Wet justitiële en strafvorderlijke gegevens (WJG)


Titel 2

De verwerking van justitiële gegevens

Afdeling 4

Bepalingen betreffende controle en toezicht

Artikel 26c 1 De verwerkingsverantwoordelijke houdt een register bij dat de volgende gegevens bevat:
a. de naam en de contactgegevens van de verwerkingsverantwoordelijke en de functionaris voor gegevensbescherming;
b. de doelen van de verwerking;
c. de categorieën van ontvangers aan wie justitiële gegevens zijn of zullen worden verstrekt, met inbegrip van ontvangers in derde landen of internationale organisaties;
d. een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
e. in voorkomend geval, het gebruik van profilering;
f. in voorkomend geval, de categorieën van doorgiften van justitiële gegevens aan een derde land of een internationale organisatie;
g. een aanwijzing van de rechtsgrondslag van de verwerking, met inbegrip van doorgiften, waarvoor de justitiële gegevens bedoeld zijn;
h. zo mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens worden verwijderd of vernietigd;
i. zo mogelijk, een algemene beschrijving van de technische en organisatorische maatregelen ter beveiliging, bedoeld in artikel 7.
2 De verwerker houdt een register bij dat de volgende gegevens bevat:
a. de naam en de contactgegevens van de verwerker of verwerkers en van iedere verwerkingsverantwoordelijke ten behoeve van wie de verwerker handelt en, in voorkomend geval, van de functionaris voor gegevensbescherming;
b. de categorieën van verwerkingen die namens iedere verwerkingsverantwoordelijke zijn uitgevoerd;
c. indien van toepassing, doorgiften van justitiële gegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie, indien daartoe door de verwerkingsverantwoordelijke uitdrukkelijk geïnstrueerd;
d. indien mogelijk, een algemene beschrijving van de technische en organisatorische maatregelen, bedoeld in artikel 7.

Artikel 26d 1 De verwerkingsverantwoordelijke draagt zorg voor de schriftelijke vastlegging van:
a. de feitelijke of juridische redenen die ten grondslag liggen aan een beslissing tot afwijzing op een verzoek tot inzage of rectificatie;
b. de verstrekking of doorgifte van justitiële gegevens, bedoeld in artikel 16a, tweede lid, onderdeel b, derde en vierde lid;
c. een inbreuk op de beveiliging van justitiële gegevens, inclusief de feiten omtrent de inbreuk, de gevolgen ervan en de maatregelen die zijn getroffen ter correctie.
2 Bij de doorgifte van justitiële gegevens aan een verwerkingsverantwoordelijke in een derde land of van een internationale organisatie omvat de schriftelijke vastlegging de datum en tijd van doorgifte, informatie over de ontvangende bevoegde autoriteit, de reden van doorgifte en de doorgegeven gegevens.

Artikel 26e 1 De verwerkingsverantwoordelijke en de verwerker dragen zorg voor de vastlegging langs elektronische weg (logging) van ten minste de volgende verwerkingen van justitiële gegevens in geautomatiseerde systemen: het verzamelen, wijzigen, raadplegen, verstrekken onder meer in de vorm van doorgiften, combineren en vernietigen van justitiële gegevens.
2 De vastgelegde gegevens, bedoeld in het eerste lid, worden uitsluitend gebruikt voor de controle van de rechtmatigheid van de gegevensverwerking, voor interne controles, ter waarborging van de integriteit en de beveiliging van de justitiële gegevens en voor strafrechtelijke procedures.

Artikel 26f 1 De verwerkingsverantwoordelijke benoemt een functionaris voor gegevensbescherming. Voor verschillende bevoegde autoriteiten kan, rekening houdend met hun organisatiestructuur en omvang, één functionaris voor gegevensbescherming worden aangewezen. De functionaris voor gegevensbescherming wordt door de verwerkingsverantwoordelijke tijdig en naar behoren betrokken bij alle aangelegenheden die verband houden met de bescherming van justitiële gegevens.
2 De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de taken, bedoeld in het derde lid, te vervullen.
3 De functionaris voor gegevensbescherming is tenminste belast met de volgende taken:
a. het informeren en adviseren van de verwerkingsverantwoordelijke en het onder hem ressorterend personeel dat justitiële gegevens verwerkt over hun verplichtingen op grond van het bepaalde bij of krachtens deze wet en andere gegevensbeschermingsbepalingen op grond van het Unierecht of het Nederlandse recht;
b. het toezien op de naleving van het bepaalde bij of krachtens deze wet, van andere gegevensbeschermingsbepalingen van het Unierecht of het Nederlandse recht en van het beleid van de verwerkingsverantwoordelijke met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het voor de verwerkingsverantwoordelijke werkzame personeel dat betrokken is bij de verwerking van justitiële gegevens en de betreffende audits;
c. het desgevraagd verstrekken van advies over de effectbeoordeling, bedoeld in artikel 7b, en het toezien op de uitvoering ervan;
d. het samenwerken met de Autoriteit persoonsgegevens;
e. het optreden als contactpunt voor de Autoriteit persoonsgegevens inzake aangelegenheden in verband met de verwerking van persoonsgegevens en, voor zover dienstig, plegen van overleg over enige andere aangelegenheid.
4 De functionaris voor de gegevensbescherming stelt jaarlijks een verslag op van zijn bevindingen.
5 De verwerkingsverantwoordelijke maakt de contactgegevens van de functionaris voor gegevensbescherming openbaar en meldt hem aan bij de Autoriteit persoonsgegevens.
6 De verwerkingsverantwoordelijke ondersteunt de functionaris voor gegevensbescherming bij de vervulling van zijn taken door hem toegang te verschaffen tot persoonsgegevens en stelt de functionaris voor gegevensbescherming de benodigde middelen ter beschikking voor het vervullen van de taken, bedoeld in het derde lid, en het in standhouden van zijn deskundigheid.

