Tien tips voor goede registratie van datalekken.
Naar aanleiding van een verkennend onderzoek bij 26 overheidsorganisaties, heeft de Autoriteit Persoonsgegevens een handreiking gepubliceerd voor de registratie van datalekken. In dit artikel vatten we hoofdpunten samen.
Verantwoordingsplicht
Met de komst van de AVG hebben organisaties de verantwoordelijkheid gekregen om aan te tonen dat zij aan de regels voldoen. Het bijhouden van een datalekregister is een van de verplichte maatregelen. Doel van deze documentatieverplichting?
- Stimuleren dat organisaties intern leren van eerdere inbreuken en zodoende maatregelen nemen om de kans op herhaling te voorkomen
- De documentatie als handvat om binnen de organisatie de awareness op de agenda te zetten
- De AP in staat stellen om te controleren of de Meldplicht datalekken wordt nageleefd.
Grote verschillen in registratie
De AP heeft geconstateerd dat er een groot verschil is in de opzet, inhoud en uitvoerigheid van datalekregistraties. Aanleiding voor de AP om meer uitleg te geven over de documentatieplicht. Meer uitleg en voorlichting draagt immers bij aan de juiste naleving van de documentatieplicht. Zo kan de documentatieplicht helpen toekomstige datalekken te voorkomen.
Praktische tips voor een goede registratie
- Omschrijf incidenten, de gevolgen en de corrigerende maatregelen duidelijk en volledig
- Maak duidelijk onderscheid tussen corrigerende (registratie is verplicht) en preventieve maatregelen (registratie is nuttig)
- Maak één overzichtelijke registratie die voor elk organisatieonderdeel tot op hetzelfde inhoudelijke detailniveau wordt ingevuld
- Betrek de FG bij een incident en neem in de registratie op of en in welke mate dat is gebeurd.
- Neem per incident op of het datalek is gemeld bij de AP en betrokkenen en motiveer waarom
- Informeer betrokkenen doeltreffend en tijdig over een datalek. Bewaar het bewijs van de mededeling en neem deze op in de datalekregistratie.
- Zorg voor een gedocumenteerde meldingsprocedure voor datalekken.
- Leg vast welke andere organisaties betrokken zijn geweest bij een inbreuk en neem dit mee bij het sluiten van nieuwe verwerkersovereenkomsten met deze partijen
- Overweeg datalekken in te delen naar aard, gevolgen en betrokkenen en mogelijke maatregelen
- Bespreek de datalekregistratie regelmatig op het juiste niveau binnen de organisatie om te leren van fouten. Actieve rol voor de FG.
Hulp bij datalek?
Heeft uw organisatie nog geen beleid voor het afhandelen van datalekken? Weet u niet zeker of uw organisatie een datalek heeft? Neem contact met ons op.
Onze juristen staan klaar om uw organisatie te adviseren en begeleiden bij datalekken. Tevens bieden wij een datalekken protocol aan dat direct in uw organisatie geïmplementeerd kan worden.
mr. C.M. (Maarten) de Man
privacy specialist en Functionaris Gegevensbescherming bij (o.a.) Gemeente Heemskerk, Gemeente Nederweert, Rekenkamer Den Haag, Payroll Select en ArGon Arbodienstverlening.
E-mail: deman@avgjuristen.nl
AVG Juristen, praktisch met privacy
Dit artikel is een hulp. Het bericht wordt met aandacht samengesteld, maar aan de informatie kan geen enkel recht worden ontleend.