Datalekregister: 10 tips

Het bijhouden van een datalekregister, met hierin de datalekken die binnen uw organisatie hebben plaatsgevonden en hoe deze zijn behandeld, is van groot belang om te kunnen voldoen aan de AVG en de 'verantwoordingsverplichting' die hieruit voortvloeit. Hierbij 10 praktische tips voor een goede registratie: 

1. Omschrijf incidenten, de gevolgen en de corrigerende maatregelen duidelijk en volledig; 
2. Maak expliciet onderscheid tussen corrigerende en preventieve maatregelen. Leg corrigerende maatregelen altijd vast in het datalekregister. Het kan nuttig zijn deze maatregelen mee te nemen in de plan-do-check/learn-act cyclus; 
3. Voorkom versnippering van registraties; maak één overzichtelijke registratie die voor elk organisatieonderdeel tot op hetzelfde inhoudelijke detailniveau wordt ingevuld. Overweeg bijvoorbeeld om de registratie inzichtelijk te maken voor alle medewerkers zodat zij het registratieoverzicht kunnen consulteren voordat zij zelf iets registreren; 
4. Neem op of de functionaris voor de gegevensbescherming (FG) betrokken is, en zo ja in welke mate. Elke overheidsorganisatie heeft verplicht een FG, alsook organisaties die op grote schaal individuen volgen en/of bijzondere persoonsgegevens verwerken;
5. Neem per incident op of het datalek is gemeld bij de AP en betrokkenen en motiveer daarbij waarom dat wel of niet is gebeurd; 
6. Wees transparant richting getroffen personen als er een datalek is geweest. Communiceer hier doeltreffend en tijdig over. Bewaar het bewijs van die mededeling en neem deze op in de registratie; 
7. Stel een handleiding (datalekbeleid) op en/of verzorg een training voor de medewerkers die de datalekregistratie invullen. Deze instructie kan onderdeel uitmaken van een gedocumenteerde meldingsprocedure voor de meldplicht datalekken; 
8. Leg vast welke andere organisaties betrokken zijn geweest bij een inbreuk (bijvoorbeeld medeverwerkingsverantwoordelijken, verwerkers of sub-verwerkers). Dit is handig als een organisatie nieuwe verwerkersovereenkomsten sluit met de desbetreffende verwerkers; 
9. Overweeg datalekken in te delen naar aard, gevolgen, betrokkenen en mogelijke maatregelen; 
10.  Bespreek de datalekregistratie regelmatig op het juiste niveau binnen de organisatie als onderdeel van een plan-do-check/learn-act cyclus. Zo kunnen organisaties leren van fouten. De FG kan bij deze besprekingen een actieve rol vervullen.
    

  De AVG legt de verantwoordelijkheid bij organisaties om aan te tonen dat ze aan de privacyregels voldoen. Eén van de verplichte maatregelen om aan de verantwoordingsplicht te voldoen is de verplichting tot het bijhouden van alle inbreuken in verband met persoonsgegevens, ofwel het bijhouden van een datalekregister. Dit staat in artikel 33, 5e lid AVG.

Het doel van deze documentatieverplichting is te stimuleren dat organisaties intern leren van eerdere inbreuken en maatregelen nemen om de kans op nieuwe inbreuken te verminderen. De documentatie biedt daarnaast handvatten om binnen de organisatie het gesprek aan te gaan in het kader van AVGbewustzijn. Ook kan de AP als toezichthoudende autoriteit met de documentatie controleren of organisaties de meldplicht datalekken naleven.

Poor practices

• Voorkom als organisatie een onduidelijke, (te) beperkte of onvolledige omschrijving van de (feiten van) het incident, de gevolgen en genomen corrigerende maatregelen.
• Voorkom als organisatie een onduidelijke, (te) beperkte of onvolledige omschrijvingen bij het omschrijven van de gevolgen. 
• Voorkom als organisatie het niet opnemen van corrigerende maatregelen en de verwarring tussen verschillende maatregelen die wel worden opgenomen. Maak expliciet onderscheid tussen corrigerende en preventieve maatregelen. 
• Voorkom versnippering van onderdelen van registraties, verschil in detailniveau en wisselende kwaliteit van registratie, dit kan zorgen voor een onoverzichtelijke geheel. De kwaliteit en bruikbaarheid van het register vermindert hierdoor. 
• Zorg ervoor dat de FG betrokken wordt bij de registratie. Bij de meeste registraties is niet duidelijk of, en zo ja in welke mate, de FG betrokken is bij de datalekregistratie. Het Europees privacytoezichthoudersverband raadt aan dat een FG bijvoorbeeld kan bijdragen aan het opzetten van een structuur voor de registratie en bij de administratie die voortvloeit uit de datalekregistratie. (zie p.32 van deRichtsnoeren voor de melding van inbreuken in verband met persoonsgegevens krachtens Verordening 2016/679 van het Comité) 
  

Best practices

• Omschrijving waarom bepaalde datalekken wel of niet gemeld zijn aan de AP en/of aan de betrokkene(n). De EDPB beveelt dit ook aan in haar richtsnoeren (p.31), de verwerkingsverantwoordelijke kan op deze wijze aangeven waarom bepaalde datalekken wel of niet gemeld zijn en aldus aantonen dat zij de verplichting om bepaalde datalekken te melden op de juiste wijze naleeft.  
•  Een uniforme registratiewijze draagt bij aan de kwaliteit van de datalekregistratie, dit kan bijvoorbeeld worden bevorderd door een datalekbeleid, handleidingen, trainingen of stroomschema’s voor de registratie van datalekken. 
• Zorg ervoor dat de registratie maximaal benut wordt en omschrijf zowel specifieke corrigerende maatregelen als preventieve maatregelen ter voorkoming van nieuwe datalekken. Neem deze maatregelen bijvoorbeeld mee in de plan-do-check/learn-act cyclus. 
• Het registreren of, en zo ja welke, andere organisaties(bijvoorbeeld medeverwerkingsverantwoordelijken, verwerkers of sub-verwerkers) betrokken zijn geweest bij een inbreuk kan bijdragen aan het lerend vermogen van de organisaties ten aanzien van wat men in de toekomst kan doen om datalekken te voorkomen. Dit kan bijvoorbeeld ook worden meegenomen wanneer er nieuwe verwerkersovereenkomsten gesloten worden met de desbetreffende verwerkers.