Wat is een datalek- of incidentenregister en wat moet er in staan?

Het is verplicht een register te hebben waarin de voorgevallen beveiligingsincidenten en datalekken zijn opgenomen. Dit noemen we een datalekken- en incidentenregister. Hierin staat de aard van de situatie, op welke manier het is afgehandeld en het registratienummer van de melding bij de Autoriteit Persoonsgegevens.

Daarnaast wordt aangeraden om in het register ook de overweging vast te leggen die gemaakt is bij de beslissing om een inbreuk wel of niet te melden (overleg hierover altijd met de FG!). Met name als een datalek niet wordt gemeld, is het voor de toezichthouder belangrijk om te kunnen nagaan wat de argumenten zijn geweest voor het oordeel dat het datalek geen risico inhield voor de rechten en vrijheden van de betrokkenen.

Bespreek de datalekregistratie regelmatig binnen de organisatie als onderdeel van een plan-do-check/learn-act cyclus (zie ook blok over PDCA-cyclus). Zo kan de organisatie leren van fouten.

Zie ook onze template voor het incidentenregister.