning zou vergen. In dat geval volgt een openbare mededeling of vergelijkbare maatregel waarmee de betrokkenen even doeltreffend worden geïnformeerd.

  • 7. De mededeling aan de betrokkene kan worden uitgesteld, beperkt of achterwege gelaten vanwege de gronden, bedoeld in artikel 21, tweede lid.

  • 8. De melding door een verwerkingsverantwoordelijke aan een betrokkene van een inbreuk op de beveiliging, geschiedt kosteloos.

Artikel 26h

  • 1. De Autoriteit persoonsgegevens wordt door de verwerkingsverantwoordelijke of de verwerker geraadpleegd over de voorgenomen verwerking van justitiële gegevens, die in een nieuw gegevensbestand zullen worden opgenomen, wanneer:

    • a. de aard van de verwerking, in het bijzonder met gebruikmaking van nieuwe technologieën, mechanismen of procedures, een hoog risico voor de rechten en vrijheden van de betrokkene met zich meebrengt;

    • b. uit een gegevensbeschermingseffectbeoordeling, bedoeld in artikel 7b, blijkt dat de verwerking een hoog risico zou opleveren als de verwerkingsverantwoordelijke geen maatregelen treft om het risico te beperken.

  • 2. De Autoriteit persoonsgegevens kan een lijst opstellen van de verwerkingen waarvoor raadpleging, overeenkomstig het eerste lid, vereist is.

  • 3. De verwerkingsverantwoordelijke verstrekt de Autoriteit persoonsgegevens de gegevensbeschermingseffectbeoordeling, bedoeld in artikel 7b, en, desgevraagd alle andere informatie op grond waarvan de Autoriteit persoonsgegevens de conformiteit van de verwerking en met name de risico’s voor de bescherming van persoonsgegevens van de betrokkene en de betrokken waarborgen kan beoordelen.

  • 4. Wanneer de Autoriteit persoonsgegevens van oordeel is dat de voorgenomen verwerking van justitiële gegevens, bedoeld in het eerste lid, niet voldoet aan het bij of krachtens deze wet bepaalde, geeft zij binnen een termijn van ten hoogste zes weken schriftelijk advies aan de verwerkingsverantwoordelijke en, in voorkomend geval, aan de verwerker. De advisering geschiedt kosteloos.

  • 5. De termijn, bedoeld in het vierde lid, kan, rekening houdend met de complexiteit van de voorgenomen verwerking, worden verlengd met een maand. In dit geval wordt de verwerkingsverantwoordelijke en, in voorkomend geval, de verwerker, binnen een maand na de ontvangst van het verzoek in kennis gesteld van de verlenging en de redenen daarvoor.

X

Artikel 27 komt te luiden:

Artikel 27

  • 1. De Autoriteit persoonsgegevens, bedoeld in artikel 6, eerste lid, van de Uitvoeringswet Algemene verordening gegevensbescherming, ziet in het Europese deel van Nederland toe op de verwerking van justitiële gegevens overeenkomstig het bij en krachtens deze wet bepaalde.

  • 2. Artikel 16 van de Uitvoeringswet algemene verordening gegevensbescherming is van overeenkomstige toepassing.

  • 3. De artikelen 35a, 35b en 35d, van de Wet politiegegevens zijn van overeenkomstige toepassing op justitiële gegevens.

  • 4. De Autoriteit persoonsgegevens is bevoegd:

    • a. de verwerkingsverantwoordelijke of de verwerker te waarschuwen dat met de voorgenomen verwerkingen waarschijnlijk een inbreuk wordt gemaakt op het bij of krachtens deze wet bepaalde;

    • b. een last onder bestuursdwang op te leggen ter handhaving van het bij of krachtens deze wet bepaalde;

    • c. een bestuurlijke boete op te leggen indien de verwerkingsverantwoordelijke handelt in strijd met hetgeen is bepaald bij of krachtens:

      • de artikelen 7, 7a, 7b, 7d, 26c, 26f, 26g en 26h, van ten hoogste het bedrag van de geldboete van de vijfde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht de artikelen 19 en 26g van ten hoogste het bedrag van de geldboete van de vijfde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht;

      • de artikelen 7e, 17a, 17b, 18, 22 en 24, van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht;

    • d. een advies te verstrekken aan de verwerkingsverantwoordelijke naar aanleiding van een voorafgaande raadpleging, bedoeld in artikel 26h;

    • e. de verwerkingsverantwoordelijke te verplichten een inbreuk in verband met persoonsgegevens te melden aan de betrokkene.

  • 5. Bij het besluit over het opleggen van een bestuurlijke boete, bedoeld in het vierde lid, en over de hoogte daarvan wordt voor elk concreet geval naar behoren rekening gehouden met:

    • a) de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;

    • b) de opzettelijke of nalatige aard van de inbreuk;

    • c) de door de verwerkingsverantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken;

    • d) de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 4a en 4b;

    • e) eerdere relevante inbreuken door de verwerkingsverantwoordelijke of de verwerker;

    • f) de mate waarin er met de Autoriteit persoonsgegevens is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken;

    • g) de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft;

    • h) de wijze waarop de Autoriteit persoonsgegevens kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de verwerkingsverantwoordelijke of de verwerker de inbreuk heeft gemeld;

    • i. de naleving van de in het eerste lid genoemde maatregelen, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke of de verwerker in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen.

  • 6. De werking van de beschikking tot oplegging van de bestuurlijke boete, bedoeld in het vierde lid, onder c, wordt opgeschort totdat de bezwaar- of beroepstermijn is verstreken of, indien bezwaar is gemaakt respectievelijk beroep is ingesteld, op het bezwaar respectievelijk het beroep is beslist.

  • 7. De bevoegdheden, bedoeld in het vierde lid, onderdelen d en e, gelden als een besluit in de zin van de Algemene wet bestuursrecht.

