Blog

Wat betekent de invoering van de AVG voor advocaten?

Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Vanaf die datum verliest de huidige Nederlandse privacywetgeving – de Wet bescherming persoonsgegevens (Wbp) – zijn werking. De hele EU heeft vanaf dat moment dezelfde privacywetgeving. Deze vernieuwde wetgeving zal een aantal veranderingen tot gevolg hebben voor iedereen die persoonsgegevens verwerkt. Met name zal de huidige wetgeving op een aantal punten worden aangescherpt (bijvoorbeeld uitbreiding van het begrip persoonsgegeven en hogere boetes bij niet-naleving).

Omdat advocaten en advocatenkantoren ook werken met persoonsgegevens, zal de komst van de AVG ook gevolgen voor hen hebben. In deze blog zal ik de punten uit de AVG bespreken die het meest relevant zijn voor advocaten en advocatenkantoren.

Meldplicht datalekken

Partijen die werken met persoonsgegevens – dus ook advocaten en advocatenkantoren – hebben onder de AVG de plicht om inbreuken in verband met persoonsgegevens (datalekken) te melden. De meldplicht voor datalekken is niet helemaal een nieuwkomer onder de AVG. Melding van datalekken was al verplicht, maar hier bestond een aparte regeling voor.

Van een datalek is sprake wanneer persoonsgegevens per ongeluk of onrechtmatig zijn vernietigd, verloren zijn gegaan, zijn gewijzigd, zijn verstrekt of toegankelijk zijn gemaakt. Volgens artikel 33 van de AVG moet de verwerkingsverantwoordelijke geconstateerde datalekken melden bij de de toezichthoudende autoriteit (in Nederland de Autoriteit Persoonsgegevens (AP)). Daarnaast dient de verwerkingsverantwoordelijke deze datalekken te documenteren. Datalekken die redelijkerwijs geen risico vormen voor de betrokkenen hoeven niet te worden gemeld, wel dienen deze te worden gedocumenteerd.

Een datalek, waarvoor een meldplicht bestaat, dient in ieder geval binnen 72 uur, nadat het datalek bekend is geworden, te worden gemeld. Indien een advocaat of advocatenkantoor als verwerkingsverantwoordelijke optreedt, dient zij hieraan dus te voldoen.

Indien een advocaat of advocatenkantoor niet handelt als een verwerkingsverantwoordelijke, maar als een verwerker, dan geldt voor haar ook een meldplicht. Zij moet het datalek dan zonder onredelijke vertraging, nadat het datalek bekend is geworden, te melden aan de verwerkingsverantwoordelijke.

In gevallen waarin het datalek een hoog risico vormt voor de betrokkenen dienen ook de getroffen betrokkenen hiervan op de hoogte te worden gesteld (artikel 34 AVG).

Recht om te worden vergeten

Artikel 17 van de AVG omvat het recht op gegevenswissing. Dit recht is ook wel bekend als het recht op vergetelheid, vergeetrecht of recht om te worden vergeten. Onder de voorganger van de AVG (de Wbp) is dit recht veel in de publiciteit gekomen in verband met verzoeken tot het verwijderen van zoekresultaten uit zoekmachines. Dit recht kan echter niet alleen worden ingeroepen tegenover zoekmachines, maar tegenover iedere verwerkingsverantwoordelijke.

Op grond van artikel 17 van de AVG is een verwerkingsverantwoordelijke verplicht persoonsgegevens, zonder onredelijke vertraging, te wissen wanneer:

  1. de persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verwerkt;
  2. de betrokkene de toestemming voor verwerking intrekt, en er geen andere rechtsgrond is voor de verwerking;
  3. de betrokkene bezwaar maakt tegen de verwerking, er er geen gerechtvaardigde gronden zijn voor de verwerking;
  4. de persoonsgegevens onrechtmatig zijn verwerkt;
  5. de persoonsgegevens dienen te worden gewist op basis van een in het Unierecht of lidstatelijke recht neergelegde verplichting; of
  6. de persoonsgegevens zijn verzameld in verband met een aanbod van diensten van de informatiemaatschappij.

Hierop bestaan onder de AVG enkele uitzonderingen, waarvan er voor advocaten en advocatenkantoren in ieder geval één erg relevant is. Betrokkenen hebben namelijk geen recht op gegevenswissing als de verwerking nodig is voor de instelling, uitoefening of onderbouwing van een rechtsvordering. Ook niet als de verwerking onrechtmatig is. Dit kan bijvoorbeeld het geval zijn wanneer bewijs wordt aangeleverd waaruit blijkt dat een bepaald persoon iets heeft gezegd. Advocaten en advocatenkantoren zullen zich in zulke gevallen op deze uitzondering kunnen beroepen.

Functionaris gegevensbescherming

Een Functionaris Gegevensbescherming (FG) is een onafhankelijk deskundig persoon die de verwerkingsverantwoordelijke of de verwerker informeert en adviseert over de omgang met persoonsgegevens.

Onder de AVG (artikel 37) zijn organisaties verplicht om een FG aan te stellen wanneer:

  • op grote schaal persoonsgegevens worden verwerkt;
  • systematische en stelselmatige monitoring van personen plaatsvindt; of
  • hoofdzakelijk grootschalige verwerkingen van bijzondere categorieën persoonsgegevens plaatsvinden.

