Wetsvoorstel meldplicht datalekken | art. 34a Wbp

Wetsvoorstel meldplicht datalekken | art. 34a Wbp
■ Artikel 34a Wbp (nieuw)
1. De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, waarvan
redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van
persoonsgegevens die door hem worden verwerkt.
2. De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid,
indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.
3. De kennisgeving aan het College en de betrokkene omvat in ieder geval de aard van de inbreuk, de instanties waar meer
informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te
beperken.
4. De kennisgeving aan het College omvat tevens een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de
inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te
treffen om deze gevolgen te verhelpen.
5. De kennisgeving aan de betrokkene wordt op zodanige wijze gedaan dat, rekening houdend met de aard van de inbreuk, de
geconstateerde en de feitelijke gevolgen daarvan voor de verwerking van persoonsgegevens, de kring van betrokkenen en de
kosten van tenuitvoerlegging, een behoorlijke en zorgvuldige informatievoorziening is gewaarborgd.
6. De kennisgeving aan de betrokkene is niet vereist indien de verantwoordelijke gepaste technische beschermingsmaatregelen
heeft genomen waardoor de persoonsgegevens die het betreft versleuteld zijn of anderszins onbegrijpelijk zijn gemaakt voor
eenieder die geen recht heeft op kennisname van de gegevens.
7. Indien de verantwoordelijke geen kennisgeving aan de betrokkene doet, kan het College, indien het van oordeel is dat inbreuk
waarschijnlijk nadelige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene, van de verantwoordelijke
verlangen dat hij alsnog een kennisgeving doet.
8. De verantwoordelijke houdt een overzicht bij van alle inbreuken. Dit overzicht bevat in elk geval de feiten en de gegevens, bedoeld
in het derde lid, alsmede de tekst van de kennisgeving aan de betrokkene.
9. Dit artikel is niet van toepassing indien de verantwoordelijke in zijn hoedanigheid als aanbieder van een openbare elektronische
communicatiedienst een kennisgeving heeft gedaan als bedoeld in artikel 11.3a, eerste en tweede lid, van de
Telecommunicatiewet.
10. Het tweede en zevende lid zijn niet van toepassing op financiële ondernemingen als bedoeld in de Wet op het financieel toezicht.
11. Bij algemene maatregel van bestuur kunnen nadere regels worden gesteld met betrekking tot de kennisgeving.
Art. 13 Wbp
Passende technische en organisatorische maatregelen tegen verlies en onrechtmatige verwerking.
11.3a, lid 1 en 2 Tw
1.
2.
Art. 11.3 Tw
1.
2.
3.
4.
De aanbieder van een openbare elektronische communicatiedienst stelt /* het College bescherming
persoonsgegevens*/ onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 11.3,
die nadelige gevolgen heeft voor de bescherming van persoonsgegevens die zijn verwerkt in verband met
de levering van een openbare elektronische communicatiedienst in de Europese Unie.
De aanbieder, bedoeld in het eerste lid, stelt degene wiens persoonsgegevens het betreft onverwijld in
kennis van een inbreuk in verband met persoonsgegevens indien de inbreuk waarschijnlijk ongunstige
gevolgen zal hebben voor diens persoonlijke levenssfeer.
De in artikel 11.2 bedoelde aanbieders treffen in het belang van de bescherming van persoonsgegevens en
de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers passende technische en
organisatorische maatregelen ten behoeve van de veiligheid en beveiliging van de door hen aangeboden
netwerken en diensten. De maatregelen garanderen, rekening houdend met de stand van de techniek en
de kosten van de tenuitvoerlegging, een passend beveiligingsniveau dat in verhouding staat tot het
desbetreffende risico.
De maatregelen als bedoeld in het eerste lid omvatten in elk geval:
a. waarborgen dat slechts daartoe gemachtigd personeel voor wettelijk toegestane doeleinden toegang
heeft tot de persoonsgegevens,
b. de bescherming van opgeslagen of verzonden persoonsgegevens tegen onbedoelde of niet
toegestane opslag, verwerking, toegang, verstrekking, wijziging, verlies, vernietiging, en
c. de invoering van een veiligheidsbeleid met betrekking tot de verwerking van persoonsgegevens.
De in artikel 11.2 bedoelde aanbieders dragen er zorg voor dat de abonnees worden geïnformeerd over:
a. bijzondere risico's voor de doorbreking van de veiligheid of de beveiliging van het aangeboden
netwerk of de aangeboden dienst;
b. de eventuele middelen waarmee de onder a bedoelde risico's kunnen worden tegengegaan, voor zover
het andere maatregelen betreft dan die welke de aanbieder op grond van het eerste lid gehouden is te
treffen, alsmede een indicatie van de verwachte kosten.
Bij of krachtens algemene maatregel van bestuur kunnen de in artikel 11.2 bedoelde aanbieders in het
belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van
abonnees en gebruikers nadere verplichtingen en beperkingen worden opgelegd ten behoeve van de
veiligheid en beveiliging van de door hen aangeboden netwerken en diensten.
Art. 11.2 Tw
