Nieuwe video’s toegevoegd aan het lesmateriaal van Advocaat op School
Voorzitter op vrijdag: "Met onze Belgische zin voor relativering en zelfhumor kunnen wij veel aan. Te veel, soms."
Beroep op derde partijen (in landen buiten de EER)
Er zijn twee actoren die betrokken (kunnen) zijn bij de verwerking van persoonsgegevens: de verwerkingsverantwoordelijke en de verwerker.
Arthur Ockerman
Een verwerkingsverantwoordelijke mag enkel beroep doen op verwerkers die afdoende garanties bieden dat zij passende technische en organisatorische maatregelen hebben getroffen om de naleving van de AVG te waarborgen. Een verwerkingsverantwoordelijke en een verwerker moeten desgevallend een verwerkersovereenkomst afsluiten.
Gezamenlijke verwerkingsverantwoordelijken moeten een onderlinge taakverdeling afspreken.
Voor deze twee verplichtingen hebben we een model van verwerkersovereenkomst opgesteld en een model van overeenkomst van onderlinge taakverdeling.
Wat u moet weten
De AVG onderscheidt 2 actoren die betrokken (kunnen) zijn bij de verwerking van persoonsgegevens: de verwerkingsverantwoordelijke (artikel 4.7 AVG) en de verwerker (artikel 4.8 AVG).
De verwerkingsverantwoordelijke beslist alleen of samen met anderen (de ‘gezamenlijke’ verwerkingsverantwoordelijke(n)) het doel en de essentiële middelen van de verwerking, met name waarom persoonsgegevens worden gebruikt en hoe ze worden gebruikt.
De verwerker levert bepaalde diensten of producten aan de verwerkingsverantwoordelijke en krijgt in die hoedanigheid toegang tot persoonsgegevens. De verwerker beslist niet, maar verwerkt de persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke(n).
De (individuele) advocaat / het advocatenkantoor is (quasi) altijd de verwerkingsverantwoordelijke.
De AVG bepaalt in artikel 26 en 28 AVG wat die actoren moeten doen wanneer zij samenwerken voor de verwerking van persoonsgegevens.
Een verwerkingsverantwoordelijke mag enkel beroep doen op verwerkers die afdoende garanties bieden dat zij passende technische en organisatorische maatregelen hebben getroffen om de naleving van de AVG te waarborgen.
Een verwerkingsverantwoordelijke en een verwerker moeten een verwerkersovereenkomst afsluiten die de bepalingen bevat van artikel 28.3 AVG. Deze verwerkersovereenkomst moet worden overeengekomen voordat de verwerking van persoonsgegevens start. Het opnemen van een retroactieve clausule in de overeenkomst verhelpt het ontbreken van het sluiten van overeenkomst voor de start van de verwerking van gegevens niet. Anderzijds vormt het gebrek aan een handtekening geen inbreuk voor zover aangetoond kan worden dat de verwerkersovereenkomst werd uitgevoerd
Gezamenlijke verwerkingsverantwoordelijken moeten een onderlinge taakverdeling afspreken waarin zij afspreken wie welke verplichtingen onder de AVG voor zijn rekening zal nemen.
Wanneer persoonsgegevens worden doorgegeven aan een andere ‘afzonderlijke’ verwerkingsverantwoordelijke (dus met wie u niet samen beslist) moet u geen verdere afspraken maken.
Verder bepaalt hoofdstuk V van de AVG welke waarborgen noodzakelijk zijn indien u samenwerkt met, en/of persoonsgegevens doorgeeft aan, een derde partij die zich buiten de Europese Economische Ruimte (‘EER’) bevindt. Een dergelijke samenwerking/doorgifte is in principe immers pas toegelaten indien de persoonsgegevens in het zogenaamde ‘derde land’ een bescherming genieten die gelijkwaardig is aan de bescherming die ze genieten binnen de EER.
Wanneer de derde partij (dit is de verwerker, de gezamenlijke of de afzonderlijke verwerkingsverantwoordelijke) zich in een derde land bevindt waarvoor de Europese Commissie een adequaatheidsbesluit heeft genomen, en de persoonsgegevens ook daar verwerkt, is geen verdere actie vereist. Een opsomming van deze landen is gepubliceerd op de website van de Europese Commissie.
