Veel organisaties zien een datalek nog steeds als iets wat je vooral wilt voorkomen. En als het toch gebeurt, dan los je het op en ga je weer verder. Dat is begrijpelijk, maar het beeld van de Autoriteit Persoonsgegevens is inmiddels veranderd. Een datalek wordt niet alleen gezien als een fout, maar juist als een moment waarop je kunt laten zien hoe je met privacy omgaat.
Van incident naar structurele verbetering
Volgens de AP hoort een datalek geen losstaand incident te zijn. Het is een aanleiding om je processen kritisch te bekijken en waar nodig aan te passen. Dat betekent dat je na een datalek niet alleen kijkt naar wat er misging, maar ook naar de vraag waarom het misging en hoe je dit in de toekomst voorkomt. De verwachting is dat je:
- vastlegt wat er precies is gebeurd
- analyseert waar het fout ging
- maatregelen neemt om dit te verbeteren
- en controleert of die maatregelen ook daadwerkelijk werken
Op die manier wordt elk datalek onderdeel van een continu leerproces.
De focus ligt op wat je daarna doet
Waar organisaties zich vaak richten op het voorkomen van fouten, kijkt de AP juist steeds meer naar wat je doet nadat er iets is misgegaan. Kun je laten zien dat je ervan hebt geleerd? Heb je je werkwijze aangepast? En zorg je ervoor dat dezelfde fout niet opnieuw gebeurt? Dat zijn vragen die steeds belangrijker worden.
Waarom het hier vaak misgaat
In de praktijk blijkt dat veel organisaties best stappen zetten na een datalek, maar dat dit niet altijd goed wordt vastgelegd of structureel wordt opgevolgd. Er wordt bijvoorbeeld wel een oplossing bedacht, maar die wordt niet gedocumenteerd. Of er wordt een maatregel genomen, maar niet gecontroleerd of deze ook effectief is. Daardoor ontstaat er geen overzicht en kun je achteraf niet goed laten zien wat je hebt gedaan. En juist dat is waar de AP op let.
Aantoonbaarheid wordt steeds belangrijker
Het is niet meer voldoende om te zeggen dat je iets hebt opgelost. Je moet ook kunnen aantonen hoe je dat hebt gedaan en welke keuzes je daarbij hebt gemaakt. Dat vraagt niet om uitgebreide rapporten, maar wel om structuur. Denk aan het bijhouden van een datalekregister, het vastleggen van acties en het periodiek evalueren van je aanpak.
Steeds meer organisaties kiezen er daarom voor om hun aanpak ook breder vast te leggen, bijvoorbeeld in een AVG-verklaring. Binnen AVG-support.nl helpen we je hier actief bij, zodat je niet zelf hoeft uit te zoeken wat je precies moet vastleggen en hoe je dat goed formuleert. Op die manier maak je zichtbaar dat je privacy serieus neemt en actief werkt aan verbetering.
Wat je nu al kunt doen
Het helpt om datalekken anders te gaan bekijken. Niet alleen als iets wat je wilt voorkomen, maar ook als een kans om je organisatie sterker te maken. Begin bijvoorbeeld met:
- het consequent registreren van datalekken
- het bespreken van incidenten binnen je team
- het vastleggen van verbetermaatregelen
- en het regelmatig controleren of deze nog werken
Zo zorg je ervoor dat je niet alleen reageert op incidenten, maar er ook daadwerkelijk van leert.
Probeer AVG-support.nl 30 dagen gratis
Wil je eenvoudig voldoen aan de AVG regels? AVG-support.nl helpt je te doen wat nodig is.
- toets je organisatie en neem noodzakelijke maatregelen
- maak gebruik van alle juridische documenten
- behaal het AVG OK-vignet en laat zien dat je privacy serieus neemt
Ontdek zelf hoe het werkt. Maak een gratis proefaccount aan.
