Route: Er doet zich een incident voor

Voor iedere route heb je capaciteit en middelen nodig. Beslis dus op tijd over de aard en omvang hiervan.

Als manager ben je altijd verantwoordelijk voor de naleving van de AVG- en andere privacywet en -regelgeving in processen, en de manier waarop je organisatie dat doet (zie basisvoorwaarde 3). Toon daarom met documentatie en registratie aan dat de vereiste tussenstops zijn uitgevoerd en hoe.

De AVG verplicht ook dat je regelmatig de actualiteit van registraties, afgesloten overeenkomsten, risico's, maatregelen en de gemaakte afwegingen controleert. Je voert beheer over deze activiteiten volgens de Plan, Do, Check en Act (PDCA-)cyclus.

Als je de manager bent die de melding van een medewerker ontvangt, dan moet je samen met die betreffende medewerker eerst de mogelijke schade beperken door het incident te stoppen. Meld het vermoeden van een beveiligingsincident zo snel mogelijk bij jouw manager en de ICT Servicedesk. Een van de eerste vragen daarna is: hoe kon dit incident gebeuren? Leg doel en aard van de verwerking zo goed mogelijk uit zodat de experts de aanleiding van het incident zo goed en snel mogelijk kunnen verklaren. Van belang is om alle stappen vanaf het ontdekken van het incident te documenteren. Raadpleeg voor de zekerheid de Gedragsregeling voor de Digitale Werkomgeving.

De risico's bij een incident variëren. Voor de persoon in kwestie kan het negatieve gevolgen hebben zoals uitsluiting, discriminatie, imagoschade of identiteitsfraude. Voor de overheid kunnen de gevolgen van een datalek of incident reiken van imagoafbreuk tot financiële schade en onbruikbare systemen.

Mitigerende maatregelen zijn technische en organisatorische maatregelen die de kans op of impact van een risico of een incident verkleinen. Breng deze maatregelen in kaart om de veiligheid te waarborgen en risico’s voor de betrokkene te beperken (mitigeren). Zo verklein je de kans op, of de impact van de geconstateerde risico’s. Ook vergroot je de kansen op het realiseren van je doelen bij het maken van een integrale afweging.

Vastlegging is hierbij essentieel maar ook het evalueren van het incident en hoe het proces daaromheen is verlopen. Pak de leermomenten daaruit en pas ze toe zodat dit soort incidenten in de toekomst niet meer kunnen voorkomen. Registreer alle afspraken die er met externen en in het eigen team zijn gemaakt en kijk of er aanpassingen nodig zijn in het proces en/of bepaal samen met experts uit verschillende disciplines of er een nieuwe DPIA moet worden gemaakt. Mogelijk moeten systemen of processen worden aangepast, wat kan leiden tot het (opnieuw) opstellen van een DPIA onder het motto van 'better safe than sorry'. Kijk voor het aanpassen van systemen of processen ook naar de routekaarten "Je wijzigt een proces" of "Je wijzigt beleid’’.

Bij het uitvoeren van een DPIA vindt er een systematische, uitgebreide beoordeling plaats om te bepalen of de beoogde verwerking effect heeft op de bescherming van persoonsgegevens en mensenrechten. Daarnaast worden in de DPIA de maatregelen in kaart gebracht die je als manager moet nemen om de (kans op) risico’s te verkleinen die uit de verwerking van de persoonsgegevens voortvloeien. Een DPIA kan het beste vanuit een multidisciplinair team opgesteld worden.

Vraag advies aan een deskundige, zoals een privacy officer of –jurist. Let op: de functietitels kunnen soms verschillen per organisatie. Informeer dus wie voor jou de deskundige is. De privacy governance van de organisatie geeft hier uitleg aan.

De manager is altijd verantwoordelijk voor de naleving van de AVG in processen en kan die ook aantonen, zowel intern als extern. Als manager moet je de naleving van AVG in processen altijd via documentatie en registratie kunnen aantonen.

Intern is de Functionaris Gegevensbescherming de toezichthouder voor de bescherming van persoonsgegevens in processen. Extern is de Autoriteit Persoonsgegevens (AP) de toezichthouder.