Y

In artikel 36, eerste lid, wordt «artikel 21» vervangen door: artikel 21, eerste lid, onderdeel e,

Z

In artikel 38, derde lid, wordt «dan wel artikel 36 van de Wet bescherming persoonsgegevens» vervangen door: te doen, dan wel het recht op rectificatie, bedoeld in artikel 16 van de Algemene verordening gegevensbescherming, uit te oefenen.

AA

In artikel 39a wordt «verantwoordelijke» vervangen door: verwerkingsverantwoordelijke.

AB

In artikel 39b worden het tweede en derde lid vervangen door een nieuw lid, luidende:

  • 2. De verwerkingsverantwoordelijke maakt in voorkomend geval en voor zover mogelijk een duidelijk onderscheid tussen strafvorderlijke gegevens betreffende verschillende categorieën van betrokkenen, zoals:

    • a. personen ten aanzien van wie gegronde vermoedens bestaan dat zij een strafbaar feit hebben gepleegd of zullen plegen;

    • b. slachtoffers van een strafbaar feit, of personen ten aanzien van wie op basis van bepaalde feiten wordt vermoed dat zij slachtoffer kunnen worden van een strafbaar feit;

    • c. derden, zoals getuigen of personen die anderszins informatie kunnen verstrekken over strafbare feiten, of personen die contact hebben of banden onderhouden met één van de personen als bedoeld onder a of d;

    • d. personen die voor een strafbaar feit zijn veroordeeld.

AC

Artikel 39c komt te luiden:

Artikel 39c

  • 1. De artikelen 3, 7, 7a, 7b, 7d tot en met 7f, zijn van overeenkomstige toepassing, met dien verstande dat daar waar in deze artikelen wordt gesproken over «Onze Minister» «het College van procureurs-generaal» wordt gelezen.

  • 2. Strafvorderlijke gegevens worden slechts verwerkt, voorzover dit behoorlijk en rechtmatig is en de gegevens, gelet op de doeleinden waarvoor zij worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn.

  • 3. De verwerking van strafvorderlijke gegevens waaruit ras, etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakbond blijkt, en de verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een natuurlijke persoon, of gegevens over gezondheid, seksuele leven en seksuele gerichtheid vindt slechts plaats voor zover dit voor het doel van de verwerking onvermijdelijk is, in aanvulling op de verwerking van andere strafvorderlijke gegevens betreffende de persoon en de gegevens afdoende zijn beveiligd

  • 4. Een besluit uitsluitend gebaseerd op geautomatiseerde verwerking als bedoeld in artikel 7e, eerste lid, wordt niet gebaseerd op de categorieën van strafvorderlijke gegevens, bedoeld in het derde lid, tenzij de Autoriteit persoonsgegevens over de voorgenomen verwerking is geraadpleegd, overeenkomstig artikel 26h, eerste lid.

  • 5. Profilering die leidt tot discriminatie van personen is verboden.

AD

Artikel 39e wordt als volgt gewijzigd:

a. In het eerste lid, onderdeel a, vervalt: en rechterlijke ambtenaren van Aruba, Curaçao, Sint Maarten, Bonaire, Sint Eustatius en Saba.

b. In het eerste lid, onderdeel h, wordt «verantwoordelijken» vervangen door: verwerkingsverantwoordelijken.

c. Onder de vervanging van een puntkomma aan het slot van het eerste lid, onderdeel i, door een punt vervalt het eerste lid, onderdeel j.

d. Het derde tot en met vijfde lid vervallen onder vernummering van het zesde tot het derde lid.

e. Het derde lid (nieuw) komt te luiden:

  • 3. Artikel 9, eerste lid, tweede volzin is van overeenkomstige toepassing.

AE

Artikel 39f, derde lid, komt te luiden:

  • 3. Artikel 9, eerste lid, tweede volzin, is van overeenkomstige toepassing.

AF

Na artikel 39g wordt een artikel ingevoegd, luidende:

Artikel 39ga

  • 1. Het College van procureurs-generaal kan ten behoeve van de strafrechtspleging met overeenkomstige toepassing van artikel 16a, strafvorderlijke gegevens ter beschikking stellen aan de bevoegde autoriteit van een andere lidstaat van de Europese Unie of aan organen en instanties die zijn opgericht krachtens de hoofdstukken 4 en 5 van titel V van het Verdrag betreffende de werking van de Europese Unie, die zijn belast met taken van rechtshandhaving, voor zover dat voortvloeit uit een rechtsinstrument op grond van het verdrag betreffende de werking van de Europese Unie.

  • 2. Het College van procureurs-generaal kan met overeenkomstige toepassing van artikel 16a, strafvorderlijke gegevens verstrekken aan rechterlijke ambtenaren dan wel aan een andere bevoegde autoriteit in een derde land of aan een internationale organisatie.

AG

Het opschrift van titel 2A, afdeling 3 komt te luiden:

AFDELING 3. RECHTEN VAN DE BETROKKENE

AH

Voor artikel 39i wordt een artikel ingevoegd, luidende:

Artikel 39ha

  • 1. Het College van procureurs-generaal maakt ten minste de volgende informatie toegankelijk voor de betrokkene:

    • a. de identiteit en contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van de functionaris voor gegevensbescherming;

    • b. de doelen van de verwerking waarvoor de strafvorderlijke gegevens zijn bestemd;

    • c. het recht een klacht in te dienen bij de Autoriteit persoonsgegevens, en de contactgegevens van die autoriteit;

    • d. de rechten van betrokkene, bedoeld in de artikelen 39i, eerste lid, en 39m, eerste lid.

  • 2. Artikel 17b is van overeenkomstige toepassing, met dien verstande dat daar waar in dit artikel wordt gesproken over «Onze Minister» wordt gelezen «het College van procureurs-generaal».

