Wet van 4 juni 2015 tot wijziging van de Wet bescherming persoonsgegevens en enige andere wetten in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens alsmede uitbreiding van de bevoegdheid van het College bescherming persoonsgegevens om bij overtreding van het bepaalde bij of krachtens de Wet bescherming persoonsgegevens een bestuurlijke boete op te leggen (meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp)

Wet van 4 juni 2015 tot wijziging van de Wet bescherming persoonsgegevens en enige andere wetten in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens alsmede uitbreiding van de bevoegdheid van het College bescherming persoonsgegevens om bij overtreding van het bepaalde bij of krachtens de Wet bescherming persoonsgegevens een bestuurlijke boete op te leggen (meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp)

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz. Allen, die deze zullen zien of horen lezen, saluut! doen te weten:Alzo Wij in overweging genomen hebben, dat het noodzakelijk is de Wet bescherming persoonsgegevens en enige andere wetten te wijzigen om een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens in het leven te roepen alsmede om de Wet bescherming persoonsgegevens te wijzigen om een uitbreiding te realiseren van de bevoegdheid van het College bescherming persoonsgegevens om bij overtreding van het bij of krachtens die wet bepaalde een bestuurlijke boete op te leggen; Zo is het, dat Wij, de Afdeling advisering van de Raad van State gehoord, en met gemeen overleg der Staten-Generaal, hebben goedgevonden en verstaan, gelijk Wij goedvinden en verstaan bij deze:

ARTIKEL I

De Wet bescherming persoonsgegevens wordt als volgt gewijzigd:0AIn artikel 1 wordt, onder vervanging van de punt aan het slot van onderdeel p door een puntkomma, twee onderdelen toegevoegd, luidende: q. bindende aanwijzing:

de zelfstandige last die wegens een overtreding wordt opgelegd;r. zelfstandige last:

de enkele last tot het verrichten van bepaalde handelingen, bedoeld in artikel 5:2, tweede lid, van de Algemene wet bestuursrecht, ter bevordering van de naleving van wettelijke voorschriften. AArtikel 14 wordt als volgt gewijzigd:1. In de eerste volzin van het eerste lid wordt «met betrekking tot de te verrichten verwerkingen» vervangen door: met betrekking tot de te verrichten verwerkingen, en ten aanzien van de melding van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die door hem worden verwerkt. 2. Het derde lid komt te luiden: 3. De verantwoordelijke draagt zorg dat de bewerker: a. de persoonsgegevens verwerkt in overeenstemming met artikel 12, eerste lid; b. de verplichtingen nakomt die op de verantwoordelijke rusten ingevolge artikel 13, en c. de verplichtingen nakomt die op de verantwoordelijke rusten ten aanzien van de verplichting tot melding van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die door hem worden verwerkt. 3. In het vierde lid wordt «in afwijking van het derde lid, onder b.» vervangen door: in afwijking van het derde lid, onder b en c. 4. In het vijfde lid wordt «alsmede de beveiligingsmaatregelen als bedoeld in artikel 13» vervangen door: de beveiligingsmaatregelen, bedoeld in artikel 13, en de verplichting tot melding van een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens die door hem worden verwerkt,. B1. Aan het opschrift van hoofdstuk 5 wordt toegevoegd «en de meldplicht bij inbreuken op de beveiliging van persoonsgegevens aan het College». 2. Na artikel 34 wordt in hoofdstuk 5 een artikel ingevoegd, luidende:

Artikel 34

a.

1. De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. 2. De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. 3. De kennisgeving aan het College en de betrokkene omvat in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken. 4. De kennisgeving aan het College omvat tevens een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen. 5. De kennisgeving aan de betrokkene wordt op zodanige wijze gedaan dat, rekening houdend met de aard van de inbreuk, de geconstateerde en de feitelijke gevolgen daarvan voor de verwerking van persoonsgegevens, de kring van betrokkenen en de kosten van...