Wet beveiliging netwerk- en informatiesystemen (Wbni)


Hoofdstuk 5

Verwerking van gegevens

Artikel 17

(verwerking van gegevens door Onze Minister en andere instanties)

1 Onze Minister verwerkt gegevens, waaronder persoonsgegevens, ten behoeve van de in artikel 3 genoemde doeleinden en taken. Hij is verwerkingsverantwoordelijke.
2 De bevoegde autoriteit verwerkt gegevens, waaronder persoonsgegevens, ten behoeve van de in artikel 4, derde lid, genoemde taak. Zij is verwerkingsverantwoordelijke.
3 Het CSIRT voor digitale diensten verwerkt gegevens, waaronder persoonsgegevens, ten behoeve van de taken, genoemd in bijlage I van de NIB-richtlijn. Het is verwerkingsverantwoordelijke.

Artikel 18

(verstrekking gegevens aan Onze Minister)

1 Onze Minister kan een rechtspersoon of een orgaan daarvan verzoeken om gegevens te verstrekken die noodzakelijk zijn voor de vervulling van de in artikel 3, eerste lid, onder b tot en met e, genoemde taken.
2 De rechtspersoon of het orgaan kan op grond van het eerste lid gevraagde persoonsgegevens ook aan Onze Minister verstrekken als die verstrekking onverenigbaar is met de doeleinden waarvoor de persoonsgegevens zijn verzameld.

Artikel 19

(verstrekking incidentinformatie aan en door centrale contactpunten)

1 Ter uitvoering van artikel 10, derde lid, eerste volzin, van de NIB-richtlijn stelt het CSIRT voor digitale diensten Onze Minister op de hoogte van gedane meldingen als bedoeld in artikel 13, eerste lid.
2 Als blijkt uit een melding door een aanbieder van een essentiële dienst van een incident als bedoeld in artikel 10, eerste lid, onder a, of derde lid, of artikel 16, eerste lid, dat het incident aanzienlijke gevolgen heeft voor de continuïteit van een essentiële dienst in een andere lidstaat van de Europese Unie, stelt Onze Minister het centrale contactpunt van die lidstaat daarvan op de hoogte.
3 Op verzoek van de bevoegde autoriteit of uit eigen beweging stuurt Onze Minister de in het tweede lid bedoelde melding door naar het centrale contactpunt van de andere getroffen lidstaat.
4 Als dat passend is en in elk geval als twee of meer lidstaten getroffen zijn, stelt Onze Minister het centrale contactpunt van de getroffen lidstaten op de hoogte van een bij het CSIRT voor digitale diensten gemeld incident als bedoeld in artikel 13, eerste lid.
5 Als blijkt uit gegevens die Onze Minister heeft ontvangen van een centraal contactpunt in een andere lidstaat dat een daar gemeld incident aanzienlijke gevolgen heeft voor de continuïteit van:
a. een essentiële dienst in Nederland: stelt Onze Minister de bevoegde autoriteit daarvan op de hoogte;
b. een digitale dienst in Nederland: stelt Onze Minister het CSIRT voor digitale diensten en de bevoegde autoriteit daarvan op de hoogte.

Artikel 20

(verstrekking van vertrouwelijke gegevens door Onze Minister)

1 Ter uitvoering van de in artikel 3 genoemde taken verstrekt Onze Minister geen vertrouwelijke gegevens met betrekking tot een aanbieder als:
a. de geheimhouding van die gegevens onvoldoende is gewaarborgd, of
b. onvoldoende is gewaarborgd dat zij uitsluitend worden gebruikt voor het doel waarvoor zij worden verstrekt.
2 Ter uitvoering van de in artikel 3 genoemde taken kan Onze Minister vertrouwelijke gegevens die herleid kunnen worden tot een aanbieder, zonder diens instemming uitsluitend verstrekken voor zover dat dienstig is aan het bevorderen van maatregelen ter voorkoming of beperking van een verstoring van het maatschappelijk verkeer. Ingevolge de eerste volzin worden uitsluitend gegevens verstrekt aan:
a. organisaties die objectief kenbaar tot taak hebben om andere organisaties of het publiek te informeren over dreigingen en incidenten met betrekking tot hun netwerk- en informatiesystemen, aangewezen bij regeling van Onze Minister of behorend tot een bij die regeling aangewezen categorie;
b. CSIRT’s;
c. andere computercrisisteams, aangewezen bij regeling van Onze Minister of behorend tot een bij die regeling aangewezen categorie;
d. de inlichtingen- en veiligheidsdiensten, bedoeld in de Wet op de inlichtingen- en veiligheidsdiensten 2017;
e. Onze Minister van Economische Zaken en Klimaat, ten behoeve van de uitvoering van de taken, bedoeld in artikel 2, eerste lid, van de Wet bevordering digitale weerbaarheid bedrijven.
3 Als een vitale aanbieder, of een andere aanbieder die onderdeel is van de rijksoverheid, onvoldoende gevolg geeft aan een door Onze Minister gegeven advies, kan Onze Minister in het advies opgenomen gegevens als bedoeld in het tweede lid verstrekken aan de bevoegde autoriteit of Onze betrokken Minister.
4 Voor zover dat noodzakelijk is om ernstige maatschappelijke gevolgen te voorkomen of te beperken:
a. verstrekt Onze Minister onverwijld gegevens als bedoeld in het tweede lid aan de bevoegde autoriteit of Onze betrokken Minister;
b. kan Onze Minister, na raadpleging van de betrokken aanbieder, gegevens als bedoeld in het tweede lid verstrekken aan andere organisaties of over die gegevens mededelingen doen aan het publiek.
5 Het eerste lid geldt niet voor de in het vierde lid, onder b, bedoelde mededelingen aan het publiek.
6 Het tweede lid geldt niet voor zover dat nodig is ter uitvoering van artikel 19, tweede tot en met vijfde lid.
7 De Wet open overheid is niet van toepassing op gegevens als bedoeld in het tweede lid, behalve voor zover die gegevens milieu-informatie inhouden als bedoeld in artikel 19.1a van de Wet milieubeheer. De eerste volzin geldt ook als de gegevens bij een ander overheidsorgaan berusten na verstrekking op grond van dit artikel.

