Datalekregister: tips van de Autoriteit Persoonsgegevens

28 maart 2019

De wet stelt dat alle organisaties datalekken moeten opnemen in een intern datalekregister. Wat er in dat datalekregister moet staan, wordt evenwel summier in de Algemene verordening gegevensbescherming beschreven, als volgt:

de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen.

Niet heel verrassend bleek na onderzoek van de Autoriteit Persoonsgegevens (AP) dat dit bij overheidsorganisaties nog niet helemaal goed op orde is, klik hier. Naar aanleiding daarvan geeft de AP een aantal tips, die ook voor zorgaanbieders kunnen bijdragen aan een beter datalekregister:

1. ) Omschrijf incidenten, de gevolgen en de corrigerende maatregelen duidelijk en volledig;

2. ) Maak expliciet onderscheid tussen corrigerende en preventieve maatregelen;

3. ) Voorkom versnippering van registraties; maak één overzichtelijke registratie;

4. ) Neem per incident op of de Functionaris Gegevensbescherming betrokken is en, zo ja, in welke mate;

5. ) Neem per incident op of het datalek is gemeld bij de AP en betrokkenen en motiveer daarbij waarom dat wel of niet is gebeurd;

6. ) Wees transparant richting getroffen personen als er een datalek is geweest. Bewaar het bewijs van die mededeling en neem deze op in de registratie;

7. ) Stel een handleiding op of verzorg een training voor de medewerkers die de datalekregistratie invullen;

8. ) Leg vast welke andere organisaties betrokken zijn geweest bij een inbreuk (bijvoorbeeld mede-verwerkingsverantwoordelijken, verwerkers of sub-verwerkers);

9. ) Overweeg datalekken in te delen naar aard, gevolgen en betrokkenen en mogelijke maatregelen;

10. ) Bespreek de datalekregistratie regelmatig op het juiste niveau binnen de organisatie. Zo kunnen organisaties leren van fouten.

Zie voor het volledige onderzoek: AP doet handreikingen om registratie datalekken te verbeteren.

datalekregister-avg-proof

Pas uw register dus aan indien nodig en controleer of binnen uw organisatie al datalekken in het register vermeld staan. Is dat niet zo, dan gaat er iets zo onwaarschijnlijk goed, dat het fout is.

Deel dit verhaal:
  • Meld u nu aan voor onze nieuwsbrief!
    Wilt u op de hoogte worden gehouden van de laatste ontwikkelingen en veranderingen op juridisch gebied? Via onze nieuwsbrief krijgt u automatisch de laatste nieuwtjes via de e-mail toegestuurd.
  • Inschrijven nieuwsbrief