020 530 0160

Kwaliteit datalekregister bij overheidsorganisaties ondermaats: hoe moet het wel?

Gepubliceerd op 4 april 2019 categorieën 

De kwaliteit van datalekregisters bij overheidsorganisaties loopt enorm uiteen en is in de meeste gevallen zelfs onvoldoende. Slechts 60% van de door de Autoriteit Persoonsgegevens (AP) onderzochte registers bevat een complete omschrijving van de verplichte elementen van een datalekregistratie. De AP concludeerde daarnaast dat de organisaties vaak geen strakke regels hebben om datalekken te registeren, waardoor het voor de organisaties lastig wordt om structurele fouten aan te pakken. De AP heeft daarom een handreiking gepubliceerd om de registraties van datalekken te verbeteren.

Verantwoordingsplicht onder de AVG

De AVG legt de verantwoordelijkheid bij organisaties om aan te tonen dat ze aan de privacyregels voldoen. Het bijhouden van een datalekregister hangt samen met deze in de AVG vervatte verantwoordingsplicht. Eén van de verplichte maatregelen om aan de verantwoordingsplicht te voldoen is de verplichting tot het bijhouden van alle datalekken, oftewel het bijhouden van een datalekregister. De AP kan verzoeken om inzage in deze geregistreerde gegevens om naleving van verplichting tot het melden van datalekken te controleren. Het doel van datalekregister is te stimuleren dat organisaties intern leren van eerdere inbreuken en maatregelen nemen om de kans op nieuwe inbreuken te verminderen.

Inhoud van het datalekregister

Ongeacht of een datalek aan de AP moet worden gemeld, moet de verwerkingsverantwoordelijke alle datalekken documenteren in een datalekregister. Het register dient te bestaan uit een paar basiselementen: alle inbreuken met inbegrip van de feiten daaromtrent, de gevolgen van het lek en de genomen corrigerende maatregelen.

Daarbij dienen bijzonderheden met betrekking tot de inbreuk te worden geregistreerd, waaronder de oorzaken, wat er zich heeft afgespeeld en de betrokken persoonsgegevens. De organisatie dient ook de gevolgen van de inbreuk te registreren, alsmede de corrigerende en preventieve maatregelen die hij heeft genomen.

Naast deze details beveelt de Europese toezichthouder aan dat de organisatie ook zijn motivering voor de besluiten die naar aanleiding van een datalek zijn genomen, documenteert. Met name wanneer een datalek niet is gemeld (bijvoorbeeld omdat het niet waarschijnlijk is dat het incident een risico inhoudt voor de getroffen personen), moet de motivering voor dat besluit worden gedocumenteerd. De motivering dient dan de redenen te omvatten waarom de organisatie van mening is dat de inbreuk waarschijnlijk geen risico voor de rechten en vrijheden van natuurlijke personen inhoudt.

Als een inbreuk niet binnen 72 uur na ontdekking wordt gemeld aan de AP maar de melding wordt uitgesteld, dan moet ook dat uitstel gemotiveerd kunnen worden; documentatie in verband daarmee zou kunnen helpen om bij controle door de AP aan te tonen dat het uitstel gerechtvaardigd en niet buitensporig is.

Heeft de organisatie een functionaris voor de gegevensbescherming (ook wel privacy officer of data protection officer), dan moet uit het datalekregister blijken of, en zo ja in welke mate, de functionaris voor de gegevensbescherming betrokken is geweest bij de datalekregistratie.

Incident reponse protocol en bewustwording

Ter ondersteuning van de naleving van de verplichting tot het melden van datalekken is het voor organisaties (zowel verwerkingsverantwoordelijken als verwerkers) nuttig over een gedocumenteerde meldingsprocedure (incident response protocol) te beschikken waarin wordt uiteengezet welke procedure moet worden gevolgd wanneer een datalek is geconstateerd, met inbegrip van de wijze waarop het incident moet worden ingeperkt, beheerd en hersteld, het risico moet worden beoordeeld en de inbreuk moet worden gemeld. Om aan te tonen dat de AVG wordt nageleefd, kan het in dit verband ook nuttig zijn om aan te tonen dat werknemers op de hoogte zijn gebracht van het bestaan van dergelijke procedures en mechanismen en dat zij weten hoe zij op inbreuken moeten reageren.

Slot

In 2018 heeft de AP 21.000 datalekmeldingen ontvangen. De meeste datalekken werden gemeld door organisaties uit de sectoren zorg en welzijn, openbaar bestuur en financiële dienstverlening. Volgens de AP zijn datalekken nog steeds een groot privacyprobleem. De AP breidt daarom haar capaciteit uit om meer actie te kunnen ondernemen. Deze acties kunnen leiden tot meer handhavende maatregelen. Als organisaties een adequate datalekregistratie bijhouden en een efficiënt meldingsprocedure, kan dat helpen om nieuwe inbreuken te verminderen.

Bron: www.autoriteitpersoonsgegevens.nl
Deze blog is automatisch geïmporteerd uit een oudere versie van deze website. Daarom is de lay-out mogelijk niet perfect.
Deel:

auteur

Lora

publicaties

Gerelateerde artikelen