Voorzitter op vrijdag: "Inzetten op educatieve communicatie, digitalisering en alternatieve geschillenoplossing, daarin valt nog bijzonder veel te winnen"
Beroep op derde partijen (in landen buiten de EER)
Er zijn twee actoren die betrokken (kunnen) zijn bij de verwerking van persoonsgegevens: de verwerkingsverantwoordelijke en de verwerker.
Arthur Ockerman
Een verwerkingsverantwoordelijke mag enkel beroep doen op verwerkers die afdoende garanties bieden dat zij passende technische en organisatorische maatregelen hebben getroffen om de naleving van de AVG te waarborgen. Een verwerkingsverantwoordelijke en een verwerker moeten desgevallend een verwerkersovereenkomst afsluiten.
Gezamenlijke verwerkingsverantwoordelijken moeten een onderlinge taakverdeling afspreken.
Voor deze twee verplichtingen hebben we een model van verwerkersovereenkomst opgesteld en een model van overeenkomst van onderlinge taakverdeling.
Wat u moet weten
De AVG onderscheidt 2 actoren die betrokken (kunnen) zijn bij de verwerking van persoonsgegevens: de verwerkingsverantwoordelijke (artikel 4.7 AVG) en de verwerker (artikel 4.8 AVG).
De verwerkingsverantwoordelijke beslist alleen of samen met anderen (de ‘gezamenlijke’ verwerkingsverantwoordelijke(n)) het doel en de essentiële middelen van de verwerking, met name waarom persoonsgegevens worden gebruikt en hoe ze worden gebruikt.
De verwerker levert bepaalde diensten of producten aan de verwerkingsverantwoordelijke en krijgt in die hoedanigheid toegang tot persoonsgegevens. De verwerker beslist niet, maar verwerkt de persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke(n).
De (individuele) advocaat / het advocatenkantoor is (quasi) altijd de verwerkingsverantwoordelijke.
De AVG bepaalt in artikel 26 en 28 AVG wat die actoren moeten doen wanneer zij samenwerken voor de verwerking van persoonsgegevens.
Een verwerkingsverantwoordelijke mag enkel beroep doen op verwerkers die afdoende garanties bieden dat zij passende technische en organisatorische maatregelen hebben getroffen om de naleving van de AVG te waarborgen.
Een verwerkingsverantwoordelijke en een verwerker moeten een verwerkersovereenkomst afsluiten die de bepalingen bevat van artikel 28.3 AVG. Deze verwerkersovereenkomst moet worden overeengekomen voordat de verwerking van persoonsgegevens start. Het opnemen van een retroactieve clausule in de overeenkomst verhelpt het ontbreken van het sluiten van overeenkomst voor de start van de verwerking van gegevens niet. Anderzijds vormt het gebrek aan een handtekening geen inbreuk voor zover aangetoond kan worden dat de verwerkersovereenkomst werd uitgevoerd
Gezamenlijke verwerkingsverantwoordelijken moeten een onderlinge taakverdeling afspreken waarin zij afspreken wie welke verplichtingen onder de AVG voor zijn rekening zal nemen.
Wanneer persoonsgegevens worden doorgegeven aan een andere ‘afzonderlijke’ verwerkingsverantwoordelijke (dus met wie u niet samen beslist) moet u geen verdere afspraken maken.
Verder bepaalt hoofdstuk V van de AVG welke waarborgen noodzakelijk zijn indien u samenwerkt met, en/of persoonsgegevens doorgeeft aan, een derde partij die zich buiten de Europese Economische Ruimte (‘EER’) bevindt. Een dergelijke samenwerking/doorgifte is in principe immers pas toegelaten indien de persoonsgegevens in het zogenaamde ‘derde land’ een bescherming genieten die gelijkwaardig is aan de bescherming die ze genieten binnen de EER.
Wanneer de derde partij (dit is de verwerker, de gezamenlijke of de afzonderlijke verwerkingsverantwoordelijke) zich in een derde land bevindt waarvoor de Europese Commissie een adequaatheidsbesluit heeft genomen, en de persoonsgegevens ook daar verwerkt, is geen verdere actie vereist. Een opsomming van deze landen is gepubliceerd op de website van de Europese Commissie.
