Preview document (🔗 origineel)

---

Bijgewerkt t/m nr. 23 (Derde Nota van wijziging d.d. 9 februari 2015)

33 662	Wijziging van de Wet bescherming persoonsgegevens en enige andere
wetten in verband met de invoering van een meldplicht bij de doorbreking
van maatregelen voor de beveiliging van persoonsgegevens alsmede
uitbreiding van de bevoegdheid van het College bescherming
persoonsgegevens om bij overtreding van het bepaalde bij of krachtens de
Wet bescherming persoonsgegevens een bestuurlijke boete op te leggen
(meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp)







Nr. 2	VOORSTEL VAN WET



	Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins
van Oranje-Nassau, enz. enz. enz.

Allen, die deze zullen zien of horen lezen, saluut! doen te weten:

Alzo Wij in overweging genomen hebben, dat het noodzakelijk is de Wet
bescherming persoonsgegevens en enige andere wetten te wijzigen om een
meldplicht bij de doorbreking van maatregelen voor de beveiliging van
persoonsgegevens in het leven te roepen alsmede om de Wet bescherming
persoonsgegevens te wijzigen om een uitbreiding te realiseren van de
bevoegdheid van het College bescherming persoonsgegevens om bij
overtreding van het bij of krachtens die wet bepaalde een bestuurlijke
boete op te leggen;    

Zo is het, dat Wij, de Afdeling advisering van de Raad van State
gehoord, en met gemeen overleg der Staten-Generaal, hebben goedgevonden
en verstaan, gelijk Wij goedvinden en verstaan bij deze:

ARTIKEL I 

De Wet bescherming persoonsgegevens wordt als volgt gewijzigd: 

0A

	In artikel 1 wordt, onder vervanging van de punt aan het slot van
onderdeel p door een puntkomma, twee onderdelen toegevoegd, luidende:  

	q. bindende aanwijzing: de zelfstandige last die wegens een overtreding
wordt opgelegd; 

	r. zelfstandige last: de enkele last tot het verrichten van bepaalde
handelingen, bedoeld in artikel 5:2, tweede lid, van de Algemene wet
bestuursrecht, ter bevordering van de naleving van wettelijke
voorschriften.

A

Artikel 14 wordt als volgt gewijzigd:

1. In de eerste volzin van het eerste lid wordt "met betrekking tot de
te verrichten verwerkingen" vervangen door: met betrekking tot de te
verrichten verwerkingen, en ten aanzien van de melding van een inbreuk
op de beveiliging, bedoeld in artikel 13, die ernstige nadelige gevolgen
heeft voor de bescherming van de persoonsgegevens die door hem worden
verwerkt.

2. Het derde lid komt te luiden: 

3. De verantwoordelijke draagt zorg dat de bewerker:

a. de persoonsgegevens verwerkt in overeenstemming met artikel 12,
eerste lid; 

b. de verplichtingen nakomt die op de verantwoordelijke rusten ingevolge
artikel 13, en 

c. de verplichtingen nakomt die op de verantwoordelijke rusten ten
aanzien van de verplichting tot melding van een inbreuk op de
beveiliging, bedoeld in artikel 13, die ernstige nadelige gevolgen heeft
voor de bescherming van de persoonsgegevens die door hem worden
verwerkt.

3. In het vierde lid wordt "in afwijking van het derde lid, onder b."
vervangen door: in afwijking van het derde lid, onder b en c. 

4. In het vijfde lid wordt "alsmede de beveiligingsmaatregelen als
bedoeld in artikel 13" vervangen door: "de beveiligingsmaatregelen,
bedoeld in artikel 13, en de verplichting tot melding van een inbreuk op
de beveiliging die ernstige nadelige gevolgen heeft voor de bescherming
van de persoonsgegevens die door hem worden verwerkt,. 

B

	1. Aan het opschrift van hoofdstuk 5 wordt toegevoegd “en de
meldplicht bij inbreuken op de beveiliging van persoonsgegevens aan het
College”. 

