Artikel 33 van de AVG verplicht elke organisatie om datalekken te melden aan de Autoriteit Persoonsgegevens (AP) binnen 72 uur na het ontdekken. Ditzelfde artikel verplicht je om een register bij te houden van alle beveiligingsincidenten en datalekken die hebben plaats gevonden binnen jouw organisatie. Daarbij verplicht artikel 34 je om de betrokkenen te informeren over het datalek wanneer het waarschijnlijk is dat het datalek resulteert in een hoog risico voor hun privacy.
Privacy Nexus begeleidt je in dit proces van het afhandelen van datalekken. En dat allemaal om je te helpen het datalek te melden binnen die deadline van 72 uur.
Door middel van een beknopte vragenlijst helpt Privacy Nexus je om alle informatie te verzamelen die nodig is om te beoordelen of een incident kwalificeert als datalek en welke vervolgstappen je moet nemen.
In het geval dat je te maken hebt met een datalek, helpt Privacy Nexus je te bepalen wat de impact en scope hiervan is, of de AP ingelicht moet worden en of je de betrokkenen moet informeren.
Door gebruik te maken van de informatie die je hebt verzameld, geeft Privacy Nexus je een manier om alle maatregelen vast te leggen die genomen moeten worden om het incident te sluiten. Dit wordt samengevat in een eenvoudige to-do lijst:
Wanneer alle taken op de 'to do lijst' zijn gemarkeerd als compleet, is het mogelijk het incident te sluiten. Op deze manier geef je aan dat je alles hebt gedaan dat in je macht ligt om het incident te mitigeren en dat je geen verdere acties betreft dit incident zult ondernemen.
Ten slotte, laat een tijdslijn de stappen en maatregelen zien die je hebt genomen met betrekking tot het incident. Dit geeft je ook een duidelijke audit trail wanneer de AP wil zien hoe je een bepaald incident hebt afgehandeld.
