Bewaartermijnen
De advocaat mag de persoonsgegevens van zijn cliënten, werknemers, leveranciers, … niet langer verwerken dan noodzakelijk. Dat moet hij beoordelen in functie van het doel waarvoor hij die persoonsgegevens gebruikt. Het is dus belangrijk om de doeleinden waarvoor persoonsgegevens worden gebruikt, te identificeren.
Auteur
Arthur Ockerman
Bij het bepalen van de bewaartermijn is het nuttig om rekening te houden met wettelijk vastgelegde bewaartermijnen en wettelijke verjaringstermijnen. In de GDPR-verwerkingsfiches, beschikbaar op onze website, namen we voor elk van de verschillende verwerkingsdoeleinden een voorstel op van de relevante bewaartermijnen.
Wat u moet weten
De advocaat mag de persoonsgegevens van zijn cliënten, werknemers, leveranciers, … niet langer verwerken dan noodzakelijk (Artikel 5.1 c) AVG). Dat moet hij beoordelen in functie van het doel waarvoor hij die persoonsgegevens gebruikt. Het is dus belangrijk om de doeleinden waarvoor persoonsgegevens worden gebruikt, te identificeren.
Bij het bepalen van de bewaartermijn is het nuttig om rekening te houden met wettelijk vastgelegde bewaartermijnen (bijv. artikel 2276bis BW, artikel III.86 WER, artikel 60§1 W. BTW en KB van 28 november 1969) en wettelijke verjaringstermijnen (bijv. artikel 2262 en artikel 2262bis BW). De desbetreffende persoonsgegevens kunnen tenminste gedurende die termijnen worden bewaard. De advocaat draagt de bewijslast in geval van een langere bewaartermijn.
Wat u moet doen
U moet (vooraf) bepalen hoelang u de persoonsgegevens zal bewaren. Dat doet u door na te gaan hoelang u de persoonsgegevens nodig heeft, rekening houdende met eventuele wettelijk vastgelegde bewaartermijnen en verjaringstermijnen. We geven u enkele concrete voorbeelden in de FAQ onderaan deze pagina.
Deze bewaartermijnen neemt u op in uw register. Om te verzekeren dat de persoonsgegevens niet langer gebruikt en/of bewaard worden dan noodzakelijk in functie van het beoogde doel, raden we aan om interne maatregelen te nemen die de bewaartermijnen ook daadwerkelijk in de praktijk implementeren, zoals bijvoorbeeld door een data retention policy op te stellen.
Daarnaast raden we aan om een onderscheid te maken tussen persoonsgegevens (of de bestanden waarin ze bewaard worden) in de actieve gebruiksfase en in de passieve gebruiksfase. Bestanden zijn in de actieve gebruiksfase wanneer u ze nog actief gebruikt en nodig heeft. Bestanden die u niet meer actief gebruikt, maar waarvan de bewaartermijn nog niet is verstreken (omwille van administratieve redenen, wettelijke bewaartermijnen, etc.) bevinden zich in de passieve gebruiksfase. Die bestanden kan u, bijvoorbeeld in het kader van een jaarlijkse audit, archiveren. De archivering houdt ten minste in dat de toegang tot de bestanden beperkt wordt.
Tot slot moet u de persoonsgegevens waarvan de bewaartermijn verstreken is, dat wil zeggen waarvoor er geen verwerkingsdoel meer aanwezig is, anonimiseren of vernietigen. U moet ook bewijs voorzien van dat proces.
Praktische richtsnoeren
Er zijn geen specifieke richtsnoeren van de Gegevensbeschermingsautoriteit of het Europees Comité voor Gegevensbescherming over (het bepalen en implementeren van) de bewaartermijnen.
Voor de verwerking van de persoonsgegevens van cliënten is het afsluiten van het dossier veelal het vertrekpunt voor de bewaartermijn. Lees daarover meer bij de FAQ onderaan deze pagina. Om dat vertrekpunt vast te leggen, kan u gebruiken van het volgende model: brief inzake afsluiting dossier.
Per verwerkingsdoeleinde is een ‘verwerkingsfiche’ beschikbaar. Lees daarover meer. Elke verwerkingsfiche bevat een voorstel van de relevante bewaartermijn. U kunt die bewaartermijn overnemen indien die overeenstemt met hoelang u de persoonsgegevens nodig hebt.
