De Autoriteit Persoonsgegevens (AP) heeft de kwaliteit van datalekregisters bij overheidsorganisaties onderzocht. Die liep nogal uiteen. Daarom komt de AP nu met 10 praktische tips voor betere registratie van datalekken. Niet alleen voor de overheid, maar voor alle organisaties met een datalekregister.

Datalekken registreren

Iedere organisatie die verwerkingsverantwoordelijke is volgens de AVG moet een datalekregister hebben. In het register worden inbreuken in verband met persoonsgegevens opgenomen. In het register staan zowel de datalekken die gemeld moet worden, als degenen waarvoor geen meldplicht geldt.

Na een verkennend onderzoek van de AP blijkt dat slechts 60% van de onderzochte registers een complete omschrijving van de verplichte elementen van een datalekmelding bevat. Ook zijn er vaak geen strakke regels rondom de registratie van datalekken.

checklist_data_60.png

Kortom, er is ruimte voor verbetering.

Daarom komt de AP met 10 praktische tips voor betere registraties van datalekken. Hieronder de complete lijst van de AP, zoals ook te vinden op haar site.

Tip 1: Duidelijke omschrijving

Omschrijf incidenten, de gevolgen en de corrigerende maatregelen duidelijk en volledig.

Tip 2: Onderscheid corrigerende en preventieve maatregelen

Maak expliciet onderscheid tussen corrigerende en preventieve maatregelen. Leg corrigerende maatregelen altijd vast in het datalekregister.

Tip 3: Voorkom versnippering van registraties

Maak 1 overzichtelijke datalekregistratie die binnen de hele organisatie op hetzelfde inhoudelijke detailniveau wordt ingevuld. Optioneel: maak de registratie inzichtelijk voor alle medewerkers, zodat zij het registratieoverzicht kunnen bekijken voordat zij zelf iets registreren.

Tip 4: Betrokkenheid FG opnemen

Is er een functionaris gegevensbescherming (FG) aangesteld binnen de organisatie? Neem dan per incident op of deze betrokken is en zo ja, in welke mate.

Tip 5: Melding gemaakt bij AP?

Neem per incident op of het datalek gemeld is bij het de AP en betrokkenen. Leg ook uit waarom dat wel of juist niet is gebeurd.

Tip 6: Wees transparant

Communiceer doeltreffend en tijdig over datalekken. Bewaar het bewijs van die communicatie en neem deze op in de datalekregistratie.

Tip 7: Handleiding en/of training

Zorg dat de medewerkers die de datalekregistratie invullen een handleiding hebben en/of getraind zijn hierin. Neem deze instructie ook op als onderdeel van de meldingsprocedure.

Tip 8: Betrokkenheid derden

Zijn er andere organisaties betrokken bij een inbreuk? Leg dit dan ook vast. Bijvoorbeeld handig bij het sluiten van een nieuwe verwerkingsovereenkomst met die partij.

Tip 9: Indeling datalekken herzien

Advies van de AP: overweeg datalekken in te delen naar aard, gevolgen en betrokkenen en mogelijke maatregelen.

Tip 10: Leer van gemaakte fouten

Zorg dat de datalekregistratie regelmatig en op het juiste niveau wordt besproken binnen de organisatie. Maak het een onderdeel van de plan-do-check/learn-act cyclus en leer zo van de gemaakte fouten.

Aan de slag!

Heeft uw organisatie een datalekregister? Dan is het aan te bevelen om deze tips in overweging te nemen en waar mogelijk of noodzakelijk te implementeren.

De tips zijn zeer praktisch en geven verduidelijking aan de invulling van het datalekregister. Doe er uw voordeel mee!

Mocht u nog vragen hebben? Bel of mail ons gerust voor extra toelichting.