2. Na artikel 34 wordt in hoofdstuk 5 een artikel ingevoegd, luidende: 

Artikel 34a

	1. De verantwoordelijke stelt het College onverwijld in kennis van een
inbreuk op de beveiliging, bedoeld in artikel 13, die ernstige nadelige
gevolgen heeft voor de bescherming van de verwerkte persoonsgegevens.  

2. De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene
onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien
de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens
persoonlijke levenssfeer. 

3. De kennisgeving aan het College en de betrokkene omvat in ieder geval
de aard van de inbreuk, de instanties waar meer informatie over de
inbreuk kan worden verkregen en de aanbevolen maatregelen om de
negatieve gevolgen van de inbreuk te beperken.

4. De kennisgeving aan het College omvat tevens een beschrijving van de
gevolgen van de inbreuk voor de verwerkte persoonsgegevens en de
maatregelen die de verantwoordelijke heeft getroffen of voorstelt te
treffen om deze gevolgen te verhelpen.

5. De kennisgeving aan de betrokkene wordt op zodanige wijze gedaan dat,
rekening houdend met de aard van de inbreuk, de geconstateerde en de
feitelijke gevolgen daarvan voor de verwerking van persoonsgegevens, de
kring van betrokkenen en de kosten van tenuitvoerlegging, een
behoorlijke en zorgvuldige informatievoorziening is gewaarborgd.

	6. Het eerste en tweede lid zijn niet van toepassing  indien de
verantwoordelijke passende technische beschermingsmaatregelen heeft
genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of
ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van
de gegevens.

7. Indien de verantwoordelijke geen kennisgeving aan de betrokkene doet,
kan het College, indien het van oordeel is dat inbreuk waarschijnlijk
ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de
betrokkene, van de verantwoordelijke verlangen dat hij alsnog een
kennisgeving doet.

8. Dit artikel is niet van toepassing indien de verantwoordelijke in
zijn hoedanigheid als aanbieder van een openbare elektronische
communicatiedienst een kennisgeving heeft gedaan als bedoeld in artikel
11.3a, eerste en tweede lid, van de Telecommunicatiewet. 

9. Het tweede en zevende lid zijn niet van toepassing op financiële
ondernemingen als bedoeld in de Wet op het financieel toezicht.

10. Bij algemene maatregel van bestuur kunnen nadere regels worden
gesteld met betrekking tot de kennisgeving.

Ba

	In artikel 43, aanhef, wordt “34 en 35” vervangen door: 34, 34a,
tweede lid, en 35.

C

Na artikel 51 wordt een artikel ingevoegd, luidende:

Artikel 51a

1. Het College is bevoegd om in het belang van een efficiënt en
effectief toezicht op de verwerking van persoonsgegevens afspraken te
maken met andere toezichthouders en daartoe gezamenlijk met deze
toezichthouders samenwerkingsprotocollen vast te stellen. Een
samenwerkingsprotocol wordt bekendgemaakt in de Staatscourant. 

	2. Het College en de toezichthouders, bedoeld in het eerste lid, zijn
bevoegd uit eigen beweging en desgevraagd verplicht aan elkaar de
gegevens betreffende de verwerking van persoonsgegevens te verstrekken
die noodzakelijk zijn voor de uitvoering van hun taak. 

Ca

	Aan artikel 51 wordt een lid toegevoegd, luidende: 

	4. Het College wordt in het maatschappelijk verkeer aangeduid als:
Autoriteit persoonsgegevens.

D

	Artikel 66 komt te luiden: 

Artikel 66

	1. Het College kan een bestuurlijke boete opleggen van ten hoogste het
bedrag van de geldboete van de vierde categorie van artikel 23, vierde
lid, van het Wetboek van Strafrecht ter zake van overtreding van het
bepaalde bij of krachtens de artikelen 4, derde lid, of 78, tweede lid,
aanhef en onder a. 

