Wet van 4 juni 2015 tot wijziging van de Wet bescherming persoonsgegevens en enige andere wetten in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens alsmede uitbreiding van de bevoegdheid van het College bescherming persoonsgegevens om bij overtreding van het bepaalde bij of krachtens de Wet bescherming persoonsgegevens een bestuurlijke boete op te leggen (meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp)
Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.
Allen, die deze zullen zien of horen lezen, saluut! doen te weten:
Alzo Wij in overweging genomen hebben, dat het noodzakelijk is de Wet bescherming persoonsgegevens en enige andere wetten te wijzigen om een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens in het leven te roepen alsmede om de Wet bescherming persoonsgegevens te wijzigen om een uitbreiding te realiseren van de bevoegdheid van het College bescherming persoonsgegevens om bij overtreding van het bij of krachtens die wet bepaalde een bestuurlijke boete op te leggen;
Zo is het, dat Wij, de Afdeling advisering van de Raad van State gehoord, en met gemeen overleg der Staten-Generaal, hebben goedgevonden en verstaan, gelijk Wij goedvinden en verstaan bij deze:
ARTIKEL I
De Wet bescherming persoonsgegevens wordt als volgt gewijzigd:
0A
In artikel 1 wordt, onder vervanging van de punt aan het slot van onderdeel p door een puntkomma, twee onderdelen toegevoegd, luidende:
A
Artikel 14 wordt als volgt gewijzigd:
3.
De verantwoordelijke draagt zorg dat de bewerker:- de persoonsgegevens verwerkt in overeenstemming met artikel 12, eerste lid;
- de verplichtingen nakomt die op de verantwoordelijke rusten ingevolge artikel 13, en
- de verplichtingen nakomt die op de verantwoordelijke rusten ten aanzien van de verplichting tot melding van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die door hem worden verwerkt.
B
Artikel 34a
1.
De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens.2.
De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.3.
De kennisgeving aan het College en de betrokkene omvat in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken.4.
De kennisgeving aan het College omvat tevens een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen.5.
De kennisgeving aan de betrokkene wordt op zodanige wijze gedaan dat, rekening houdend met de aard van de inbreuk, de geconstateerde en de feitelijke gevolgen daarvan voor de verwerking van persoonsgegevens, de kring van betrokkenen en de kosten van tenuitvoerlegging, een behoorlijke en zorgvuldige informatievoorziening is gewaarborgd.6.
Het tweede lid is niet van toepassing indien de verantwoordelijke passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens.7.
Indien de verantwoordelijke geen kennisgeving aan de betrokkene doet, kan het College, indien het van oordeel is dat inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene, van de verantwoordelijke verlangen dat hij alsnog een kennisgeving doet.8.
De verantwoordelijke houdt een overzicht bij van iedere inbreuk die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Het overzicht bevat in ieder geval feiten en gegevens omtrent de aard van de inbreuk, bedoeld in het derde lid, alsmede de tekst van de kennisgeving aan de betrokkene.9.
Dit artikel is niet van toepassing indien de verantwoordelijke in zijn hoedanigheid als aanbieder van een openbare elektronische communicatiedienst een kennisgeving heeft gedaan als bedoeld in artikel 11.3a, eerste en tweede lid, van de Telecommunicatiewet.10.
Het tweede en zevende lid zijn niet van toepassing op financiële ondernemingen als bedoeld in de Wet op het financieel toezicht.11.
Bij algemene maatregel van bestuur kunnen nadere regels worden gesteld met betrekking tot de kennisgeving.Ba
In artikel 43, aanhef, wordt «34 en 35» vervangen door: 34, 34a, tweede lid, en 35.
C
Na artikel 51 wordt een artikel ingevoegd, luidende:
Artikel 51a
1.
Het College is bevoegd om in het belang van een efficiënt en effectief toezicht op de verwerking van persoonsgegevens afspraken te maken met andere toezichthouders en daartoe gezamenlijk met deze toezichthouders samenwerkingsprotocollen vast te stellen. Een samenwerkingsprotocol wordt bekendgemaakt in de Staatscourant.2.
Het College en de toezichthouders, bedoeld in het eerste lid, zijn bevoegd uit eigen beweging en desgevraagd verplicht aan elkaar de gegevens betreffende de verwerking van persoonsgegevens te verstrekken die noodzakelijk zijn voor de uitvoering van hun taak.Ca
Aan artikel 51 wordt een lid toegevoegd, luidende:
4.
Het College wordt in het maatschappelijk verkeer aangeduid als: Autoriteit persoonsgegevens.D
Artikel 66 komt te luiden:
Artikel 66
1.