Artikel 26g 1 De verwerkingsverantwoordelijke meldt een inbreuk op de beveiliging onverwijld en uiterlijk binnen 72 uur nadat hij ervan kennis heeft genomen aan de Autoriteit persoonsgegevens, tenzij het niet waarschijnlijk is dat de inbreuk een risico voor de rechten en vrijheden van personen met zich meebrengt. In het geval de melding na 72 uur wordt gedaan, gaat deze vergezeld van een motivering voor de vertraging.
2 De melding, bedoeld in het eerste lid, bevat ten minste de volgende informatie:
a. een beschrijving van de aard en omvang van de inbreuk, bedoeld in het eerste lid, waaronder begrepen, waar mogelijk, de categorieën van betrokkenen en van gegevensbestanden en, bij benadering, het aantal betrokkenen en gegevensbestanden.
b. de mededeling van de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
c. een beschrijving van de waarschijnlijke gevolgen van de inbreuk, bedoeld in het eerste lid;
d. een beschrijving van de voorgestelde of uitgevoerde maatregelen om de inbreuk, bedoeld in het eerste lid, te beëindigen en, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen ervan.
3 Voor zover het niet mogelijk is de informatie, bedoeld in het tweede lid, gelijktijdig te verstrekken, kan deze zonder onnodige vertraging in stappen worden verstrekt.
4 De verwerkingsverantwoordelijke deelt een inbreuk op de beveiliging met betrekking tot justitiële gegevens, die zijn doorgezonden door of aan een verwerkingsverantwoordelijke van een andere lidstaat, zonder onnodige vertraging mee aan de verwerkingsverantwoordelijke van deze lidstaat.
5 De verwerkingsverantwoordelijke deelt een inbreuk op de beveiliging mede aan de betrokkene als deze inbreuk waarschijnlijk een hoog risico voor de rechten en vrijheden van personen met zich meebrengt. De mededeling bevat een omschrijving van de aard van de inbreuk op de beveiliging en ten minste de informatie, bedoeld in het tweede lid, onderdelen b, c en d.
6 De mededeling aan de betrokkene, bedoeld in het vijfde lid, is niet vereist wanneer:
a. de verwerkingsverantwoordelijke passende technische en organisatorische beschermingsmaatregelen heeft getroffen en deze maatregelen zijn toegepast op de justitiële gegevens waarop de inbreuk, bedoeld in het eerste lid, betrekking heeft;
b. de verwerkingsverantwoordelijke maatregelen heeft getroffen om ervoor te zorgen dat het hoge risico, bedoeld in het vijfde lid, zich waarschijnlijk niet meer zal voordoen, of
c. de mededeling een onevenredige inspanning zou vergen. In dat geval volgt een openbare mededeling of vergelijkbare maatregel waarmee de betrokkenen even doeltreffend worden geïnformeerd.
7 De mededeling aan de betrokkene kan worden uitgesteld, beperkt of achterwege gelaten vanwege de gronden, bedoeld in artikel 21, tweede lid.
8 De melding door een verwerkingsverantwoordelijke aan een betrokkene van een inbreuk op de beveiliging, geschiedt kosteloos.

