Registratie van datalekken is vaak niet op orde

Het kan nog stukken beter, dat registreren van datalekken in bedrijven en organisaties. De Autoriteit Persoonsgegevens (AP) geeft adviezen op welke manier de datalekregisters bijgehouden kunnen worden en daarvan melding kan worden gedaan bij de AP.

‘Verkeerd verzonden’ komt veel voor

In bijna twee derde van de datalekken gaat het om verkeerd verzonden persoonsgegevens. Een mailtje aan de verkeerde persoon is dan al een datalek dat geregistreerd en gemeld moet worden.

Datalekken zijn er vooral in zorg en welzijn, het openbaar bestuur en de financiële dienstverlening. In 2018 zijn er bijna 21.000 meldingen gedaan en dat is fors hoger dan vooraf werd ingeschat door de AP.
Naast de verkeerde en/of foute e-mails ontstaan er datalekken door kwijtgeraakte persoonsgegevens op laptops, usb-stick of door hacking, phishing, malware of andere computerproblemen. Hacking en phishing komt vooral in de zorg voor.

Registers deugen nog niet allemaal

Van elk lek moet op de juiste manier melding worden gemaakt. Daarvoor horen de verplichte onderdelen (de feiten, de gevolgen en de genomen maatregelen) beantwoord te worden. Maar 60 procent van de bij de overheid onderzochte organisaties had het register daadwerkelijk op orde. In 2018 is de AP bij 298 datalekmeldingen opgetreden bij organisaties die een datalek gemeld hebben en waar dat niet op orde was. Een datalek moet alleen gemeld worden als het lek leidt tot een risico voor de rechten en vrijheden van betrokkenen wiens gegevens gelekt zijn.

Adviezen voor het registreren van datalekken

Voor een juiste registratie van datalekken geeft de AP onder meer de volgende adviezen:

  • Omschrijf incidenten, de gevolgen ervan én de corrigerende maatregelen duidelijk en volledig;
  • Maak expliciet onderscheid tussen corrigerende en preventieve maatregelen. Leg corrigerende maatregelen altijd vast in het datalekregister. Het kan nuttig zijn deze maatregelen mee te nemen in de plan-do-check/learn-act cyclus;
  • Voorkom versnippering van registraties; maak één overzichtelijke registratie die voor elk organisatie-onderdeel tot op hetzelfde inhoudelijke detailniveau wordt ingevuld. Overweeg bijvoorbeeld om de registratie inzichtelijk te maken voor alle medewerkers zodat zij het registratieoverzicht kunnen consulteren voordat zij zelf iets registreren;
  • Neem per incident op of de functionaris voor de gegevensbescherming (FG) (indien aanwezig in de organisatie) betrokken is, en zo ja in welke mate;
  • Neem per incident op of het datalek is gemeld bij de AP en bij betrokkenen en motiveer daarbij waarom dat wel of niet is gebeurd;
  • Wees transparant richting de getroffen personen als er een datalek is geweest. Communiceer hier doeltreffend en tijdig over. Bewaar het bewijs van die mededeling en neem deze op in de registratie.
  • Stel een handleiding op of verzorg een training voor de medewerkers die de datalekregistratie invullen. Deze instructie kan onderdeel uitmaken van een gedocumenteerde meldingsprocedure voor de meldplicht datalekken.
  • Leg vast welke andere organisaties betrokken zijn geweest bij een inbreuk (bijvoorbeeld medeverwerkingsverantwoordelijken, verwerkers of sub-verwerkers). Dit is handig als een organisatie nieuwe verwerkersovereenkomsten sluit met de desbetreffende verwerkers.
  • Overweeg datalekken in te delen naar aard, gevolgen en betrokkenen en mogelijke maatregelen;
  • Bespreek de datalekregistratie regelmatig op het juiste niveau binnen de organisatie, als onderdeel van een plan-do-check/learn-act cyclus. Zo kunnen organisaties leren van fouten. De FG kan bij deze besprekingen een actieve rol vervullen.

De AP heeft een handreiking opgesteld om het register en de meldingen te verbeteren.

Taak voor de ondernemingsraad

Het melden van datalekken is bij wet (AVG) verplicht, maar hoe die meldingen in de organisatie gedaan worden is een zaak van de ondernemer zelf. Natuurlijk moet de meldregeling voldoen aan de vereisten uit de wet.
Voor de regeling voor het melden van datalekken is de instemming van de ondernemingsraad nodig (WOR, artikel 27, 1e lid, onderdeel k). De OR kan zelf checken of de meldregeling voldoet aan de vereisten uit de wet en kan daar de handreiking van de AP goed bij gebruiken. Spreek ook met de bestuurder af dat de OR – met regelmaat – een geanonimiseerd overzicht krijgt van de meldingen, zodat de raad weet heeft van aantal en aard van wat er gemeld is.

Wie een datalek niet meldt riskeert een boete

Een organisatie die een datalek ten onrechte niet bij de AP meldt riskeert een boete. Een boete kan ook gegeven worden als een datalek met een hoog risico verzwegen wordt voor de betrokkenen.
In 2018 is de AP bij 298 datalekmeldingen opgetreden bij organisaties die een datalek gemeld hebben. Een deel van deze interventies loopt nog. Volgens de AP leiden deze acties meestal tot een waarschuwing en beëindiging van de overtreding.


Zelf de handreiking van de AP lezen? Klik hier