Nieuw formulier moet het melden van datalekken gemakkelijker maken

De Autoriteit Persoonsgegevens heeft onlangs een nieuw formulier voor het melden van datalekken geïntroduceerd. Niels Huijpen (Charco & Dique) licht toe waarin het nieuwe formulier verschilt van het oude.

Hoewel de inhoud van het formulier vrijwel hetzelfde is gebleven, is de ‘look and feel’ behoorlijk veranderd. Ook is de vragenlijst ‘slimmer’ geworden. Het formulier bepaalt op basis van de gegeven antwoorden welke vragen worden getoond, zodat je alleen relevante vragen hoeft te beantwoorden.

Met de komst van het nieuwe formulier is het mogelijk een gemaakte melding in te trekken. Ook kun je nu meerdere gelijksoortige inbreuken tegelijk te melden. Dit laatste wordt een ‘bulkmelding’ genoemd en kan bijvoorbeeld voorkomen bij een grootschalige postverzending. Voorheen moest in zo’n geval van ieder poststuk apart melding gemaakt worden.

Sjabloon

Een andere nieuwe mogelijkheid, is de optie om het formulier tussentijds op te slaan. ‘’Als externe Privacy Officer heb ik regelmatig meldingen moeten maken van datalekken", zegt Nels Huijpen, consultant bij Charco & Dique en externe Privacy Officer bij verschillende organisaties. ‘’Mijn gewoonte was om bepaalde vragen van het meldformulier zo snel mogelijk intern uit te zetten, zodat de melding in één keer gemaakt kon worden. Een dergelijke werkwijze kan voor een organisatie onnodig stress veroorzaken bij een toch al vervelende situatie. De mogelijkheid om de melding tussentijds op te kunnen slaan en later af te maken is dan ook een welkome functionaliteit.’’

Een andere opvallende functionaliteit, waar je als organisatie ver weg van hoopt te blijven, is het sjabloon voor veelvoorkomende datalekken. Dit sjabloon kan ook worden gebruikt voor eenzelfde datalek dat zich in korte tijd meerdere keren voordoet. Huijpen: ‘’Uiteraard is het efficiënter als niet alle delen elke keer opnieuw ingevuld hoeven te worden, maar het gebruik van deze functionaliteit zou wel betekenen dat de ‘internal controls’ van de organisatie niet op orde zijn.’’

Wees voorbereid 

Het moeten melden van een datalek is nooit een leuke taak. Dat de AP zich inspant om de drempel hiertoe te verlagen, is dus alleen maar toe te juichen. Huijpen’s advies: wacht niet met het bekijken van het meldformulier tot een datalek zich voordoet. ‘’Wees voorbereid op eventuele vragen van de AP, want dit levert tijdwinst op in situaties waarin je snel moet reageren op een datalek.’’

‘’Een daarbij een tweede tip: als je het meldformulier van de AP zou ‘reverse-engineeren’, is het een erg goede basis voor de verplichte datalek/incidentenregistratie die je als organisatie dient te hebben. De informatie die je op het meldformulier moet invullen is namelijk dezelfde informatie die je nodig hebt voor deze registratie.’’