Een op de drie jeugdzorginstellingen maakt na datalek geen verbeterplannen

Dit blijkt uit onderzoek van de Autoriteit Persoonsgegevens (AP) naar de afhandeling van datalekken in de jeugdzorgsector. Het doel van dit onderzoek is om aandacht te vragen voor het belang van het zorgvuldig melden en registreren van datalekken, met de nadruk op het leren van eerdere incidenten om de bescherming van persoonsgegevens van jeugdzorgcliënten structureel te verbeteren.

Leren van eerdere incidenten

De AP benadrukt dat jeugdzorginstellingen het bijhouden van het datalekregister niet alleen als een administratieve verplichting moeten zien, maar vooral als een middel om te leren van eerdere incidenten en deze in de toekomst te voorkomen. Het register kan worden gebruikt om de effectiviteit van beveiligingsmaatregelen te beoordelen en verbeteringen door te voeren.

De AP geeft de volgende aanbevelingen:

• Leer van eerdere datalekken: Maak een verbeterplan en neem dit op in de PDCA-cyclus. Analyseer wat er misging en implementeer concrete maatregelen om herhaling te voorkomen.
• Betrek de FG bij de afhandeling van datalekken: Zorg ervoor dat de functionaris gegevensbescherming (FG) vanaf het begin betrokken is bij de afhandeling van datalekken. De FG kan adviseren en het bestuur kan vervolgens beslissen of een datalek gemeld moet worden aan de AP en de slachtoffers.
• Zorg voor transparantie in het datalekregister: Leg duidelijk vast wat er is gebeurd, wat de gevolgen zijn voor de slachtoffers en welke maatregelen zijn genomen. Dit zorgt voor transparantie en helpt bij het evalueren van de risico-inschatting.
• Informeer medewerkers: Zorg ervoor dat medewerkers weten wat een datalek is en hoe ze moeten handelen. Besteed aandacht aan dit thema bij de onboarding van nieuwe medewerkers en organiseer regelmatig trainingen en awareness-campagnes.

Meer informatie over het onderzoek is hier beschikbaar.