Nieuw in Privacy Nexus: de incidenten en datalekken module!
Organisaties slaan praktisch al hun gegevens digitaal op. Het is dan ook niet langer de vraag óf er een datalek zal plaatsvinden, maar wannéér. Je hebt een datalek wanneer je databestanden worden gehackt of als je onbedoeld toegang geeft tot deze bestanden. Onder de Algemene Verordening Gegevensbescherming (AVG of GDPR) moet elk datalek binnen een organisatie worden gedocumenteerd, zodat de Autoriteit Persoonsgegevens (AP) kan controleren of aan de meldplicht is voldaan. Het documenteren van datalekken is daarom ontzettend belangrijk. Maar hoe verzamel en kwalificeer je de informatie rondom een datalek? Hoe handel je deze efficient af? En hoe zorg je ervoor dat je deze netjes afsluit?
In Privacy Nexus kun je nu gebruik maken van de nieuwe incidenten en datalekken module, speciaal ontworpen voor privacy en security professionals die hier in de dagelijkse praktijk mee te maken hebben. Met de module kun je makkelijk en snel voldoen aan de strengere eisen die worden gesteld aan de registratie van de datalekken in een organisatie. En met behulp van onze manier van registreren, kun je eenvoudig je datalekken door de AP laten controleren, om zo te laten zien dat jij aan de meldplicht datalekken voldoet. Hiermee helpt Privacy Nexus om nog een essentiële taak binnen de scope van je privacy management uit te voeren.
In drie simpele stappen begeleidt Privacy Nexus je in het proces van informatieverzameling over het incident, het kwalificeren als datalek of beveilingsincident en het afhandelen van de uitkomst hiervan. En dat allemaal om je te helpen het datalek te melden binnen die deadline van 72 uur.
1. Verzamelen en kwalificeren van informatie
Met behulp van een beknopte vragenlijst helpt Privacy Nexus je alle informatie te verzamelen die nodig is om goed te kunnen beoordelen of het beveiligingsincident daadwerkelijk een datalek is.
Wanneer je inderdaad te maken hebt met een datalek, stelt Privacy Nexus wat aanvullende vragen om de impact en scope van het datalek te beoordelen. Deze vragen helpen je de benodigde gegevens te verzamelen om vast te stellen óf en wat je aan de Autoriteit Persoonsgegevens (AP) moet melden en of je de betrokkenen moet informeren.
2. Afhandelen
Op basis van de informatie uit stap 1, helpt Privacy Nexus je om het incident af te handelen, en is het mogelijk om je voortgang wat betreft deze maatregelen vast te leggen. Deze maatregelen zijn:
- Inlichten van de AP (indien van toepassing)
- Informeren van betrokkenen (indien van toepassing)
- Toepassen van technische maatregelen in relatie tot het incident
- Toepassen van organisatorische maatregelen in relatie tot het incident
Al deze acties worden weergegeven in een to-do lijst en worden bijgehouden op een tijdlijn die de voortgang laat zien tijdens de afhandeling van het datalek. Dit geeft je ook een duidelijke audit trail mocht de AP willen weten hoe je een bepaald incident hebt afgehandeld.
3. Sluiten
Wanneer elke stap als voltooid is gemarkeerd kan het incident gesloten worden. Dit geeft aan dat je alles hebt gedaan wat in je vermogen lag om het incident af te handelen, en dat je geen verdere actie zult ondernemen naar aanleiding van dit incident.
Met deze nieuwe module van Privacy Nexus bieden we je ondersteuning bij het proces van registreren van incidenten en datalekken. Door de module juist te gebruiken, voldoe je aan de eisen van de artikelen 33 en 34 van de AVG. En dat betekent weer een stapje dichter bij AVG compliance voor jouw organisatie!