Einde inhoudsopgave
Wet politiegegevens
Artikel 33a (melding datalekken)
Geldend
Geldend vanaf 01-05-2019
- Bronpublicatie:
03-04-2019, Stb. 2019, 141 (uitgifte: 12-04-2019, kamerstukken: 33844)
- Inwerkingtreding
01-05-2019
- Bronpublicatie inwerkingtreding:
17-04-2019, Stb. 2019, 164 (uitgifte: 26-04-2019, kamerstukken/regelingnummer: -)
- Overige regelgevende instantie(s)
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
Ministerie van Defensie
- Vakgebied(en)
Politierecht / Algemeen
Informatierecht / ICT-recht
Openbare orde en veiligheid / Algemeen
1.
De verwerkingsverantwoordelijke meldt een inbreuk op de beveiliging onverwijld en uiterlijk binnen 72 uur nadat hij ervan heeft kennis genomen aan de Autoriteit persoonsgegevens, tenzij het niet waarschijnlijk is dat de inbreuk een risico voor de rechten en vrijheden van personen met zich meebrengt. In het geval de melding na 72 uur wordt gedaan, gaat deze vergezeld van een motivering voor de vertraging.
2.
De melding, bedoeld in het eerste lid, bevat ten minste de volgende informatie:
- a.
een beschrijving van de aard en omvang van de inbreuk, bedoeld in het eerste lid, waaronder begrepen, waar mogelijk, de categorieën van betrokkenen en van gegevensbestanden en, bij benadering, het aantal betrokkenen en gegevensbestanden;
- b.
de mededeling van de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
- c.
een beschrijving van de waarschijnlijke gevolgen van de inbreuk, bedoeld in het eerste lid;
- d.
een beschrijving van de voorgestelde of uitgevoerde maatregelen om de inbreuk, bedoeld in het eerste lid, te beëindigen en, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen ervan.
3.
Voor zover het niet mogelijk is de informatie, bedoeld in het tweede lid, gelijktijdig te verstrekken, kan deze zonder onnodige vertraging in stappen worden verstrekt.
4.
De verwerkingsverantwoordelijke deelt een inbreuk op de beveiliging van politiegegevens, die zijn doorgezonden door of aan een verwerkingsverantwoordelijke van een andere lidstaat, zonder onnodige vertraging mee aan de verwerkingsverantwoordelijke van deze lidstaat.
5.
De verwerkingsverantwoordelijke deelt een inbreuk op de beveiliging mede aan de betrokkenen als deze inbreuk waarschijnlijk een hoog risico voor de rechten en vrijheden van personen met zich meebrengt. De mededeling bevat een omschrijving van de aard van de inbreuk op de beveiliging en ten minste de informatie, bedoeld in het tweede lid, onderdelen b, c en d.
6.
De mededeling aan de betrokkenen, bedoeld in het vijfde lid, is niet vereist wanneer:
- a.
de verwerkingsverantwoordelijke passende technische en organisatorische beschermingsmaatregelen heeft getroffen en deze maatregelen zijn toegepast op de politiegegevens waarop de inbreuk, bedoeld in het eerste lid, betrekking heeft;
- b.
de verwerkingsverantwoordelijke maatregelen heeft getroffen om ervoor te zorgen dat het hoge risico, bedoeld in het vijfde lid, zich waarschijnlijk niet meer zal voordoen, of
- c.
de mededeling een onevenredige inspanning zou vergen. In dat geval volgt een openbare mededeling of vergelijkbare maatregel waarmee de betrokkenen even doeltreffend worden geïnformeerd.
7.
De mededeling aan de betrokkene kan worden uitgesteld, beperkt of achterwege gelaten op de gronden, bedoeld in artikel 27, tweede lid.