  • 3. De verstrekking van informatie, bedoeld in de artikelen 17b, 39i, eerste lid, en 39m, eerste lid, vindt plaats overeenkomstig de artikelen 30 tot en met 34, van het Wetboek van Strafvordering als de gegevens in een processtuk worden verwerkt.

AI

Artikel 39i komt te luiden:

Artikel 39i

  • 1. De betrokkene heeft het recht om op diens schriftelijke verzoek van het College van procureurs-generaal uitsluitsel te krijgen over de al dan niet verwerking van hem betreffende strafvorderlijke gegevens en, wanneer dat het geval is, om die strafvorderlijke gegevens in te zien en om de volgende informatie te verkrijgen:

    • a. de doelen en de rechtsgrond van de verwerking;

    • b. de betrokken categorie van de gegevens;

    • c. de vraag of de deze persoon betreffende strafvorderlijke gegevens gedurende een periode van vier jaar voorafgaande aan het verzoek overeenkomstig de artikelen 39e, 39f en 39ga zijn verstrekt en over de ontvangers of categorieën van ontvangers aan wie de gegevens zijn verstrekt, met name ontvangers in derde landen of internationale organisaties;

    • d. de voorziene periode van opslag of indien dat niet mogelijk is, de criteria om die termijn te bepalen;

    • e. het recht te verzoeken om verbetering, vernietiging of beperking van de verwerking van hem betreffende persoonsgegevens;

    • f. het recht een klacht in te dienen bij de Autoriteit persoonsgegevens, en de contactgegevens van die autoriteit;

    • g. de herkomst, voor zover beschikbaar, van de verwerking van hem betreffende strafvorderlijke gegevens.

  • 2. Het College van procureurs-generaal geeft op een verzoek als bedoeld in het eerste lid, binnen zes weken uitsluitsel, met uitzondering van het deel van het verzoek om inlichtingen, bedoeld in het eerste lid, onderdeel c. Het College van procureurs-generaal kan zijn beslissing voor ten hoogste vier weken verdagen, dan wel voor ten hoogste zes weken indien blijkt dat bij verschillende parketten strafvorderlijke gegevens over de verzoeker worden verwerkt. Van de verdaging wordt schriftelijk mededeling gedaan.

  • 3. Op het deel van een verzoek om inlichtingen, bedoeld in het eerste lid, onderdeel c, geeft het College van procureurs-generaal binnen vier weken uitsluitsel.

AJ

In artikel 39j vervalt het tweede lid alsmede de aanduiding «1.» voor het eerste lid en wordt «de artikelen 39e en 39f» vervangen door: de artikelen 39e, 39f en 39ga.

AK

Artikel 39k, eerste lid, komt te luiden:

  • 1. Bij de behandeling van een verzoek als bedoeld in artikel 39i, eerste lid, draagt het College van procureurs-generaal zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker. Wanneer het College van procureurs-generaal redenen heeft om te twijfelen aan de identiteit van de persoon die het verzoek doet, kan hij de nodige aanvullende informatie vragen ter bevestiging van de identiteit van de betrokkene.

AL

Artikel 39l komt te luiden:

Artikel 39l

  • 1. Indien de betrokkene verzoekt om inzage, op grond van artikel 39i, eerste lid, of rectificatie, bedoeld in artikel 39m, eerste lid, wordt hij schriftelijk in kennis gesteld van de ontvangst van het verzoek, de termijn voor uitsluitsel en de mogelijkheid om naar aanleiding daarvan een klacht in te dienen bij de Autoriteit persoonsgegevens.

  • 2. Een verzoek als bedoeld in de artikelen 39i, eerste lid, en 39m, eerste lid, wordt afgewezen, voor zover het onthouden van inzage of het achterwege laten van rectificatie een noodzakelijke en evenredige maatregel is gelet op één of meer van de gronden, bedoeld in artikel 21, tweede lid.

  • 3. De gehele of gedeeltelijke afwijzing van een verzoek als bedoeld in het eerste lid is schriftelijk.

AM

Artikel 39m wordt als volgt gewijzigd:

a. Onder vernummering van het tweede en derde lid tot het vijfde en zesde lid, komen het eerste tot en met derde lid te luiden:

  • 1. De betrokkene heeft het recht op diens schriftelijke verzoek van de verwerkingsverantwoordelijke rectificatie van de hem betreffende strafvorderlijke gegevens te verkrijgen, en rekening houdend met het doel van de verwerking, onvolledige strafvorderlijke gegevens te laten aanvullen. Het verzoek bevat de aan te brengen wijzigingen.

  • 2. De betrokkene heeft het recht op diens schriftelijke verzoek van de verwerkingsverantwoordelijke zonder onnodige vertraging vernietiging van de hem betreffende strafvorderlijke gegevens te verkrijgen, indien de gegevens in strijd met een wettelijk voorschrift worden verwerkt of een wettelijk voorschrift tot vernietiging verplicht.

  • 3. In plaats van vernietiging draagt de verwerkingsverantwoordelijke zorg voor afscherming van strafvorderlijke gegevens, indien:

    • a. de juistheid van de strafvorderlijke gegevens door de betrokkene wordt betwist en de juistheid of onjuistheid niet kan worden geverifieerd, in welk geval de verwerkingsverantwoordelijke de betrokkene informeert voordat de beperking van de verwerking wordt opgeheven, of

    • b. de persoonsgegevens moeten worden bewaard als bewijsmateriaal.

b. Na het derde lid wordt een nieuw lid ingevoegd, luidende:

  • 4. De verwerkingsverantwoordelijke stelt de betrokkene binnen vier weken schriftelijk in kennis met betrekking tot de opvolging van zijn verzoek.

c. In het vijfde lid (nieuw) wordt «tweede en derde lid» vervangen door: vijfde lid.

d. In het zesde lid (nieuw) wordt «verantwoordelijke» vervangen door «verwerkingsverantwoordelijke» en wordt «verwijdering» vervangen door: vernietiging.

