De GDPR in de advocatuur 2021

Beschrijving

Auteur: Arne Saerens, Sustronck Olivier, Vansteenkiste Thomas

Type werk: Monografie

Uitgever: Skribis, Gent 2021

Aantal pagina's:

Barcode: GT00010792

ISBN: 9789463969727

Beschikbaar: ja

Uitleeninformatie

Deel van:

Aantal exemplaren: 1

Uitleenbaar: Ja

Plaatskenmerk:

HR 5 SUST 2021

Korte inhoud:

De GDPR is van toepassing op alle verwerkingen die een advocaat uitvoert sinds 25 mei 2018. Hierbij moet ieder kantoor verplicht een privacybeleid voeren en, indien er naar gevraagd wordt, verantwoording kunnen afleggen voor de gemaakte keuzes.
De GDPR is echter geen handleiding die stap voor stap uitlegt welke stappen hierbij genomen moeten worden. Doordat de juridische beroepen enkele unieke karakteristieken hebben, is het ook niet eenvoudig om de oefening te voltooien.
De GDPR in de advocatuur is een praktisch naslagwerk dat stap voor stap gebruikt kan worden bij de implementatie van een privacybeleid in een advocatenkantoor. Het is doorspekt met praktische tips, concrete voorbeelden en modelclausules.
Kopers van het boek krijgen toegang tot een uitgebreid modellenpakket met een tiental documenten die onmiddellijk gebruikt kunnen worden, waaronder een reeds ingevuld verwerkingsregister en modelbrieven om te voldoen aan vragen van betrokkenen.

Inhoudstabel:

WOORD VOORAF. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vii
HOOFDSTUK 1 INLEIDING . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
- Algemene Verordening Gegevensbescherming van
27 april 2016 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
- De Belgische uitvoeringswetten . . . . . . . . . . . . . . . . . . . . . . . 4
- ‘Overige’ privacywetgeving . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
HOOFDSTUK 2 IS DE GDPR VAN TOEPASSING OP ADVOCATENKANTOREN? . . . . . . . . . . . . . . . . . 7

HOOFDSTUK 3 KERNBEGRIPPEN VAN DE GDPR. . . . . . . . . . . 9
1. Wat zijn persoonsgegevens? . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1.1. Definitie van persoonsgegevens . . . . . . . . . . . . . . . . . . . . . . 9
1.2. Uitzonderingen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1.3. Categorieën van persoonsgegevens . . . . . . . . . . . . . . . . . . . 11
1.4. Bijzondere categorieën van persoonsgegevens . . . . . . . . . . 11

2. Wat is verwerken van persoonsgegevens?. . . . . . . . . . . . . . . 13

3. Wie zijn de actoren bij de verwerking? . . . . . . . . . . . . . . . . . 14
3.1. Betrokkene . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
3.2. Verwerkingsverantwoordelijke . . . . . . . . . . . . . . . . . . . . . . 14
3.3. Verwerker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3.4. Sub-verwerker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3.5. Meerdere hoedanigheden . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

4. Is een advocaat een verwerker of een verwerkingsverantwoordelijke? . . . . . . . . . . . . . . . . . . . . . . . 17
4.1. Is een individuele advocaat een verwerker of
verwerkingsverantwoordelijke?. . . . . . . . . . . . . . . . . . . . . . 17
4.2. Speelt de hoedanigheid van natuurlijke of rechtspersoon
van de cliënt van de advocaat of het feit dat de cliënt
beschikt over een rechtsbijstandsverzekering een rol in de
kwalificatie? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
4.3. Is het advocatenkantoor de verwerkingsverantwoordelijke
of iedere advocaat die deel uitmaakt van dit kantoor
afzonderlijk?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

HOOFDSTUK 4 OP WELKE MANIER MOETEN PERSOONSGEGEVENS VERWERKT WORDEN? . . 25
1. Persoonsgegevens moeten steeds op een rechtmatige wijze verwerkt worden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
1.1. Noodzakelijk voor de uitvoering van een overeenkomst . 26
1.2. Noodzakelijk voor de uitvoering van een wettelijke
verplichting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
1.3. Toestemming van de betrokkene . . . . . . . . . . . . . . . . . . . . . 28
1.4. Noodzakelijk om het vitaal belang van een persoon te
beschermen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
1.5. Noodzakelijk voor het vervullen van een taak van
algemeen belang. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
1.6. Gerechtvaardigd belang . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

