10 praktische tips voor betere registraties van datalekken

Bron: Autoriteitpersoonsgegevens

Een overtreding van de privacywet kan een boete tot gevolg hebben. De boetebeleidsregels geven inzicht in de manier waarop de Autoriteit Persoonsgegevens (AP) de hoogte van een boete berekent. De hoogte van een boete verschilt per type overtreding. Daarnaast speelt bij het vaststellen van de hoogte bijvoorbeeld ook de ernst, omvang en duur van de overtreding mee en of er sprake is van opzet of recidive.

Oplopende geldboetes

De AP heeft de overtredingen van de AVG en de andere wetten waarop zij toezicht houdt, voor elk wettelijk boetemaximum ingedeeld in 3 of 4 boetecategorieën, waaraan oplopende geldboetes zijn verbonden oplopend tot € 1.000.000,-. Deze indeling is ingegeven door de zwaarte en ernst van de geschonden norm en de verhouding tot de andere normen in het gegevensbeschermingsrecht.

Elke boetecategorie is vervolgens gekoppeld aan een bepaalde boetebandbreedte van een minimum- en een maximumbedrag. De hoogte van de boetebandbreedtes moet voldoende afschrikwekkend zijn voor potentiële overtreders. Binnen de verschillende boetebandbreedtes heeft de AP steeds een basisboete vastgelegd die liggen tussen de € 100.000,- en € 725.000,-. Dit bedrag vormt voor de AP het uitgangspunt voor de berekening van de boete in een afzonderlijk geval.

Datalekregister

De kwaliteit van datalekregister bij overheidsorganisaties loopt nog uiteen, Slechts 60% van de onderzochte registers bevat een complete omschrijving van de verplichte elementen van een datalekmelding (de feiten, de gevolgen en de genomen maatregelen). Ook hebben de organisaties vaak geen strakke regels om datalekken te registeren. De meeste datalekken ontstaan doordat post of mail niet bij de juiste persoon terechtkomt. Ook onbedoelde of onrechtmatige inzage van persoonsgegevens blijkt een veelvoorkomende bron van datalekken. Dit blijkt uit een verkennend onderzoek onder 26 uiteenlopende overheidsorganisaties dat de Autoriteit Persoonsgegevens (AP) recent heeft uitgevoerd.

10 praktische tips van de AP voor betere registraties van datalekken:

  1. Omschrijf incidenten, de gevolgen en de corrigerende maatregelen duidelijk en volledig;
  2. Maak expliciet onderscheid tussen corrigerende en preventieve maatregelen. Leg corrigerende maatregelen altijd vast in het datalekregister. Het kan nuttig zijn deze maatregelen mee te nemen in de plan-do-check/learn-act cyclus;
  3. Voorkom versnippering van registraties; maak één overzichtelijke registratie die voor elk organisatieonderdeel tot op hetzelfde inhoudelijke detailniveau wordt ingevuld. Overweeg bijvoorbeeld om de registratie inzichtelijk te maken voor alle medewerkers zodat zij het registratieoverzicht kunnen consulteren voordat zij zelf iets registreren;
  4. Neem per incident op of de functionaris voor de gegevensbescherming (FG) betrokken is, en zo ja in welke mate. Elke overheidsorganisatie heeft verplicht een FG.
  5. Neem per incident op of het datalek is gemeld bij de AP en betrokkenen en motiveer daarbij waarom dat wel of niet is gebeurd;
  6. Wees transparant richting getroffen personen als er een datalek is geweest. Communiceer hier doeltreffend en tijdig over. Bewaar het bewijs van die mededeling en neem deze op in de registratie.
  7. Stel een handleiding op of verzorg een training voor de medewerkers die de datalekregistratie invullen. Deze instructie kan onderdeel uitmaken van een gedocumenteerde meldingsprocedure voor de meldplicht datalekken.
  8. Leg vast welke andere organisaties betrokken zijn geweest bij een inbreuk (bijvoorbeeld medeverwerkingsverantwoordelijken, verwerkers of sub-verwerkers). Dit is handig als een organisatie nieuwe verwerkersovereenkomsten sluit met de desbetreffende verwerkers.
  9. Overweeg datalekken in te delen naar aard, gevolgen en betrokkenen en mogelijke maatregelen;
  10. Bespreek de datalekregistratie regelmatig op het juiste niveau binnen de organisatie als onderdeel van een plan-do-check/learn-act cyclus. Zo kunnen organisaties leren van fouten. De FG kan bij deze besprekingen een actieve rol vervullen.

Lees verder op: Autoriteitpersoonsgegevens

Meer weten over de AVG?

De 2-daagse cursus praktische toepassing AVG & Uitvoeringswet UAVG stelt u in staat privacy gerelateerde vraagstukken te doorgronden en hierover een onderbouwd advies te geven. Meer informatie?
Bezoek de website

 

Bron 1: Boetebeleidsregels

Bron 2: Autoriteit Persoonsgegevens
https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/stcrt-2019-14586.pdf 
https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/ap-past-boetebeleidsregels-aan 
https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/kwaliteit-datalekregister-bij-overheidsorganisaties-loopt-nog-uiteen

 

 

Over sbo

Het Studiecentrum voor Bedrijf en Overheid (SBO) organiseert jaarlijks zo’n 200 opleidingen en congressen over o.a. onderwijs, veiligheid, milieu & RO, zorg, bouw & infra en overheid.

Bekijk ook

NIS2-richtlijn: Met deze stappen bereid je jouw organisatie voor

De NIS2, de Europese richtlijn voor beveiliging van netwerk- en informatiesystemen, wordt binnenkort in Nederlandse …

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *