Nieuw wetsontwerp streeft naar taalevenwicht in Brusselse justitiële organen
Schijven waarop erelonen curatoren berekend worden voor vijfde keer verhoogd met 5%
Bewaartermijnen
De advocaat mag de persoonsgegevens van zijn cliënten, werknemers, leveranciers, … niet langer verwerken dan noodzakelijk. Dat moet hij beoordelen in functie van het doel waarvoor hij die persoonsgegevens gebruikt. Het is dus belangrijk om de doeleinden waarvoor persoonsgegevens worden gebruikt, te identificeren.
Bij het bepalen van de bewaartermijn is het nuttig om rekening te houden met wettelijk vastgelegde bewaartermijnen en wettelijke verjaringstermijnen. In onze verwerkingsfiches namen we een voorstel op van de relevante bewaartermijnen.
Wat u moet weten
De advocaat mag de persoonsgegevens van zijn cliënten, werknemers, leveranciers, … niet langer verwerken dan noodzakelijk (Artikel 5.1 c) AVG). Dat moet hij beoordelen in functie van het doel waarvoor hij die persoonsgegevens gebruikt. Het is dus belangrijk om de doeleinden waarvoor persoonsgegevens worden gebruikt, te identificeren.
Bij het bepalen van de bewaartermijn is het nuttig om rekening te houden met wettelijk vastgelegde bewaartermijnen (bijv. artikel 2276bis BW, artikel III.86 WER, artikel 60§1 W. BTW en KB van 28 november 1969) en wettelijke verjaringstermijnen (bijv. artikel 2262 en artikel 2262bis BW). De desbetreffende persoonsgegevens kunnen tenminste gedurende die termijnen worden bewaard. De advocaat draagt de bewijslast in geval van een langere bewaartermijn.
Wat u moet doen
U moet (vooraf) bepalen hoelang u de persoonsgegevens zal bewaren. Dat doet u door na te gaan hoelang u de persoonsgegevens nodig heeft, rekening houdende met eventuele wettelijk vastgelegde bewaartermijnen en verjaringstermijnen. We geven u enkele concrete voorbeelden bij de FAQ onderaan deze pagina.
Deze bewaartermijnen neemt u op in uw register. Om te verzekeren dat de persoonsgegevens niet langer gebruikt en/of bewaard worden dan noodzakelijk in functie van het beoogde doel, raden we aan om interne maatregelen te nemen die de bewaartermijnen ook daadwerkelijk in de praktijk implementeren, zoals bijvoorbeeld door een data retention policy op te stellen. Meer voorbeelden vindt u terug in de FAQ onderaan deze pagina.
Daarnaast raden we aan om een onderscheid te maken tussen persoonsgegevens (of de bestanden waarin ze bewaard worden) in de actieve gebruiksfase en in de passieve gebruiksfase. Bestanden zijn in de actieve gebruiksfase wanneer u ze nog actief gebruikt en nodig heeft. Bestanden die u niet meer actief gebruikt, maar waarvan de bewaartermijn nog niet is verstreken (omwille van administratieve redenen, wettelijke bewaartermijnen, etc.) bevinden zich in de passieve gebruiksfase. Die bestanden kan u, bijvoorbeeld in het kader van een jaarlijkse audit, archiveren. De archivering houdt ten minste in dat de toegang tot de bestanden beperkt wordt.
Tot slot moet u de persoonsgegevens waarvan de bewaartermijn verstreken is, dat wil zeggen waarvoor er geen verwerkingsdoel meer aanwezig is, anonimiseren of vernietigen. U zal ook bewijs moeten voorzien van dat proces.
Praktische richtsnoeren
Er zijn geen specifieke richtsnoeren van de Gegevensbeschermingsautoriteit of het Europees Comité voor Gegevensbescherming over (het bepalen en implementeren van) de bewaartermijnen.
Voor de verwerking van de persoonsgegevens van cliënten is het afsluiten van het dossier veelal het vertrekpunt voor de bewaartermijn. Lees daarover meer bij de FAQ onderaan deze pagina. Om dat vertrekpunt vast te leggen, kan u gebruiken van het volgende model: brief inzake afsluiting dossier.
Per verwerkingsdoeleinde is een ‘verwerkingsfiche’ beschikbaar. Lees daarover meer. Elke verwerkingsfiche bevat een voorstel van de relevante bewaartermijn. U kunt die bewaartermijn overnemen indien die overeenstemt met hoelang u de persoonsgegevens nodig hebt.
