Gegevensbescherming (AVG)
De Algemene verordening gegevensbescherming (AVG) is per 25 mei 2018 van toepassing. Het is van belang dat u zich bewust bent van de gevolgen van deze Europese privacywetgeving. Het doel van de AVG is het stellen van grenzen aan de verwerking van persoonsgegevens. Daarnaast bepaalt de AVG dat iedereen recht heeft op bescherming van de hem of haar betreffende persoonsgegevens en dat deze gegevens eerlijk moeten worden verwerkt. Dat heeft gevolgen voor advocaten en kantoren die gegevens verwerken.
- Weet u bijvoorbeeld wat u moet doen bij een datalek?
- Hoe registreert u nieuwe cliënten en verwerkt u deze gegevens in uw cliëntenbestand?
- Geeft u bij uw cliënten aan hoe u met hun gegevens omgaat op het gebied van privacy en gegevensbescherming?
- Werkt u samen met derde partijen waarbij persoonsgegevens worden uitgewisseld?
- En wat kunt u doen als de Autoriteit Persoonsgegevens op de stoep staat?
De antwoorden op deze en andere vragen vindt u onder meer in de handige regelhulp en de checklist van de Autoriteit Persoonsgegevens. Daarnaast heeft de Rijksoverheid een handleiding opgesteld. Deze documenten zijn ook geschikt voor gebruik door advocaten(kantoren).
Vertrouwelijke internetcommunicatie
U werkt met vertrouwelijke gegevens. Gegevens die voor derden interessant zijn om op illegale wijze te bemachtigen, wijzigen, verwijderen en/of te verkopen. Als vertrouwelijke informatie van u wordt gestolen kunnen de gevolgen groot zijn. Om te komen tot vertrouwelijke internetcommunicatie en datalekken zoveel mogelijk te voorkomen, heeft de NOvA heeft met hulp van Fox iT een handige flyer met tips voor advocaten samengesteld.
Praktische informatie
In het kader van de AVG biedt de NOvA advocaten de volgende conceptdocumenten die u naar eigen inzicht kunt gebruiken. Deze documenten zijn met zorg samengesteld en worden u aangeboden om naar eigen inzicht te gebruiken. Aan deze documenten of aan het gebruik ervan kunnen geen rechten worden ontleend jegens de NOvA.
Register verwerkingsactiviteiten
Met dit model-register verwerkingsactiviteiten bent u goed in staat om te voldoen aan uw verantwoordingsplicht richting de Autoriteit Persoonsgegevens. Het geeft in één oogopslag overzicht van alle verwerkingen binnen uw kantoor en eventuele derden.
-
Op grond van artikel 30 van de AVG moeten ieder advocatenkantoor een register van gegevensverwerkingen bijhouden. Dit geldt ook voor advocatenkantoren met minder dan 250 werknemers, omdat er sprake zal zijn van niet-incidentele verwerkingen, zoals het bijhouden van de cliënten-, debiteuren- en crediteurenadministratie. De AVG verplicht u aan te tonen dat u persoonsgegevens rechtmatig, transparant, doelgericht en juist verwerkt, én dat u passende technische en organisatorische maatregelen neemt. In het register legt u vast hoe u dit doet, zodat u bij een verzoek van de Autoriteit Persoonsgegevens direct verantwoording kunt afleggen.
Verwerkersovereenkomst
Deze model-verwerkersovereenkomst kunt u hanteren als u gebruikmaakt van een derde partij bij de verwerking van persoonsgegevens voor uw kantoor.
-
Als u een derde inschakelt die namens u persoonsgegevens verwerkt, bijvoorbeeld van cliënten of werknemers, vereist de AVG een verwerkersovereenkomst. U bent samen met deze verwerker verplicht een aantal onderwerpen te bespreken en schriftelijk vast te leggen. Hieronder vallen bijvoorbeeld de aard en doeleinden van de verwerking, het soort persoonsgegevens dat verwerkt wordt, geheimhoudingsplicht, instructies over de verwerking, beveiligingsmaatregelen, het al dan niet inschakelen van subverwerkers, privacyrechten van betrokkenen, audits/controle en het retourneren en/of verwijderen van persoonsgegevens door de verwerker.