AN

Artikel 39n wordt als volgt gewijzigd:

a. In het eerste lid wordt «artikel 39i, 39j of 39m» vervangen door: artikel 39i of 39m.

b. Het tweede lid komt te luiden:

  • 2. De belanghebbende kan zich binnen de termijn bepaald voor het beroep op grond van de Algemene wet bestuursrecht tot de Autoriteit persoonsgegevens wenden met het verzoek te bemiddelen of te adviseren in zijn geschil met de verwerkingsverantwoordelijke. In dat geval kan in afwijking van artikel 6:7 van de Algemene wet bestuursrecht het beroep nog worden ingesteld nadat de belanghebbende van de Autoriteit persoonsgegevens bericht heeft ontvangen dat de behandeling van de zaak is beëindigd, doch uiterlijk zes weken na dat tijdstip.

AO

Artikel 39o komt te luiden:

Artikel 39o

Artikel 24 is van overeenkomstige toepassing op strafvorderlijke gegevens.

AP

Artikel 39p komt te luiden:

Artikel 39p

  • 1. De verstrekking van de informatie, bedoeld in de artikelen 39i, eerste lid, en 39m, eerste lid, geschiedt kosteloos.

  • 2. In het geval van een kennelijk ongegrond of buitensporig verzoek, met name vanwege de geringe tussenpozen tussen opéénvolgende verzoeken, kan het College van procureurs-generaal voor de verstrekking van de informatie, bedoeld in het eerste lid, weigeren gevolg te geven aan het verzoek.

AQ

Het opschrift van titel 2A, afdeling 4 komt te luiden:

AFDELING 4. BEPALINGEN BETREFFENDE KLACHTEN, CONTROLE EN TOEZICHT

AR

Artikel 39r komt te luiden:

Artikel 39r

  • 1. De artikelen 26a tot en met 26h en 27, eerste en tweede lid, zijn van overeenkomstige toepassing op strafvorderlijke gegevens.

  • 2. De artikelen 35a, 35b en 35d, van de Wet politiegegevens zijn van overeenkomstige toepassing op strafvorderlijke gegevens.

  • 3. De Autoriteit persoonsgegevens is bevoegd:

    • a. de verwerkingsverantwoordelijke of de verwerker te waarschuwen dat met de voorgenomen verwerkingen waarschijnlijk een inbreuk wordt gemaakt op het bij of krachtens deze wet bepaalde;

    • b. een last onder bestuursdwang op te leggen ter handhaving van het bij of krachtens deze wet bepaalde;

    • c. een bestuurlijke boete op te leggen indien de verwerkingsverantwoordelijke handelt in strijd met hetgeen is bepaald bij of krachtens:

      • de artikelen 39c, eerste lid, voor wat betreft de overeenkomstige toepassing van de artikelen 7, 7a, 7b en 7d in dat lid, en 39r, eerste lid, voor wat betreft de overeenkomstige toepassing van de artikelen 26c, 26g en 26h, van ten hoogste het bedrag van de geldboete van de vijfde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht;

      • de artikelen 39c, eerste lid, voor wat betreft de overeenkomstige toepassing van artikel 7e in dat lid, 17a, 17b, 18, 22 en 24, van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht;

    • d. een advies te verstrekken aan de verwerkingsverantwoordelijke naar aanleiding van een voorafgaande raadpleging, bedoeld in artikel 26h;

    • e. de verwerkingsverantwoordelijke te verplichten een inbreuk in verband met persoonsgegevens te melden aan de betrokkene.

  • 4. Artikel 27, vijfde lid, is van overeenkomstige toepassing.

  • 5. De werking van de beschikking tot oplegging van de bestuurlijke boete, bedoeld in het derde lid, onder c, wordt opgeschort totdat de bezwaar- of beroepstermijn is verstreken of, indien bezwaar is gemaakt respectievelijk beroep is ingesteld, op het bezwaar respectievelijk het beroep is beslist.

  • 6. De bevoegdheden, bedoeld in het derde lid, onderdelen d en e, gelden als een besluit in de zin van de Algemene wet bestuursrecht.

AS

Artikel 40, derde lid, komt te luiden:

  • 3. De artikelen 3, 7, 7a, 7b, 7d tot en met 7f en 39c, tweede tot en met vijfde lid, zijn van overeenkomstige toepassing op persoonsgegevens in persoonsdossiers.

AT

In artikel 42, tweede lid, vervallen de onderdelen a, b en c en wordt «rapporten aan:» vervangen door: rapporten aan Nederlandse rechterlijke ambtenaren.

AU

Na artikel 42 worden twee artikelen ingevoegd, luidende:

Artikel 42a

  • 1. Onze Minister kan met overeenkomstige toepassing van artikel 16a, afschriften van de in een persoonsdossier opgenomen rapporten ter beschikking stellen aan de bevoegde autoriteit van een andere lidstaat van de Europese Unie of aan organen of instanties die zijn opgericht krachtens de hoofdstukken 4 en 5 van titel V van het Verdrag betreffende de werking van de Europese Unie, die zijn belast met taken van rechtshandhaving, voor zover dat voortvloeit uit een rechtsinstrument op grond van het Verdrag betreffende de werking van de Europese Unie.

  • 2. Onze Minister kan met overeenkomstige toepassing van artikel 16b, afschriften van de in een persoonsdossier opgenomen rapporten doorgeven aan rechterlijke ambtenaren dan wel aan een andere bevoegde autoriteit in een derde land of aan een internationale organisatie, ten behoeve van de strafrechtspleging.