Artikel 26h 1 De Autoriteit persoonsgegevens wordt door de verwerkingsverantwoordelijke of de verwerker geraadpleegd over de voorgenomen verwerking van justitiële gegevens, die in een nieuw gegevensbestand zullen worden opgenomen, wanneer:
a. de aard van de verwerking, in het bijzonder met gebruikmaking van nieuwe technologieën, mechanismen of procedures, een hoog risico voor de rechten en vrijheden van de betrokkene met zich meebrengt;
b. uit een gegevensbeschermingseffectbeoordeling, bedoeld in artikel 7b, blijkt dat de verwerking een hoog risico zou opleveren als de verwerkingsverantwoordelijke geen maatregelen treft om het risico te beperken.
2 De Autoriteit persoonsgegevens kan een lijst opstellen van de verwerkingen waarvoor raadpleging, overeenkomstig het eerste lid, vereist is.
3 De verwerkingsverantwoordelijke verstrekt de Autoriteit persoonsgegevens de gegevensbeschermingseffectbeoordeling, bedoeld in artikel 7b, en, desgevraagd alle andere informatie op grond waarvan de Autoriteit persoonsgegevens de conformiteit van de verwerking en met name de risico’s voor de bescherming van persoonsgegevens van de betrokkene en de betrokken waarborgen kan beoordelen.
4 Wanneer de Autoriteit persoonsgegevens van oordeel is dat de voorgenomen verwerking van justitiële gegevens, bedoeld in het eerste lid, niet voldoet aan het bij of krachtens deze wet bepaalde, geeft zij binnen een termijn van ten hoogste zes weken schriftelijk advies aan de verwerkingsverantwoordelijke en, in voorkomend geval, aan de verwerker. De advisering geschiedt kosteloos.
5 De termijn, bedoeld in het vierde lid, kan, rekening houdend met de complexiteit van de voorgenomen verwerking, worden verlengd met een maand. In dit geval wordt de verwerkingsverantwoordelijke en, in voorkomend geval, de verwerker, binnen een maand na de ontvangst van het verzoek in kennis gesteld van de verlenging en de redenen daarvoor.

Artikel 27 1 De Autoriteit persoonsgegevens, bedoeld in artikel 6, eerste lid, van de Uitvoeringswet Algemene verordening gegevensbescherming, ziet in het Europese deel van Nederland toe op de verwerking van justitiële gegevens overeenkomstig het bij en krachtens deze wet bepaalde.
2 Artikel 16 van de Uitvoeringswet algemene verordening gegevensbescherming is van overeenkomstige toepassing.
3 De artikelen 35a, 35b en 35d, van de Wet politiegegevens zijn van overeenkomstige toepassing op justitiële gegevens.
4 De Autoriteit persoonsgegevens is bevoegd:
a. de verwerkingsverantwoordelijke of de verwerker te waarschuwen dat met de voorgenomen verwerkingen waarschijnlijk een inbreuk wordt gemaakt op het bij of krachtens deze wet bepaalde;
b. een last onder bestuursdwang op te leggen ter handhaving van het bij of krachtens deze wet bepaalde;
c. een bestuurlijke boete op te leggen indien de verwerkingsverantwoordelijke handelt in strijd met hetgeen is bepaald bij of krachtens:
– de artikelen 7, 7a, 7b, 7d, 26c, 26f, 26g en 26h, van ten hoogste het bedrag van de geldboete van de vijfde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht;
– de artikelen 7e, 17a, 17b, 18, 22 en 24, van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht;
d. een advies te verstrekken aan de verwerkingsverantwoordelijke naar aanleiding van een voorafgaande raadpleging, bedoeld in artikel 26h;
e. de verwerkingsverantwoordelijke te verplichten een inbreuk in verband met persoonsgegevens te melden aan de betrokkene.
5 Bij het besluit over het opleggen van een bestuurlijke boete, bedoeld in het vierde lid, en over de hoogte daarvan wordt voor elk concreet geval naar behoren rekening gehouden met:
a) de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;
b) de opzettelijke of nalatige aard van de inbreuk;
c) de door de verwerkingsverantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken;
d) de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 7 en 7a;
e) eerdere relevante inbreuken door de verwerkingsverantwoordelijke of de verwerker;
f) de mate waarin er met de Autoriteit persoonsgegevens is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken;
g) de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft;
h) de wijze waarop de Autoriteit persoonsgegevens kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de verwerkingsverantwoordelijke of de verwerker de inbreuk heeft gemeld;
i. de naleving van de in het eerste lid genoemde maatregelen, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke of de verwerker in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen.
6 De werking van de beschikking tot oplegging van de bestuurlijke boete, bedoeld in het vierde lid, onder c, wordt opgeschort totdat de bezwaar- of beroepstermijn is verstreken of, indien bezwaar is gemaakt respectievelijk beroep is ingesteld, op het bezwaar respectievelijk het beroep is beslist.
7 De bevoegdheden, bedoeld in het vierde lid, onderdelen d en e, gelden als een besluit in de zin van de Algemene wet bestuursrecht.