Onder de AVG moet u alle datalekken zelf documenteren. U moet de feiten, de gevolgen en de genomen corrigerende maatregelen vastleggen. Als het datalek leidt tot een risico voor de rechten en vrijheden van betrokkenen, dan moet u het datalek melden bij de autoriteit persoonsgegevens (AP). Als het datalek waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van de betrokkenen, dan moet u het datalek ook aan de betrokkenen zelf melden. Denk hierbij aan discriminatie of (identiteits-)fraude. Wanneer een datalek geen risico oplevert voor de betrokkenen hoeft het niet aan de AP te worden doorgegeven. Wel dient het incident in het datalekregister te worden opgenomen.

Privacy op School kan u in voorkomende gevallen adviseren wat te doen bij een datalek. Privacy op School kan ook een protocol ‘melden datalekken’ voor u en uw medewerkers opstellen.