Modelbrief voor de afsluiting van een dossier
Kopieer en gebruik onderstaande tekst als modelbrief voor de afsluiting van een dossier. U bepaalt vanzelfsprekend zelf wanneer u een dossier afsluit. U bepaalt ook zelf of u dat uitdrukkelijk, door middel van een actieve handeling doet, dan wel een dossier afgesloten ‘acht’ wanneer bijvoorbeeld de laatste handeling gesteld werd. Dat gezegd zijnde, de persoonsgegevens in dossiers mogen dus niet oneindig bewaard worden.
Geachte heer/mevrouw,
Ik verwijs naar het hierboven vermelde dossier.
Middels dit schrijven informeer ik u dat dit dossier zal worden afgesloten.
Ik zal het dossier, inclusief de daarin opgenomen persoonsgegevens, nog [10 jaar plus een verificatieperiode van 1 jaar] bewaren. Na afloop van deze termijn zal het dossier vernietigd worden tenzij dit dossier in de tussentijd opnieuw relevant is geworden, bijv. voor de behandeling van een nieuw dossier.
Indien u hieromtrent of omtrent de verwerking van uw persoonsgegevens enige vragen heeft, kan u steeds met mij contact opnemen.
Hoogachtend,
[Advocaat]
Frequently Asked Questions
Praktijkvoorbeeld: hoelang mag ik de persoonsgegevens van mijn cliënten bewaren?
De advocaten zijn ontlast van hun beroepsaansprakelijkheid en zijn niet meer verantwoordelijk voor de bewaring van de stukken vijf jaar na het beëindigen van hun taak.
De bewaartermijn van 5 jaar voor de dossiers inzake juridisch advies is afgeleid van art. 2276bis van het Burgerlijk Wetboek. (Deze verjaring is echter niet van toepassing indien de advocaat uitdrukkelijk met het bewaren van bepaalde stukken is belast.) Dat kan worden beschouwd als een minimale ondergrens voor het bewaren van persoonsgegevens.
In het kader van het beheer van uw cliëntendossiers, mag u de persoonsgegevens van uw cliënten echter tot zeker 10 jaar na afsluiten van het dossier bewaren. Gedurende die periode kan de cliënt immers nog een contractuele vordering tegen u instellen. Niet alle contractuele vorderingen van de cliënt tegen de advocaat vallen immers noodzakelijk onder de vijfjarige termijn van artikel [aan te vullen].
De bewaartermijn kan bovendien langer zijn dan 10 jaar indien het gerechtvaardigd is om de persoonsgegevens toch langer bij te houden (bijvoorbeeld omdat het in uw vakgebied reëel is dat een cliënt na 10 jaar terugkomt en u zijn dossier dan terug moet kunnen raadplegen). Indien u jaarlijks een audit doet (zie hierboven), kan u verder nog een verificatieperiode van 1 jaar toevoegen.
Tot slot, in het kader van uw geschillenbeheer, mag u de persoonsgegevens van cliënten met wie u bijvoorbeeld een ereloongeschil heeft, bijhouden tot 5 jaar (plus een verificatieperiode) na afloop van de desbetreffende procedures en/of het verstrijken van de laatste termijn tot hogere voorziening. Ook in dergelijk geval moeten de persoonsgegevens dus niet worden gewist na het verstrijken van de termijn van 10 (+ 1) jaar. Er zijn andere uitzonderlijke hypothesen denkbaar die een langere bewaartermijn verantwoorden.
Hoe zorg ik ervoor dat mijn data tijdig wordt gewist?
Bij wijze van voorbeeld, kan u deze technische maatregelen overwegen:
- automatisch vernietigen
- markeren van data na het verstrijken van de bewaartermijn
- zogenaamde 'sticky policies' (voorwaarden en beperkingen die op elektronische wijze aan de persoonsgegevens gehecht worden en beschrijven hoe die persoonsgegevens moeten worden behandeld);
- data fading (waarbij de persoonsgegevens geleidelijk aan worden geaggregeerd naarmate ze niet langer noodzakelijk zijn)
- bewijs van verwijdering door een log of een audit report
We raden aan om bovengenoemde technische maatregelen te bespreken met uw IT-provider om in detail te kunnen nagaan welke maatregelen praktisch en haalbaar zijn voor de goede werking van uw kantoor.
Op vlak van organisatorische maatregelen, kan u een beleid opmaken met een overzicht van de bewaartermijnen en de omgang met e-waste (zowel oude documenten als apparaten die informatie kunnen bevatten).