	2. Het College kan een bestuurlijke boete opleggen van ten hoogste het
bedrag van de geldboete van de zesde categorie van artikel 23, vierde
lid, van het Wetboek van Strafrecht ter zake van overtreding van het
bepaalde bij of krachtens de artikelen 6 tot en met 8, 9, eerste en
vierde lid, 10, eerste lid, 11 tot en met 13, 16, 24, 33, 34, eerste,
tweede en derde lid, 34a, 35, eerste lid, tweede volzin, tweede, derde
en vierde lid, 36, tweede, derde en vierde lid, 38 tot en met 40, tweede
en derde lid, 41, tweede en derde lid, 42, eerste en vierde lid, 76, 77
of 78, derde en vierde lid, alsmede van artikel 5:20 van de Algemene wet
bestuursrecht.   

	3. Het College legt geen bestuurlijke boete op wegens overtreding van
het bepaalde bij of krachtens de in artikel 66, tweede lid, genoemde
artikelen, dan nadat het een bindende aanwijzing heeft gegeven. Het
College kan de overtreder een termijn stellen waarbinnen de aanwijzing
moet worden opgevolgd. 

	4. Het derde lid is niet van toepassing indien de overtreding
opzettelijk is gepleegd.

Da

	Na artikel 66 wordt een artikel ingevoegd, luidende: 

Artikel 67

	1. Een door het College vastgestelde beleidsregel omtrent de uitleg van
het bepaalde bij of krachtens de in artikel 66, tweede lid, genoemde
artikelen,  behoeft de goedkeuring van Onze Minister en Onze Minister
van Binnenlandse Zaken en Koninkrijksrelaties.

	2. De goedkeuring kan slechts worden onthouden wegens strijd met het
recht of het algemeen belang.

E

Artikel 71 komt te luiden: 

Artikel 71

De werking van de beschikking tot oplegging van de bestuurlijke boete
wordt opgeschort totdat de bezwaar- of beroepstermijn is verstreken of,
indien bezwaar is gemaakt respectievelijk beroep is ingesteld, op het
bezwaar respectievelijk het beroep is beslist. 

Ea

	In artikel 75, eerste lid, wordt “hetgeen bij of krachtens artikel 4,
derde lid, 27, 28, 78, tweede lid, onder a, of 79, eerste lid, is
bepaald,” vervangen door: hetgeen bij of krachtens artikel 4, derde
lid, of 78, tweede lid, is bepaald,.

F

	(Vervallen)

ARTIKEL II

De Telecommunicatiewet wordt als volgt gewijzigd: 

A

In artikel 11.1 wordt, onder vervanging van de punt aan het slot van
onderdeel j door een puntkomma, een onderdeel ingevoegd, luidende:

k. College bescherming persoonsgegevens: het College bescherming
persoonsgegevens, bedoeld in de Wet bescherming persoonsgegevens.

B

In artikel 11.3a, eerste, derde, vierde en vijfde lid, wordt "de
Autoriteit Consument en Markt" telkens vervangen door: het College
bescherming persoonsgegevens. 

C

Artikel 15.1 wordt als volgt gewijzigd: 

1. Onder vernummering van het derde en vierde lid tot vierde en vijfde
lid wordt een nieuw derde lid ingevoegd, luidende: 

3. Met het toezicht op de naleving van het bepaalde bij of krachtens
artikel 11.3a zijn belast de bij besluit van het College bescherming
persoonsgegevens aangewezen ambtenaren.

2. In de eerste volzin van het vierde lid wordt "eerste en tweede lid"
vervangen door: eerste, tweede en derde lid.

3. In het vijfde lid wordt "eerste, tweede en derde lid" vervangen door:
eerste, tweede, derde en vierde lid.

D

Artikel 15.2 wordt als volgt gewijzigd: 

1. In het tweede lid wordt "artikel 15.1, derde lid" vervangen door:
artikel 15.1, vierde lid.

2. Onder vernummering van het vierde en vijfde tot vijfde en zesde lid
wordt na het derde lid een lid ingevoegd, luidende: 

4. Het College bescherming persoonsgegevens is bevoegd tot oplegging van
een last onder bestuursdwang ter handhaving van de verplichtingen,
gesteld bij of krachtens de in artikel 15.1, derde lid, bedoelde
bepalingen. 

