TQL Tools & Tips Privacy-wetgeving / AVG-GDPR

Hoe kunnen datalekken het beste geregistreerd worden?

Organisaties zijn verplicht alle inbreuken in verband met persoonsgegevens te registreren ofwel een datalekregister bij te houden. Deze registratie moet organisaties stimuleren om van de inbreuken te leren en betere maatregelen te nemen. Ook bieden de geregistreerde datalekken handvatten om het gesprek aan te gaan in de organisatie over de toepassing van de AVG.

Tien tips om datalekken beter te registreren:
  1. Maak een duidelijke en volledige omschrijving van de incidenten, de gevolgen en de corrigerende maatregelen.
  2. Noteer de corrigerende maatregelen en beschrijf ook wat de preventieve maatregelen zijn. Registratie van de corrigerende maatregelen ondersteunt de evaluatie van de datalekken, wat tot betere maatregelen kan leiden.
  3. Stel één document voor datalekken op voor de hele organisatie en laat elk organisatieonderdeel dit tot op hetzelfde detailniveau invullen. Overweeg om het document voor alle werknemers inzichtelijk te maken, zodat zij kunnen zien hoe collega’s een datalek hebben beschreven als zij dit zelf willen doen.
  4. Leg vast of de functionaris voor de gegevensbescherming (FG) – als de organisatie die heeft – bij een incident betrokken is en zo ja, in welke mate.
  5. Schrijf per incident op of het datalek is gemeld bij de AP en de betrokkenen en leg hierbij uit waarom dit wel of niet is gebeurd.
  6. Wees open tegenover getroffen personen als er een datalek is geweest. Doe dit duidelijk en op tijd. Bewaar deze communicatie hierover in de registratie.
  7. Stel een handleiding op en verzorg een training voor de werknemers die de datalekken registreren. Neem deze instructie op in een gedocumenteerde meldingsprocedure voor de datalekken.
  8. Neem in de registratie op welke andere organisaties bij de inbreuk betrokken zijn geweest, zoals verwerkers of sub-verwerkers. De organisatie kan deze informatie gebruiken voor het opstellen van nieuwe verwerkersovereenkomsten.
  9. Deel de datalekken zo mogelijk in naar aard, gevolgen, betrokkenen en mogelijke maatregelen.
  10. Bespreek de datalekregistratie regelmatig op het juiste niveau binnen de organisatie om te leren van gemaakte fouten. De FG kan hierbij een actieve rol vervullen.
Word pro

Pro-abonnees downloaden gratis het Ebook met 167 vragen en antwoorden over Privacy-wetgeving / AVG-GDPR.