Onverminderd de Wet bescherming persoonsgegevens en het overigens bij of krachtens deze wet bepaalde
dragen de aanbieder van een openbaar elektronisch communicatienetwerk en de aanbieder van een openbare
elektronische communicatiedienst zorg voor de bescherming van persoonsgegevens en de bescherming van de
persoonlijke levenssfeer van abonnees en gebruikers van zijn netwerk, onderscheidenlijk zijn dienst.
Art. 1:1 Wft
financiële onderneming:
Gebaseerd op Kamerstukken 33 662 meldplicht datalekken | PrivacyCompany.eu
Wetsvoorstel meldplicht datalekken | art. 34a Wbp
a.
b.
c.
d.
e.
f.
g.
h.
i.
j.
k.
l.
m.
n.
o.
p.
q.
r.
een afwikkelonderneming;
een bank;
een beheerder van een beleggingsinstelling;
een beheerder van een icbe [Instelling voor Collectieve Beleggingen in Effecten]
een beleggingsinstelling;
een beleggingsonderneming;
een betaaldienstverlener;
een bewaarder;
een bewaarder van een icbe;
een clearinginstelling;
een entiteit voor risico-acceptatie;
een financiëledienstverlener;
een financiële instelling;
een icbe;
een pensioenbewaarder;
een premiepensioeninstelling;
een verzekeraar; of
een wisselinstelling.
■ Artikel 1 Wbp (aanvullingen\)
q. bindende aanwijzing: de zelfstandige last die wegens een overtreding wordt opgelegd;
r. zelfstandige last: de enkele last tot het verrichten van bepaalde handelingen, bedoeld in artikel 5:2, tweede lid, van de Algemene wet
bestuursrecht, ter bevordering van de naleving van wettelijke voorschriften.
Art. 5:2 Awb
1.
a.
2.
In deze wet wordt verstaan onder:
bestuurlijke sanctie: een door een bestuursorgaan wegens een overtreding opgelegde verplichting
onthouden aanspraak;
[…]
Geen bestuurlijke sanctie is de enkele last tot het verrichten van bepaalde handelingen.
■ Artikel 14 Wbp (wijzigingen in vet)
1. Indien de verantwoordelijke persoonsgegevens te zijnen behoeve laat verwerken door een bewerker, draagt hij zorg dat deze
voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te
verrichten verwerkingen, en ten aanzien van de melding van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot
de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van
persoonsgegevens die door hem worden verwerkt. De verantwoordelijke ziet toe op de naleving van die maatregelen.
2. De uitvoering van verwerkingen door een bewerker wordt geregeld in een overeenkomst of krachtens een andere rechtshandeling
waardoor een verbintenis ontstaat tussen de bewerker en de verantwoordelijke.
3. De verantwoordelijke draagt zorg dat de bewerker
a. de persoonsgegevens verwerkt in overeenstemming met artikel 12, eerste lid en
b. de verplichtingen nakomt die op de verantwoordelijke rusten ingevolge artikel 13.
c.
de verplichtingen nakomt die op de verantwoordelijke rusten ten aanzien van de verplichting tot melding van een inbreuk op
de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige
gevolgen heeft voor de bescherming van persoonsgegevens die door hem worden verwerkt.
4. Is de bewerker gevestigd in een ander land van de Europese Unie, dan draagt de verantwoordelijke zorg dat de bewerker het recht
van dat andere land nakomt, in afwijking van het derde lid, onder b en c.
5. Met het oog op het bewaren van het bewijs worden de onderdelen van de overeenkomst of de rechtshandeling die betrekking
hebben op de bescherming van persoonsgegevens, de beveiligingsmaatregelen, bedoeld in artikel 13, en de verplichting tot
melding van een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige
nadelige gevolgen heeft voor de bescherming van persoonsgegevens die door hem worden verwerkt, schriftelijk of in een
andere, gelijkwaardige vorm vastgelegd.
Artikel 12 lid 1 Wbp
1. Een ieder die handelt onder het gezag van de verantwoordelijke of van de bewerker, alsmede de bewerker
zelf, voor zover deze toegang hebben tot persoonsgegevens, verwerkt deze slechts in opdracht van de
verantwoordelijke, behoudens afwijkende wettelijke verplichtingen.
Artikel 13 Wbp
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om
persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze
maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de
tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te
beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en
verdere verwerking van persoonsgegevens te voorkomen.
Gebaseerd op Kamerstukken 33 662 meldplicht datalekken | PrivacyCompany.eu
Wetsvoorstel meldplicht datalekken | art. 34a Wbp
■ Artikel 51a Wbp (nieuw)
1. Het College is bevoegd om in het belang van een efficiënt en effectief toezicht op de verwerking van persoonsgegevens afspraken
te maken met andere toezichthouders en daartoe gezamenlijk met deze toezichthouders samenwerkingsprotocollen vast te
stellen. Een samenwerkingsprotocol wordt bekendgemaakt in de Staatscourant.
2. Het College en de toezichthouders, bedoeld in het eerste lid, zijn bevoegd uit eigen beweging en desgevraagd verplicht aan elkaar
de gegevens betreffende de verwerking van persoonsgegevens te verstrekken die noodzakelijk zijn voor de uitvoering van hun
taak.
■ Artikel 51 Wbp (aanvulling)
4. Het College wordt in het maatschappelijk verkeer aangeduid als: Autoriteit persoonsgegevens.

