Menu

Wat moeten archivarissen doen in geval van een inbreuk in verband met persoonsgegevens?

In de AVG zijn afwijkingen voorzien voor ‘de verdere verwerking met het oog op archivering in het algemeen belang’. Maar ‘archivering in het algemeen belang’ is geen vrijbrief. Uiteraard moeten ook archiefinstellingen op gepaste wijze een antwoord bieden op inbreuken in verband met persoonsgegevens.

31-08-2021 - door Karin Van Honacker

In geval van een inbreuk – zij het bij opslag, toegang, mededeling ... – moet de archiefinstelling eerst een inschatting maken van de schade die kan berokkend worden aan de betrokkenen. Indien de rechten en vrijheden van natuurlijke personen risico lopen (kans op identiteitsdiefstal of -fraude, reputatieschade ...) moet binnen de 72 uur de toezichthoudende autoriteit op de hoogte worden gebracht.

Op de website van de Belgische Gegevensbeschermingsautoriteit is daarvoor een online ‘Formulier voor het melden van een gegevenslek’ beschikbaar. Opgelet: instanties van de Vlaamse overheid moeten – eveneens via een meldformulier – gegevenslekken melden aan de Vlaamse Toezichtcommissie voor de verwerking van persoonsgegevens (VTC). Dat is onder meer het geval voor provinciale en gemeentelijke archiefdiensten, net zoals voor ‘instellingen met een publieke taak’ volgens artikel I.3, 6° van het Bestuursdecreet.

Gemeentelijke en gewestelijke instellingen van het Brussels Hoofdstedelijk Gewest moeten zich wel tot de Belgische Gegevensbeschermingsautoriteit wenden. Als er sprake kan zijn van een ‘hoog risico’ voor de rechten en vrijheden van natuurlijke personen, moet de verwerkingsverantwoordelijke de betrokkenen zo snel mogelijk informeren. In het geval van een archiefinstelling is dit natuurlijk een onmogelijke opdracht, aangezien het duizenden persoonsgegevens kan betreffen, afkomstig van betrokkenen van wie bovendien geen contactgegevens bekend zijn. Indien het contacteren van de betrokkenen ‘een onevenredige inspanning zou vergen’, voorziet de AVG art. 34.3.c) in een alternatief: het informeren van de betrokkenen via een openbare mededeling, bv. via de website of een mailinglist.

Inbreuken in verband met persoonsgegevens moeten worden geregistreerd en onderzocht; medewerkers van archiefinstellingen moeten worden gesensibiliseerd en opgeleid om inbreuken te rapporteren en om er passend op te reageren.

Een concreet voorbeeld: wie zijn laptop vergeet op de trein of een USB-stick met documenten met persoonsgegevens verliest, moet dat zo snel mogelijk melden aan de DPO van de organisatie. Na een risicoanalyse adviseert de DPO de directie over welke verdere stappen moeten worden gezet en ziet toe op de registratie van het voorval. Om op mogelijke inbreuken voorbereid te zijn en in dringende gevallen geen tijd te verliezen, werkt een organisatie best vooraf een actieplan uit voor de melding van inbreuken en stelt een lijst van contactpersonen en rollen op.

Ook interessant

Communicatie & informatie

Content Management (2021) | Print

Jan Van Hee

Bestel

Bestuur & organisatie, Communicatie & informatie, Cultuur & vrije tijd

Handboek vzw's

SCWITCH

Bestel

Communicatie & informatie, Politiek

Lokale verkiezingen winnen zonder opkomstplicht

Reinout Van Zandycke
Pieter De Vocht

Bestel

Recht

Functionaris voor gegevensbescherming - derde editie

Frankie Schram

Bestel

Recht

Reeks Privacy & Persoonsgegevens | Print + Digitaal

Frankie Schram

Bestel

Recht

Motivering van bestuurlijke besluiten en beslissingen | Print + digitaal met abonnement

Frankie Schram

Bestel