Voor de verwerking in derde landen waarvoor er geen adequaatheidsbesluit bestaat, heeft de Europese Commissie modelcontractbepalingen gepubliceerd. De modelcontractbepalingen voorzien (1) in algemene clausules die van toepassing zijn op alle vormen van samenwerking/doorgifte en (2) in specifieke bepalingen die van toepassing zijn afhankelijk van de kwalificatie van de partijen. Zo moet module 1 gebruikt wordenindien de derde partij een gezamenlijke of afzonderlijke verwerkingsverantwoordelijke is. Module 2 moet worden gebruikt wanneer de derde partij een verwerker is. De modelcontractbepalingen zijn gepubliceerd bij Commissie Beslissing 2021/914.
Indien gebruik wordt gemaakt van de modelcontractbepalingen is het niet meer noodzakelijk om een verwerkersovereenkomst of onderlinge taakverdeling af te spreken. Het is niet toegelaten om de modelcontractbepalingen te wijzigen. Er mogen wel (commerciële) bepalingen aan toegevoegd worden voor zover die niet in strijd zijn met de modelcontractbepalingen.
Verwerkingsverantwoordelijken en verwerkers die gebruik maken van de modelcontractbepalingen moeten als gevolg van het Schrems II arrest van het Hof van Justitie daarnaast ook nagaan of de wetgeving en praktijken van het derde land de effectiviteit van de modelcontractbepalingen ondermijnen. Die ‘effectbeoordeling’ moeten zij documenteren en desgevallend moeten zij aanvullende maatregelen nemen.
In een aantal specifieke situaties kan beroep worden gedaan op een uitzonderingsgrond in de AVG. Zo zijn er geen adequaatheidsbesluit noch modelcontractbepalingen vereist wanneer de betrokkene, bijv. de cliënt, specifiek toestemming heeft gegeven voor de doorgifte van zijn persoonsgegevens aan een derde partij buiten de EER. Ook wanneer de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst met een betrokkene of voor de instelling, uitoefening of onderbouwing van een (buitenlandse) procedure, is dit een voldoende grondslag. Die uitzonderingsgronden kunnen in principe enkel gebruikt worden voor een incidentele, dat is niet repetitieve, doorgifte van persoonsgegevens.
Wat u moet doen
U moet alle derde partijen identificeren die toegang krijgen tot en/of gebruik maken van de persoonsgegevens van uw personeel, cliënten, …
U moet de locatie van die derde partijen (binnen of buiten de EER) in kaart brengen, evenals waar zij de persoonsgegevens verwerken en aan welke partijen zij op hun beurt de persoonsgegevens doorgeven. Gelet op de eventuele noodzaak van een effectbeoordeling voor de doorgifte naar derde landen, is het aan te raden om een beroep te doen op derde partijen die zich binnen de EER bevinden. Dat geldt in het bijzonder wanneer u een beroep doet op een derde partij die daardoor toegang krijgt tot gevoelige categorieën van persoonsgegevens (in de ruime zin), bijvoorbeeld inhoudelijke gegevens van cliëntendossiers.
U moet vervolgens bepalen welke hoedanigheid u en die derde partijen hebben: verwerker, gezamenlijke verwerkingsverantwoordelijke of afzonderlijke verwerkingsverantwoordelijke. Die hoedanigheid is wisselend in functie van de voorhanden verwerking. Hieronder vindt u een eerste aanzet:
- Verwerkers: leveranciers van software en cloudtoepassingen (bijvoorbeeld Microsoft, Cicero, Mailchimp, …), webhost, IT partner, sociaal secretariaat, …
- Gezamenlijke verwerkingsverantwoordelijken: vervangende advocaat, sociale media platformen, … De samenwerking binnen advocatenassociaties kan ook worden beschouwd als een gezamenlijke verwerking. Dit wordt concreet besproken in een later thema.
- Afzonderlijke verwerkingsverantwoordelijken: boekhouder, wervingskantoor (headhunter), sociale zekerheidsinstanties, verzekeringsmaatschappijen en –makelaars, advocaten van tegenpartijen en niet-particuliere tegenpartijen die optreden zonder raadsman, opvolgende advocaat, gerechtelijke instanties, bank- en financiële instellingen, notarissen, gerechtelijk bewindvoerders, experts, gerechtsdeurwaarders, openbaar ministerie, politionele instanties, stafhouder …
Let op: werknemers, (particuliere) cliënten en (particuliere) tegenpartijen, … zijn geen verwerker of verwerkingsverantwoordelijke.