Artikel 42b

  • 1. Onze Minister maakt ten minste de volgende informatie toegankelijk voor betrokkene:

    • a. de identiteit en contactgegevens van de verwerkingsverantwoordelijke en, in voorkomend geval, van de functionaris voor gegevensbescherming;

    • b. de doelen van de verwerking waarvoor de verwerking van de betrokkene betreffende rapporten in persoonsdossiers zijn bestemd;

    • c. het recht een klacht in te dienen bij de Autoriteit persoonsgegevens, en de contactgegevens van die autoriteit;

    • d. de rechten van betrokkene, bedoeld in de artikelen 43, eerste lid, en 46, eerste lid.

  • 2. Artikel 17b is van overeenkomstige toepassing.

AV

Artikel 43 wordt als volgt gewijzigd:

a. Het eerste lid komt te luiden:

  • 1. De betrokkene heeft het recht om op diens schriftelijke verzoek binnen vier weken van Onze Minister uitsluitsel te krijgen over de al dan niet verwerking van hem betreffende rapporten in de persoonsdossiers in de documentatie persoonsdossiers en, wanneer dat het geval is, om die rapporten in te zien en hierover de informatie, bedoeld in artikel 18, onderdelen a tot en met g, te verkrijgen.

b. In het tweede lid wordt «Hij doet» vervangen door: Onze Minister doet.

c. Het derde lid vervalt.

AW

Artikel 44, tweede lid, komt te luiden:

  • 2. Indien een verzoek als bedoeld in artikel 43 zich uitstrekt tot het verkrijgen van informatie over de verstrekking van afschriften uit persoonsdossiers, deelt Onze Minister binnen vier weken aan verzoeker mede of hem betreffende afschriften van rapporten uit de persoonsdossiers in het jaar voorafgaande aan het verzoek overeenkomstig artikel 42 en 42a zijn verstrekt.

AX

In artikel 45 vervalt: en het tweede lid van artikel 44.

AY

Artikel 46 komt te luiden:

Artikel 46

  • 1. Degene aan wie overeenkomstig artikel 43 uitsluitsel is gegeven van hem betreffende rapporten, heeft het recht op diens schriftelijke verzoek van Onze Minister rectificatie van de hem betreffende persoonsgegevens in deze rapporten te verkrijgen, en rekening houdend met het doel van de verwerking onvolledige persoonsgegevens te laten aanvullen. Het verzoek bevat de aan te brengen wijzigingen.

  • 2. De betrokkene heeft het recht op diens schriftelijke verzoek van de verwerkingsverantwoordelijke zonder onnodige vertraging vernietiging van de hem betreffende persoonsgegevens in persoonsdossiers te verkrijgen, indien de gegevens in strijd met een wettelijk voorschrift worden verwerkt of een wettelijk voorschrift tot vernietiging verplicht.

  • 3. In plaats van vernietiging draagt de verwerkingsverantwoordelijke zorg voor het afschermen van rapporten uit een persoonsdossier als:

    • a. de juistheid van die rapporten door de betrokkene wordt betwist en de juistheid of onjuistheid niet kan worden geverifieerd, in welk geval de verwerkingsverantwoordelijke de betrokkene informeert voordat de afscherming wordt opgeheven, of

    • b. de persoonsgegevens moeten worden bewaard als bewijsmateriaal.

  • 4. De verwerkingsverantwoordelijke stelt de betrokkene binnen vier weken schriftelijk in kennis met betrekking tot de opvolging van zijn verzoek.

  • 5. Artikel 22, vijfde lid, is van overeenkomstige toepassing.

AZ

Na artikel 46 wordt een artikel ingevoegd, luidende:

Artikel 46a

  • 1. Indien de betrokkene verzoekt om inzage op grond van artikel 43, eerste lid, of rectificatie, bedoeld in artikel 46, eerste lid, wordt hij schriftelijk in kennis gesteld van de ontvangst van het verzoek, de termijn voor uitsluitsel en de mogelijkheid om naar aanleiding daarvan een klacht in te dienen bij de Autoriteit persoonsgegevens.

  • 2. Artikel 21, eerste en tweede lid, is van overeenkomstige toepassing.

BA

Artikel 47 wordt als volgt gewijzigd:

a. In het eerste lid wordt «artikel 44» vervangen door: artikel 43.

b. Het tweede lid komt te luiden:

  • 2. Artikel 23, tweede lid, is van overeenkomstige toepassing.

BB

Artikel 48 komt te luiden:

Artikel 48

Artikel 24 is van overeenkomstige toepassing op rapporten uit een persoonsdossier.

BC

Artikel 49 komt te luiden:

Artikel 49

  • 1. De verstrekking van de informatie, bedoeld in de artikelen 43, eerste lid, en 46, eerste lid geschiedt kosteloos.

  • 2. In het geval van een kennelijk ongegrond of buitensporig verzoek, met name vanwege de geringe tussenpozen tussen opéénvolgende verzoeken, kan Onze Minister weigeren gevolg te geven aan het verzoek.

BD

Artikel 51 komt te luiden:

Artikel 51

  • 1. De artikelen 26a tot en met 26h en 27, eerste en tweede lid, zijn van overeenkomstige toepassing op persoonsgegevens in persoonsdossiers.

  • 2. De artikelen 35a, 35b en 35d, van de Wet politiegegevens zijn van overeenkomstige toepassing persoonsgegevens in persoonsdossiers.

