Tijdig herkennen van een datalek bevordert de registratie in het datalekregister. Bent u op de hoogte van de regels omtrent datalekken?

Uit een verkennend onderzoek van de Autoriteit Persoonsgegevens (AP) onder 26 overheidsorganisaties is gebleken dat de kwaliteit van datalekregisters enorm uiteenloopt. Om de registratie van datalekken bij overheidsorganisatie te verbeteren, heeft de Autoriteit Persoonsgegevens (AP) een handreiking opgesteld.

Lang niet alle registers bevatten een complete omschrijving van de verplichte elementen van een datalekmelding, te weten:

  1. de feiten;
  2. de gevolgen;
  3. de genomen maatregelen.

Ook ontbreekt het vaak aan een duidelijk beleid of protocol voor de registratie van datalekken.

Tien tips van de AP

In de handreiking signaleert de AP een aantal ‘poor’ en ‘best practices’. Ook geeft de AP tien tips om de registratie te verbeteren:

  1. Omschrijf incidenten, de gevolgen en de corrigerende maatregelen duidelijk en volledig;
  2. Maak expliciet onderscheid tussen corrigerende en preventieve maatregelen. Leg corrigerende maatregelen altijd vast in het datalekregister. Het kan nuttig zijn deze maatregelen mee te nemen in de plan-do-check/learn-act cyclus;
  3. Voorkom versnippering van registraties; maak één overzichtelijke registratie die voor elk organisatieonderdeel tot op hetzelfde inhoudelijke detailniveau wordt ingevuld. Overweeg bijvoorbeeld om de registratie inzichtelijk te maken voor alle medewerkers zodat zij het registratieoverzicht kunnen raadplegen voordat zij zelf iets registreren;
  4. Neem per incident op of de functionaris voor de gegevensbescherming (FG) betrokken is, en zo ja in welke mate. Elke overheidsorganisatie heeft verplicht een FG;
  5. Neem per incident op of het datalek is gemeld bij de AP en betrokkenen en motiveer daarbij waarom dat wel of niet is gebeurd;
  6. Wees transparant richting getroffen personen als er een datalek is geweest. Communiceer hier doeltreffend en tijdig over. Bewaar het bewijs van die mededeling en neem deze op in de registratie;
  7. Stel een handleiding op of verzorg een training voor de medewerkers die de datalekregistratie invullen. Deze instructie kan onderdeel uitmaken van een gedocumenteerde meldingsprocedure voor de meldplicht datalekken;
  8. Leg vast welke andere organisaties betrokken zijn geweest bij een inbreuk (bijvoorbeeld medeverwerkingsverantwoordelijken, verwerkers of sub-verwerkers). Dit is handig als een organisatie nieuwe verwerkersovereenkomsten sluit met de desbetreffende verwerkers;
  9. Overweeg datalekken in te delen naar aard, gevolgen en betrokkenen en mogelijke maatregelen;
  10. Bespreek de datalekregistratie regelmatig op het juiste niveau binnen de organisatie als onderdeel van een plan-do-check/learn-act cyclus. Zo kan uw organisatie leren van gemaakte fouten. De FG kan bij deze besprekingen een actieve rol vervullen.

Het advies

Het is goed om op basis van deze tips als (overheids)organisatie na te gaan of uw datalekregistratie op orde is. In aanvulling op tip 7 merk ik op dat het van belang is dat al uw medewerkers (niet alleen de medewerkers die de datalekregistratie invullen) op de hoogte dienen te zijn van de regels en het beleid omtrent datalekken. Als uw medewerkers niet op de hoogte zijn van de regels omtrent datalekken, kan het zijn dat een datalek niet (tijdig) herkend wordt en verloopt ook de registratie van datalekken niet optimaal.

Alle blogs

Auteurs

Maarten van Nijendaal

Advocaat
Bekijk profiel
Contactgegevens Sluit gegevens Profiel

Expertises

Sectoren

Thema’s