Een datalek registeren in uw datalekregister

Na een datalek kan er een boel op u af komen. U moet het lek dichten, de risico’s in kaart brengen, het lek mogelijk melden aan de Autoriteit Persoonsgegevens (‘AP’) en mogelijk zelfs aan de betrokken personen. Volgens de AVG moet iedere organisatie die verantwoordelijk is voor gegevensverwerking, daarnaast een datalekregister opstellen en bijhouden. Hierin neemt u niet alleen de datalekken op die u aan de AP heeft gemeld, maar alle datalekken, dus ook de minder ernstige datalekken.

Achtergrond

Als u dus verantwoordelijk bent voor gegevensverwerking, wat zeer waarschijnlijk is als u binnen uw organisatie over persoonsgegevens beschikt, dan moet u een datalekregister bijhouden. De achtergrond daarvan, is dat als u datalekken – groot en klein – registreert en bijhoudt, u daarvan kunt leren en concrete maatregelen kunt treffen om de kans op nieuwe datalekken te verkleinen. Als uit het datalekregister bijvoorbeeld blijkt dat er veel dezelfde soorten datalekken voorkomen, zoals datalekken waarbij documenten aan de verkeerde persoon worden gestuurd, dan kunt u er actief op gaan sturen binnen uw organisatie dat dit minder gebeurt. Het leidt dus tot meer bewustzijn en alertheid.

Wat zet u in het datalekregister?

Zoals gezegd, moet u in het datalekregister alle datalekken melden. Dus ook het verliezen van die USB-stick met het klantenbestand, terwijl u dit eigenlijk niet aan de AP heeft gemeld, en ook het verkeerd adresseren van die ene e-mail die tot weinig risico’s zal leiden. Het datalekregister is vormvrij. U hoeft dus niet een bepaalde vorm aan te houden voor het registreren van datalekken. Een Excel-bestand bijvoorbeeld voldoet dus prima, zolang daar de vereiste informatie over ieder datalek in is opgenomen. Bovendien: voorkom versnippering! Zorg voor één duidelijk en overzichtelijk register op organisatieniveau en wijs één persoon aan binnen de organisatie die verantwoordelijk is voor het bijhouden van het register.

Neem, per inbreuk, het volgende op in uw datalekregister:

  • De feiten over de inbreuk. Wat is de oorzaak van het datalek? Bent u gehackt, of heeft iemand binnen de organisatie een menselijk foutje gemaakt? Wat is er precies gebeurd, welke persoonsgegevens zijn gelekt en welke categorie personen is betrokken?
  • De gevolgen van het datalek. Deze zullen na verloop van tijd steeds duidelijker worden. U kunt de registratie in het datalekregister natuurlijk aanpassen als de gevolgen zichtbaarder of duidelijker zijn geworden. Soms zijn de gevolgen van een datalek maar klein. Dat is alleen maar prettig, maar benoem ze wel even kort en concreet.
  • De maatregelen die u heeft genomen om i) het lek te dichten en ii) de schade te beperken.
  • Daarnaast adviseren wij u om in het datalekregister op te nemen waarom ervoor is gekozen het datalek wel of niet te melden aan de AP en de betrokken personen. U heeft hier goed over nagedacht en kunt dit kort benoemen in het register.

Vragen? Nog vragen over het datalekregister of datalekken in het algemeen? Of wilt u een korte check op uw documenten? Bekijk onze vorige blogs of neem vrijblijvend contact op met één van onze privacy-specialisten.  

Meer weten? Advies nodig? Neem contact op!

Dit was slechts een deel van wat wij u kunnen vertellen. Meer weten?
Wij antwoorden graag, neem vrijblijvend contact op!

Blog reactie

"*" geeft vereiste velden aan

Volledige naam*

Chat
1
Heeft u zakelijke vragen? Neem contact met ons op.