Skip to main content

Registratie datalekken

De registratie van datalekken gaat nog niet altijd goed zo blijkt uit onderzoek van de AP. De kwaliteit van registers bij overheden zou bijvoorbeeld te wensen overlaten. In dit artikel krijg je diverse adviezen ter verbetering.

Uit een inventarisatie van datalekken in 2018 blijkt dat het in bijna twee derde van de gevallen gaat  om persoonsgegevens die naar een verkeerde ontvanger zijn gestuurd.

Datalekken vooral in de zorg en het openbaar bestuur

De meeste datalekken worden gemeld in de sectoren zorg en welzijn, het openbaar bestuur en de financiële dienstverlening. In 2018 werden bijna 21.000 datalekken gemeld, fors hoger dan de AP had ingeschat.

Ruim een derde van het aantal datalekken bestaat uit onder meer kwijtgeraakte persoonsgegevens, door bijvoorbeeld een verloren of gestolen laptop of usb-stick, of door hacking, phishing of malware. Meestal gaat het om NAW-gegevens, gegevens over geslacht, medische gegevens en het BSN. Gevallen van hacking en phishing blijken vooral vaak voor te komen in de zorg.

Kwaliteit registers loopt enorm uiteen

Volgens de AP loopt bij de onderzochte overheidsorganisaties de kwaliteit van datalekregisters ‘enorm’ uiteen. Van de onderzochte registers bevat volgens de AP ‘slechts 60%’ een complete omschrijving van de verplichte elementen van een datalekmelding (de feiten, de gevolgen en de genomen maatregelen).

In veel gevallen zijn er geen heldere regels om datalekken te registreren. Daardoor is het volgens de AP lastig om structurele fouten aan te pakken.

Adviezen: datalekken beter registreren

Naar aanleiding van het onderzoek heeft de AP adviezen opgesteld om datalekken beter te registreren.

  • Omschrijf incidenten, de gevolgen ervan én de corrigerende maatregelen duidelijk en volledig;
  • Maak expliciet onderscheid tussen corrigerende en preventieve maatregelen. Leg corrigerende maatregelen altijd vast in het datalekregister. Het kan nuttig zijn deze maatregelen mee te nemen in de plan-do-check/learn-act cyclus;
  • Voorkom versnippering van registraties; maak één overzichtelijke registratie die voor elk organisatie-onderdeel tot op hetzelfde inhoudelijke detailniveau wordt ingevuld. Overweeg bijvoorbeeld om de registratie inzichtelijk te maken voor alle medewerkers zodat zij het registratieoverzicht kunnen consulteren voordat zij zelf iets registreren;
  • Neem per incident op of de functionaris voor de gegevensbescherming (FG) betrokken is, en zo ja in welke mate;
  • Neem per incident op of het datalek is gemeld bij de AP en bij betrokkenen en motiveer daarbij waarom dat wel of niet is gebeurd;
  • Wees transparant richting de getroffen personen als er een datalek is geweest. Communiceer hier doeltreffend en tijdig over. Bewaar het bewijs van die mededeling en neem deze op in de registratie.
  • Stel een handleiding op of verzorg een training voor de medewerkers die de datalekregistratie invullen. Deze instructie kan onderdeel uitmaken van een gedocumenteerde meldingsprocedure voor de meldplicht datalekken.
  • Leg vast welke andere organisaties betrokken zijn geweest bij een inbreuk (bijvoorbeeld medeverwerkingsverantwoordelijken, verwerkers of sub-verwerkers). Dit is handig als een organisatie nieuwe verwerkersovereenkomsten sluit met de desbetreffende verwerkers.
  • Overweeg datalekken in te delen naar aard, gevolgen en betrokkenen en mogelijke maatregelen;
  • Bespreek de datalekregistratie regelmatig op het juiste niveau binnen de organisatie, als onderdeel van een plan-do-check/learn-act cyclus. Zo kunnen organisaties leren van fouten. De FG kan bij deze besprekingen een actieve rol vervullen.
Verder lezen bij de bron
IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

Waarom is het lastig om structureel DPIA’s uit te voeren?
Toen de AVG van kracht werd, zijn gemeenten actief aan de slag gegaan om de privacy van hun inwoners te waarborgen, waaronder het uitvoeren van DPIA’s. Ondanks de verplichting en het belang van DPIA’s blijkt dat maar een klein aantal gemeenten deze structureel uitvoert. In deze blog leggen we uit waarom dit zo is en welke uitdagingen gemeenten tegenkomen
Het beheren van verwerkersovereenkomsten
Om ervoor te zorgen dat derde partijen ook de juiste beveiligingsmaatregelen nemen, moet je afspraken maken in een verwerkersovereenkomst. Het is niet genoeg om deze overeenkomst eenmalig af te sluiten; je moet regelmatig controleren of de verwerker zich aan de AVG houdt
Bedrijfscontinuïteit volgens BIO, NIS2, ISO 27001 en NEN 7510
BCM is een belangrijk onderdeel binnen verschillende belangrijke beveiligings- en normstandaarden, zoals de BIO, NIS2, ISO 27001 en NEN 7510.

Meer recente berichten

Het aantal cyberaanvallen op kritieke infrastructuur is in een jaar tijd met 30 procent toegenomen
Verder lezen
Bankmedewerker verkocht persoonsgegevens oudere klanten aan criminelen
Verder lezen
Persoonlijke gegevens van ruim 1000 leerlingen gelekt bij datalek in Amersfoort
Verder lezen
Cyberopslag is een essentieel onderdeel van de gegevensbeveiligingsstrategie
Verder lezen
Let op, gebruik AI chatbot kan leiden tot datalekken
Verder lezen
Rabobank moet gegevens vermeende oplichter met getroffen klant delen
Verder lezen
De mate waarin organisaties zijn voorbereid op een cybercrisis loopt sterk uiteen
Verder lezen
Defensie heeft te weinig inzicht in zwaktes ICT infrastructuur
Verder lezen
AP: kabinet moet wet aanpassen om journalisten bij Kadaster database te laten
Verder lezen
Minister Heinen in gesprek met BKR over verwijderen registraties
Verder lezen