Indien de beveiligingsinbreuk heeft geleid tot een onbedoelde of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde verstrekking of ongeoorloofde toegang tot persoonsgegevens is er sprake van een gegevenslek. In dat geval moet, naast de registratie voor intern gebruik, ook een melding gebeuren aan de Vlaamse Toezichtcommissie.

Voor gegevenslekken op het lokale niveau staat de directeur in voor het voorbereiden van de melding aan het VTC door alle informatie waarover hij reeds beschikt in te vullen op het meldingsformulier of de daarvoor ontwikkelde tool.

Hij maakt deze informatie over aan het aanspreekpunt informatieveiligheid van de scholengroep, die nagaat of de informatie zijns inziens volledig is.

De directeur en de personeelsleden van de lokale instelling die weet hebben van de omstandigheden van het gegevenslek houden zich ter beschikking van het aanspreekpunt informatieveiligheid voor het geval deze nog aanvullende informatie nodig heeft, en geven maximale medewerking bij het verzamelen van de informatie en de verdere afhandeling van de procedure.

Het aanspreekpunt informatieveiligheid van de scholengroep maakt de melding over aan de data protection officer, die vervolgens eveneens nagaat of de informatie zijns inziens volledig is.

Het aanspreekpunt informatieveiligheid, de directeur en de personeelsleden van de lokale instelling die weet hebben van de omstandigheden van het gegevenslek houden zich ter beschikking van de data protection officer voor het geval deze nog aanvullende informatie nodig heeft, en geven maximale medewerking bij de verdere afhandeling van de procedure. 

Van zodra de data protection officer van oordeel is dat de nodige informatie voorhanden is, gaat hij over tot het indienen van de melding bij de Vlaamse Toezichtcommissie. Hij geeft het aanspreekpunt informatieveiligheid en de directeur verder ook advies over de afhandeling en opvolging van de voorgenomen remediërende maatregelen en eventuele kennisgeving aan de betrokkenen.

Uitzondering: Wanneer omwille van tijdsgebrek geen nuttig overleg tussen het aanspreekpunt en de centrale diensten meer kan georganiseerd worden dient het aanspreekpunt informatieveiligheid zelf over te gaan tot melding aan de Gegevensbeschermingsautoriteit, opdat de melding binnen de 72 uur na vaststelling van het gegevenslek zou gebeuren. De melding gebeurt per e-mail op het e-mailadres toezichtcommissie@vlaanderen.be en moet als mededeling vermelden, “melden gegevenslek”, gevolgd door naam van de instelling. Hierbij moet aangegeven worden dat het gaat om een voorlopige melding, en dat de ontbrekende informatie zo snel mogelijk zal toegevoegd worden. 

Voor gegevenslekken op het niveau van een scholengroep staat het aanspreekpunt informatieveiligheid in voor het voorbereiden van de melding aan het VTC door alle informatie waarover hij reeds beschikt in te vullen op het meldingsformulier of de daarvoor ontwikkelde tool.

De personeelsleden van de scholengroep die weet hebben van de omstandigheden van het gegevenslek houden zich ter beschikking van het aanspreekpunt informatieveiligheid voor het geval deze aanvullende informatie nodig heeft, en geven maximale medewerking bij het verzamelen van de

informatie en de verdere afhandeling van de procedure.

Het aanspreekpunt informatieveiligheid van de scholengroep maakt de melding over aan de data protection officer, die vervolgens nagaat of de informatie zijns inziens volledig is.

Het aanspreekpunt informatieveiligheid en de personeelsleden van de scholengroep die weet hebben van de omstandigheden van het gegevenslek houden zich ter beschikking van de data protection officer voor het geval deze nog aanvullende informatie nodig heeft, en geven maximale medewerking

bij de verdere afhandeling van de procedure.

Van zodra de data protection officer van oordeel is dat de nodige informatie voorhanden is gaat hij over tot het indienen van de melding bij de Vlaamse Toezichtcommissie. Hij geeft het aanspreekpunt informatieveiligheid verder ook advies over de afhandeling en opvolging van de voorgenomen remediërende maatregelen en eventuele kennisgeving aan de betrokkenen.

Uitzondering: Wanneer omwille van tijdsgebrek geen nuttig overleg tussen het aanspreekpunt en de centrale diensten meer kan georganiseerd worden dient het aanspreekpunt informatieveiligheid zelf over te gaan tot melding aan de Gegevensbeschermingsautoriteit, opdat de melding binnen de 72 uur na vaststelling van het gegevenslek zou gebeuren. De melding gebeurt per e-mail op het e-mailadres toezichtcommissie@vlaanderen.be en moet als mededeling vermelden, “melden gegevenslek”, gevolgd door nummer en naam van de scholengroep. Hierbij moet aangegeven worden dat het gaat om een voorlopige melding, en dat de ontbrekende informatie zo snel mogelijk zal toegevoegd worden.

Het personeelslid van de centrale diensten dat een gegevenslek vaststelt, of erop gewezen wordt, dient dat te melden aan zijn afdelingshoofd en aan de DPO. Dit gebeurt via de knop ‘Meldpunt’ op de homepagina.

De personeelsleden die weet hebben van de omstandigheden van het gegevenslek houden zich ter beschikking van de DPO en afdeling IT voor het geval deze aanvullende informatie nodig heeft, en geven maximale medewerking bij het verzamelen van de informatie en de verdere afhandeling van de procedure.