Wat te doen?


Wat is de inhoud van
de melding aan het
CBP?





Wat is de inhoud van
de melding aan de
betrokkene(n)?



Wat kan het CBP
doen?



Stel het CBP (straks Autoriteit persoonsgegevens) onverwijld in kennis bij een inbreuk die leidt tot de
aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de
bescherming van persoonsgegevens.
Stel betrokkene in kennis van de inbreuk, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben
voor diens persoonlijke levenssfeer.
Houd een overzicht bij van ernstige inbreuken met daarin feiten en gegevens omtrent de aard van de
inbreuk en de tekst van de kennisgeving aan de betrokkene.
De aard van de inbreuk.
De instanties waar meer informatie over de inbreuk kan worden verkregen.
Aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken.
Een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking
van persoonsgegevens.
De maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te
verhelpen.
De kennisgeving aan de betrokkene wordt op zodanige wijze gedaan dat, rekening houdend met de aard
van de inbreuk, de geconstateerde en de feitelijke gevolgen daarvan voor de verwerking van
persoonsgegevens, de kring van betrokkenen en de kosten van tenuitvoerlegging, een behoorlijke en
zorgvuldige informatievoorziening is gewaarborgd.
Melding aan de betrokkene hoeft niet als er passende organisatorische en technische maatregelen zijn
genomen waardoor de verkregen gegevens onbegrijpelijk of ontoegankelijk zijn (encryptie, anonimisering
enz.).
Let op! De Autoriteit persoonsgegevens kan alsnog melding gelasten!
Bindende aanwijzingen geven (dit zijn juridisch bindende beschikkingen).
Zelfstandige last opleggen (bijvoorbeeld melding gelasten), deze zelfstandige last kan niet worden
beschouwd als een bestuurlijke sanctie.
Boetes uitdelen (zie de uitwerking hiervan in het document “factsheet aankomende boetebevoegheid
Autoriteit Persoonsgegevens’” op www.privacycompany.eu).
Versie 2.00. Maart 2015. Gebaseerd op versie Kamerstukken 33 662-A eb 33 662. Wijzigingen in wetsvoorstel
zijn mogelijk. Document is met zorg samengesteld, maar fouten zijn mogelijk. Er kunnen geen rechten aan
deze publicatie worden ontleend. Gepubliceerd onder creative commons 4.0 Attribution-NoDerivs, CC BY-ND
licentie. Meest recente versie beschikbaar op www.PrivacyCompany.eu
Gebaseerd op Kamerstukken 33 662 meldplicht datalekken | PrivacyCompany.eu
Privacy-dienstverlening voor bedrijven en overheden
Privacy krijgt steeds meer media-aandacht, ook wordt het onderwerp steeds vaker op de politieke
agenda gezet. Weet u welke persoonsgegevens u verzamelt en hoe deze beveiligd zijn? Hoe lang u de
persoonsgegevens bewaart en aan wie u ze verstrekt? Als u dat niet of niet helemaal zeker weet,
verwerkt u de persoonsgegevens mogelijk in strijd met de wet en dat is een risico. Een compliance-risico
maar ook een afbreukrisico.
Privacy Company ondersteunt uw organisatie bij het privacy-compliant maken van uw processen. Wij
bieden een breed scala aan diensten; van advies tot onderwijs. Zo kan uw organisatie voldoen aan weten regelgeving op het gebied van privacy en loopt u niet langer het risico op hoge boetes.
Wij geloven in pragmatische oplossingen die uw medewerkers ook begrijpen. Dus geen ingewikkelde
terminologie of lange juridische verhandelingen. We zetten in op structurele oplossingen, waarbij een
project niet iedere twee jaar volledig herhaald hoeft te worden omdat de resultaten door de tijd
achterhaald zijn. Daarmee bent u ook nog eens goedkoper uit.
Privacy Company biedt de volgende diensten:
- Inzichtelijk maken van gegevensstromen,
- Uitvoeren privacy impact assessments (PIAs),
- Uitvoeren van risicoanalyses,
- Implementatie van nieuwe bedrijfsprocessen rondom privacy,
- Training en onderwijs (ook e-learning) van al uw medewerkers op eigen niveau.
Het team van de Privacy Company heeft ruime ervaring met privacy-vraagstukken in brede zin en
bestaat uit professionals met bedrijfsmatige, technische, organisatorische en juridische vaardigheden.
Dus wilt u goed, snel en efficiënt uw privacy-vraagstukken op orde hebben, neem dan contact met ons op
[email protected].

Download Report