Recentelijk heeft de Autoriteit Persoonsgegevens (AP) een handreiking uitgebracht naar aanleiding van het onderzoek naar datalekkenregistratie bij overheidsinstellingen. De bevindingen en tips die hieruit naar voren komen zijn natuurlijk ook relevant voor zorginstellingen. Ook al zegt de AP dat dit slechts een steekproef is en zich niet leent tot brede conclusies.
Het bijhouden van een datalekkenregister en het voldoen aan de – in de Algemene Verordening Gegevensbescherming (AVG) vastgelegde – documentatieplicht is geen doel op zich. Het is ook van belang om uit de vastgelegde informatie lessen te trekken en gericht maatregelen te nemen ter verkleining van de kans op een datalek.
De AP geeft dan ook aan dat het doel van de documentatieverplichting is om organisaties te stimuleren intern te leren van eerdere inbreuken en maatregelen te nemen om de kans op nieuwe inbreuken te verminderen. Verder biedt een goede documentatie van incidenten en datalekken ook handvatten om binnen de organisatie het gesprek aan te gaan.
Het belangrijkste om mee te nemen, uit deze door de AP uitgebrachte handreiking, is om op basis van een gestructureerde registratie zo volledig mogelijk te beschrijven wat de aard is van een inbreuk. Maar ook wat de specifieke gevolgen zijn en welke correctieve en preventieve maatregelen als organisatie zijn genomen.
Tip: omschrijf de stappen zo volledig en helder mogelijk. Zodat het ook duidelijk is voor medewerkers die niet direct betrokken zijn bij het incident.
Het datalekken incidentenregister is ontworpen om als leidraad te dienen in jouw organisatie. Wij geven het sjabloon om feiten, gevolgen en maatregelen van het incident vast te leggen.
260
21 January 2021
108
04 January 2021
Per 1 januari 2021 zijn al onze activiteiten bij elkaar gebracht onder de gezamenlijke noemer Tenzin…
171
23 December 2020
Het nieuwe jaar staat voor de deur. Om helemaal voorbereid te zijn op het gebied van de salarisadmin…