10 tips voor een goede datalekkenregistratie

10 tips voor een goede datalekkenregistratie

Onder de AVG is het verplicht om van alle incidenten waarbij persoonsgegevens betrokken zijn een incidentenregistratie (ookwel datalekkenregister genoemd) bij te houden. Dit geldt zowel voor formeel gemelde datalekken alsook voor incidenten die niet gemeld zijn.

Recentelijk heeft de Autoriteit Persoonsgegevens n.a.v een steekproef naar de kwaliteit van een datalekkenregister bij overheidsinstellingen onderstaande 10 tips gepubliceerd:

  1. Omschrijf incidenten, de gevolgen en de corrigerende maatregelen duidelijk en volledig;
  2. Maak expliciet onderscheid tussen corrigerende en preventieve maatregelen. Leg corrigerende maatregelen altijd vast in het datalekkenregister. Het kan nuttig zijn dezemaatregelen mee te nemen in de plan-do-check/learn-act cyclus;
  3. Voorkom versnippering van registraties; maak één overzichtelijke registratie die voor elkorganisatieonderdeel tot op hetzelfde inhoudelijke detailniveau wordt ingevuld. Overweeg bijvoorbeeld om de registratie inzichtelijk te maken voor alle medewerkers zodat zij het registratieoverzicht kunnen consulteren voordat zij zelf iets registreren;
  4. Neem per incident op of de functionaris voor de gegevensbescherming (FG) betrokken is, en zo ja in welke mate.
  5. Neem per incident op of het datalek is gemeld bij de AP en betrokkenen en motiveer daarbij waarom dat wel of niet is gebeurd;
  6. Wees transparant richting getroffen personen als er een datalek is geweest. Communiceer hier doeltreffend en tijdig over. Bewaar het bewijs van die mededeling en neem deze op in de registratie.
  7. Stel een handleiding op of verzorg een training voor de medewerkers die de datalekregistratie invullen. Deze instructie kan onderdeel uitmaken van een gedocumenteerde meldingsprocedure voor de meldplicht datalekken.
  8. Leg vast welke andere organisaties betrokken zijn geweest bij een inbreuk (bijvoorbeeld medeverwerkingsverantwoordelijken, verwerkers of sub-verwerkers). Dit is handig als een organisatie nieuwe verwerkersovereenkomsten sluit met de desbetreffende verwerkers.
  9. Overweeg datalekken in te delen naar aard, gevolgen en betrokkenen en mogelijke maatregelen;
  10. Bespreek de datalekregistratie regelmatig op het juiste niveau binnen de organisatie als onderdeel van een plan-do-check/learn-act cyclus. Zo kunnen organisaties leren van fouten. De FG kan bij deze besprekingen een actieve rol vervullen.

Bron: Autoriteit Persoonsgegevens

Over de auteur

Jeroen van Can editor

Geef een reactie