In geval van een inbreuk – zij het bij opslag, toegang, mededeling ... – moet de archiefinstelling eerst een inschatting maken van de schade die kan berokkend worden aan de betrokkenen. Indien de rechten en vrijheden van natuurlijke personen risico lopen (kans op identiteitsdiefstal of -fraude, reputatieschade ...) moet binnen de 72 uur de toezichthoudende autoriteit op de hoogte worden gebracht.
Op de website van de Belgische Gegevensbeschermingsautoriteit is daarvoor een online ‘Formulier voor het melden van een gegevenslek’ beschikbaar. Opgelet: instanties van de Vlaamse overheid moeten – eveneens via een meldformulier – gegevenslekken melden aan de Vlaamse Toezichtcommissie voor de verwerking van persoonsgegevens (VTC). Dat is onder meer het geval voor provinciale en gemeentelijke archiefdiensten, net zoals voor ‘instellingen met een publieke taak’ volgens artikel I.3, 6° van het Bestuursdecreet.
Gemeentelijke en gewestelijke instellingen van het Brussels Hoofdstedelijk Gewest moeten zich wel tot de Belgische Gegevensbeschermingsautoriteit wenden. Als er sprake kan zijn van een ‘hoog risico’ voor de rechten en vrijheden van natuurlijke personen, moet de verwerkingsverantwoordelijke de betrokkenen zo snel mogelijk informeren. In het geval van een archiefinstelling is dit natuurlijk een onmogelijke opdracht, aangezien het duizenden persoonsgegevens kan betreffen, afkomstig van betrokkenen van wie bovendien geen contactgegevens bekend zijn. Indien het contacteren van de betrokkenen ‘een onevenredige inspanning zou vergen’, voorziet de AVG art. 34.3.c) in een alternatief: het informeren van de betrokkenen via een openbare mededeling, bv. via de website of een mailinglist.
Inbreuken in verband met persoonsgegevens moeten worden geregistreerd en onderzocht; medewerkers van archiefinstellingen moeten worden gesensibiliseerd en opgeleid om inbreuken te rapporteren en om er passend op te reageren.
Een concreet voorbeeld: wie zijn laptop vergeet op de trein of een USB-stick met documenten met persoonsgegevens verliest, moet dat zo snel mogelijk melden aan de DPO van de organisatie. Na een risicoanalyse adviseert de DPO de directie over welke verdere stappen moeten worden gezet en ziet toe op de registratie van het voorval. Om op mogelijke inbreuken voorbereid te zijn en in dringende gevallen geen tijd te verliezen, werkt een organisatie best vooraf een actieplan uit voor de melding van inbreuken en stelt een lijst van contactpersonen en rollen op.
