Privacyjuristen hebben het druk deze maanden. Vanaf 25 mei is de Algemene verordening gegevensbescherming, de AVG, van toepassing op data die herleidbaar zijn naar individuen, persoonsgegevens dus. Denk aan persoonsgegevens van klanten, leveranciers of werknemers; de AVG is op die verwerkingen direct van toepassing.
‘De AVG brengt niet heel veel nieuws,’ relativeert Mark Rövekamp, privacy officer bij documentenspecialist Kyocera. ‘Er verandert eigenlijk weinig, maar aan de eerdere wetgeving voldeden advocaten ook niet altijd. Daar is dus nog werk te doen. De grootste uitdaging zit in het papieren proces. Want hoe ga je voldoen aan bijvoorbeeld het vergeetrecht, als die gegevens in een grote stapel papier in een kast liggen? Daar kleven risico’s aan, omdat het niet controleerbaar is.’
Al is de AVG inhoudelijk misschien niet zo spannend, advocaten krijgen wel te maken met een aantal nieuwe of aangescherpte verplichtingen. Die draaien vooral om bewustwording en gedrag, zegt Eva de Vries, privacy-advocaat bij Deikwijs Advocaten.
Register van verwerkingen
Verwerkingsverantwoordelijken moeten een register bijhouden van welke persoonsgegevens ze verwerken voor welke doeleinden, bepaalt artikel 30 AVG. Bedrijven met minder dan 250 werknemers hoeven hier niet aan te voldoen. Maar wel als de verwerking structureel is of als gevoelige gegevens verwerkt worden.
‘Ik zou beginnen met voldoen aan die documentatieplicht, met bekijken: welke persoonsgegevens verwerken we allemaal,’ zegt De Vries. ‘Die uitzonderingen komen niet zo vaak voor. Verwerkingen van advocatenkantoren zijn bijna allemaal structureel en vaak is er een risico voor betrokkenen. Advocaten hebben niet voor niks een geheimhoudingsplicht. Dat iemand een advocaat heeft ingeschakeld kan in sommige gevallen al gevoelige informatie zijn. Denk ook aan de Wwft: gegevens die verwekt worden bij die check en de resultaten kunnen privacyrisico’s met zich brengen.’ Ook als de uitzondering opgaat, kan het raadzaam zijn in kaart te brengen welke gegevensverwerkingen bestaan binnen het kantoor, zegt De Vries. ‘Dat helpt advocaten om na te denken over databeveiliging en om te voldoen aan andere verplichtingen onder de AVG.’
De DPIA
‘PIA’ noemen privacyjuristen de verplichting uit artikel 35 AVG om een in bepaalde gevallen een data protection impact assessment (of in goed Nederlands: gegevensbeschermingseffectbeoordeling) uit te voeren. Verwerkingsverantwoordelijken moeten dan inschatten welke privacygevolgen kleven aan de verwerkte gegevens.
De DPIA is verplicht als de verwerking een hoger risico voor de betrokkene oplevert. Dat kan bijvoorbeeld het geval zijn bij verwerking op grote schaal van bijzondere persoonsgegevens. Voor de advocatuur valt bij bijzondere persoonsgegevens te denken aan medische gegevens en gegevens die ras, seksuele oriëntatie of lidmaatschap van de vakbond prijsgeven. Ook bij grootschalige verwerkingen met nieuwe technieken is er snel sprake van een hoger risico voor de betrokkene.
Voor eenpitters geldt een uitzondering op de DPIA-verplichting. Uit overweging 91 bij de AVG volgt namelijk dat de verwerking van een individuele advocaat niet gezien kan worden als een verwerking op grote schaal. Eenmanskantoren zouden in theorie daarom geen DPIA hoeven te doen.
‘Ook als een PIA niet verplicht is voor je kantoor, kan dit een handig instrument zijn om je eigen dienstverlening te controleren en zelf te ontdekken wat goed en fout gaat,’ zegt De Vries. ‘Als je toch al bezig bent met de documentatieplicht, kom je vanzelf tegen welke gegevensverwerkingen risicovol zijn en waar eventueel een PIA nodig is.’
De functionaris gegevensbescherming
Nieuw is de verplichting om een functionaris gegevensbescherming aan te stellen (artikel 37). Dit geldt voor bedrijven die op grote schaal betrokkenen observeren of die veel bijzondere of strafrechtelijke persoonsgegevens verwerken.
Als die verwerking een kernactiviteit van een bedrijf is, is de functionaris gegevensbescherming verplicht. Maar ook hier geldt de uitzondering voor eenpitters die volgt uit overweging 91. ‘Of een advocatenkantoor een FG moet aanstellen, hangt dus af van de praktijk en van de omvang van het kantoor,’ zegt De Vries.
