Kwaliteit datalekregister bij overheidsorganisaties ondermaats: hoe moet het wel?

De kwaliteit van datalekregisters bij overheidsorganisaties loopt enorm
uiteen en is in de meeste gevallen zelfs onvoldoende. Slechts 60% van de door
de Autoriteit Persoonsgegevens (AP) onderzochte registers bevat een complete
omschrijving van de verplichte elementen van een datalekregistratie. De AP
concludeerde daarnaast dat de organisaties vaak geen strakke regels hebben om
datalekken te registeren, waardoor het voor de organisaties lastig wordt om
structurele fouten aan te pakken. De AP heeft daarom handreiking
gepubliceerd om de registraties van datalekken te verbeteren.

Verantwoordingsplicht
onder de AVG

De AVG legt de verantwoordelijkheid bij organisaties om aan te tonen dat
ze aan de privacyregels voldoen. Het bijhouden van een datalekregister hangt
samen met deze in de AVG vervatte verantwoordingsplicht. Eén van de verplichte
maatregelen om aan de verantwoordingsplicht te voldoen is de verplichting tot
het bijhouden van alle datalekken, oftewel het bijhouden van een
datalekregister. De AP kan verzoeken om inzage in deze geregistreerde gegevens
om naleving van verplichting tot het melden van datalekken te controleren. Het
doel van datalekregister is te stimuleren dat organisaties intern leren van
eerdere inbreuken en maatregelen nemen om de kans op nieuwe inbreuken te
verminderen.

Inhoud van het
datalekregister

Ongeacht of een datalek aan de AP moet worden gemeld, moet de
verwerkingsverantwoordelijke alle datalekken documenteren in een
datalekregister. Het register dient te bestaan uit een paar basiselementen: alle
inbreuken met inbegrip van de feiten daaromtrent, de gevolgen van het lek en de
genomen corrigerende maatregelen.

Daarbij dienen bijzonderheden met betrekking tot de inbreuk te worden
geregistreerd, waaronder de oorzaken, wat er zich heeft afgespeeld en de
betrokken persoonsgegevens. De organisatie dient ook de gevolgen van de inbreuk
te registreren, alsmede de corrigerende en preventieve maatregelen die hij
heeft genomen.

Naast deze details beveelt de Europese
toezichthouder aan dat de organisatie ook zijn motivering voor de besluiten
die naar aanleiding van een datalek zijn genomen, documenteert. Met name
wanneer een datalek niet is gemeld (bijvoorbeeld omdat het niet waarschijnlijk
is dat het incident een risico
inhoudt voor de getroffen personen), moet de motivering voor dat besluit worden
gedocumenteerd. De motivering dient dan de redenen te omvatten waarom de organisatie
van mening is dat de inbreuk waarschijnlijk geen risico voor de rechten en
vrijheden van natuurlijke personen inhoudt.

Als een inbreuk niet binnen 72 uur na ontdekking wordt gemeld aan de AP
maar de melding wordt uitgesteld, dan moet ook dat uitstel gemotiveerd kunnen
worden; documentatie in verband daarmee zou kunnen helpen om bij controle door
de AP aan te tonen dat het uitstel gerechtvaardigd en niet buitensporig is.

Heeft de organisatie een functionaris voor de gegevensbescherming (ook
wel privacy officer of data protection officer), dan moet uit
het datalekregister blijken of, en zo ja in welke mate, de functionaris voor de
gegevensbescherming betrokken is geweest bij de datalekregistratie.

Incident reponse protocol en bewustwording

Ter ondersteuning van de naleving van de verplichting tot het melden van
datalekken is het voor organisaties (zowel verwerkingsverantwoordelijken als
verwerkers) nuttig over een gedocumenteerde meldingsprocedure (incident
response protocol) te beschikken waarin wordt uiteengezet welke procedure moet
worden gevolgd wanneer een datalek is geconstateerd, met inbegrip van de wijze
waarop het incident moet worden ingeperkt, beheerd en hersteld, het risico moet
worden beoordeeld en de inbreuk moet worden gemeld. Om aan te tonen dat de AVG
wordt nageleefd, kan het in dit verband ook nuttig zijn om aan te tonen dat
werknemers op de hoogte zijn gebracht van het bestaan van dergelijke procedures
en mechanismen en dat zij weten hoe zij op inbreuken moeten reageren.

Slot

In 2018 heeft de AP 21.000
datalekmeldingen ontvangen. De meeste datalekken werden gemeld door
organisaties uit de sectoren zorg en welzijn, openbaar bestuur en financiële
dienstverlening. Volgens de AP zijn datalekken nog steeds een groot
privacyprobleem. De AP breidt daarom haar capaciteit uit om meer actie te
kunnen ondernemen. Deze acties kunnen leiden tot meer handhavende maatregelen. Als
organisaties een adequate datalekregistratie bijhouden en een efficiënt
meldingsprocedure, kan dat helpen om nieuwe inbreuken te verminderen.

https://www.solv.nl/weblog/kwaliteit-datalekregister-bij-overheidsorganisaties-ondermaats-hoe-moet-het-wel/21771

Platform Informatie Technologie en Recht

Kwaliteit datalekregister bij overheidsorganisaties ondermaats: hoe moet het wel?

Brill

Personal Data

The History of Unicode

Meltdown and Spectre

Argument Timing

Tinder

Emoji Sports

Twitter Verification

Nightmare Email Feature

Email Reply

Computers vs Humans

Supervillain Plan

Obsolete Technology

USB Cables

Digital Resource Lifespan

Categorieën: ‘Van kern tot rand’

NOS – Tech

Recht.nl – Privacy

NU – Tech

Europa – Nu

Recht.nl – Informatie & Technologie

TagCloud

Ius Mentis