Voor de verwerking in derde landen waarvoor er geen adequaatheidsbesluit bestaat, heeft de Europese Commissie modelcontractbepalingen gepubliceerd. De modelcontractbepalingen voorzien (1) in algemene clausules die van toepassing zijn op alle vormen van samenwerking/doorgifte en (2) in specifieke bepalingen die van toepassing zijn afhankelijk van de kwalificatie van de partijen. Zo moet module 1 gebruikt wordenindien de derde partij een gezamenlijke of afzonderlijke verwerkingsverantwoordelijke is. Module 2 moet worden gebruikt wanneer de derde partij een verwerker is. De modelcontractbepalingen zijn gepubliceerd bij Commissie Beslissing 2021/914.
Indien gebruik wordt gemaakt van de modelcontractbepalingen is het niet meer noodzakelijk om een verwerkersovereenkomst of onderlinge taakverdeling af te spreken. Het is niet toegelaten om de modelcontractbepalingen te wijzigen. Er mogen wel (commerciële) bepalingen aan toegevoegd worden voor zover die niet in strijd zijn met de modelcontractbepalingen.
Verwerkingsverantwoordelijken en verwerkers die gebruik maken van de modelcontractbepalingen moeten als gevolg van het Schrems II arrest van het Hof van Justitie daarnaast ook nagaan of de wetgeving en praktijken van het derde land de effectiviteit van de modelcontractbepalingen ondermijnen. Die ‘effectbeoordeling’ moeten zij documenteren en desgevallend moeten zij aanvullende maatregelen nemen.
In een aantal specifieke situaties kan beroep worden gedaan op een uitzonderingsgrond in de AVG. Zo zijn er geen adequaatheidsbesluit noch modelcontractbepalingen vereist wanneer de betrokkene, bijv. de cliënt, specifiek toestemming heeft gegeven voor de doorgifte van zijn persoonsgegevens aan een derde partij buiten de EER. Ook wanneer de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst met een betrokkene of voor de instelling, uitoefening of onderbouwing van een (buitenlandse) procedure, is dit een voldoende grondslag. Die uitzonderingsgronden kunnen in principe enkel gebruikt worden voor een incidentele, dat is niet repetitieve, doorgifte van persoonsgegevens.
Wat u moet doen
U moet alle derde partijen identificeren die toegang krijgen tot en/of gebruik maken van de persoonsgegevens van uw personeel, cliënten, …
U moet de locatie van die derde partijen (binnen of buiten de EER) in kaart brengen, evenals waar zij de persoonsgegevens verwerken en aan welke partijen zij op hun beurt de persoonsgegevens doorgeven. Gelet op de eventuele noodzaak van een effectbeoordeling voor de doorgifte naar derde landen, is het aan te raden om een beroep te doen op derde partijen die zich binnen de EER bevinden. Dat geldt in het bijzonder wanneer u een beroep doet op een derde partij die daardoor toegang krijgt tot gevoelige categorieën van persoonsgegevens (in de ruime zin), bijvoorbeeld inhoudelijke gegevens van cliëntendossiers.
U moet vervolgens bepalen welke hoedanigheid u en die derde partijen hebben: verwerker, gezamenlijke verwerkingsverantwoordelijke of afzonderlijke verwerkingsverantwoordelijke. Die hoedanigheid is wisselend in functie van de voorhanden verwerking. Hieronder vindt u een eerste aanzet:
- Verwerkers: leveranciers van software en cloudtoepassingen (bijvoorbeeld Microsoft, Cicero, Mailchimp, …), webhost, IT partner, sociaal secretariaat, …
- Gezamenlijke verwerkingsverantwoordelijken: vervangende advocaat, sociale media platformen, … De samenwerking binnen advocatenassociaties kan ook worden beschouwd als een gezamenlijke verwerking. Dit wordt concreet besproken in een later thema.
- Afzonderlijke verwerkingsverantwoordelijken: boekhouder, wervingskantoor (headhunter), sociale zekerheidsinstanties, verzekeringsmaatschappijen en –makelaars, advocaten van tegenpartijen en niet-particuliere tegenpartijen die optreden zonder raadsman, opvolgende advocaat, gerechtelijke instanties, bank- en financiële instellingen, notarissen, gerechtelijk bewindvoerders, experts, gerechtsdeurwaarders, openbaar ministerie, politionele instanties, stafhouder …
Let op: werknemers, (particuliere) cliënten en (particuliere) tegenpartijen, … zijn geen verwerker of verwerkingsverantwoordelijke.
U moet tot slot de nodige (contractuele) afspraken maken met alle verwerkers en gezamenlijke verwerkingsverantwoordelijken die u heeft geïdentificeerd. Als u gebruik maakt van de modelcontractbepalingen, moet u eveneens een effectbeoordeling doen. Een dergelijke beoordeling vereist de bijstand van een specialist in de materie. Wanneer u een samenwerking aangaat met een nieuwe verwerker, moet u tot slot nagaan dat die verwerker zijn verplichtingen onder de AVG respecteert.
