Artikel 4 Beveiliging van de verwerking

De aanbieder van een openbare elektronische-communicatiedienst treft passende technische en organisatorische maatregelen om de veiligheid van zijn diensten te garanderen, indien nodig in overleg met de aanbieder van het openbare communicatienetwerk wat de veiligheid van het netwerk betreft. Die maatregelen waarborgen een beveiligingsniveau dat in verhouding staat tot het betrokken risico, rekening houdend met de stand van de techniek en de kosten van uitvoering ervan.

Onverminderd Richtlijn 95/46/EG zorgen de in lid 1 bedoelde maatregelen ervoor dat in ieder geval:

De bevoegde nationale instanties kunnen de door de aanbieders van openbare elektronischecommunicatiediensten genomen maatregelen controleren en aanbevelingen formuleren over beste praktijken het beveiligingspeil dat met deze maatregelen moet worden gehaald.

Indien een bijzonder risico bestaat van inbreuken op de beveiliging van het netwerk, stelt de aanbieder van een openbare elektronische-communicatiedienst de abonnees in kennis van dat risico en, indien het risico tot andere maatregelen noopt dan die waartoe de dienstenaanbieder verplicht is, van de eventuele middelen om dat risico tegen te gaan, met inbegrip van een indicatie van de verwachte kosten.

In geval van een inbreuk in verband met persoonsgegevens stelt de aanbieder van openbare elektronischecommunicatiediensten de bevoegde nationale instantie zonder onnodige vertraging in kennis van de inbreuk in verband met persoonsgegevens.

Indien de inbreuk in verband met persoonsgegevens waarschijnlijk ongunstige gevolgen zal hebben voor de persoonsgegevens en persoonlijke levenssfeer van een abonnee of een individuele persoon stelt de aanbieder ook de abonnee of de individuele persoon in kwestie onverwijld van de inbreuk in kennis.

Inkennisstelling van een betrokken abonnee of individuele persoon van een inbreuk op persoonsgegevens is niet vereist wanneer de aanbieder tot voldoening van de bevoegde instantie heeft aangetoond dat hij de gepaste technische beschermingsmaatregelen heeft genomen en dat deze maatregelen werden toegepast op de data die bij de beveiligingsinbreuk betrokken waren. Dergelijke technologische beschermingsmaatregelen maken de gegevens onbegrijpelijk voor eenieder die geen recht op toegang daartoe heeft.

Onverminderd de verplichting van de aanbieder om de betrokken abonnees en de individuele personen in kwestie in kennis te stellen, indien de aanbieder de abonnee of individuele persoon niet reeds in kennis heeft gesteld van de inbreuk in verband met persoonsgegevens, kan de bevoegde nationale instantie hem, na te hebben bezien of en welke ongunstige gevolgen uit de inbreuk voortvloeien, verzoeken dat te doen.

In de kennisgeving aan de abonnee of de individuele persoon worden ten minste de aard van de inbreuk op persoonsgegevens, alsmede de contactpunten voor meer informatie vermeld, en worden er maatregelen aanbevolen om mogelijke negatieve gevolgen van de inbreuk in verband met persoonsgegevens te verlichten. De kennisgeving aan de bevoegde nationale instantie bevat bovendien een omschrijving van de gevolgen van de inbreuken van de door de aanbieder voorgestelde of getroffen maatregelen om de inbreuk in verband met persoonsgegevens aan te pakken.

Afhankelijk van eventuele technische tenuitvoerleggingsmaatregelen overeenkomstig lid 5 kunnen de bevoegde nationale instanties richtsnoeren en, waar nodig, instructies uitvaardigen betreffende de omstandigheden waarin de kennisgeving van de inbreuk in verband met persoonsgegevens door aanbieders noodzakelijk is, het voor deze kennisgeving toepasselijke formaat, alsmede de manier waarop de kennisgeving geschiedt. Tevens kunnen zij bijhouden of aanbieders aan hun kennisgevingsverplichtingen overeenkomstig dit lid hebben voldaan en, zo niet, dan leggen zij sancties op.

Aanbieders houden een zodanige inventaris bij van inbreuken op persoonsgegevens, o.m. de feiten in verband met deze inbreuken, de gevolgen ervan en de herstelmaatregelen die zijn genomen, dat de bevoegde nationale instanties kunnen nagaan of de bepalingen van lid 3 worden nageleefd. De inventaris bevat uitsluitend de voor dit doel noodzakelijke gegevens.

Teneinde een samenhangende tenuitvoerleggingvan de in de leden 2, 3 en 4 bedoelde maatregelen te waarborgen, kan de Commissie, na raadpleging van het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA), de bij artikel 29 van Richtlijn 95/46/EG ingestelde werkgroep voor de bescherming van personen in verband met de verwerking van persoonsgegevens en de Europese Toezichthouder voor gegevensbescherming, technische uitvoeringsmaatregelen aannemen in verband met, onder meer, de omstandigheden, het formaat en de procedures die gelden voor de in dit artikel bedoelde informatieverstrekkings- en kennisgevingseisen. De Commissie betrekt bij het aannemen van die maatregelen alle relevante belanghebbenden, met name om informatie in te winnen over de beste technische en economische methoden die beschikbaar zijn voor de tenuitvoerlegging van dit artikel.

Deze maatregelen, die niet-essentiële onderdelen vandeze richtlijn beogen te wijzigen door haar aan te vullen, worden vastgesteld volgens de in artikel 14 bis, lid 2, bedoelde regelgevingsprocedure met toetsing.