  • 3. De Autoriteit persoonsgegevens is bevoegd:

    • a. de verwerkingsverantwoordelijke of de verwerker te waarschuwen dat met de voorgenomen verwerkingen waarschijnlijk een inbreuk wordt gemaakt op het bij of krachtens deze wet bepaalde;

    • b. een last onder bestuursdwang op te leggen ter handhaving van het bij of krachtens deze wet bepaalde;

    • c. een bestuurlijke boete op te leggen indien de verwerkingsverantwoordelijke handelt in strijd met hetgeen is bepaald bij of krachtens:

      • de artikelen 40a, derde lid, voor wat betreft de overeenkomstige toepassing van de artikelen 7, 7a, 7b en 7d in dat lid, en het eerste lid, voor wat betreft de overeenkomstige toepassing van de artikelen 26c, 26f, 26g en 26h in dat lid, van ten hoogste het bedrag van de geldboete van de vijfde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht;

      • de artikelen 40a, derde lid, voor wat betreft de overeenkomstige toepassing van artikel 7e in dat lid, 42b, 43, 46, 48, van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht;

    • d. een advies te verstrekken aan de verwerkingsverantwoordelijke naar aanleiding van een voorafgaande raadpleging, bedoeld in artikel 26h, over een voorgenomen verwerking van persoonsgegevens in een persoonsdossier;

    • e. de verwerkingsverantwoordelijke te verplichten een inbreuk in verband met persoonsgegevens te melden aan de betrokkene.

  • 4. Artikel 27, vijfde lid, is van overeenkomstige toepassing.

  • 5. De werking van de beschikking tot oplegging van de bestuurlijke boete, bedoeld in het derde lid, onder c, wordt opgeschort totdat de bezwaar- of beroepstermijn is verstreken of, indien bezwaar is gemaakt respectievelijk beroep is ingesteld, op het bezwaar respectievelijk het beroep is beslist.

  • 6. De bevoegdheden, bedoeld in het derde lid, onderdelen d en e, gelden als een besluit in de zin van de Algemene wet bestuursrecht.

BE

Na artikel 51 worden twee titels ingevoegd, luidende:

TITEL 3A DE VERWERKING VAN TENUITVOERLEGGINGSGEGEVENS

Artikel 51a
  • 1. Onze Minister dan wel het College van procureurs-generaal verwerkt tenuitvoerleggingsgegevens, indien dit noodzakelijk is voor een goede vervulling van een wettelijke taak of het nakomen van een andere wettelijke verplichting.

  • 2. De directeur van een penitentiaire inrichting of afdeling, het hoofd van een inrichting voor verpleging van ter beschikking gestelden of de directeur van een justitiële jeugdinrichting, voert het beheer over de tenuitvoerleggingsgegevens inzake vrijheidsbenemende straffen of maatregelen bij de uitvoering waarvan hij betrokken is.

  • 3. Het hoofd van een arrondissementsparket, het landelijk parket, het functioneel parket, het parket centrale verwerking openbaar ministerie of het ressortsparket voert het beheer over de tenuitvoerleggingsgegevens waarvoor het College van procureurs-generaal verwerkingsverantwoordelijke is.

Artikel 51b
  • 1. De artikelen 3, 7, 7a, 7b, 7d tot en met 7f, 15, 16a, 16b, 17a, 17b, 20 tot en met 25, en 39c, tweede tot en met vijfde lid, zijn van overeenkomstige toepassing op tenuitvoerleggingsgegevens.

  • 2. Artikel 18, eerste lid, is van overeenkomstige toepassing onverminderd het verder bij wet bepaalde over kennisneming of inzage van tenuitvoerleggingsgegevens.

  • 3. Indien de verwerking betrekking heeft op tenuitvoerleggingsgegevens waarvoor het College van procureurs-generaal verwerkingsverantwoordelijke is, wordt bij de overeenkomstige toepassing van de artikelen, bedoeld in het eerste en tweede lid, in de artikelen waar wordt gesproken over «Onze Minister» gelezen «het College van procureurs-generaal».

Artikel 51c
  • 1. Tenuitvoerleggingsgegevens van veroordeelden voor andere strafrechtelijke beslissingen dan vrijheidsbenemende straffen of maatregelen worden vernietigd met overeenkomstige toepassing van de termijnen voor vernietiging, bedoeld in de artikelen 4 en 6.

  • 2. Voor zover dit noodzakelijk is met het oog op een zwaarwegend algemeen belang kan Onze Minister of het College van procureurs-generaal aan personen of instanties tenuitvoerleggingsgegevens verstrekken voor het doel van:

    • a. de tenuitvoerlegging van een strafrechtelijke beslissing;

    • b. de voorkoming, de opsporing, het onderzoek en de vervolging van strafbare feiten;

    • c. schuldhulpverlening of resocialisatie van betrokkene;

    • d. bestuurlijk handelen of het nemen van een bestuursrechtelijke beslissing, of

    • e. het verlenen van hulp aan slachtoffers.

  • 3. Onze Minister of het College van procureurs-generaal kan slechts gegevens aan personen of instanties als bedoeld in het tweede lid verstrekken, voor zover die gegevens voor die personen of instanties:

    • a. noodzakelijk zijn met het oog op een zwaarwegend algemeen belang of de vaststelling, de uitoefening of de verdediging van een recht in rechte, en

    • b. in zodanige vorm worden verstrekt dat herleiding tot andere personen dan betrokkene, redelijkerwijs wordt voorkomen.

  • 4. Elke verstrekking, bedoeld in het derde lid, en bedoeld in de van overeenkomstige van toepassing zijnde artikelen 16 en 16a, wordt vastgelegd en ten minste vier jaar bewaard.

Artikel 51d
  • 1. De artikelen 26a tot en met 26h en 27, eerste en tweede lid, zijn van overeenkomstige toepassing op tenuitvoerleggingsgegevens.

  • 2. De artikelen 35a, 35b en 35d, van de Wet politiegegevens zijn van overeenkomstige toepassing op tenuitvoerleggingsgegevens.