E

Artikel 15.4 wordt als volgt gewijzigd: 

1. Onder vernummering van het vierde, vijfde en zesde lid tot vijfde,
zesde en zevende lid wordt na het derde lid een lid ingevoegd, luidende:


4. Het College bescherming persoonsgegevens kan een bestuurlijke boete
opleggen van ten hoogste € 450.000 ter zake van overtreding van de bij
of krachtens de in artikel 15.1, derde lid, bedoelde regels, alsmede van
artikel 5:20 van de Algemene wet bestuursrecht. 

 

2. In het vijfde lid wordt "artikel 15.1, derde lid" vervangen door:
artikel 15.1, vierde lid.

F

In artikel 15.5, eerste en tweede lid, en artikel 15.7, eerste en tweede
lid, wordt "artikel 15.1, eerste, tweede, onderscheidenlijk derde lid"
telkens vervangen door: artikel 15.1, eerste, tweede, derde,
onderscheidenlijk vierde lid. 

ARTIKEL IIa 

	Indien het bij koninklijke boodschap van 26 april 2013 ingediende
voorstel van wet tot wijziging van de Instellingswet Autoriteit
Consument en Markt en enige andere wetten in verband met de
stroomlijning van het door de Autoriteit Consument en Markt te houden
markttoezicht (Kamerstukken 33622) tot wet wordt verheven en artikel XIV
van die wet op een eerder tijdstip in werking treedt dan artikel II van
deze wet, komen de artikelen II en III te luiden: 

Artikel II 

	De Telecommunicatiewet wordt gewijzigd als volgt:  

A

	In artikel 11.1 wordt, onder vervanging van de punt aan het slot van
onderdeel j door een puntkomma, een onderdeel ingevoegd, luidende:

k. College bescherming persoonsgegevens: het College bescherming
persoonsgegevens, bedoeld in de Wet bescherming persoonsgegevens.

B

	In artikel 11.3a, eerste, derde, vierde en vijfde lid, wordt "de
Autoriteit Consument en Markt" telkens vervangen door: het College
bescherming persoonsgegevens. 

C

	Artikel 15.1 wordt als volgt gewijzigd: 

	1. Onder vernummering van het tweede en derde lid tot derde en vierde
lid wordt een nieuw tweede lid ingevoegd, luidende: 

	2. Met het toezicht op de naleving van het bepaalde bij of krachtens
artikel 11.3a zijn belast de bij besluit van het College bescherming
persoonsgegevens aangewezen ambtenaren.

	2. In de eerste volzin van het derde lid wordt "eerste lid" vervangen
door: eerste en tweede lid.

	3. In het vierde lid wordt "eerste lid" vervangen door: eerste en
tweede lid.

D

	Artikel 15.2 wordt als volgt gewijzigd: 

	1. In het tweede lid wordt "artikel 15.1, tweede lid" vervangen door:
artikel 15.1, derde lid.

	2. Onder vernummering van het derde en vierde tot vierde en vijfde lid
wordt na het tweede lid een lid ingevoegd, luidende: 

	3. Het College bescherming persoonsgegevens is bevoegd tot oplegging
van een last onder bestuursdwang ter handhaving van de verplichtingen,
gesteld bij of krachtens de in artikel 15.1, tweede lid, bedoelde
bepalingen. 

E

	Aan artikel 15.4 wordt een lid toegevoegd, luidende: 

	4. Het College bescherming persoonsgegevens kan een bestuurlijke boete
opleggen van ten hoogste € 450.000 ter zake van overtreding van de bij
of krachtens de in artikel 15.1, tweede lid, bedoelde regels, alsmede
van artikel 5:20 van de Algemene wet bestuursrecht. 

 

F

	(Vervallen)

G

	In het eerste en tweede lid van artikel 15.7 wordt “artikel 15.1,
eerste lid” vervangen door: artikel 15.1, eerste en tweede lid.  

