33 662 Wijziging van de Wet bescherming persoonsgegevens en de Telecommunicatiewet in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (meldplicht datalekken)

Nr. 2 HERDRUK1 VOORSTEL VAN WET

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.

Allen, die deze zullen zien of horen lezen, saluut! doen te weten:

Alzo Wij in overweging genomen hebben, dat het noodzakelijk is de Wet bescherming persoonsgegevens en enige andere wetten te wijzigen om een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens in het leven te roepen;

Zo is het, dat Wij, de Afdeling advisering van de Raad van State gehoord, en met gemeen overleg der Staten-Generaal, hebben goedgevonden en verstaan, gelijk Wij goedvinden en verstaan bij deze:

ARTIKEL I

De Wet bescherming persoonsgegevens wordt als volgt gewijzigd:

A

Artikel 14 wordt als volgt gewijzigd:

1. In de eerste volzin van het eerste lid wordt «met betrekking tot de te verrichten verwerkingen» vervangen door: met betrekking tot de te verrichten verwerkingen, en ten aanzien van de melding van een inbreuk op de beveiliging, bedoeld in artikel 13, waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de persoonsgegevens die door hem worden verwerkt.

2. Het derde lid komt te luiden:

  • 3. De verantwoordelijke draagt zorg dat de bewerker:

    • a. de persoonsgegevens verwerkt in overeenstemming met artikel 12, eerste lid;

    • b. de verplichtingen nakomt die op de verantwoordelijke rusten ingevolge artikel 13, en,

    • c. de verplichtingen nakomt die op de verantwoordelijke rusten ten aanzien van de verplichting tot melding van een inbreuk op de beveiliging, bedoeld in artikel 13, waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de persoonsgegevens die door hem worden verwerkt.

3. In het vierde lid wordt «in afwijking van derde lid, onder b.» vervangen door: in afwijking van het derde lid, onder b en c.

4. In het vijfde lid wordt «alsmede de beveiligingsmaatregelen als bedoeld in artikel 13» vervangen door: «de beveiligingsmaatregelen, bedoeld in artikel 13, en de verplichting tot melding van een inbreuk op de beveiliging waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de persoonsgegevens die door hem worden verwerkt,.

B

Na artikel 34 wordt in hoofdstuk 5 een artikel ingevoegd, luidende:

Artikel 34a

  • 1. De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens die door hem worden verwerkt.

  • 2. De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.

  • 3. De kennisgeving aan het College en de betrokkene omvat in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken.

  • 4. De kennisgeving aan het College omvat tevens een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen.

  • 5. De kennisgeving aan de betrokkene wordt op zodanige wijze gedaan dat, rekening houdend met de aard van de inbreuk, de geconstateerde en de feitelijke gevolgen daarvan voor de verwerking van persoonsgegevens, de kring van betrokkenen en de kosten van tenuitvoerlegging, een behoorlijke en zorgvuldige informatievoorziening is gewaarborgd.

  • 6. De kennisgeving aan de betrokkene is niet vereist indien de verantwoordelijke gepaste technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft versleuteld zijn of anderszins onbegrijpelijk zijn gemaakt voor eenieder die geen recht heeft op kennisname van de gegevens.

  • 7. Indien de verantwoordelijke geen kennisgeving aan de betrokkene doet, kan het College, indien het van oordeel is dat inbreuk waarschijnlijk nadelige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene, van de verantwoordelijke verlangen dat hij alsnog een kennisgeving doet.

  • 8. De verantwoordelijke houdt een overzicht bij van alle inbreuken. Dit overzicht bevat in elk geval de feiten en de gegevens, bedoeld in het derde lid, alsmede de tekst van de kennisgeving aan de betrokkene.

  • 9. Dit artikel is niet van toepassing indien de verantwoordelijke in zijn hoedanigheid als aanbieder van een openbare elektronische communicatiedienst een kennisgeving heeft gedaan als bedoeld in artikel 11.3a, eerste en tweede lid, van de Telecommunicatiewet.

  • 10. Het tweede en zevende lid zijn niet van toepassing op financiële ondernemingen als bedoeld in de Wet op het financieel toezicht.

  • 11. Bij algemene maatregel van bestuur kunnen nadere regels worden gesteld met betrekking tot de kennisgeving.

C

Na artikel 51 wordt een artikel ingevoegd, luidende:

Artikel 51a

  • 1. Het College is bevoegd om in het belang van een efficiënt en effectief toezicht op de naleving op de verwerking van persoonsgegevens afspraken te maken met andere toezichthouders en daartoe gezamenlijk met deze toezichthouders samenwerkingsprotocollen vast te stellen. Een samenwerkingsprotocol wordt bekendgemaakt in de Staatscourant.

  • 2. Het College verstrekt de toezichthouders, bedoeld in het eerste lid, de gegevens betreffende de verwerking van persoonsgegevens welke zij behoeven voor de uitvoering van hun taak.

  • 3. De toezichthouders, bedoeld in het eerste lid, zijn bevoegd uit eigen beweging en desgevraagd verplicht aan het College de gegevens betreffende de verwerking van persoonsgegevens te verstrekken die noodzakelijk zijn voor de uitvoering en het toezicht op de naleving van deze wet.

  • 4. De in het tweede en derde lid bedoelde gegevensverstrekking vindt niet plaats indien de persoonlijke levenssfeer van de betrokkene daardoor onevenredig wordt geschaad.

