Einde inhoudsopgave
Telecommunicatiewet
Artikel 11.3a [Meldplicht datalekken]
Geldend
Geldend vanaf 28-07-2018. Let op: treedt met terugwerkende kracht in werking vanaf 25-05-2018
- Bronpublicatie:
11-07-2018, Stb. 2018, 247 (uitgifte: 27-07-2018, kamerstukken: 34939)
- Inwerkingtreding
28-07-2018, terugwerkend tot: 25-05-2018
- Bronpublicatie inwerkingtreding:
11-07-2018, Stb. 2018, 248 (uitgifte: 27-07-2018, kamerstukken/regelingnummer: -)
- Vakgebied(en)
Informatierecht / Telecommunicatie
Privacy / Verwerking persoonsgegevens
Bijzonder strafrecht / Economisch strafrecht
1.
De aanbieder van een openbare elektronische communicatiedienst stelt de Autoriteit persoonsgegevens onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 11.3, die nadelige gevolgen heeft voor de bescherming van persoonsgegevens die zijn verwerkt in verband met de levering van een openbare elektronische communicatiedienst in de Europese Unie.
2.
De aanbieder, bedoeld in het eerste lid, stelt degene wiens persoonsgegevens het betreft onverwijld in kennis van een inbreuk in verband met persoonsgegevens indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.
3.
De kennisgeving aan de Autoriteit persoonsgegevens en de persoon wiens persoonsgegevens het betreft, omvat in ieder geval de aard van de inbreuk in verband met persoonsgegevens, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken.
De kennisgeving aan de Autoriteit persoonsgegevens omvat tevens de gevolgen van de inbreuk op de persoonsgegevens en de maatregelen die de aanbieder voorstelt of heeft getroffen om de inbreuk aan te pakken.
4.
Indien de aanbieder van een openbare elektronische communicatiedienst geen kennisgeving als bedoeld in het tweede lid doet, kan de Autoriteit persoonsgegevens, indien het van oordeel is dat de inbreuk in verband met persoonsgegevens waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de persoon wiens persoonsgegevens het betreft, van de aanbieder verlangen dat hij die persoon alsnog in kennis stelt van de inbreuk.
5.
De kennisgeving, bedoeld in het tweede lid, is niet vereist indien de aanbieder naar het oordeel van de Autoriteit persoonsgegevens gepaste technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft, versleuteld of anderszins onbegrijpelijk zijn voor een ieder die geen recht heeft op toegang tot die gegevens.
6.
De aanbieder van een openbare elektronische communicatiedienst houdt een overzicht bij van alle inbreuken in verband met persoonsgegevens. Dit overzicht bevat in elk geval de feiten en de in het derde lid bedoelde gegevens.
7.
Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gegeven met betrekking tot de in dit artikel bedoelde eisen met betrekking tot het verstrekken van informatie en de kennisgeving.