Tips om de registratie van datalekken te verbeteren
De Autoriteit Persoonsgegevens (AP) heeft onderzoek gedaan naar de registratie van datalekken bij 26 overheidsorganisaties. Naar aanleiding hiervan heeft de AP tien tips opgesteld om de registratie van datalekken te verbeteren.
De AP deed onderzoek naar datalekregistratie bij de 26 overheidsorganisaties omdat overheidsorganisaties veel persoonsgegevens verwerken en zij een voorbeeldfunctie hebben bij de naleving van de Algemene verordening gegevensbescherming (AVG). De meeste datalekken ontstaan door verkeerd geadresseerde post of e-mail. Ook gebeurt het vaak dat werknemers onbedoeld of onrechtmatig persoonsgegevens inzien.
Betere registratie datalekken in 10 tips
Op basis van de onderzoeksresultaten heeft de AP tien tips opgesteld om datalekken beter te registreren:
- Maak een duidelijke en volledige omschrijving van de incidenten, de gevolgen en de corrigerende maatregelen.
- Noteer de corrigerende maatregelen en beschrijf de preventieve maatregelen.
- Stel één document voor datalekken op voor de hele organisatie en laat elk organisatieonderdeel dit tot op hetzelfde detailniveau invullen.
- Leg vast of de functionaris voor de gegevensbescherming (FG) – als de organisatie die heeft – bij een incident betrokken is en in welke mate.
- Schrijf per incident op of het datalek is gemeld bij de AP en de betrokkenen en onderbouw waar het wel of niet is gemeld.
- Wees tijdig open en duidelijk over het datalek tegenover getroffen personen.
- Stel een handleiding op en verzorg een training voor de werknemers die de datalekken registreren. Neem de instructie op in een meldingsprocedure voor datalekken.
- Neem in de registratie op welke andere organisaties bij de inbreuk betrokken zijn geweest, zoals verwerkers of sub-verwerkers.
- Deel de datalekken zo mogelijk in naar aard, gevolgen, betrokkenen en mogelijke maatregelen.
- Evalueer de datalekregistratie regelmatig ter verbetering. De FG kan hierbij een actieve rol vervullen.
OR heeft instemmingsrecht op regeling bescherming persoonsgegevens
De ondernemingsraad (OR) heeft instemmingsrecht op een regeling voor het verwerken en beschermen van persoonsgegevens van de achterban (artikel 27, lid 1k van de Wet op de ondernemingsraden (WOR)). Bij het beoordelen van de regeling kan de OR de tips van de AP gebruiken. Als de organisatie nog geen AVG-regeling heeft, kan de OR gebruikmaken van het initiatiefrecht om de bestuurder hierover een voorstel te doen (artikel 23 WOR). Heeft de organisatie al een regeling, dan kan de OR deze naast de tips van de AP leggen om te beoordelen of de organisatie de regeling moet verbeteren.