  • 3. De Autoriteit persoonsgegevens is bevoegd:

    • a. de verwerkingsverantwoordelijke of de verwerker te waarschuwen dat met de voorgenomen verwerkingen waarschijnlijk een inbreuk wordt gemaakt op het bij of krachtens deze wet bepaalde;

    • b. een last onder bestuursdwang op te leggen ter handhaving van het bij of krachtens deze wet bepaalde;

    • c. een bestuurlijke boete op te leggen indien de verwerkingsverantwoordelijke handelt in strijd met:

      • de artikelen 51b, eerste lid, voor wat betreft de overeenkomstige toepassing van de artikelen 7, 7a, 7b,en 7d in dat lid, en 51d, eerste lid, voor wat betreft de overeenkomstige toepassing van de artikelen 26c, 26f, 26g en 26h in dat lid, van ten hoogste het bedrag van de geldboete van de vijfde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht;

      • de artikelen 51b, eerste lid, voor wat betreft de overeenkomstige toepassing van de artikelen 7e, 17a, 17b, 22 en 24 in dat lid, en 51b, tweede lid, voor wat betreft de overeenkomstige toepassing van artikel 18, van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht;

    • d. een advies te verstrekken aan de verwerkingsverantwoordelijke naar aanleiding van een voorafgaande raadpleging, bedoeld in artikel 26h;

    • e. de verwerkingsverantwoordelijke te verplichten een inbreuk in verband met persoonsgegevens te melden aan de betrokkene.

  • 4. Artikel 27, vijfde lid, is van overeenkomstige toepassing.

  • 5. De werking van de beschikking tot oplegging van de bestuurlijke boete, bedoeld in het derde lid, onder c, wordt opgeschort totdat de bezwaar- of beroepstermijn is verstreken of, indien bezwaar is gemaakt respectievelijk beroep is ingesteld, op het bezwaar respectievelijk het beroep is beslist.

  • 6. De bevoegdheden, bedoeld in het derde lid, onderdelen d en e, gelden als een besluit in de zin van de Algemene wet bestuursrecht.

TITEL 3B DE VERWERKING VAN GERECHTELIJKE STRAFGEGEVENS

Artikel 51e

De gerechten, bedoeld in artikel 2 van de Wet op de rechterlijke organisatie, verwerken slechts gerechtelijke strafgegevens voor zover dit noodzakelijk is voor de rechtspraak.

Artikel 51f
  • 1. De artikelen 3, 7, 7a, 7b, 7d tot en met 7f, 15, 16a, 16b, 17a, 17b, 18 en 20 tot en met 25, zijn van overeenkomstige toepassing op gerechtelijke strafgegevens.

  • 2. Bij de overeenkomstige toepassing van de artikelen, bedoeld in het eerste lid, wordt in de artikelen waar over «Onze Minister» wordt gesproken «een gerecht als bedoeld in artikel 2 van de Wet op de rechterlijke organisatie» gelezen.

Artikel 51g
  • 1. De gerechtelijke strafgegevens worden verwijderd zodra die voor de gerechten, bedoeld in artikel 2 van de Wet op de rechterlijke organisatie, niet langer noodzakelijk zijn voor de uitoefening van hun rechterlijke taken.

  • 2. De verwerkingsverantwoordelijke verstrekt gerechtelijke strafgegevens ten behoeve van de behandeling van strafzaken, in overeenstemming met het bepaalde bij of krachtens het Wetboek van Strafvordering.

Artikel 51h
  • 1. De artikelen 26a tot en met 26e, 26g, 26h en 27, eerste en tweede lid, en 39c, tweede tot en met vijfde lid, zijn van overeenkomstige toepassing op gerechtelijke strafgegevens.

  • 2. De artikelen 35a, 35b en 35d, van de Wet politiegegevens zijn van overeenkomstige toepassing op gerechtelijke strafgegevens.

  • 3. De Autoriteit persoonsgegevens is bevoegd:

    • a. de verwerkingsverantwoordelijke of de verwerker te waarschuwen dat met de voorgenomen verwerkingen waarschijnlijk een inbreuk wordt gemaakt op het bij of krachtens deze wet bepaalde;

    • b. een last onder bestuursdwang op te leggen ter handhaving van het bij of krachtens deze wet bepaalde;

    • c. een bestuurlijke boete op te leggen indien de verwerkingsverantwoordelijke handelt in strijd met hetgeen is bepaald bij of krachtens:

      • de artikelen 51f, eerste lid, voor wat betreft de overeenkomstige toepassing van de artikelen 7, 7a, 7b en 7d in dat lid, en 51d, eerste lid, voor wat betreft de overeenkomstige toepassing van de artikelen 26c, 26g en 26h in dat lid, van ten hoogste het bedrag van de geldboete van de vijfde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht;

      • artikel 51f, eerste lid, voor wat betreft de overeenkomstige toepassing van de artikelen 7e, 17a, 17b, 18, 22 en 24, van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht;

    • d. een advies te verstrekken aan de verwerkingsverantwoordelijke naar aanleiding van een voorafgaande raadpleging, bedoeld in artikel 26h;

    • e. de verwerkingsverantwoordelijke te verplichten een inbreuk in verband met persoonsgegevens te melden aan de betrokkene.

  • 4. Artikel 27, vijfde lid, is van overeenkomstige toepassing.

  • 5. De werking van de beschikking tot oplegging van de bestuurlijke boete, bedoeld in het derde lid, onder c, wordt opgeschort totdat de bezwaar- of beroepstermijn is verstreken of, indien bezwaar is gemaakt respectievelijk beroep is ingesteld, op het bezwaar respectievelijk het beroep is beslist.

  • 6. De bevoegdheden, bedoeld in het derde lid, onderdelen d en e, gelden als een besluit in de zin van de Algemene wet bestuursrecht.

  • 7. In afwijking van het eerste lid, is de Autoriteit persoonsgegevens niet belast met het toezicht op de verwerking van gerechtelijke strafgegevens door de gerechten, bedoeld in artikel 2 van de Wet op de rechterlijke organisatie, in het kader van de uitoefening van hun rechterlijke taken.

ARTIKEL IIa

De artikelen 10.2 en 10.3 van de Aanpassingswet Algemene verordening gegevensbescherming vervallen.

