Wij hebben een gegevenslek dat we moeten melden aan de toezichthoudende autoriteit. Hoe gaan we te werk?

Zie dit item om na te gaan of het gegevenslek gemeld moet worden of niet.

Eerst en vooral zal men de reikwijdte, zowel wat de gelekte gegevens als de mogelijke betrokkenen betreft, moeten nagaan. Hierbij gaan we a.h.w. steeds uit van een "worst case" scenario, behoudens wanneer men kan aantonen dat bepaalde gegevens zeker niet gelekt zijn of bepaalde (categoriën van) personen niet betrokken kunnen zijn. 

Implementeer, indien mogelijk, zo snel mogelijk de nodige corrigerende maatregelen (bv. het tijdelijk uitschakelen van bepaalde functies of toegangen bij een digitaal lek, het (laten) veranderen van een wachtwoord, enz.).

Neem ook contact op met de DPO van uw onderwijskoepel.

Probeer tijdens dit proces, en in de mate van het mogelijke, bovenstaande "onderzoeken" te documenteren. Deze zullen aangewend worden om de formulieren in te vullen waarmee men een gegevenslek bij de toezichthoudende autoriteit meldt.

Voor (vrij gesubsidieerde) onderwijsinstellingen is de Vlaamse toezichtcommissie de bevoegde autoriteit om gegevenslekken te melden. Indien van toepassing, zullen zij de melding (ook) doorgeven aan de federaal bevoegde Gegevensbeschermingsautoriteit.

Indien er kwaad opzet in het spel is, is het aan te raden om klacht neer te leggen bij de lokale politie. Dit is bv. het geval indien het om een inbraak en/of diefstal gaat. Zij zullen desgevallend, indien het om een digitaal gegevenslek en dus een cybermisdaad gaat, ook de lokale of de arrondissementele "computer crime unit" (LCCU resp. RCCU) inschakelen.

Onderwijsinstellingen moeten uiterlijk binnen 72 uur na kennisname van een gegevenslek, en indien een melding bij de toezichthoudende autoriteit nodig is, deze melding uitvoeren. Indien een melding bij de toezcihthoudende autoriteit niet nodig is, dan documenteert men het incident in een intern logboek voor privacygerelateerde meldingen. KathOndVla voorziet hiervoor een "meldingen" werkblad in het sjabloon voor Register van verwerkingsactiviteiten.

(Nagekeken op 15/01/19)