Naar aanleiding van een verkennend onderzoek bij 26 overheidsorganisaties, heeft de Autoriteit Persoonsgegevens een handreiking gepubliceerd voor de registratie van datalekken. In dit artikel vatten we hoofdpunten samen.
Verantwoordingsplicht
Met de komst van de AVG hebben organisaties de verantwoordelijkheid gekregen om aan te tonen dat zij aan de regels voldoen. Het bijhouden van een datalekregister is een van de verplichte maatregelen. Doel van deze documentatieverplichting?
Stimuleren dat organisaties intern leren van eerdere inbreuken en zodoende maatregelen nemen om de kans op herhaling te voorkomen
De documentatie als handvat om binnen de organisatie de awareness op de agenda te zetten
De AP in staat stellen om te controleren of de Meldplicht datalekken wordt nageleefd.
Grote verschillen in registratie
De AP heeft geconstateerd dat er een groot verschil is in de opzet, inhoud en uitvoerigheid van datalekregistraties. Aanleiding voor de AP om meer uitleg te geven over de documentatieplicht. Meer uitleg en voorlichting draagt immers bij aan de juiste naleving van de documentatieplicht. Zo kan de documentatieplicht helpen toekomstige datalekken te voorkomen.
Praktische tips voor een goede registratie
Omschrijf incidenten, de gevolgen en de corrigerende maatregelen duidelijk en volledig
Maak duidelijk onderscheid tussen corrigerende (registratie is verplicht) en preventieve maatregelen (registratie is nuttig)
Maak één overzichtelijke registratie die voor elk organisatieonderdeel tot op hetzelfde inhoudelijke detailniveau wordt ingevuld
Betrek de FG bij een incident en neem in de registratie op of en in welke mate dat is gebeurd.
Neem per incident op of het datalek is gemeld bij de AP en betrokkenen en motiveer waarom
Informeer betrokkenen doeltreffend en tijdig over een datalek. Bewaar het bewijs van de mededeling en neem deze op in de datalekregistratie.
Zorg voor een gedocumenteerde meldingsprocedure voor datalekken.
Leg vast welke andere organisaties betrokken zijn geweest bij een inbreuk en neem dit mee bij het sluiten van nieuwe verwerkersovereenkomsten met deze partijen
Overweeg datalekken in te delen naar aard, gevolgen en betrokkenen en mogelijke maatregelen
Bespreek de datalekregistratie regelmatig op het juiste niveau binnen de organisatie om te leren van fouten. Actieve rol voor de FG.
Hulp bij datalek?
Heeft uw organisatie nog geen beleid voor het afhandelen van datalekken? Weet u niet zeker of uw organisatie een datalek heeft? Neem contact met ons op.
Onze juristen staan klaar om uw organisatie te adviseren en begeleiden bij datalekken. Tevens bieden wij een datalekken protocol aan dat direct in uw organisatie geïmplementeerd kan worden.