De melding moet gebeuren door de verantwoordelijke voor de gegevensverwerking.

Dankzij de melding kan de Autoriteit de impact van het gegevenslek inschatten samen met de verantwoordelijke voor de verwerking van de gelekte gegevens, en kan zij aanbevelingen doen over de wettelijke regels rond gegevensverwerkingen en de beveiliging daarvan. Een bijkomend voordeel van een dergelijke melding is dat ze de verantwoordelijke verplicht om na te denken over hoe hij zijn gegevensverwerking organiseert en beveiligt, nu en in de toekomst.

In alle gevallen wordt de kennisgeving gericht aan de Autoriteit.

Bovendien moet in sommige gevallen een kennisgeving worden verricht aan de betrokken personen, dus de personen van wie de gegevens gelekt zijn.

De verantwoordelijke voor de gegevensverwerking meldt het gegevenslek aan de betrokken personen met communicatiemiddelen die garanderen dat de informatie snel wordt ontvangen. Als het onmogelijk is om de benadeelde personen te identificeren, mag de verantwoordelijke die personen inlichten via de media, hoewel hij blijft proberen om de identiteit van die personen te achterhalen zodat zij hen ook individueel in kennis kan stellen.

De kennisgeving aan de betrokken personen is in duidelijke taal opgesteld en is makkelijk te begrijpen. De Autoriteit beveelt aan om tenminste de hiernavolgende informatie verstrekken:

• naam van de verantwoordelijke voor de gegevensverwerking,
• contactgegevens van een aanspreekpunt waar bijkomende informatie kan worden verkregen,
• samenvatting van het incident dat de persoonsgegevens heeft aangetast,
• vermoedelijke datum van het incident,
• aard en strekking van de betrokken persoonsgegevens,
• denkbare gevolgen van het gegevenslek voor de betrokken personen,
• omstandigheden waaronder het gegevenslek plaatsvond,
• de maatregelen die de verantwoordelijke heeft genomen om dit gegevenslek te verhelpen,
• de maatregelen die de verantwoordelijke aan de betrokken personen aanbeveelt om de mogelijke schade in te perken.

Naast het geval dat de omstandigheden uitwijzen dat het gegevenslek de privacy of persoonsgegevens van de betrokken personen niet zal aantasten, bestaan er twee andere gevallen waarin de verantwoordelijke voor de gegevensverwerking de Autoriteit niet hoeft in te lichten over het gegevenslek:

wanneer de verantwoordelijke heeft aangetoond dat de gegevens geëncrypteerd of op een andere manier beveiligd waren, zodat ze onbegrijpelijk zijn voor de derden die er eventueel in het bezit van zijn. De sleutel om de beveiliging te kraken mag natuurlijk ook niet gelekt zijn;

wanneer de betrokken personen ogenblikkelijk op de hoogte werden gebracht van de volledige omvang en gevolgen van het gegevenslek EN er slechts een beperkte groep personen (ongeveer 100)  getroffen is EN geen gevoelige gegevens (bv. medische gegevens, gegevens over religie, seksuele geaardheid, politieke voorkeur, raciale of etnische oorsprong) of financiële gegevens (bv. de combinatie van iemands naam met zijn rekening- of bankkaartnummer) bij het gegevenslek betrokken zijn.

In geval van twijfel doet de verantwoordelijke toch best een melding bij de Autoriteit.