Elk beveiligingsincident moet gedocumenteerd worden in een incidentenregister, waarbij een analyse moet gemaakt worden van het incident en moet worden bijgehouden welke maatregelen worden genomen om dergelijk incident in de toekomst te vermijden.* Die documentatie stelt de bevoegde autoriteit voor gegevensbescherming in staat de naleving van de meldplicht te controleren.
Het incidentenregister bevat minstens:
- De (vermoedelijke) datum van de inbreuk
- De aard van de inbreuk
- De oorzaak van de inbreuk
- Frequentie van de inbreuk
- Een omschrijving van de mogelijke gevolgen
- Een omschrijving van de maatregelen die werden genomen om dergelijke inbreuk in de toekomst te vermijden
- Een omschrijving van de maatregelen die werden genomen om de nadelige gevolgen van de inbreuk te verminderen
- Deze informatie is opgenomen in tabel 2 van het meldingsformulier beveiligingsincident.
- De opname in een incidentenregister staat los van de eventuele melding aan de bevoegde autoriteit en dient dus ook te gebeuren als zo’n melding niet nodig is, omdat er geen persoonsgegevens werden gecompromitteerd of het onwaarschijnlijk is dat de inbreuk een risico inhoudt voor de rechten van betrokkenen
* Art. 33 5° AVG
Jouw contactpersoon
Sofie Descamps
informatieveiligheidsconsulent, GO!Willebroekkaai 36, 1000 Brussel
Stijn Desomer
functionaris voor gegevensbescherming (DPO), GO!Willebroekkaai 36, 1000 Brussel