U moet tot slot de nodige (contractuele) afspraken maken met alle verwerkers en gezamenlijke verwerkingsverantwoordelijken die u heeft geïdentificeerd. Als u gebruik maakt van de modelcontractbepalingen, moet u eveneens een effectbeoordeling doen. Een dergelijke beoordeling vereist de bijstand van een specialist in de materie. Wanneer u een samenwerking aangaat met een nieuwe verwerker, moet u tot slot nagaan dat die verwerker zijn verplichtingen onder de AVG respecteert.
Praktische richtsnoeren Vragenlijst
Maak gebruik van onderstaande vragenlijst bij de keuze voor een (nieuwe) verwerker:
- Is de verwerker gevestigd in een derde land waarvoor een adequaatheidsbesluit geldt?
- Heeft de verwerker robuuste, publiek beschikbare privacy documentatie die u kan bekijken? Indien geen adequaatheidsbesluit voorhanden is, bevat de privacy documentatie van de verwerker informatie over een adequaat beschermingsniveau van persoonsgegevens in het land waar hij gevestigd is?
- Heeft de verwerker bijkomende maatregelen genomen om een adequaat beschermingsniveau te waarborgen?
- Heeft de verwerker verifieerbare privacy certificeringen of betrouwbare kwaliteitsmerken, zoals bijvoorbeeld de ISO-normen?
- Onthult een snelle online zoekactie plausibele bezorgdheden inzake de privacy- en beveiligingspraktijken van de verwerker (bijvoorbeeld een recent datalek)?
- Is er iets met het platform of de dienst van de verwerker dat overdreven ingrijpend is op de privacy van de betrokkenen?
- Heeft de verwerker personeel dat gespecialiseerd is in gegevensbescherming?
- Welk type van persoonsgegevens zal gedeeld worden met, verzameld worden door of toegankelijk gemaakt worden voor de verwerker?
- Wat is de verwerker toegelaten om met de persoonsgegevens te doen?
- Waar zal de verwerker de persoonsgegevens opslaan?
- Hoelang zal de verwerker de persoonsgegevens opslaan en welke processen bestaan er inzake de verwijdering van persoonsgegevens?
- Welke beveiligingsprocessen heeft de verwerker geïmplementeerd?
- Heeft de verwerker een goede ‘privacy by design’ zodat de standaardinstellingen de privacy ten goede komen?
- Heeft de verwerker een respons en herstelplan voor datalekken?
Aanbevelingen van het Europees Comité voor gegevensbescherming
- Europees Comité voor Gegevensbescherming, Aanbevelingen inzake maatregelen ter aanvulling op doorgifte-instrumenten teneinde naleving van het beschermingsniveau van persoonsgegevens in de Unie te waarborgen, 10 november 2020, nr. 1/2020.
- Europees Comité voor Gegevensbescherming, Richtsnoeren inzake afwijkingen op grond van artikel 49 van Verordening 2016/679, 25 mei 2018, nr. 2/2018.
Frequently Asked Questions
Moet u een overeenkomst afsluiten met contractuele afspraken over de GDPR met de rechtbank/curator als u stukken naar hen doorstuurt?
Neen, want de rechtbank/curator is afzonderlijke verwerkingsverantwoordelijke.
In mijn verwerkersovereenkomst staat dat de doorgifte naar de Verenigde Staten veilig is op grond van het Data Privacy Framework. Is dit voldoende om te oordelen dat de partner in de VS een passende bescherming kan aanbieden?
Op 16 juli 2020 heeft het Europees Hof van Justitie, na de Safe Harbour Agreement, ook de EU-VS Privacy Shield ongeldig verklaard (zie het Schrems II arrest). Op 10 juli 2023 heeft de Europese Commissie een nieuw adequaatheidsbesluit aangenomen, het Data Privacy Framework. Op basis van het nieuwe besluit kunnen persoonsgegevens voortaan "veilig" worden doorgegeven vanuit de EER naar zelf-gecertificeerde organisaties in de VS die deelnemen aan het Data Privacy Framework.
De Commissie heeft in het Framework vastgesteld dat de VS overeenkomstig artikel 45 GDPR een passend beschermingsniveau waarborgen voor persoonsgegevens die vanuit de Europese Economische Ruimte worden doorgegeven aan organisaties in de VS die zijn opgenomen in de "Data Privacy Framework List". Amerikaanse ondernemingen die zich aansluiten bij dit Framework (en dus bepaalde acties hebben ondernomen) worden geacht een passend beschermingsniveau te waarborgen voor de verwerking van persoonsgegevens. Als uw advocatenkantoor persoonsgegevens wil doorgeven aan een organisatie in de VS op grond van het Data Privacy Framework is het verplicht om te controleren of deze organisatie in de VS zelf-gecertificeerd is en op de lijst staat.
