Artikel 21 (verstrekking van vertrouwelijke gegevens door het CSIRT voor digitale diensten)

• 1

  Ter uitvoering van de in bijlage I, onder 2, van de NIB-richtlijn genoemde taken verstrekt het CSIRT voor digitale diensten geen vertrouwelijke gegevens met betrekking tot een digitaledienstverlener als:

  • a.

    de geheimhouding van die gegevens onvoldoende is gewaarborgd, of

  • b.

    onvoldoende is gewaarborgd dat zij uitsluitend worden gebruikt voor het doel waarvoor zij worden verstrekt.

• 2

  Ter uitvoering van de in bijlage I, onder 2, van de NIB-richtlijn genoemde taken kan het CSIRT voor digitale diensten vertrouwelijke gegevens die herleid kunnen worden tot een digitaledienstverlener, zonder diens instemming uitsluitend verstrekken voor zover dat dienstig is aan het bevorderen van maatregelen ter voorkoming of beperking van een verstoring van het maatschappelijk verkeer. Ingevolge de eerste volzin worden uitsluitend gegevens verstrekt aan:

  • a.

    CSIRT’s;

  • b.

    andere computercrisisteams, aangewezen bij regeling van Onze Minister of behorend tot een bij die regeling aangewezen categorie;

  • c.

    de inlichtingen- en veiligheidsdiensten, bedoeld in de Wet op de inlichtingen- en veiligheidsdiensten 2017.

• 3

  Als een digitaledienstverlener onvoldoende gevolg geeft aan een door het CSIRT voor digitale diensten gegeven advies, kan het CSIRT voor digitale diensten in het advies opgenomen gegevens als bedoeld in het tweede lid verstrekken aan de bevoegde autoriteit of Onze Minister van Economische Zaken en Klimaat.

• 4

  Voor zover dat noodzakelijk is om ernstige economische of sociale gevolgen te voorkomen of te beperken verstrekt het CSIRT voor digitale diensten onverwijld gegevens als bedoeld in het tweede lid aan de bevoegde autoriteit of Onze betrokken Minister.

• 5

  Het tweede lid geldt niet voor zover dat nodig is ter uitvoering van artikel 19, eerste lid.

• 6

  Artikel 20, zevende lid, is van overeenkomstige toepassing op gegevens als bedoeld in het tweede lid.