Modelbrief voor de afsluiting van een dossier
Kopieer en gebruik onderstaande tekst als modelbrief voor de afsluiting van een dossier.
Geachte heer/mevrouw,
Ik verwijs naar het hierboven vermelde dossier.
Middels dit schrijven informeer ik u dat dit dossier zal worden afgesloten.
Ik zal het dossier, inclusief de daarin opgenomen persoonsgegevens, nog [10 jaar plus een verificatieperiode van 1 jaar] bewaren. Na afloop van deze termijn zal het dossier vernietigd worden tenzij dit dossier in de tussentijd opnieuw relevant is geworden, bijv. voor de behandeling van een nieuw dossier.
Indien u hieromtrent of omtrent de verwerking van uw persoonsgegevens enige vragen heeft, kan u steeds met mij contact opnemen.
Hoogachtend,
[Advocaat]
Frequently Asked Questions
Praktijkvoorbeeld: hoelang mag ik de persoonsgegevens van mijn cliënten bewaren?
De advocaten zijn ontlast van hun beroepsaansprakelijkheid en zijn niet meer verantwoordelijk voor de bewaring van de stukken vijf jaar na het beëindigen van hun taak.
De bewaartermijn van 5 jaar voor de dossiers inzake juridisch advies is afgeleid van art. 2276bis van het Burgerlijk Wetboek. (Deze verjaring is echter niet van toepassing indien de advocaat uitdrukkelijk met het bewaren van bepaalde stukken is belast.) Dat kan worden beschouwd als een minimale ondergrens voor het bewaren van persoonsgegevens.
In het kader van het beheer van uw cliëntendossiers, mag u de persoonsgegevens van uw cliënten echter tot 10 jaar na afsluiten van het dossier bewaren. Gedurende die periode kan de cliënt immers nog een contractuele vordering tegen u instellen.
De bewaartermijn kan bovendien langer zijn dan 10 jaar indien het gerechtvaardigd is om de persoonsgegevens toch langer bij te houden (bijvoorbeeld omdat het in uw vakgebied reëel is dat een cliënt na 10 jaar terugkomt en u zijn dossier dan terug moet kunnen raadplegen). Indien u jaarlijks een audit doet (zie hierboven), kan u verder nog een verificatieperiode van 1 jaar toevoegen.
U bepaalt vanzelfsprekend zelf wanneer u een dossier afsluit. U bepaalt ook zelf of u dat uitdrukkelijk, door middel van een actieve handeling doet, dan wel een dossier afgesloten ‘acht’ wanneer bijvoorbeeld de laatste handeling gesteld werd. Dat gezegd zijnde, kan een dossier (voor doeleinden van de AVG) niet oneindig geopend blijven aangezien dat ook een impact heeft op de bewaartermijn van de persoonsgegevens. Die mogen net niet oneindig bewaard worden.
Het voorgaande betekent niet dat u de persoonsgegevens per definitie moet wissen na het verstrijken van de termijn van 10 (+ 1) jaar. In het kader van uw geschillenbeheer, mag u de persoonsgegevens van cliënten met wie u bijvoorbeeld een ereloongeschil heeft, bijhouden tot 5 jaar (plus een verificatieperiode) na afloop van de desbetreffende procedures en/of het verstrijken van de laatste termijn tot hogere voorziening.
Hoe zorg ik ervoor dat mijn data tijdig wordt gewist?
Bij wijze van voorbeeld, kan u deze technische maatregelen overwegen:
- automatisch vernietigen
- markeren van data na het verstrijken van de bewaartermijn
- zogenaamde 'sticky policies' (voorwaarden en beperkingen die op elektronische wijze aan de persoonsgegevens gehecht worden en beschrijven hoe die persoonsgegevens moeten worden behandeld);
- data fading (waarbij de persoonsgegevens geleidelijk aan worden geaggregeerd naarmate ze niet langer noodzakelijk zijn)
- bewijs van verwijdering door een log of een audit report
We raden aan om bovengenoemde technische maatregelen te bespreken met uw IT-provider om in detail te kunnen nagaan welke maatregelen praktisch en haalbaar zijn voor de goede werking van uw kantoor.
Op vlak van organisatorische maatregelen, kan u een beleid opmaken met een overzicht van de bewaartermijnen en de omgang met e-waste (zowel oude documenten als apparaten die informatie kunnen bevatten).
Na het implementeren van deze technische en organisatorische maatregelen, is het aangewezen de doeltreffendheid van deze maatregelen ook op gezette tijdstippen te testen, beoordelen en evalueren.