ARTIKEL III

In het Wetboek van Strafvordering wordt artikel 27b als volgt gewijzigd:

a. In het vierde lid vervalt de laatste volzin.

b. onder vernummering van het vijfde tot zesde lid wordt een lid ingevoegd, luidende:

  • 5. De artikelen 1, onderdelen i, j, l tot en met z, 3, 7 tot en met 7b, 7d tot en met 7f, 15, 16, 16a, 17a, 17b, 18, 20 en 22 tot en met 26h en 27, van de Wet justitiële en strafvorderlijke gegevens zijn van overeenkomstige toepassing op de verwerking van de gegevens, bedoeld in het derde lid. Onze Minister van Justitie en Veiligheid is verwerkingsverantwoordelijke in de zin van die wet voor de databank, bedoeld in het derde lid.

ARTIKEL IV

Artikel 14, derde lid, van de Wet ter voorkoming van witwassen en financieren van terrorisme komt te luiden:

  • 3. Op de verwerking van persoonsgegevens door de Financiële inlichtingen eenheid zijn de artikelen 1, 2, 3, eerste en tweede lid, 4, 4a, 4b, 4c, 5, 6, 6a, 6b, 6c, 7, 7a, 15, 15a, 16, eerste lid, onderdelen a en b, 17, 17b, 18, 22 en 23, 24a tot en met 33b, alsmede de artikelen 35 tot en met 36 van de Wet politiegegevens van overeenkomstige toepassing, met dien verstande dat voor de Financiële inlichtingen eenheid als verwerkingsverantwoordelijke in de zin van artikel 1, onderdeel f, van die wet wordt aangemerkt Onze Minister van Justitie en Veiligheid.

ARTIKEL V

Indien artikel I van de wet tot wijziging van Wijziging van het Wetboek van Strafrecht, het Wetboek van Strafvordering en enige andere wetten in verband met een herziening van de wettelijke regeling van de tenuitvoerlegging van strafrechtelijke beslissingen (Wet herziening tenuitvoerlegging strafrechtelijke beslissingen) (Kamerstukken 34 086) in werking treedt of is getreden, vervalt artikel 6:1:9, tweede lid, van het Wetboek van Strafvordering, alsmede de aanduiding «1» voor het eerste lid van dat artikel en komt in deze wet artikel 1, onder k, onderdeel 3° te luiden:

  • 3°. tenuitvoerleggingsgegevens: Onze Minister dan wel, uitsluitend in de gevallen dat dit uit de verantwoordelijkheid voor de uitvoering van een specifieke wettelijke taak volgt, het College van procureurs-generaal.

ARTIKEL VI

1. Indien het bij koninklijke boodschap van 4 juni 2010 ingediende voorstel van wet houdende regels voor het kunnen verlenen van verplichte zorg aan een persoon met een psychische stoornis (Wet verplichte geestelijke gezondheidszorg) (Kamerstukken 32 399), tot wet is of wordt verheven, en artikel 14:17 van die wet eerder in werking is getreden of treedt dan artikel II, onderdelen F en AD van deze wet, wordt artikel II van deze wet als volgt gewijzigd:

a. Het in onderdeel F, onderdeel b, voorgestelde artikel 8a, tweede lid, komt te luiden:

  • 2. De artikelen 39e, derde en vierde lid en 39f, tweede lid, onder a, en derde lid, zijn van overeenkomstige toepassing.

b. Onderdeel AD, onderdelen d en e, komt te luiden:

d. Het derde tot en met vijfde lid vervallen onder vernummering van het zesde tot en met achtste lid tot het derde tot en met vijfde lid.

e. Het vijfde lid (nieuw) komt te luiden:

  • 5. Artikel 9, eerste lid, tweede volzin is van overeenkomstige toepassing.

2. Indien het bij koninklijke boodschap van 4 juni 2010 ingediende voorstel van wet houdende regels voor het kunnen verlenen van verplichte zorg aan een persoon met een psychische stoornis (Wet verplichte geestelijke gezondheidszorg) (Kamerstukken 32 399), tot wet is of wordt verheven, en artikel 14:17 van die wet later in werking treedt dan artikel II, onderdelen F en AD van deze wet, wordt artikel 14:17 van die wet als volgt gewijzigd:

a. Onderdeel A komt te luiden:

A

2. De artikelen 39e, vierde en vijfde lid, 39f, tweede lid, onder a, en derde lid, zijn van overeenkomstige toepassing.

b. In de in onderdeel B voorgestelde wijziging van artikel 39e wordt «wordt, onder vernummering van het zesde lid tot achtste lid, twee leden ingevoegd» vervangen door «worden, onder vernummering van het derde tot het vijfde lid, twee leden ingevoegd» en wordt het in te voegen zesde en zevende lid vernummerd tot het derde en vierde lid.

ARTIKEL VII

Onze Minister voor Rechtsbescherming zendt, in overeenstemming met Onze Minister van Defensie, binnen drie jaar na de inwerkingtreding van deze wet, en vervolgens telkens na vijf jaar, aan de Staten-Generaal een verslag over de doeltreffendheid en de effecten van deze wet in de praktijk.

ARTIKEL VIII

  • 1. De artikelen van deze wet treden in werking op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan verschillend kan worden vastgesteld.

  • 2. In het besluit, bedoeld in het eerste lid, wordt zo nodig toepassing gegeven aan artikel 12 van de Wet raadgevend referendum.

Lasten en bevelen dat deze in het Staatsblad zal worden geplaatst en dat alle ministeries, autoriteiten, colleges en ambtenaren die zulks aangaat, aan de nauwkeurige uitvoering de hand zullen houden.histnoot

Gegeven te Wassenaar, 17 oktober 2018

Willem-Alexander

De Minister voor Rechtsbescherming, S. Dekker

De Minister van Defensie, A.Th.B. Bijleveld-Schouten

Uitgegeven de twaalfde november 2018

De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus


XHistnoot
histnoot

Kamerstuk 34 889

Naar boven