Het College kan een bestuurlijke boete opleggen van ten hoogste het bedrag van de geldboete van de vierde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht ter zake van overtreding van het bepaalde bij of krachtens de artikelen 4, derde lid, of 78, tweede lid, aanhef en onder a.2.
Het College kan een bestuurlijke boete opleggen van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht ter zake van overtreding van het bepaalde bij of krachtens de artikelen 6 tot en met 8, 9, eerste en vierde lid, 10, eerste lid, 11 tot en met 13, 16, 24, 33, 34, eerste, tweede en derde lid, 34a, 35, eerste lid, tweede volzin, tweede, derde en vierde lid, 36, tweede, derde en vierde lid, 38 tot en met 40, tweede en derde lid, 41, tweede en derde lid, 42, eerste en vierde lid, 76, 77 of 78, derde en vierde lid, alsmede van artikel 5:20 van de Algemene wet bestuursrecht.3.
Het College legt geen bestuurlijke boete op wegens overtreding van het bepaalde bij of krachtens de in artikel 66, tweede lid, genoemde artikelen, dan nadat het een bindende aanwijzing heeft gegeven. Het College kan de overtreder een termijn stellen waarbinnen de aanwijzing moet worden opgevolgd.4.
Het derde lid is niet van toepassing indien de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid.5.
Het College kan een bestuurlijke boete opleggen van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht in geval van niet-nakoming van een bindende aanwijzing. Artikel 23, zevende lid, van het Wetboek van Strafrecht is van overeenkomstige toepassing.Da
Na artikel 66 wordt een artikel ingevoegd, luidende:
Artikel 67
Het College overlegt voorafgaand aan het vaststellen van een beleidsregel omtrent de uitleg van het bepaalde bij of krachtens de in artikel 66, tweede lid, genoemde artikelen met Onze Minister en Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties.E
Artikel 71 komt te luiden:
Artikel 71
De werking van de beschikking tot oplegging van de bestuurlijke boete wordt opgeschort totdat de bezwaar- of beroepstermijn is verstreken of, indien bezwaar is gemaakt respectievelijk beroep is ingesteld, op het bezwaar respectievelijk het beroep is beslist.Ea
In artikel 75, eerste lid, wordt «hetgeen bij of krachtens artikel 4, derde lid, 27, 28, 78, tweede lid, onder a, of 79, eerste lid, is bepaald,» vervangen door: hetgeen bij of krachtens artikel 4, derde lid, of 78, tweede lid, is bepaald,.
F
(vervallen)
Artikel 34a
Artikel 51a
Artikel 66
Artikel 67
Het College overlegt voorafgaand aan het vaststellen van een beleidsregel omtrent de uitleg van het bepaalde bij of krachtens de in artikel 66, tweede lid, genoemde artikelen met Onze Minister en Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties.
Artikel 71
De werking van de beschikking tot oplegging van de bestuurlijke boete wordt opgeschort totdat de bezwaar- of beroepstermijn is verstreken of, indien bezwaar is gemaakt respectievelijk beroep is ingesteld, op het bezwaar respectievelijk het beroep is beslist.
ARTIKEL II
De Telecommunicatiewet wordt als volgt gewijzigd:
A
In artikel 11.1 wordt, onder vervanging van de punt aan het slot van onderdeel j door een puntkomma, een onderdeel ingevoegd, luidende:
B
In artikel 11.3a, eerste, derde, vierde en vijfde lid, wordt «de Autoriteit Consument en Markt» telkens vervangen door: het College bescherming persoonsgegevens.
C
Artikel 15.1 wordt als volgt gewijzigd:
3.
Met het toezicht op de naleving van het bepaalde bij of krachtens artikel 11.3a zijn belast de bij besluit van het College bescherming persoonsgegevens aangewezen ambtenaren.D
Artikel 15.2 wordt als volgt gewijzigd:
4.
Het College bescherming persoonsgegevens is bevoegd tot oplegging van een last onder bestuursdwang ter handhaving van de verplichtingen, gesteld bij of krachtens de in artikel 15.1, derde lid, bedoelde bepalingen.E
Artikel 15.4 wordt als volgt gewijzigd:
4.
Het College bescherming persoonsgegevens kan een bestuurlijke boete opleggen van ten hoogste € 450.000 ter zake van overtreding van de bij of krachtens de in artikel 15.1, derde lid, bedoelde regels, alsmede van artikel 5:20 van de Algemene wet bestuursrecht.F
In artikel 15.5, eerste en tweede lid, en artikel 15.7, eerste en tweede lid, wordt «artikel 15.1, eerste, tweede, onderscheidenlijk derde lid» telkens vervangen door: artikel 15.1, eerste, tweede, derde, onderscheidenlijk vierde lid.
