Recentelijk heeft de Autoriteit Persoonsgegevens (AP) een handreiking uitgebracht naar aanleiding van het onderzoek naar datalekkenregistratie bij overheidsinstellingen. De bevindingen en tips die hieruit naar voren komen zijn natuurlijk ook relevant voor zorginstellingen. Ook al zegt de AP dat dit slechts een steekproef is en zich niet leent tot brede conclusies.
Het bijhouden van een datalekkenregister en het voldoen aan de – in de Algemene Verordening Gegevensbescherming (AVG) vastgelegde – documentatieplicht is geen doel op zich. Het is ook van belang om uit de vastgelegde informatie lessen te trekken en gericht maatregelen te nemen ter verkleining van de kans op een datalek.
De AP geeft dan ook aan dat het doel van de documentatieverplichting is om organisaties te stimuleren intern te leren van eerdere inbreuken en maatregelen te nemen om de kans op nieuwe inbreuken te verminderen. Verder biedt een goede documentatie van incidenten en datalekken ook handvatten om binnen de organisatie het gesprek aan te gaan.
Het belangrijkste om mee te nemen, uit deze door de AP uitgebrachte handreiking, is om op basis van een gestructureerde registratie zo volledig mogelijk te beschrijven wat de aard is van een inbreuk. Maar ook wat de specifieke gevolgen zijn en welke correctieve en preventieve maatregelen als organisatie zijn genomen.
Tip: omschrijf de stappen zo volledig en helder mogelijk. Zodat het ook duidelijk is voor medewerkers die niet direct betrokken zijn bij het incident.
Het datalekken incidentenregister is ontworpen om als leidraad te dienen in jouw organisatie. Wij geven het sjabloon om feiten, gevolgen en maatregelen van het incident vast te leggen.
635
21 June 2021
Tweede zorgbonus voor zorgmedewerkers. Het kabinet wilt zorgmedewerkers ook in 2021 een bonus geven …
697
16 June 2021
Al jaren gaat de gezondheidszorg gebukt onder de stijging van de zorgkosten en administratieve laste…
736
07 June 2021
Voor een klant in de gehandicaptenzorg hebben wij de afgelopen periode een groot project mogen begel…