Wat is een gegevenslek en wanneer moet het gemeld worden aan de toezichthoudende autoriteit en/of de betrokkenen?

Artikels 33 en 34 van de AVG verplichten de verwerkingsverantwoordelijke (i.e. het schoolbestuur) om, in bepaalde gevallen, gegevenslekken te melden bij de toezichthoudende autoriteit en/of bij de betrokkenen.

Een gegevenslek houdt in dat bij een beveiligingsincident het niet uitgesloten is dat persoonsgegevens onrechtmatig bekomen of gebruikt werden. Men dient tevens na te gaan dat het incident onder de verantwoordelijkheid van de onderwijsinstelling (het schoolbestuur) valt. Indien het incident zich bij een verwerker van het schoolbestuur (= verwerkingsverantwoordelijke) heeft voorgedaan, dan blijft de verwerkingsverantwoordelijke verantwoordelijk. Indien een ontvanger van persoonsgegevens een incident meldt, ligt de verdere, formele meldplicht bij de ontvanger. 

Als het om veel persoonsgegevens gaat of kan gaan (kwantitief kenmerk; het gaat om gegevens van enkele tientallen betrokkenen) of als het incident gevoelige persoonsgegevens betreft (kwalitatief kenmerk; gevoelige informatie van één betrokkene volstaat) dan dient men in principe een melding te doen bij de toezichthoudende autoriteit(en). Zie dit item voor meer info. Neem, als je in deze situatie verkeert, ook zeker contact op met de DPO van de onderwijskoepel.

Indien de rechten en vrijheden van (een aantal van) de betrokkenen mogelijkerwijs in het gevaar zijn door het gegevenslek, dan moet men tevens die betrokkenen van dit gegevenslek op de hoogte brengen. Dit kan met een gericht bericht (elektronisch of een brief), indien de betrokkenen duidelijk "afgelijnd" en geïdentificeerd zijn, ofwel met een algemeen bezorgd bericht (of een brief aan een hele groep betrokkenen) ofwel via de eigen media (website, Facebookpagina, ...) en/of een persbericht - bij zeer grote gegevenslekken, waarbij meer gerichte communicatie niet praktisch haalbaar is. Als gegevens van minderjarige leerlingen bij het lek betrokken zijn, dan richt men deze mededeling sowieso aan de ouder(s) of voogd. 

Merk op dat de AVG de verwerkingsverantwoordelijke tevens verplicht om een meldpunt datalekken te voorzien (KathOndVla adviseert om hiervoor een privacy@instelling.be-emailadres te gebruiken), alsook interne procedures om personeel te sensibiliseren en te informeren rond hun meldplicht voor beveiligingsincidenten.

(Nagekeken op 15/01/19)