ARTIKEL IIa
Indien het bij koninklijke boodschap van 26 april 2013 ingediende voorstel van wet tot wijziging van de Instellingswet Autoriteit Consument en Markt en enige andere wetten in verband met de stroomlijning van het door de Autoriteit Consument en Markt te houden markttoezicht (Kamerstukken 33 622) tot wet wordt verheven en artikel XIV van die wet op een eerder tijdstip in werking treedt dan artikel II van deze wet, komen de artikelen II en III te luiden:
Artikel II
De Telecommunicatiewet wordt gewijzigd als volgt:
A
In artikel 11.1 wordt, onder vervanging van de punt aan het slot van onderdeel j door een puntkomma, een onderdeel ingevoegd, luidende:
B
In artikel 11.3a, eerste, derde, vierde en vijfde lid, wordt «de Autoriteit Consument en Markt» telkens vervangen door: het College bescherming persoonsgegevens.
C
Artikel 15.1 wordt als volgt gewijzigd:
2.
Met het toezicht op de naleving van het bepaalde bij of krachtens artikel 11.3a zijn belast de bij besluit van het College bescherming persoonsgegevens aangewezen ambtenaren.D
Artikel 15.2 wordt als volgt gewijzigd:
3.
Het College bescherming persoonsgegevens is bevoegd tot oplegging van een last onder bestuursdwang ter handhaving van de verplichtingen, gesteld bij of krachtens de in artikel 15.1, tweede lid, bedoelde bepalingen.E
Aan artikel 15.4 wordt een lid toegevoegd, luidende:
4.
Het College bescherming persoonsgegevens kan een bestuurlijke boete opleggen van ten hoogste € 450.000 ter zake van overtreding van de bij of krachtens de in artikel 15.1, tweede lid, bedoelde regels, alsmede van artikel 5:20 van de Algemene wet bestuursrecht.F
(vervallen)
G
In het eerste en tweede lid van artikel 15.7 wordt «artikel 15.1, eerste lid» vervangen door: artikel 15.1, eerste en tweede lid.
Artikel III
In de artikelen 7 en 11 van bijlage 2 bij de Algemene wet bestuursrecht komt onderdeel b van de zinsnede met betrekking tot de Telecommunicatiewet te luiden:
- de artikelen 3.10, 15.2, derde lid, 15.4, vierde lid en 18.9, eerste en tweede lid
ARTIKEL III
In de artikelen 7 en 11 van bijlage 2 bij de Algemene wet bestuursrecht komt onderdeel b van de zinsnede met betrekking tot de Telecommunicatiewet te luiden:
- de artikelen 3.10, 15.2, vierde lid, 15.4, vierde lid en 18.9, eerste en tweede lid
ARTIKEL IIIa
In artikel 35, derde lid, van de Wet politiegegevens komt de tweede volzin te luiden: De artikelen 66, eerste lid, en 71 van de Wet bescherming persoonsgegevens zijn van overeenkomstige toepassing.
ARTIKEL IIIb
In artikel 27, vierde lid, van de Wet justitiële en strafvorderlijke gegevens komt de tweede volzin te luiden: De artikelen 66, eerste lid, en 71 van de Wet bescherming persoonsgegevens zijn van overeenkomstige toepassing.
ARTIKEL IV
ARTIKEL IVa
Onze Minister van Veiligheid en Justitie zendt binnen een jaar na het van toepassing worden van de algemene verordening gegevensbescherming van de Europese Unie, aan de Staten-Generaal een verslag over de doeltreffendheid en de effecten van deze wet in de praktijk.
ARTIKEL IVb
Indien het bij koninklijke boodschap van 28 juni 2013 ingediende voorstel van wet tot wijziging van het Wetboek van Strafrecht, het Wetboek van Strafvordering en de Wet op de economische delicten met het oog op het vergroten van de mogelijkheden tot opsporing, vervolging, alsmede het voorkomen van financieel-economische criminaliteit (verruiming mogelijkheden bestrijding financieel-economische criminaliteit) (Kamerstukken 33 685) tot wet wordt verheven en artikel I, onderdeel D, van die wet eerder in werking is getreden of treedt dan artikel I, onderdeel D, van deze wet, wordt in artikel I, onderdeel D, aan artikel 66, tweede lid, van de Wet bescherming persoonsgegevens een volzin toegevoegd: Artikel 23, zevende lid, van het Wetboek van Strafrecht is van overeenkomstige toepassing.
ARTIKEL V
Deze wet treedt in werking op een bij koninklijk besluit te bepalen tijdstip, dat voor de verschillende artikelen of onderdelen daarvan verschillend kan worden vastgesteld.
