In veel organisaties worden datalekken keurig afgehandeld maar gebeurt er in termen van lean verbeteren maar bar weinig mee. En dat is jammer, een datalek is een kans tot verbeteren.

Wat is een datalek ook alweer?

Niet elk beveiligingsincident hoeft een datalek te zijn. Een aanval van hackers op je website waar geen persoonsgegevens in het geding zijn, is wel een beveiligingsincident, maar nog geen datalek.

Van een datalek is sprake als persoonsgegevens gecompromitteerd zijn geraakt. De AVG heeft het over “inbreuk in verband met persoonsgegevens”.

In de AVG (art. 4.12) is gedefinieerd wanneer er sprake is van een inbreuk in verband met persoonsgegevens. Dat is het geval als ze:

  • Vernietigd zijn
  • Verloren zijn
  • Gewijzigd zijn
  • Verstrekt zijn
  • Toegankelijk zijn geweest

zonder dat de organisatie die de persoonsgegevens verwerkt dit bewust heeft gedaan of hiertoe een wettelijke plicht bestaat.

Kort gezegd: er heeft zich een beveiligingsincident voor gedaan waardoor de persoonsgegevens komen op een plek waar ze niet horen. Maar dat is niet alles: een datalek is een kans tot verbeteren.

 

Met een datalekmelding kun je meer

Veel organisaties hebben een procedure ontwikkeld voor als men een datalek vermoed. De werknemers kunnen deze melden, meestal bij de Functionaris gegevensbescherming. Deze onderzoekt of er sprake is van een datalek en beoordeelt of adviseert of er gemeld moet worden bij de Autoriteit Persoonsgegevens en/of betrokkenen.

Na afloop hiervan wordt het datalek opgenomen in het Register datalekken. En dat is jammer want een datalek is een kans tot verbeten.

 

Implementeer de PDCA-cyclus

De principes die Toyota in de tweede helft van de jaren ’40 hanteerde, zijn door William Edwards Deming in de jaren ’50 beschreven. Zijn beschrijving wordt het ‘Wiel van Deming’ of de PDCA-cyclus genoemd.

De cyclus begint met een P: plan. In deze fase worden plannen gemaakt, doelstellingen vastgelegd in een businessplan, risico’s in kaart gebracht en alle relevante wet- en regelgeving bekeken.

Daarna volgt de uitvoering: Do. Nu worden onder meer structuren, rollen en verantwoordelijkheden bepaald, de trainingsbehoefte in kaart gebracht, de communicatie gestart en procedures en werkinstructies opgesteld.

De volgende stap is de C: het checken van de werkwijze, waarbij het gebruikelijk is om een audit uit te voeren. Er wordt gemonitord hoe de plannen in de praktijk werken en afwijkingen worden gerapporteerd. Die afwijkingen kunnen ertoe leiden dat de procedure wordt aangepast of dat de uitvoerders worden gemaand de beschreven procedure te volgen.

Na deze check begint de cyclus opnieuw: naar aanleiding van de check wordt gehandeld (Act), zodat het proces steeds in kleine stappen wordt verbeterd. De PDCA-cyclus zien we nog steeds terug in kwaliteitsmanagement. Om voor ISO-certificering in aanmerking te komen, is het verplicht om de PDCA-cyclus aantoonbaar te doorlopen.

 

Deze cyclus kun je prima gebruiken bij de datalekmelding.

 

Vraag de medewerkers om verbetersuggesties

 

De datalekmelding eindigt niet met de eventuele melding bij de AP of betrokkene. Dan begint het pas als je de medewerkers vraagt om verbetersuggesties. Hoe kunnen het werkproces aanpassen zodat we de kans op een datelek kunnen verkleinen. Moeten we het proces aanpassen/ Andere tools gebruiken? Autorisaties aanpassen?

 

Implementeer die voorstellen en check vervolgens na een bepaalde periode of we werken en of er nog verdere verbeteringen uitgevoerd kunnen worden.

 

Zo maak je van een datalek een kans tot verbetering!

 

Meer weten over datalekken? Download onze whitepaper of neem contact op

 

 

Gerelateerd