Meldingsformulier beveiligingsincident
Het model-meldingsformulier beveiligingsincident maakt inzichtelijk welke informatie nodig is bij een datalek, zowel binnen uw kantoor als bij een ingeschakelde verwerker. Dit formulier bevat alle elementen die u minimaal moet aanleveren volgens een verwerkersovereenkomst. Ook komt deze informatie intern van pas bij het invullen van het register datalekken en het eventueel moeten doen van een melding van een datalek bij de Autoriteit Persoonsgegevens. Het model biedt zo een handige houvast bij een beveiligingsincident en het opvragen van de juiste en relevante informatie.
-
De meldplicht datalekken houdt in dat organisaties, dus ook advocatenkantoren, direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. Soms moet het datalek ook gemeld worden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt, bijvoorbeeld uw cliënten of werknemers van het advocatenkantoor).
Register datalekken
Een model-register datalekken helpt u bij het verzamelen van de juiste documenten waarmee de Autoriteit Persoonsgegevens kan controleren of u als kantoor aan de meldplicht voldoet.
-
Onder de AVG blijft de meldplicht datalekken grotendeels hetzelfde. De AVG stelt wel strengere eisen aan uw eigen registratie van (mogelijke) datalekken die zich in uw kantoor hebben voorgedaan. Deze registratie is zowel intern als extern gericht. U moet alle datalekken documenteren. Een datalek is elke inbreuk op de beveiliging waarbij persoonsgegevens verloren zijn gegaan, ongeoorloofd zijn gewijzigd, verstrekt of ingezien. Ook verlies of diefstal van een usb-stick valt als datalek te kwalificeren, net als het laten liggen van uw dossier in de trein of het versturen van een e-mail met een concept processtuk (waarin persoonsgegevens zijn opgenomen) naar een verkeerd en dus onbevoegd persoon.
Melding datalek
Een melding van een datalek dient door een daartoe bevoegde vertegenwoordiger van uw advocatenkantoor te worden gedaan bij de Autoriteit Persoonsgegevens via het meldloket datalekken. Dit kan uiteraard ook door uzelf worden gedaan in het geval u als advocaat een eigen praktijk uitoefent.
Brief met aanvullende afspraken tussen verwerkingsverantwoordelijken
Deze voorbeeldbrief met aanvullende afspraken onder de AVG kunt u gebruiken wanneer u persoonsgegevens uitwisselt met een andere partij die ook verwerkingsverantwoordelijke is.
-
Als u gebruikmaakt van de diensten van een derde partij die in opdracht en ten behoeve van u persoonsgegevens verwerkt en deze partij net als u als verwerkingsverantwoordelijke kan worden aangemerkt, bent u niet verplicht een verwerkersovereenkomst op te stellen. Dit is bijvoorbeeld het geval als u als arbeidsrechtadvocaat een medisch deskundige opdracht geeft een advies of inhoudelijke beoordeling op te stellen. Of als u als familierechtadvocaat bij een echtscheiding aan een andere advocaat vraagt ter controle een nieuwe alimentatieberekening te maken. In zulke gevallen is de partij aan wie u persoonsgegevens verstrekt in het kader van deze opdracht ook een verwerkingsverantwoordelijke, want diegene bepaalt zelf de doelen en middelen op basis waarvan de verwerking plaatsvindt. Vervolgens stuurt die partij weer persoonsgegevens, eventueel met aanvullingen of aanpassingen, terug aan u voor de verdere behandeling van uw dossier. Het is dan raadzaam om met deze partij aanvullende afspraken te maken over de eenzijdige verstrekking van persoonsgegevens dan wel uitwisseling daarvan.
Handreiking privacystatement
Deze handreiking kunt u gebruiken bij het opstellen van een privacystatement.
-
Met een privacystatement maakt u inzichtelijk dat u uitvoering geeft aan de in de AVG neergelegde informatieplicht aan diegenen van wie u persoonsgegevens verwerkt. Met de publicatie op uw website van uw privacystatement, de verwijzing daarnaar in uw algemene voorwaarden en in uw opdrachtbevestigingen en eventuele andere overeenkomsten, bent u transparant naar uw cliënten en andere derde partijen over hoe en welke persoonsgegevens u verwerkt en hoelang deze worden bewaard.
Innovatieplatform AVG
De NOvA organiseerde op 25 april 2018 een innovatieplatform over de Algemene verordening gegevensbescherming. Ruim 600 advocaten werden bijgepraat door onder anderen IT-journalist Brenno de Winter, hoogleraar Gerrit-Jan Zwenne en Thijs Drouen van de Autoriteit Persoonsgegevens.