Wat is een register datalekken?
Een register datalekken is een register dat je volgens de AVG nodig hebt als je persoonsgegevens verwerkt, zoals een financiële administratie met klantgegevens of personeelsdossiers. Het register heb je nodig voor het geval er bij je organisatie een datalek plaatsvindt. Ook als je nog nooit een datalek hebt gehad, moet je zo’n register bij de hand hebben. Een datalek is de situatie waarin persoonsgegevens zijn kwijtgeraakt, vernietigd of in verkeerde handen gekomen.
-
lees hier meer over het verwerken van persoonsgegevens
-
lees hier meer over datalekken
Hoe maak ik een register datalekken?
Een register datalekken kun je op papier of digitaal aanleggen. Een excelsheet waarin je de gegevens registreert, voldoet ook prima. Zorg er wel voor dat de toegang tot het register datalekken (extra) goed beveiligd is. Je wilt immers niet dat je gegevens over eventuele datalekken zelf op straat komen te liggen.
Wat moet er in het register datalekken staan?
In een register datalekken moet je de volgende informatie vastleggen:
-
de datum waarop een datalek plaatsvond (als je het niet precies weet dan geef je aan in welke periode het moet zijn gebeurd)
-
op welke datum en hoe laat je het datalek hebt ontdekt
-
de naam van degene die het heeft ontdekt
-
om wat voor soort datalek het gaat (bijvoorbeeld een USB stick waarop bestanden met personeelsdossiers stonden, is kwijtgeraakt)
-
om wat voor soort informatie het gaat (bijvoorbeeld salarisgegevens)
-
van hoeveel personen ongeveer persoonsgegevens zijn gelekt
-
hoe het datalek heeft kunnen gebeuren (bijvoorbeeld omdat de HR manager een USB stick mee naar huis wilde nemen en in de trein heeft verloren)
-
wat de (mogelijke) gevolgen zijn van het datalek (bijvoorbeeld derden weten hoeveel deze mensen verdienen)
-
of je het datalek aan de Autoriteit Persoonsgegevens hebt gemeld en zo ja wanneer precies en zo nee, waarom niet (bijvoorbeeld melding was niet nodig, het personeel verdient conform de cao en die is openbaar)
-
of je een eventuele melding binnen 72 uur na ontdekking hebt gedaan en zo nee, waarom niet
-
of je het datalek aan de gedupeerden hebt gemeld en zo ja op welke manier en wanneer je dat hebt gedaan
-
welke maatregelen je hebt getroffen om toekomstige lekken te voorkomen (bijvoorbeeld een memo naar alle medewerkers waarin staat dat personeel geen USB sticks meer mee het kantoor uit mag nemen)
Register datalekken: waar moet ik verder op letten?
Naast een register datalekken heb je in het kader van de bescherming van persoonsgegevens ook nog de volgende documenten nodig:
-
een protocol meldplicht datalekken, dat alle stappen beschrijft die je als organisatie moet volgen bij een datalek
-
een verwerkingsregister, waarin je vastlegt welke persoonsgegevens je voor welke doeleinden verwerkt en dat je kunt raadplegen bij een datalek
-
een privacyverklaring, waarin je vastlegt welke persoonsgegevens je verzamelt en op basis waarvan
De wet is complex en verandert vaak. Vraag een advocaat voor juridisch advies.