Ook interessant
Beveiliging
Gerelateerd nieuws
Nu ook een modelovereenkomst en informatieformulieren voor advocaten en cliënten (niet-consumenten)
We introduceren niet alleen een modelovereenkomst tussen de advocaat en de private cliënt (consument), maar ook een modelovereenkomst voor de samenwerking met de cliënt (niet-consument). Daarnaast bieden we u diverse formulieren aan die specifiek zijn ontworpen om te voldoen aan uw informatieverplichtingen.
DPA schakelt versnelling hoger
Advocaten maken steeds meer gebruik van het DPA-platform, het Digital Platform for Attorneys, opgericht door de OVB en Avocats.be. Sinds de oprichting zo’n zes jaar geleden, werd de operationele werking beheerd door een feitelijke onderneming. Door de gestage groei tot een gezonde onderneming, is besloten om van DPA een volwaardige vennootschap te maken waarin beide communautaire ordes en alle Belgische balies aandeelhouder worden. De oprichtingsakte werd op 12 juni tijdens een uitzonderlijke algemene vergadering bekrachtigd.
Toegang tot notariële registers nu mogelijk via DPA
Notariële authentieke bronnen werden geïntegreerd in het DPA-platform. Vanaf nu kunt zo u het Centraal Register van Testamenten (CRT), het Centraal Register van Huwelijksovereenkomsten (CRH), en het Centraal Erfrechtregister (CER) direct raadplegen via de "Authentic Sources"-applicatie op het DPA-platform. Die functie versnelt het opvragen van informatie aanzienlijk, waarbij de tussenkomst van de Federatie van Notarissen niet meer nodig is.
Digitaliseringswetten I, Ibis en II: een digitale bloemlezing
Tijdens de laatste maanden van deze legislatuur heeft de Kamer nog drie wetsontwerpen van de minister van Justitie goedgekeurd die bijdragen tot de digitalisering van de werking van justitie. We geven u een overzicht van de belangrijkste bepalingen die de advocatuur aanbelangen.
Update werking bewindvoering in het Centraal Inschrijvingsregister
Op 18 maart 2024 is het Centraal Inschrijvingsregister voor kandidaat-huurders van sociale woningen van start gegaan. Dat register stelt kandidaten in staat om hun inschrijving online te starten, te bekijken of aan te passen. Zij kunnen evenwel het inschrijvingsdossier niet definitief indienen of bevestigen. Dat kan alleen u als de bewindvoerder of wettelijke vertegenwoordiger. We geven u een update over de werking van het register.
GDPR-wijzer geactualiseerd
De GDPR-wijzer is een volledige toolkit voor u als advocaat over de praktische implementatie van de GDPR. De GDPR is geen statisch document. De interpretatie ervan en de concrete to do’s die daaruit volgen hebben daarom soms nood aan een herziening met een frisse blik. Om die reden zijn er recent tien GDPR-wijzeronderwerpen geüpdatet en is één extra onderwerp toegevoegd. Elk onderwerp bestaat uit een beknopte toelichting, concrete to do’s, praktische modellen en antwoorden op uw veelgestelde vragen.
Talkshow: Efficiënte klantprocessen
In de derde en laatste aflevering van drie talkshows geeft mr. Pieter-Jan Fransen een inspirerende presentatie over de inzet van digitale tools om dienstverleningsprocessen efficiënter te maken door de klant centraal te plaatsen. Denk daarbij aan een digitaal cliëntenportaal en automatische facturering.
Wat weet u over de elektronische handtekening?
We merken dat er bij advocaten vooral vragen rijzen over elektronische handtekeningen. De wetgeving is bijzonder complex en vindt u terug in de eIDAS-verordening en de Wet van 21 juli 2016 tot uitvoering en aanvulling daarvan. Hier leest u alvast de basisinformatie.
E-facturatie, bent u klaar?
Recent is de Wet van 6 februari 2024 tot wijziging van het btw-wetboek en het WIB 1992 wat de invoering van de verplichting tot elektronische facturering betreft goedgekeurd. Concreet heeft deze wet als gevolg dat voor alle transacties tussen Belgische btw-plichtige ondernemingen vanaf 2026 verplicht een elektronische factuur zal moeten opgesteld worden. Ook advocaten zullen dus verplicht een elektronische factuur moeten opstellen wanneer zij b2b factureren.