2. De verwerking moet doelgebonden zijn. . . . . . . . . . . . . . . . 32
3. De persoonsgegevens moeten toereikend en relevant zijn (dataminimalisatie). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4. De persoonsgegevens moeten juist zijn . . . . . . . . . . . . . . . . 34
5. De persoonsgegevens mogen niet langer bewaard worden dan nodig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
6. De persoonsgegevens moeten op een passende manier verwerkt en beveiligd worden . . . . . . . . . . . . . . . . . . . . . . . . . 38

HOOFDSTUK 5 HET OPMAKEN VAN EEN PRIVACYBELEID IN EEN ADVOCATENKANTOOR . . . . . . . . . . . . . . . 39
1. Verantwoordingsplicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
2. Stappenplan voor het opstellen van een privacybeleid. . . 40

HOOFDSTUK 6 WELKE PERSOONSGEGEVENS VERWERKT EEN ADVOCATENKANTOOR?. . . . . . . . . . . . . . . 45
1. Persoonsgegevens die worden verwerkt voor de interne
werking van het kantoor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
2. Persoonsgegevens die worden verwerkt in het kader van
de beroepsactiviteiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

HOOFDSTUK 7 OPMAKEN VAN EEN REGISTER VAN VERWERKINGSACTIVITEITEN . . . . . . . . . . . . . . 51
1. Wat is een register van verwerkingsactiviteiten?. . . . . . . . . 51

2. Hoe maak ik een register van verwerkingsactiviteiten op? 52
2.1. De naam en contactgegevens van de
verwerkingsverantwoordelijke en DPO . . . . . . . . . . . . . . . 54
2.2. Een beschrijving van de verwerkingsdoeleinden . . . . . . . . 55
2.3. Categorie van persoonsgegevens en betrokkenen . . . . . . . 55
2.4. Verantwoording van de verwerkingsgronden . . . . . . . . . . 60
2.5. Oplijsten van de categorieën van ontvangers. . . . . . . . . . . 63
2.6. Doorgifte naar derde landen . . . . . . . . . . . . . . . . . . . . . . . . 64
2.7. De beoogde termijn waarbinnen de verschillende
categorieën van persoonsgegevens worden gewist . . . . . . . 66
2.8. Een algemene beschrijving van de technische en
organisatorische beveiligingsmaatregelen . . . . . . . . . . . . . . 66
2.9. Voorbeelduittreksel uit het register van
verwerkingsactiviteiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

HOOFDSTUK 8 DATA PROTECTION OFFICER (DPO) . . . . . . . 69
1. Wat is een DPO?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
2. Is de aanstelling van een DPO verplicht voor een
advocatenkantoor? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
3. Wat is een grootschalige verwerking? . . . . . . . . . . . . . . . . . . 70
4. Wie kan aangesteld worden als DPO?. . . . . . . . . . . . . . . . . . 72
5. Mag een advocaat de functie van externe DPO uitvoeren? 73
6. Wat zijn de taken van een DPO?. . . . . . . . . . . . . . . . . . . . . . . 74

HOOFDSTUK 9 INFORMATIEPLICHT. . . . . . . . . . . . . . . . . . . . 75
1. Wanneer moet de betrokkene geïnformeerd worden? . . . 76
1.1. De informatie wordt verkregen bij de betrokkene zelf . . . 77
1.2. De informatie wordt niet verkregen bij de betrokkene zelf 79

2. Camera-beleid beveiligingscamera’s . . . . . . . . . . . . . . . . . . . 81
2.1. Administratieve verplichtingen . . . . . . . . . . . . . . . . . . . . . . 82
2.2. Praktische verplichtingen . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
2.3. Camerabewaking op de werkvloer . . . . . . . . . . . . . . . . . . . 85

3. Controle van online communicatiegegevens en opvolging van mailboxen bij afwezigheid . . . . . . . . . . . . . . . . . . . . . . . . 85
3.1. Algemeen principe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
3.2. Controle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
3.3. Opvolging van mailboxen. . . . . . . . . . . . . . . . . . . . . . . . . . . 89

4. Cookies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
4.1. Algemeen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
4.2. Cookiebeleid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

