Sinds 1 januari 2016 bent u verplicht om bij te houden welke meldplichtige datalekken binnen uw organisatie hebben plaatsgevonden. Sinds mei 2018 bent u ook verplicht om te documenteren welke datalekken hebben plaatsgevonden die niet hebben geleid tot een melding bij de AP. U documenteert de datalekken in een datalekregister.
Wat moet u opnemen in dat register? In uw datalekregister neemt u een aantal zaken op:
- de datum van het datalek, een omschrijving van het datalek en een omschrijving van de gegevensverzameling(en) die betrokken waren bij het datalek;
- de categorieën van betrokken personen en (bij benadering) het aantal personen dat betrokken is bij het datalek;
- de waarschijnlijke gevolgen van het datlek en een inschatting van de risico’s voor betrokkene(n);
- het nummer van de melding bij de AP of – indien geen melding is gedaan – een onderbouwing van het achterwege laten van de melding;
- indien van toepassing: een kopie van de inhoud van de melding die gedaan is aan betrokkene(n);
- de namen van personen binnen de organisatie die kennis hebben van het datalek en de afhandeling daarvan.
De AP heeft een aantal best practices beschreven naar aanleiding van een onderzoek naar de datalekregister van een aantal overheidsorganisaties.
De belangrijkste aanbevelingen:
- maak een centrale registratie voor de datalekken;
- neem duidelijke omschrijvingen op van het incident, de gevolgen en de genomen maatregelen en maak onderscheid tussen corrigerende en preventieve maatregelen;
- zorg ervoor dat medewerkers die de datalekregistratie bijhouden dit uniform doen;
- bespreek de datalekregistratie met enige regelmaat op het juiste niveau en zorg ervoor dat de organisatie leert van eerdere datalekken.
Het volledige bericht en het rapport vindt u hier.
1. Wat is de AVG (Algemene verordening gegevensbescherming)?
2. Wat moet ik concreet doen onder de AVG?
3. Wat is een verwerker? En wat is een verwerkingsverantwoordelijke?
4. Is een register van verwerkingen altijd vereist? En wat moet ik in zo’n register opnemen?
5. Is de AVG van toepassing op ZZP-ers?
6. Welke rechten hebben de personen van wie ik gegevens verwerk onder de AVG?
7. Wat zijn persoonsgegevens? En wat zijn bijzondere persoonsgegevens?
8. Wat is een datalek en hoe moet ik een datalek melden?
9. Als ik een datalek meldt, staat de toezichthouder (Autoriteit Persoonsgegevens) dan direct bij me op de stoep?
10. Wat moet ik opnemen in een datalekregister?
Neem contact op