Artikel 21

(verstrekking van vertrouwelijke gegevens door het CSIRT voor digitale diensten)

1 Ter uitvoering van de in bijlage I, onder 2, van de NIB-richtlijn genoemde taken verstrekt het CSIRT voor digitale diensten geen vertrouwelijke gegevens met betrekking tot een digitaledienstverlener als:
a. de geheimhouding van die gegevens onvoldoende is gewaarborgd, of
b. onvoldoende is gewaarborgd dat zij uitsluitend worden gebruikt voor het doel waarvoor zij worden verstrekt.
2 Ter uitvoering van de in bijlage I, onder 2, van de NIB-richtlijn genoemde taken kan het CSIRT voor digitale diensten vertrouwelijke gegevens die herleid kunnen worden tot een digitaledienstverlener, zonder diens instemming uitsluitend verstrekken voor zover dat dienstig is aan het bevorderen van maatregelen ter voorkoming of beperking van een verstoring van het maatschappelijk verkeer. Ingevolge de eerste volzin worden uitsluitend gegevens verstrekt aan:
a. CSIRT’s;
b. andere computercrisisteams, aangewezen bij regeling van Onze Minister of behorend tot een bij die regeling aangewezen categorie;
c. de inlichtingen- en veiligheidsdiensten, bedoeld in de Wet op de inlichtingen- en veiligheidsdiensten 2017;
d. Onze Minister van Economische Zaken en Klimaat, ten behoeve van de uitvoering van de taken, bedoeld in artikel 2, eerste lid, van de Wet bevordering digitale weerbaarheid bedrijven.
3 Als een digitaledienstverlener onvoldoende gevolg geeft aan een door het CSIRT voor digitale diensten gegeven advies, kan het CSIRT voor digitale diensten in het advies opgenomen gegevens als bedoeld in het tweede lid verstrekken aan de bevoegde autoriteit of Onze Minister van Economische Zaken en Klimaat.
4 Voor zover dat noodzakelijk is om ernstige economische of sociale gevolgen te voorkomen of te beperken verstrekt het CSIRT voor digitale diensten onverwijld gegevens als bedoeld in het tweede lid aan de bevoegde autoriteit of Onze betrokken Minister.
5 Het tweede lid geldt niet voor zover dat nodig is ter uitvoering van artikel 19, eerste lid.
6 Artikel 20, zevende lid, is van overeenkomstige toepassing op gegevens als bedoeld in het tweede lid.

Artikel 22

(verstrekking van vertrouwelijke gegevens door de bevoegde autoriteit)

1 Ter uitvoering van de in artikel 4, derde lid, genoemde taak verstrekt de bevoegde autoriteit geen vertrouwelijke gegevens met betrekking tot een aanbieder van een essentiële dienst of een digitaledienstverlener die zij ingevolge deze wet verkrijgt, als:
a. de geheimhouding van die gegevens onvoldoende is geborgd, of
b. onvoldoende is gewaarborgd dat zij uitsluitend worden gebruikt voor het doel waarvoor zij worden verstrekt.
2 Artikel 20, zevende lid, is van overeenkomstige toepassing op vertrouwelijke gegevens als bedoeld in het eerste lid die herleid kunnen worden tot een aanbieder van een essentiële dienst of een digitaledienstverlener.

Artikel 23

(openbaarmaking incidenten)

Onverminderd artikel 20, vierde lid, onder b, kan de bevoegde autoriteit, na raadpleging van de betrokken aanbieder:
a. als publieke bewustwording nodig is om een incident te voorkomen of een lopend incident te beheersen: het publiek informeren over een gemeld incident als bedoeld in artikel 10, eerste lid, onder a, of vorderen dat de aanbieder dit doet;
b. als publieke bewustwording nodig is om een incident te voorkomen of een lopend incident te beheersen, of wanneer de openbaarmaking van het incident anderszins in het algemeen belang is: het publiek informeren over een gemeld incident als bedoeld in artikel 13, eerste lid, of vorderen dat de digitaledienstverlener dit doet.