De verwerkingsverantwoordelijke meldt een inbreuk op de beveiliging onverwijld en uiterlijk binnen 72 uur nadat hij ervan heeft kennis genomen aan de Autoriteit persoonsgegevens, tenzij het niet waarschijnlijk is dat de inbreuk een risico voor de rechten en vrijheden van personen met zich meebrengt. In het geval de melding na 72 uur wordt gedaan, gaat deze vergezeld van een motivering voor de vertraging.
De melding, bedoeld in het eerste lid, bevat ten minste de volgende informatie:
een beschrijving van de aard en omvang van de inbreuk, bedoeld in het eerste lid, waaronder begrepen, waar mogelijk, de categorieën van betrokkenen en van gegevensbestanden en, bij benadering, het aantal betrokkenen en gegevensbestanden;
de mededeling van de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
een beschrijving van de waarschijnlijke gevolgen van de inbreuk, bedoeld in het eerste lid;
een beschrijving van de voorgestelde of uitgevoerde maatregelen om de inbreuk, bedoeld in het eerste lid, te beëindigen en, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen ervan.
Voor zover het niet mogelijk is de informatie, bedoeld in het tweede lid, gelijktijdig te verstrekken, kan deze zonder onnodige vertraging in stappen worden verstrekt.
De verwerkingsverantwoordelijke deelt een inbreuk op de beveiliging van politiegegevens, die zijn doorgezonden door of aan een verwerkingsverantwoordelijke van een andere lidstaat, zonder onnodige vertraging mee aan de verwerkingsverantwoordelijke van deze lidstaat.
De verwerkingsverantwoordelijke deelt een inbreuk op de beveiliging mede aan de betrokkenen als deze inbreuk waarschijnlijk een hoog risico voor de rechten en vrijheden van personen met zich meebrengt. De mededeling bevat een omschrijving van de aard van de inbreuk op de beveiliging en ten minste de informatie, bedoeld in het tweede lid, onderdelen b, c en d.
De mededeling aan de betrokkenen, bedoeld in het vijfde lid, is niet vereist wanneer:
de verwerkingsverantwoordelijke passende technische en organisatorische beschermingsmaatregelen heeft getroffen en deze maatregelen zijn toegepast op de politiegegevens waarop de inbreuk, bedoeld in het eerste lid, betrekking heeft;
de verwerkingsverantwoordelijke maatregelen heeft getroffen om ervoor te zorgen dat het hoge risico, bedoeld in het vijfde lid, zich waarschijnlijk niet meer zal voordoen, of
de mededeling een onevenredige inspanning zou vergen. In dat geval volgt een openbare mededeling of vergelijkbare maatregel waarmee de betrokkenen even doeltreffend worden geïnformeerd.
De mededeling aan de betrokkene kan worden uitgesteld, beperkt of achterwege gelaten op de gronden, bedoeld in artikel 27, tweede lid.
Regelgeving die op dit artikel is gebaseerd (gedelegeerde regelgeving)
Geen
Beleidsregels en circulaires die dit artikel als wettelijke bevoegdheid hebben
Geen
Artikelen of vergelijkbare tekst die verwijzen naar dit artikel
Besluit mandaat, volmacht en machtiging Autoriteit Persoonsgegevens
artikel: 3
Boetebeleidsregels Autoriteit Persoonsgegevens 2019
bijlage: 5
Regeling WPG Defensie
artikel: 4.1, 4.2
Wet gebruik van passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven
artikel: 17
Wet politiegegevens
artikel: 35c, 36c, 24a, 32
Wet ter voorkoming van witwassen en financieren van terrorisme
artikel: 14
(01-01-2020)
|
Datum van inwerking- treding |
Terugwerkende kracht |
Betreft |
Ondertekening |
Bekendmaking |
Kamerstukken |
Ondertekening |
Bekendmaking |
Opmerking |
|
wijziging |
03-04-2019 |
17-04-2019 |
||||||
|
nieuw |
17-10-2018 |
06-12-2018 |
||||||
