Nieuw in de AVG: registratieplicht datalekken
De regelgeving omtrent datalekken is onder de Algemene verordening gegevensbescherming (AVG) voor het grootste gedeelte hetzelfde gebleven als onder de Wet bescherming persoonsgegevens (Wbp). De AVG stelt echter wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan. Een organisatie moet voortaan alle datalekken documenteren en niet meer alleen de aan de toezichthouder gemelde datalekken. Aan de hand van deze documentatie moet de Autoriteit Persoonsgegevens (AP) kunnen controleren of u voldoende hebt gedaan om datalekken te voorkomen. Dit gaat dus verder dan de vroegere protocolplicht uit de Wbp, waarbij alleen de ernstige datalekken gedocumenteerd hoefden te worden die bij de toezichthouder gemeld moesten worden. Daarnaast zijn sinds 25 mei ook de boetes hoger geworden.
Wat moet u bijhouden in het register datalekken?
Van ieder datalek, hoe klein ook, bent u in ieder geval verplicht de aard en omvang te registreren, maar ook de gevolgen en de getroffen maatregelen om dit in de toekomst te voorkomen. Het verdient aanbeveling om het register zo in te richten dat u in één beknopt document alle relevante gegevens met betrekking tot de datalekken bij elkaar heeft. Om u hierbij te helpen hebben wij een voor de praktijk handzaam format gemaakt, dat u hier kosteloos kunt downloaden. Wij adviseren om per datalek ook alle relevante documenten en gegevens te archiveren, zodat u bij een eventuele controle kunt aantonen hoe een en ander is gelopen en afgehandeld.
Hou dit register goed bij
U doet er goed aan om dit register goed bij te houden, en hier elke vorm van datalek (hoe klein ook, dus ook een verkeerd verzonden email met daarin persoonsgegevens) in te vermelden. U moet dit register op verzoek van de AP namelijk direct kunnen tonen.
Melding aan AP en betrokkene
Wat een datalek precies is en wanneer u verplicht bent om een datalek te melden aan de AP en mogelijk ook aan de betrokkene kunt u hier lezen. Wat de AP precies allemaal wil weten bij een melding van een datalek, kunt u hier op het online meldingsformulier van de AP lezen. U kunt dit formulier eventueel als leidraad gebruiken bij het afhandelen van een datalek.