Na het implementeren van deze technische en organisatorische maatregelen, is het aangewezen de doeltreffendheid van deze maatregelen ook op gezette tijdstippen te testen, beoordelen en evalueren.
Ook interessant
Beveiliging
Gerelateerd nieuws
Rechtstaat en digitale uitdagingen: een Europese blik vooruit
De rechtstaat staat onder druk. Wat betekent dit fundamentele principe vandaag nog in een Europa dat geconfronteerd wordt met toenemende uitdagingen op het vlak van mensenrechten, toegang tot justitie en technologische regulering? Neem deel aan de studiedag daarover op 23 mei 2025.
Toegang Rijksregister - twee extra velden
Op 23 december 2024 breidde de minister van Binnenlandse Zaken de toegangsrechten van advocaten tot het Rijksregister uit. Dankzij die nieuwe machtiging, die minstens één jaar geldig blijft, kunnen advocaten voortaan twee extra gegevens uit het Rijksregister raadplegen.
Toegang Databank voor de Akten van de Burgerlijke Stand
Sinds 1 januari 2025 is de toegang van advocaten tot de Databank voor de Akten van de Burgerlijke Stand (DABS) ingeperkt. Nieuwe wettelijke bepalingen vereisen een protocol tussen de Ordes en de FOD Justitie, maar ondanks onze inspanningen is dit protocol nog niet opgesteld. Daardoor ondervinden advocaten moeilijkheden bij het verkrijgen van akten van de burgerlijke stand.
Onderzoek naar digitale hulpmiddelen in arbeids- en familierecht: uw input telt!
De Europese Unie wil de toegang tot de rechter verbeteren en de digitalisering van gerechtelijke procedures versterken. Neem 10 minuten de tijd om een vragenlijst in te vullen over het gebruik van digitale tools in arbeids- en familierechtelijke procedures.
Aansturing van de digitale transformatie van Justitie
Samen met Avocats.be namen we vandaag deel aan een hoorzitting in de commissie Justitie naar aanleiding van een kritisch rapport van het Rekenhof over de digitalisering van Justitie. Tijdens deze hoorzitting werd de rol van de advocatuur in de digitale transformatie toegelicht en werden knelpunten en noodzakelijke verbeteringen besproken.
E-facturatie: alles wat u praktisch moet weten
De Wet van 6 februari 2024 voert een verplichte gestructureerde elektronische facturering in tussen Belgische btw-plichtige ondernemingen. Dat moet niet alleen de btw-gegevensstromen tussen bedrijven en de FOD Financiën moderniseren, maar ook leiden tot snellere betalingen, lagere kosten en efficiëntere verwerking van facturen. Wat betekent dit concreet voor uw advocatenkantoor? We beantwoorden uw belangrijkste vragen en helpen u op weg.
Technologie in de advocatuur: AI en Legal Tech in volle evolutie
De juridische sector evolueert snel. Automatisering en slimme software maken advocaten efficiënter, maar roepen ook vragen op over verantwoordelijk gebruik. Om daarop in te spelen, hebben wij samen met Avocats.be AI-richtlijnen opgesteld. Wil u meer weten over deze en andere technologische evoluties? Kom dan op 21 februari naar het congres Technologie en Recht, waar experts en Legal Tech-spelers de impact van digitalisering op de advocatuur bespreken.
Advocaten en het gebruik van Artificiële Intelligentie
Artificiële intelligentie (AI) verovert stormenderhand alle sectoren, ook de juridische wereld. Maar hoe kan u als advocaat AI inzetten zonder in te boeten op vertrouwelijkheid, deontologie en kwaliteit? Samen met Avocats.be hebben we met de commissies Digitalisering en Deontologie hier een duidelijk antwoord op geformuleerd.
Nieuwe machtiging verruimt toegang tot het Rijksregister voor advocaten
Op 23 december 2024 heeft de minister van Binnenlandse Zaken, met machtiging nr. 049/2024, de toegangsrechten van advocaten tot het Rijksregister uitgebreid. Dankzij die nieuwe machtiging, die minimaal één jaar van kracht blijft, kunnen advocaten via DPA twee extra gegevens uit het Rijksregister raadplegen. Deze uitbreiding komt naast de bestaande machtiging nr. 42/2013 van 8 mei 2013.