Het gaat dus, kort gezegd, om organisaties die op grote schaal persoonsgegevens verwerken. Grote advocatenkantoren zullen sneller aan dit vereiste voldoen, dan kleine advocatenkantoren. Dit betekent echter niet dat kleine advocatenkantoren nooit een FG hoeven aan te stellen. Ook kleine kantoren kunnen namelijk te maken krijgen met grote hoeveelheden persoonsgegevens. Overweging 91 van de AVG bepaalt echter dat verwerkingen van persoonsgegevens van cliënten door een individuele advocaat nooit als grootschalig mogen worden beschouwd. Individuele advocaten hoeven dus in ieder geval geen FG aan te stellen.

DPIA

Onder de AVG is een verwerkingsverantwoordelijke in sommige gevallen gehouden om voorafgaand aan een verwerking een data protection impact assessment (in het Nederlands: gegevensbeschermingseffectbeoordeling, kortweg: DPIA) uit te voeren. Een DPIA is een inschatting van de privacygevolgen van een bepaalde verwerking van persoonsgegevens.

Het uitvoeren van een DPIA is verplicht als een verwerking waarschijnlijk een verhoogd risico voor de betrokkene oplevert. Dit kan vooral het geval zijn wanneer sprake is van grootschalige verwerkingen van persoonsgegevens (met name bij gebruik van nieuwe technieken).

In overweging 91 van de AVG zijn (onder meer) de verwerkingen van persoonsgegevens van cliënten door een individuele advocaat vrijgesteld van de verplichting tot het uitvoeren van DPIA’s. Deze vrijstelling geldt echter niet voor advocatenkantoren.

Recht op dataportabiliteit

Onder het huidige recht hebben betrokkenen het recht op inzage in de verwerkingen van hun persoonsgegevens. Dit recht blijft onder de AVG bestaan, maar de AVG introduceert ook een uitbreiding hierop. Namelijk het recht dataportabiliteit (oftewel: overdraagbaarheid van gegevens). Op grond van artikel 20 van de AVG kan de betrokkene een kopie van zijn verwerkte persoonsgegevens opvragen bij de verwerkingsverantwoordelijke. Die kopie moet bruikbaar zijn voor een andere partij. Voormalige cliënten van een advocaat of een advocatenkantoor kunnen dus een kopie van de verwerkte persoonsgegevens eisen, waar een nieuwe advocaat of advocatenkantoor mee kan werken.

De vraag die rijst is: wanneer is een kopie bruikbaar voor een andere partij? Op grond van richtlijnen de Artikel 29-werkgroep (een Europees adviesorgaan dat bestaat uit de nationale privacytoezichthouders) dient de kopie in ieder geval in gestructureerde, gangbare en machinaal leesbare vorm te worden verstrekt. Dit houdt in dat de persoonsgegevens:

  • los van elkaar te verwerken zijn (gestructureerd);
  • dat het formaat bekend is in de betreffende markt (gangbaar); en
  • dat het overnemen van de persoonsgegevens mogelijk is zonder menselijke toekomst (machinaal leesbaar).

Met name de eis van structuur kan voor advocaten en advocatenkantoren nog wel enige problemen opleveren. Processtukken zijn vaak .doc of .pdf documenten. Deze documenten zijn niet gestructureerd, zoals een spreadsheet (.xls) dat bijvoorbeeld wel is.

Bijhouden van een register van verwerkingen

Verwerkingsverantwoordelijken en verwerkers zijn op grond van artikel 30 van de AVG verplicht een register bij te houden van de verwerkingen. In dit register dient bijvoorbeeld te worden bijgehouden welke persoonsgegevens worden verwerkt en voor welke doeleinden.

Deze “registerplicht” geldt echter niet voor ondernemingen met minder dan 250 werknemers in dienst, tenzij:

  • de verwerking risico’s inhoudt voor de betrokkenen;
  • de verwerking niet incidenteel en dus structureel is; of
  • bijzondere of strafrechtelijke persoonsgegevens worden verwerkt.

Of advocaten en advocatenkantoren zo’n register moeten bijhouden, is dus afhankelijk van het soort verwerkingen dat plaatsvindt en de grootte van het advocatenkantoor.

Conclusie

Ook voor advocaten en advocatenkantoren zal de AVG enkele wijzigingen meebrengen.

Individuele advocaten hebben vaak een uitzonderingspositie. Zij zijn vrijgesteld van de verplichting tot het uitvoeren van een DPIA en het aanstellen van een FG.

Voor advocatenkantoren geldt dit niet. Zij kunnen zich slechts beroepen op een uitzonderingspositie met betrekking tot het recht op gegevenswissing. Wanneer de verwerking nodig is voor de instelling, uitoefening of onderbouwing van een rechtsvordering, dan hoeven deze gegevens niet te worden gewist.

Individuele advocaten en advocatenkantoren zullen wel moeten voldoen aan de meldplicht voor datalekken, het recht op dataportabiliteit en in sommige gevallen aan de “registerplicht”.

Adviseer dus niet alleen uw cliënten over de AVG, maar beoordeel ook welke maatregelen binnen de eigen organisatie dienen te worden getroffen.

Gerelateerde berichten