Deel 3: inhoud van meldingen en intern register. We gaan uit van melding in Nederland bij de AP; voor grensoverschrijdende situaties schakel je je DPO in.
Melding aan de AP
Het AP-formulier vraagt onder meer naar:
- Oorzaak en aard van het incident
- Categorieën persoonsgegevens en (schatting) aantal betrokkenen
- Mogelijke gevolgen
- Genomen en geplande maatregelen (beperking schade)
- Andere betrokken organisaties, verwerkers, informeren betrokkenen
- Of ook andere toezichthouders zijn gemeld
Is informatie nog niet beschikbaar? Meld wat je weet en dien later een aanvulling in.
Melding aan betrokkenen (minimaal)
- Aard van het datalek
- Contactgegevens DPO of contactpunt
- Waarschijnlijke gevolgen
- Maatregelen die zijn genomen of voorgesteld, inclusief mitigatie
Intern incident- en datalekregister
Elk datalek documenteer je intern — ook zonder meldplicht. Aanbevolen velden:
- Datum/tijd ontdekking en (indien bekend) tijdstip incident
- Beschrijving incident en betrokken systemen
- (Potentiële) gevolgen
- Correctieve en preventieve maatregelen
- Gemeld bij AP? Ja/nee + referentie
- Betrokkenen geïnformeerd? Ja/nee
- DPO geraadpleegd?
- Verwerkers/overige partijen
- Registrant en opmerkingen
Een goed register ondersteunt AP-toezicht, ISO 27001-audits en structurele verbetering. Koppel aan je verwerkersregister waar relevant.