Artikel III

	In de artikelen 7 en 11 van bijlage 2 bij de Algemene wet bestuursrecht
komt onderdeel b van de zinsnede met betrekking tot de
Telecommunicatiewet te luiden:

	b. de artikelen 3.10, 15.2, derde lid, 15.4, vierde lid en 18.9, eerste
en tweede lid

ARTIKEL III

In de artikelen 7 en 11 van bijlage 2 bij de Algemene wet bestuursrecht
komt onderdeel b van de zinsnede met betrekking tot de
Telecommunicatiewet te luiden: 

b. de artikelen 3.10, 15.2, vierde lid, 15.4, vierde lid en 18.9, eerste
en tweede lid

ARTIKEL IIIa

	In artikel 35, derde lid, van de Wet politiegegevens komt de tweede
volzin te luiden: De artikelen 66, eerste lid, en 71 van de Wet
bescherming persoonsgegevens zijn van overeenkomstige toepassing.  

ARTIKEL IIIb

	In artikel 27, vierde lid, van de Wet justitiële en strafvorderlijke
gegevens komt de tweede volzin te luiden: De artikelen 66, eerste lid,
en 71 van de Wet bescherming persoonsgegevens zijn van overeenkomstige
toepassing.

ARTIKEL IV

1. Ten aanzien van de mogelijkheid om bezwaar te maken tegen een besluit
van de Autoriteit Consument en Markt op grond van de artikelen 15.2 en
15.4 van de Telecommunicatiewet terzake van overtreding van het bepaalde
bij of krachtens artikel 11.3a van de Telecommunicatiewet dat is
bekendgemaakt voor het tijdstip van inwerkingtreding van deze wet,
blijft het oude recht van toepassing. 

2. Op de behandeling van een bezwaarschrift tegen een besluit als
bedoeld in het eerste lid, blijft het oude recht van toepassing.

3. Ten aanzien van de mogelijkheid om beroep of hoger beroep in te
stellen tegen een besluit van de Autoriteit Consument en Markt op grond
van de artikelen 15.2 en 15.4 van de Telecommunicatiewet terzake van
overtreding van het bepaalde bij of krachtens artikel 11.3a van de
Telecommunicatiewet dat is bekendgemaakt voor het tijdstip van
inwerkingtreding van deze wet, blijft het oude recht van toepassing. 

4. Op de behandeling van het beroep en hoger beroep tegen een besluit
als bedoeld in het eerste lid, blijft het oude recht van toepassing. 

ARTIKEL IVa

	Onze Minister van Veiligheid en Justitie zendt binnen een jaar na het
van toepassing worden van de algemene verordening gegevensbescherming
van de Europese Unie, aan de Staten-Generaal een verslag over de
doeltreffendheid en de effecten van deze wet in de praktijk.

ARTIKEL IVb

	Indien het bij koninklijke boodschap van 28 juni 2013 ingediende
voorstel van wet tot wijziging van het Wetboek van Strafrecht, het
Wetboek van Strafvordering en de Wet op de economische delicten met het
oog op het vergroten van de mogelijkheden tot opsporing, vervolging,
alsmede het voorkomen van financieel-economische criminaliteit
(verruiming mogelijkheden bestrijding financieel-economische
criminaliteit) (Kamerstukken 33685) tot wet wordt verheven en artikel I,
onderdeel D, van die wet eerder in werking is getreden of treedt dan
artikel I, onderdeel D, van deze wet, wordt  in artikel I, onderdeel D,
aan artikel 66, tweede lid, van de Wet bescherming persoonsgegevens een
volzin toegevoegd: Artikel 23, zevende lid, van het Wetboek van
Strafrecht is van overeenkomstige toepassing.

ARTIKEL V 

Deze wet treedt in werking op een bij koninklijk besluit te bepalen
tijdstip, dat voor de verschillende artikelen of onderdelen daarvan
verschillend kan worden vastgesteld.

Lasten en bevelen dat deze in het Staatsblad zal worden geplaatst en dat
alle ministeries, autoriteiten, colleges en ambtenaren die zulks
aangaat, aan de nauwkeurige uitvoering de hand zullen houden. 

Gegeven

De Staatssecretaris van Veiligheid en Justitie,

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, 

De Minister van Economische Zaken, 

 

 

 PAGE    

 PAGE   9