Practice what you breach!


7 mei 2019


Een jaar nadat de AVG van kracht is geworden, liet de Autoriteit Persoonsgegevens (AP) onlangs weten dat het aantal gemelde datalekken in 2018 meer dan verdubbeld is ten opzichte van 2017. Dat is op zich niet heel verrassend, gelet op de forse boetes die bij verzuim kunnen worden opgelegd. De grootste zorg van de AP, en van ons, is echter dat talloze organisaties nog steeds geen fatsoenlijk datalekregister met bijbehorende procedure hebben opgezet. 
 

Datalekken signaleren

Bij de gemelde datalekken gaat het met name om overheidsinstanties, de gezondheidszorg en de financiële sector. In 63% van alle gevallen ging het om persoonsgegevens die per ongeluk aan de verkeerde ontvanger werden verzonden of overgedragen. Om het aantal datalekken op langere termijn omlaag te krijgen, moet er nog flink worden gewerkt aan bewustwording. Een degelijk register voor datalekken, dat op zichzelf al verplicht is, kan en moet een goed instrument zijn om dit te bereiken. Alleen door datalekken te signaleren en alle relevante informatie daaromtrent vast te leggen, kan een organisatie van haar fouten en tekortkomingen leren. Om echt te leren, moeten we begrijpen wat er mis gaat. De risico's op datalekken in de totale organisatie moeten worden onderzocht en vastgelegd.
 

Geautomatiseerde workflow

Bovendien moet elk datalek, ongeacht of die moet worden gemeld of niet, grondig worden geanalyseerd om te voorkomen dat dezelfde fout zich opnieuw voordoet. Maar hoe houd je vinger aan de pols zonder een goed register? Heel simpel: niet. Zonder een goed gerubriceerd datalekregister (onderverdeeld in aard, gevolgen voor betrokkenen en mogelijke maatregelen) is er geen duidelijk overzicht van datalekken binnen uw organisatie. Daarmee is het voorkomen van nieuwe overtredingen nog ver weg. Wat goed zou werken, is een geautomatiseerde workflow gebaseerd op een voorgestructureerde vragenlijst. Net als bij een reguliere RI&E (Risico Inventarisatie & Evaluatie) kan de DPO of een andere specialist de antwoordenop deze vragen verder analyseren en beoordelen en waar nodig corrigerende maatregelen nemen.
 

Beschadigde gegevens

Idealiter dekt de gekozen workflow tool een breed scala aan onderwerpen en vragen waar veel organisaties mee worstelen. De vraag of ieder beveiligingsincident automatisch als datalek wordt beschouwd is slechts één voorbeeld. Precies weten in welke gevallen de betrokken personen wel of niet op de hoogte moeten worden gebracht van het lek is een ander voorbeeld. Een volledig en duidelijk overzicht van eerder geclassificeerde datalekken stelt DPO's in staat om een weloverwogen risico-inschatting te maken en te bepalen of het datalek ik kwestie moet worden gemeld of niet. Wist u trouwens dat het kwijtraken van versleutelde gegevens en zelfs het vernietigen of beschadigen van bepaalde gegevens ook als datalek wordt beschouwd?

 

Nu we toch bezig zijn: de meesten van ons weten inmiddels wel dat iedere verwerkingsverantwoordelijke relevante datalekken binnen 72 uur aan de autoriteiten moet melden. Maar wist u ook dat gegevensverwerkers op hun beurt de plicht hebben om de verwerkingsverantwoordelijke van het lek op de hoogte te brengen?

Voor vragen over een kwalitatief goede workflow of voor meer informatie over datalekken kunt u contact opnemen met Marieke Knegt.

 


Geef uw reactie


Verzenden