Wet justitiële en strafvorderlijke gegevens (WJG)
Artikel 26g 1 De verwerkingsverantwoordelijke meldt een inbreuk op de beveiliging onverwijld en uiterlijk binnen 72 uur nadat hij ervan kennis heeft genomen aan de Autoriteit persoonsgegevens, tenzij het niet waarschijnlijk is dat de inbreuk een risico voor de rechten en vrijheden van personen met zich meebrengt. In het geval de melding na 72 uur wordt gedaan, gaat deze vergezeld van een motivering voor de vertraging.
2 De melding, bedoeld in het eerste lid, bevat ten minste de volgende informatie:
a. een beschrijving van de aard en omvang van de inbreuk, bedoeld in het eerste lid, waaronder begrepen, waar mogelijk, de categorieën van betrokkenen en van gegevensbestanden en, bij benadering, het aantal betrokkenen en gegevensbestanden.
b. de mededeling van de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
c. een beschrijving van de waarschijnlijke gevolgen van de inbreuk, bedoeld in het eerste lid;
d. een beschrijving van de voorgestelde of uitgevoerde maatregelen om de inbreuk, bedoeld in het eerste lid, te beëindigen en, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen ervan.
3 Voor zover het niet mogelijk is de informatie, bedoeld in het tweede lid, gelijktijdig te verstrekken, kan deze zonder onnodige vertraging in stappen worden verstrekt.
4 De verwerkingsverantwoordelijke deelt een inbreuk op de beveiliging met betrekking tot justitiële gegevens, die zijn doorgezonden door of aan een verwerkingsverantwoordelijke van een andere lidstaat, zonder onnodige vertraging mee aan de verwerkingsverantwoordelijke van deze lidstaat.
5 De verwerkingsverantwoordelijke deelt een inbreuk op de beveiliging mede aan de betrokkene als deze inbreuk waarschijnlijk een hoog risico voor de rechten en vrijheden van personen met zich meebrengt. De mededeling bevat een omschrijving van de aard van de inbreuk op de beveiliging en ten minste de informatie, bedoeld in het tweede lid, onderdelen b, c en d.
6 De mededeling aan de betrokkene, bedoeld in het vijfde lid, is niet vereist wanneer:
a. de verwerkingsverantwoordelijke passende technische en organisatorische beschermingsmaatregelen heeft getroffen en deze maatregelen zijn toegepast op de justitiële gegevens waarop de inbreuk, bedoeld in het eerste lid, betrekking heeft;
b. de verwerkingsverantwoordelijke maatregelen heeft getroffen om ervoor te zorgen dat het hoge risico, bedoeld in het vijfde lid, zich waarschijnlijk niet meer zal voordoen, of
c. de mededeling een onevenredige inspanning zou vergen. In dat geval volgt een openbare mededeling of vergelijkbare maatregel waarmee de betrokkenen even doeltreffend worden geïnformeerd.
7 De mededeling aan de betrokkene kan worden uitgesteld, beperkt of achterwege gelaten vanwege de gronden, bedoeld in artikel 21, tweede lid.
8 De melding door een verwerkingsverantwoordelijke aan een betrokkene van een inbreuk op de beveiliging, geschiedt kosteloos.
Wijzigingen
Datum | Betreft | Bekendmaking | Kamerdossier | Memorie van toelichting |
---|---|---|---|---|
01-05-2019 | wijziging | Stb 2019 141 (pdf) | 33844 | MvT (web) MvT (pdf) |
01-01-2019 | nieuw | Stb 2018 401 (pdf) | 34889 | MvT (web) MvT (pdf) |