Vergroot contrast

Kwaliteit datalekregister bij overheidsorganisaties loopt nog uiteen

De kwaliteit van datalekregisters bij overheidsorganisaties loopt enorm uiteen. Slechts 60% van de onderzochte registers bevat een complete omschrijving van de verplichte elementen van een datalekmelding (de feiten, de gevolgen en de genomen maatregelen). Ook hebben de organisaties vaak geen strakke regels om datalekken te registeren. Dat maakt het lastig voor de organisaties om structurele fouten aan te pakken.

De meeste datalekken ontstaan doordat post of mail niet bij de juiste persoon terechtkomt. Ook onbedoelde of onrechtmatige inzage van persoonsgegevens blijkt een veelvoorkomende bron van datalekken.
Dit blijkt uit een verkennend onderzoek onder 26 uiteenlopende overheidsorganisaties dat de Autoriteit Persoonsgegevens (AP) recent heeft uitgevoerd.

10 praktische tips voor betere registraties van datalekken

Op basis van de onderzoeksresultaten komt de AP met 10 praktische tips voor betere registraties van datalekken:

  1. Omschrijf incidenten, de gevolgen en de corrigerende maatregelen duidelijk en volledig;
  2. Maak expliciet onderscheid tussen corrigerende en preventieve maatregelen. Leg corrigerende maatregelen altijd vast in het datalekregister. Het kan nuttig zijn deze maatregelen mee te nemen in de plan-do-check/learn-act cyclus;
  3. Voorkom versnippering van registraties; maak één overzichtelijke registratie die voor elk organisatieonderdeel tot op hetzelfde inhoudelijke detailniveau wordt ingevuld. Overweeg bijvoorbeeld om de registratie inzichtelijk te maken voor alle medewerkers zodat zij het registratieoverzicht kunnen consulteren voordat zij zelf iets registreren;
  4. Neem per incident op of de functionaris voor de gegevensbescherming (FG) betrokken is, en zo ja in welke mate. Elke overheidsorganisatie heeft verplicht een FG.
  5. Neem per incident op of het datalek is gemeld bij de AP en betrokkenen en motiveer daarbij waarom dat wel of niet is gebeurd;
  6. Wees transparant richting getroffen personen als er een datalek is geweest. Communiceer hier doeltreffend en tijdig over. Bewaar het bewijs van die mededeling en neem deze op in de registratie. 
  7. Stel een handleiding op of verzorg een training voor de medewerkers die de datalekregistratie invullen. Deze instructie kan onderdeel uitmaken van een gedocumenteerde meldingsprocedure voor de meldplicht datalekken.
  8. Leg vast welke andere organisaties betrokken zijn geweest bij een inbreuk (bijvoorbeeld medeverwerkingsverantwoordelijken, verwerkers of sub-verwerkers). Dit is handig als een organisatie nieuwe verwerkersovereenkomsten sluit met de desbetreffende verwerkers.
  9. Overweeg datalekken in te delen naar aard, gevolgen en betrokkenen en mogelijke maatregelen;
  10. Bespreek de datalekregistratie regelmatig op het juiste niveau binnen de organisatie als onderdeel van een plan-do-check/learn-act cyclus. Zo kunnen organisaties leren van fouten. De FG kan bij deze besprekingen een actieve rol vervullen.

Over datalekken

In 2018 heeft de AP 21.000 datalekmeldingen ontvangen. De meeste datalekken werden gemeld door organisaties uit de sectoren zorg en welzijn, openbaar bestuur en financiële dienstverlening. Aleid Wolfsen, voorzitter van de AP: ‘Datalekken zijn nog steeds een groot privacyprobleem. Als organisaties een adequate datalekregistratie bijhouden, kan dat helpen om nieuwe inbreuken te verminderen.’

Over de verantwoordingsplicht

Sinds 25 mei 2018 is nieuwe privacywetgeving van toepassing, de Algemene verordening gegevensbescherming. De AVG legt de verantwoordelijkheid bij organisaties om aan te tonen dat ze aan de privacyregels voldoen. Dit heet ‘verantwoordingsplicht’. Eén van de maatregelen om te voldoen aan de verantwoordingsplicht is het bijhouden van een datalekregister. Hierin staan alle inbreuken in verband met persoonsgegevens.

Gerelateerd nieuws