Het vergeetrecht
Mensen hebben recht op wissing van hun gegevens, wat nu is vastgelegd in artikel 17 van de AVG. Betrokkenen zoals cliënten, wederpartijen en werknemers, kunnen onder voorwaarden vragen dat een advocatenkantoor persoonsgegevens zonder redelijke vertraging wist. Zo bestaat het vergeetrecht bijvoorbeeld als de persoonsgegevens niet langer nodig zijn, als betrokkenen hun toestemming intrekken, bezwaar maken tegen de verwerking of als de verwerking onrechtmatig is.
Wel kent het artikel belangrijke uitzonderingen voor de advocatuur. Als de verwerking nodig voor instelling, uitoefening of onderbouwing van een rechtsvordering geldt het recht niet. ‘Bovendien kan een betrokkene dit recht niet uitoefenen als een verwerkingsverantwoordelijke wettelijk verplicht is om bepaalde persoonsgegevens te bewaren,’ licht De Vries toe. ‘Verplichtingen uit bijvoorbeeld de Advocatenwet of de Wwft kunnen niet zonder meer opzijgezet worden door dit recht.’
Ook hier speelt analyseren welke gegevens verwerkt worden een rol. ‘Ga na welke gegevens noodzakelijk zijn om wettelijke verplichtingen na te komen,’ adviseert De Vries. ‘Stel vast welke bewaartermijn geldt voor die wettelijke verplichting en stel een bewaarbeleid op.’
Dataportabiliteit
Inzage in de verwerking kon een betrokkene al vragen op grond van de Wbp. De AVG introduceert een uitbreiding: het recht op dataportabiliteit (artikel 20). Betrokkenen kunnen een kopie van de verwerkte persoonsgegevens opvragen. Die moeten betrokkenen in een gestructureerde, gangbare en machine leesbare vorm ontvangen.
Volgens De Vries hoeft dit artikel weinig problemen op te leveren voor de advocatuur. ‘Advocaten hebben al te maken met gedragsregel 28, vroeger 22, waarbij het dossier over moet naar een opvolgend advocaat als de cliënt daarom vraagt. Ook behoren cliënten al afschriften te ontvangen van correspondentie en stukken over hun dossier. Nu kunnen cliënten zich ook op de AVG beroepen. Het resultaat maakt niet veel uit, behalve dat de gegevens “in machine leesbare vorm” worden verstrekt. Je moet dus ook je digitale dossiers op orde hebben.’
Meldplicht datalekken
Als persoonsgegevens zijn vernietigd, verloren zijn gegaan, zijn gewijzigd, verstrekt of toegankelijk zijn gemaakt, is er sprake van een datalek. Een verwerkingsverantwoordelijke moet alle datalekken documenteren. Daarnaast moet de verwerkingsverantwoordelijke binnen 72 uur het datalek melden bij de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is dat het datalek een risico vormt voor de rechten en vrijheden van natuurlijke personen. Een datalek moet daarnaast worden gemeld aan de betrokkenen wanneer dit waarschijnlijk een hoog risico inhoudt voor hun rechten en vrijheden.
Advocatenkantoren moeten alert zijn op deze verplichting. ‘Er zijn nog veel kantoren die onvoldoende beveiligingsmaatregelen nemen, terwijl er vaak gevoelige persoonsgegevens worden verwerkt. Bij een datalek ben je dan al snel verplicht dit te melden. Een datalek kan voor advocaten bovendien tot gevolg hebben dat zij niet kunnen voldoen aan hun geheimhoudingsplicht. Advocatenkantoren moeten ervoor zorgen dat hun medewerkers bewust worden van wat een datalek is en wanneer zij aan de bel moeten trekken.’
Versleuteling is volgens De Vries bijvoorbeeld niet zaligmakend. ‘Stel dat een laptop met versleutelde gezondheidsgegevens verloren gaat en er is geen back-up, dan kan dat toch gevolgen hebben voor de betrokkene. Zij kunnen misschien wel niet meer goed behandeld worden door hun arts. In die gevallen moet het lek toch gemeld worden. Privacy is meer dan alleen beveiliging.’
De NOvA organiseert op woensdag 25 april in de Jaarbeurs Utrecht het innovatieplatform om advocaten te informeren over de AVG.
Twee jaar geleden trad de Algemene verordening gegevensbescherming, de AVG, al in werking. De verordening beoogt de privacywetgeving in Europa te harmoniseren én natuurlijke personen (‘betrokkenen’) meer invloed te geven op de verwerking van hun gegevens. Vanaf 25 mei is de nieuwe privacywetgeving hier ook van toepassing. Uit de belangrijkste beginselen van de AVG, zoals rechtmatigheid, behoorlijkheid, transparantie en juistheid, komen verplichtingen voort voor ‘verwerkingsverantwoordelijken’. Zij moeten kunnen aantonen dat aan de beginselen van de AVG voldaan wordt. Dat levert een aantal concrete verplichtingen op. De belangrijkste voor de advocatuur zijn:
- Het register van verwerkingen
- De meldplicht datalekken
- De functionaris gegevensbescherming
- De gegevensimpactbeoordeling
- Het vergeetrecht
- Het recht op dataportabiliteit
Dit artikel is ook verschenen in Advocatenblad 2018-03. De hele editie is hier te lezen.