De wet stelt dat alle organisaties datalekken moeten opnemen in een intern datalekregister. Wat er in dat datalekregister moet staan, wordt evenwel summier in de Algemene verordening gegevensbescherming beschreven, als volgt:
de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen.
Niet heel verrassend bleek na eerder onderzoek van de Autoriteit Persoonsgegevens (AP) dat dit bij overheidsorganisaties nog niet helemaal goed op orde is, klik hier. Naar aanleiding daarvan geeft de AP een aantal tips gegeven, die ook voor zorgaanbieders kunnen bijdragen aan een beter datalekregister:
1. ) Omschrijf incidenten, de gevolgen en de corrigerende maatregelen duidelijk en volledig;
2. ) Maak expliciet onderscheid tussen corrigerende en preventieve maatregelen;
3. ) Voorkom versnippering van registraties; maak één overzichtelijke registratie;
4. ) Neem per incident op of de Functionaris Gegevensbescherming betrokken is en, zo ja, in welke mate;
5. ) Neem per incident op of het datalek is gemeld bij de AP en betrokkenen en motiveer daarbij waarom dat wel of niet is gebeurd;
6. ) Wees transparant richting getroffen personen als er een datalek is geweest. Bewaar het bewijs van die mededeling en neem deze op in de registratie;
7. ) Stel een handleiding op of verzorg een training voor de medewerkers die de datalekregistratie invullen;
8. ) Leg vast welke andere organisaties betrokken zijn geweest bij een inbreuk (bijvoorbeeld mede-verwerkingsverantwoordelijken, verwerkers of sub-verwerkers);
9. ) Overweeg datalekken in te delen naar aard, gevolgen en betrokkenen en mogelijke maatregelen;
10. ) Bespreek de datalekregistratie regelmatig op het juiste niveau binnen de organisatie. Zo kunnen organisaties leren van fouten.
Pas uw register dus aan indien nodig en controleer of binnen uw organisatie al datalekken in het register vermeld staan. Is dat niet zo, dan gaat er iets zo onwaarschijnlijk goed, dat het fout is.