Praktische richtsnoeren Vragenlijst
Maak gebruik van onderstaande vragenlijst bij de keuze voor een (nieuwe) verwerker:
- Is de verwerker gevestigd in een derde land waarvoor een adequaatheidsbesluit geldt?
- Heeft de verwerker robuuste, publiek beschikbare privacy documentatie die u kan bekijken? Indien geen adequaatheidsbesluit voorhanden is, bevat de privacy documentatie van de verwerker informatie over een adequaat beschermingsniveau van persoonsgegevens in het land waar hij gevestigd is?
- Heeft de verwerker bijkomende maatregelen genomen om een adequaat beschermingsniveau te waarborgen?
- Heeft de verwerker verifieerbare privacy certificeringen of betrouwbare kwaliteitsmerken, zoals bijvoorbeeld de ISO-normen?
- Onthult een snelle online zoekactie plausibele bezorgdheden inzake de privacy- en beveiligingspraktijken van de verwerker (bijvoorbeeld een recent datalek)?
- Is er iets met het platform of de dienst van de verwerker dat overdreven ingrijpend is op de privacy van de betrokkenen?
- Heeft de verwerker personeel dat gespecialiseerd is in gegevensbescherming?
- Welk type van persoonsgegevens zal gedeeld worden met, verzameld worden door of toegankelijk gemaakt worden voor de verwerker?
- Wat is de verwerker toegelaten om met de persoonsgegevens te doen?
- Waar zal de verwerker de persoonsgegevens opslaan?
- Hoelang zal de verwerker de persoonsgegevens opslaan en welke processen bestaan er inzake de verwijdering van persoonsgegevens?
- Welke beveiligingsprocessen heeft de verwerker geïmplementeerd?
- Heeft de verwerker een goede ‘privacy by design’ zodat de standaardinstellingen de privacy ten goede komen?
- Heeft de verwerker een respons en herstelplan voor datalekken?
Aanbevelingen van het Europees Comité voor gegevensbescherming
- Europees Comité voor Gegevensbescherming, Aanbevelingen inzake maatregelen ter aanvulling op doorgifte-instrumenten teneinde naleving van het beschermingsniveau van persoonsgegevens in de Unie te waarborgen, 10 november 2020, nr. 1/2020.
- Europees Comité voor Gegevensbescherming, Richtsnoeren inzake afwijkingen op grond van artikel 49 van Verordening 2016/679, 25 mei 2018, nr. 2/2018.
Frequently Asked Questions
Moet u een overeenkomst afsluiten met contractuele afspraken over de GDPR met de rechtbank/curator als u stukken naar hen doorstuurt?
Neen, want de rechtbank/curator is afzonderlijke verwerkingsverantwoordelijke.
In mijn verwerkersovereenkomst staat dat de doorgifte naar de Verenigde Staten veilig is op grond van het Data Privacy Framework. Is dit voldoende om te oordelen dat de partner in de VS een passende bescherming kan aanbieden?
Op 16 juli 2020 heeft het Europees Hof van Justitie, na de Safe Harbour Agreement, ook de EU-VS Privacy Shield ongeldig verklaard (zie het Schrems II arrest). Op 10 juli 2023 heeft de Europese Commissie een nieuw adequaatheidsbesluit aangenomen, het Data Privacy Framework. Op basis van het nieuwe besluit kunnen persoonsgegevens voortaan "veilig" worden doorgegeven vanuit de EER naar zelf-gecertificeerde organisaties in de VS die deelnemen aan het Data Privacy Framework.
De Commissie heeft in het Framework vastgesteld dat de VS overeenkomstig artikel 45 GDPR een passend beschermingsniveau waarborgen voor persoonsgegevens die vanuit de Europese Economische Ruimte worden doorgegeven aan organisaties in de VS die zijn opgenomen in de "Data Privacy Framework List". Amerikaanse ondernemingen die zich aansluiten bij dit Framework (en dus bepaalde acties hebben ondernomen) worden geacht een passend beschermingsniveau te waarborgen voor de verwerking van persoonsgegevens. Als uw advocatenkantoor persoonsgegevens wil doorgeven aan een organisatie in de VS op grond van het Data Privacy Framework is het verplicht om te controleren of deze organisatie in de VS zelf-gecertificeerd is en op de lijst staat.