Nog geen datalek-protocol in uw organisatie?

Dat wordt dan de hoogste tijd!
Bij een datalek zal de Autoriteit Persoonsgegevens namelijk altijd verlangen dat u kunt bewijzen dat u maatregelen genomen hebt om beveiligingsincidenten te voorkomen, te bestrijden en te mitigeren. Kunt u dat niet, dan handelt u in strijd met de Algemene Verordening Persoonsgegevens (AVG/GDPR) die vanaf 25 mei 2018 geldt. Het meest voor de hand liggend is dat u voor dat bewijs een datalek-protocol opstelt waarin die zaken geregeld zijn.

Dit staat in een datalek-protocol

Dat protocol begint met vast te leggen aan wie en met welke informatie een medewerker zich dient te melden als hij of zij een datalek vermoedt. Natuurlijk moet er dan een functionaris in de organisatie zijn benoemd die deze melding ontvangt en die de bevoegdheid heeft om over de ernst van het vermeende lek te oordelen. In een protocol staat welke functionaris dat is en welke zijn of haar taken en bevoegdheden zijn. Die bevoegdheden zijn nodig om te bepalen of het lek al dan niet gemeld moet worden aan de Autoriteit Persoonsgegevens of, bij een heel groot risico, zelfs ook aan de betrokkene(-n). In het protocol regelt u ook de verantwoordelijkheden en bevoegdheden van degene die IT-security onder zijn hoede heeft. Mag die functionaris bijvoorbeeld het hele systeem plat leggen en zo ja, onder welke omstandigheden en met wiens toestemming. En zo zijn er nog wel een flink aantal zaken die formeel geregeld moeten worden in een datalek-protocol.

Tiental stappen

Zo’n protocol omvat meestal een tiental stappen beginnend met de constatering dat persoonsgegevens zich bevinden op een plek waar ze niet thuishoren. En zo stapsgewijs verder tot en met de jaarlijkse evaluatie die tot verbeteringen leidt. Mijn advies is om niet zelf te proberen “het wiel opnieuw uit te vinden” want dat kost u minstens twee dagen, maar u te laten adviseren door
een deskundige. Die neemt een vragenlijst met u door aan de hand waarvan hij of zij een voor uw organisatie op maat gesneden protocol opstelt. Dat kost u een paar honderd euro maar dan bent u
wel verzekerd van een goede en op de nieuwe wetgeving afgestemde regeling.

Wilt u daar meer over weten? Neem gerust contact op via info@privacycollectief.nl