Recentelijk heeft de Autoriteit Persoonsgegevens (AP) een handreiking uitgebracht naar aanleiding van het onderzoek naar datalekkenregistratie bij overheidsinstellingen. De bevindingen en tips die hieruit naar voren komen zijn natuurlijk ook relevant voor zorginstellingen. Ook al zegt de AP dat dit slechts een steekproef is en zich niet leent tot brede conclusies.
Het bijhouden van een datalekkenregister en het voldoen aan de – in de Algemene Verordening Gegevensbescherming (AVG) vastgelegde – documentatieplicht is geen doel op zich. Het is ook van belang om uit de vastgelegde informatie lessen te trekken en gericht maatregelen te nemen ter verkleining van de kans op een datalek.
De AP geeft dan ook aan dat het doel van de documentatieverplichting is om organisaties te stimuleren intern te leren van eerdere inbreuken en maatregelen te nemen om de kans op nieuwe inbreuken te verminderen. Verder biedt een goede documentatie van incidenten en datalekken ook handvatten om binnen de organisatie het gesprek aan te gaan.
Het belangrijkste om mee te nemen, uit deze door de AP uitgebrachte handreiking, is om op basis van een gestructureerde registratie zo volledig mogelijk te beschrijven wat de aard is van een inbreuk. Maar ook wat de specifieke gevolgen zijn en welke correctieve en preventieve maatregelen als organisatie zijn genomen.
Tip: omschrijf de stappen zo volledig en helder mogelijk. Zodat het ook duidelijk is voor medewerkers die niet direct betrokken zijn bij het incident.
Het datalekken incidentenregister is ontworpen om als leidraad te dienen in jouw organisatie. Wij geven het sjabloon om feiten, gevolgen en maatregelen van het incident vast te leggen.
144
01 April 2021
Cure4 verwerkt voor haar opdrachtgevers de loonheffingen volgens de voorgeschreven regels van de Be…
223
12 March 2021
Vanuit het lage-inkomenvoordeel (LIV) kan jouw zorgorganistie een vergoeding krijgen. De Belastingdi…
273
16 February 2021
We nemen je mee in de ontwikkelingen van de aanvullende geboorteverlof, ketenregeling, eindheffing W…