HOOFDSTUK 10 PASSENDE TECHNISCHE EN ORGANISATORISCHE . . . . . . . . . . . . . . . . . . . . . . . 95
1. In kaart brengen van huidige maatregelen en risico’s . . . 96

2. Technische maatregelen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
2.1. Authenticatie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
2.2. Wachtwoordbeheer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
2.3. Meerstapsverificatie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
2.4. Toegangsbeperking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
2.5. Loggen van de activiteiten. . . . . . . . . . . . . . . . . . . . . . . . . . . 103
2.6. Automatische slaapstand . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
2.7. Encryptie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104
2.8. Antivirussoftware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
2.9. Firewall, IDS en IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
2.10. Software updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
2.11. Thuiswerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
2.12. Draadloos netwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
2.13. Draagbare toestellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
2.14. Internet of Things. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
2.15. Back-up . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
2.16. Penetration test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109

3. Organisatorische maatregelen . . . . . . . . . . . . . . . . . . . . . . . . 109
3.1. Opleiding van het personeel en medewerkers rond gebruik
van toestellen en GDPR . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
3.2. Opleiding en awareness-training rond phishing . . . . . . . . 110
3.3. Fysieke veiligheidsmaatregelen in het kantoor. . . . . . . . . . 113

HOOFDSTUK 11 DATALEKKEN . . . . . . . . . . . . . . . . . . . . . . . . . 115
1. Wat is een datalek? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

2. Welke risico’s zijn verbonden aan een datalek? . . . . . . . . . 116

3. Wat te doen bij een datalek? . . . . . . . . . . . . . . . . . . . . . . . . . . 117
3.1. Aanduiden van een SPOC . . . . . . . . . . . . . . . . . . . . . . . . . . 117
3.2. Registreren van het datalek in een intern register van
datalekken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
3.3. Het uitvoeren van een risicoanalyse op het datalek . . . . . 118
3.4. Meldplicht bij de toezichthoudende autoriteit . . . . . . . . . . 120
3.5. Meldplicht aan de betrokkenen zelf . . . . . . . . . . . . . . . . . . 122
4. Datalekken voorkomen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

HOOFDSTUK 12 UITWISSELEN VAN PERSOONSGEGEVENS . . . . . 125
1. Met mede-verwerkingsverantwoordelijken . . . . . . . . . . . . . 125
2. Met verwerkers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
3. Derden-dienstverleners die geen verwerkers zijn . . . . . . . . 131

4. Doorgifte van persoonsgegevens buiten de EER . . . . . . . . 131
4.1. Adequaatheidsbesluit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
4.2. EU-VS Privacy Shield . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
4.3. Modelcontract . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

HOOFDSTUK 13 HOE OMGAAN MET DE RECHTEN VAN BETROKKENEN? . . . . . . . . . . . . . . . . . . . . . . . 135
1. Beschrijving van de verschillende rechten . . . . . . . . . . . . . . 135
1.1. Zijn er beperkingen op de rechten van betrokkenen? . . . . 136
1.2. Is de advocaat verplicht om gehoor te geven aan verzoeken
van betrokkenen? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
1.3. Hoe (snel) moeten deze verzoeken beantwoord worden? 139
1.4. Opmaken van een interne procedure en bewustmaking . 141
1.5. Identificatie van de betrokkene . . . . . . . . . . . . . . . . . . . . . . 141

2. Recht op inzage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144
3. Recht op verbetering (rectificatie) . . . . . . . . . . . . . . . . . . . . . 152
4. Recht op gegevenswissing (recht om vergeten te worden) 153
5. Recht op beperking van de verwerking. . . . . . . . . . . . . . . . . 156
6. Recht op overdraagbaarheid van gegevens
(dataportabiliteit) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158

HOOFDSTUK 14 PRIVACYCOMMISSIE WORDT GEGEVENSBESCHERMINGSAUTORITEIT (GBA) 161
1. Nieuwe naam en structuur . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
2. Van adviesbevoegdheid naar volwaardige toezichthouder 162
2.1. Inspectiedienst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
2.2. Geschillenkamer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
3. Sancties . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163

Paginanummer

De GDPR in de advocatuur 2021

Beschrijving

Uitleeninformatie

Korte inhoud:

Inhoudstabel:

Nieuwe zoekopdracht