D

Artikel 66 wordt als volgt gewijzigd:

1. Voor de tekst wordt de aanduiding «1.» geplaatst.

2. Er worden een lid toegevoegd, luidende:

  • 2. Het College kan aan de verantwoordelijke een bestuurlijke boete opleggen van ten hoogste € 450.000 ter zake van overtreding van het bij of krachtens artikel 34a bepaalde, alsmede van artikel 5:20 van de Algemene wet bestuursrecht.

E

Artikel 71 komt te luiden:

Artikel 71

De werking van de beschikking tot oplegging van de bestuurlijke boete wordt opgeschort totdat de bezwaar- of beroepstermijn is verstreken of, indien bezwaar is gemaakt respectievelijk beroep is ingesteld, op het bezwaar respectievelijk het beroep is beslist.

ARTIKEL II

De Telecommunicatiewet wordt als volgt gewijzigd:

A

In artikel 11.1 wordt, onder vervanging van de punt aan het slot van onderdeel j door een puntkomma, een onderdeel ingevoegd, luidende:

k. College bescherming persoonsgegevens:

het College bescherming persoonsgegevens, bedoeld in de Wet bescherming persoonsgegevens.

B

In artikel 11.3a, eerste, derde, vierde en vijfde lid, wordt «de Autoriteit Consument en Markt» telkens vervangen door: het College bescherming persoonsgegevens.

C

Artikel 15.1 wordt als volgt gewijzigd:

1. Onder vernummering van het derde en vierde lid tot vierde en vijfde lid wordt een nieuw derde lid ingevoegd, luidende:

  • 3. Met het toezicht op de naleving van het bepaalde bij of krachtens artikel 11.3a zijn belast de bij besluit van het College bescherming persoonsgegevens aangewezen ambtenaren.

2. In de eerste volzin van het vierde lid wordt «eerste en tweede lid» vervangen door: eerste, tweede en derde lid.

3. In het vijfde lid wordt «eerste, tweede en derde lid» vervangen door: eerste, tweede, derde en vierde lid.

D

Artikel 15.2 wordt als volgt gewijzigd:

1. In het tweede lid wordt «artikel 15.1, derde lid» vervangen door: artikel 15.1, vierde lid.

2. Onder vernummering van het vierde en vijfde tot vijfde en zesde lid wordt na het derde lid een lid ingevoegd, luidende:

  • 4. Het College bescherming persoonsgegevens is bevoegd tot oplegging van een last onder bestuursdwang ter handhaving van de verplichtingen, gesteld bij of krachtens de in artikel 15.1, derde lid, bedoelde bepalingen.

E

Artikel 15.4 wordt als volgt gewijzigd:

1. Onder vernummering van het vierde, vijfde en zesde lid tot vijfde, zesde en zevende lid wordt na het derde lid een lid ingevoegd, luidende:

  • 4. Het College bescherming persoonsgegevens kan een bestuurlijke boete opleggen van ten hoogste € 450.000 ter zake van overtreding van de bij of krachtens de in artikel 15.1, derde lid, bedoelde regels, alsmede van artikel 5:20 van de Algemene wet bestuursrecht.

2. In het vijfde lid wordt «artikel 15.1, derde lid» vervangen door: artikel 15.1, vierde lid.

F

In artikel 15.5, eerste en tweede lid, en artikel 15.7, eerste en tweede lid, wordt «artikel 15.1, eerste, tweede, onderscheidenlijk derde lid» telkens vervangen door: artikel 15.1, eerste, tweede, derde, onderscheidenlijk vierde lid.

ARTIKEL III

In de artikelen 7 en 11 van bijlage 2 bij de Algemene wet bestuursrecht komt onderdeel b van de zinsnede met betrekking tot de Telecommunicatiewet te luiden:

  • b. de artikelen 3.10, 15.2, vierde lid, 15.4, vierde lid en 18.9, eerste en tweede lid

ARTIKEL IV

1. Ten aanzien van de mogelijkheid om bezwaar te maken tegen een besluit van de Autoriteit Consument en Markt op grond van de artikelen 15.2 en 15.4 van de Telecommunicatiewet terzake van overtreding van het bepaalde bij of krachtens artikel 11.3a van de Telecommunicatiewet dat is bekendgemaakt voor het tijdstip van inwerkingtreding van deze wet, blijft het oude recht van toepassing.

2. Op de behandeling van een bezwaarschrift tegen een besluit als bedoeld in het eerste lid, blijft het oude recht van toepassing.

3. Ten aanzien van de mogelijkheid om beroep of hoger beroep in te stellen tegen een besluit van de Autoriteit Consument en Markt op grond van de artikelen 15.2 en 15.4 van de Telecommunicatiewet terzake van overtreding van het bepaalde bij of krachtens artikel 11.3a van de Telecommunicatiewet dat is bekendgemaakt voor het tijdstip van inwerkingtreding van deze wet, blijft het oude recht van toepassing.

4. Op de behandeling van het beroep en hoger beroep tegen een besluit als bedoeld in het eerste lid, blijft het oude recht van toepassing.

ARTIKEL V

Deze wet treedt in werking op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan verschillend kan worden vastgesteld.

Lasten en bevelen dat deze in het Staatsblad zal worden geplaatst en dat alle ministeries, autoriteiten, colleges en ambtenaren die zulks aangaat, aan de nauwkeurige uitvoering de hand zullen houden.

Gegeven

De Staatssecretaris van Veiligheid en Justitie,

De Minister van Binnenlandse Zaken en Koninkrijksrelaties,

De Minister van Economische Zaken,

X Noot
1

I.v.m. een correctie in de titel.

Naar boven