Het register datalekken

Maak een register datalekken en voorkom een boete

Een van de verplichtingen van de Algemene Verordening Gegevensbescherming (AVG) is dat je een register datalekken moet bijhouden. Daarin moet je bepaalde informatie over eventuele datalekken vastleggen. Heb je zo’n register niet, dan kun je een hoge boete krijgen van de Autoriteit Persoonsgegevens. Voorkom een boete en lees hier hoe je zo’n register zelf eenvoudig aanlegt.

Heb je een Protocol meldplicht datalekken?
Begin
Beantwoord een paar vragen. Wij zorgen voor de rest.

Een register datalekken is een register dat je volgens de AVG nodig hebt als je persoonsgegevens verwerkt, zoals een financiële administratie  met klantgegevens of personeelsdossiers. Het register heb je nodig voor het geval er bij je organisatie een datalek plaatsvindt. Ook als je nog nooit een datalek hebt gehad, moet je zo’n register bij de hand hebben. Een datalek is de situatie waarin persoonsgegevens zijn kwijtgeraakt, vernietigd of in verkeerde handen gekomen.

Een register datalekken kun je op papier of digitaal aanleggen. Een excelsheet waarin je de gegevens registreert, voldoet ook prima. Zorg er wel voor dat de toegang tot het register datalekken (extra) goed beveiligd is. Je wilt immers niet dat je gegevens over eventuele datalekken zelf op straat komen te liggen.

In een register datalekken moet je de volgende informatie vastleggen:

  • de datum waarop een datalek plaatsvond (als je het niet precies weet dan geef je aan in welke periode het moet zijn gebeurd)

  • op welke datum en hoe laat je het datalek hebt ontdekt

  • de naam van degene die het heeft ontdekt

  • om wat voor soort datalek het gaat (bijvoorbeeld een USB stick waarop bestanden met personeelsdossiers stonden, is kwijtgeraakt)

  • om wat voor soort informatie het gaat (bijvoorbeeld salarisgegevens)

  • van hoeveel personen ongeveer persoonsgegevens zijn gelekt

  • hoe het datalek heeft kunnen gebeuren (bijvoorbeeld omdat de HR manager een USB stick mee naar huis wilde nemen en in de trein heeft verloren)

  • wat de (mogelijke) gevolgen zijn van het datalek (bijvoorbeeld derden weten hoeveel deze mensen verdienen)

  • of je het datalek aan de Autoriteit Persoonsgegevens hebt gemeld en zo ja wanneer precies en zo nee, waarom niet (bijvoorbeeld melding was niet nodig, het personeel verdient conform de cao en die is openbaar)

  • of je een eventuele melding binnen 72 uur na ontdekking hebt gedaan en zo nee, waarom niet

  • of je het datalek aan de gedupeerden hebt gemeld en zo ja op welke manier en wanneer je dat hebt gedaan

  • welke maatregelen je hebt getroffen om toekomstige lekken te voorkomen (bijvoorbeeld een memo naar alle medewerkers waarin staat dat personeel geen USB sticks meer mee het kantoor uit mag nemen)

Naast een register datalekken heb je in het kader van de bescherming van persoonsgegevens ook nog de volgende documenten nodig:

  • een protocol meldplicht datalekken, dat alle stappen beschrijft die je als organisatie moet volgen bij een datalek

  • een verwerkingsregister, waarin je vastlegt welke persoonsgegevens je voor welke doeleinden verwerkt en dat je kunt raadplegen bij een datalek

Heb je een Protocol meldplicht datalekken?
Begin
Beantwoord een paar vragen. Wij zorgen voor de rest.