Nieuwe video’s toegevoegd aan het lesmateriaal van Advocaat op School
Voorzitter op vrijdag: "Met onze Belgische zin voor relativering en zelfhumor kunnen wij veel aan. Te veel, soms."
Bewaartermijnen
De advocaat mag de persoonsgegevens van zijn cliënten, werknemers, leveranciers, … niet langer verwerken dan noodzakelijk. Dat moet hij beoordelen in functie van het doel waarvoor hij die persoonsgegevens gebruikt. Het is dus belangrijk om de doeleinden waarvoor persoonsgegevens worden gebruikt, te identificeren.
Bij het bepalen van de bewaartermijn is het nuttig om rekening te houden met wettelijk vastgelegde bewaartermijnen en wettelijke verjaringstermijnen. In de GDPR-verwerkingsfiches, beschikbaar op onze website, namen we voor elk van de verschillende verwerkingsdoeleinden een voorstel op van de relevante bewaartermijnen.
Wat u moet weten
De advocaat mag de persoonsgegevens van zijn cliënten, werknemers, leveranciers, … niet langer verwerken dan noodzakelijk (Artikel 5.1 c) AVG). Dat moet hij beoordelen in functie van het doel waarvoor hij die persoonsgegevens gebruikt. Het is dus belangrijk om de doeleinden waarvoor persoonsgegevens worden gebruikt, te identificeren.
Bij het bepalen van de bewaartermijn is het nuttig om rekening te houden met wettelijk vastgelegde bewaartermijnen (bijv. artikel 2276bis BW, artikel III.86 WER, artikel 60§1 W. BTW en KB van 28 november 1969) en wettelijke verjaringstermijnen (bijv. artikel 2262 en artikel 2262bis BW). De desbetreffende persoonsgegevens kunnen tenminste gedurende die termijnen worden bewaard. De advocaat draagt de bewijslast in geval van een langere bewaartermijn.
Wat u moet doen
U moet (vooraf) bepalen hoelang u de persoonsgegevens zal bewaren. Dat doet u door na te gaan hoelang u de persoonsgegevens nodig heeft, rekening houdende met eventuele wettelijk vastgelegde bewaartermijnen en verjaringstermijnen. We geven u enkele concrete voorbeelden in de FAQ onderaan deze pagina.
Deze bewaartermijnen neemt u op in uw register. Om te verzekeren dat de persoonsgegevens niet langer gebruikt en/of bewaard worden dan noodzakelijk in functie van het beoogde doel, raden we aan om interne maatregelen te nemen die de bewaartermijnen ook daadwerkelijk in de praktijk implementeren, zoals bijvoorbeeld door een data retention policy op te stellen.
Daarnaast raden we aan om een onderscheid te maken tussen persoonsgegevens (of de bestanden waarin ze bewaard worden) in de actieve gebruiksfase en in de passieve gebruiksfase. Bestanden zijn in de actieve gebruiksfase wanneer u ze nog actief gebruikt en nodig heeft. Bestanden die u niet meer actief gebruikt, maar waarvan de bewaartermijn nog niet is verstreken (omwille van administratieve redenen, wettelijke bewaartermijnen, etc.) bevinden zich in de passieve gebruiksfase. Die bestanden kan u, bijvoorbeeld in het kader van een jaarlijkse audit, archiveren. De archivering houdt ten minste in dat de toegang tot de bestanden beperkt wordt.
Tot slot moet u de persoonsgegevens waarvan de bewaartermijn verstreken is, dat wil zeggen waarvoor er geen verwerkingsdoel meer aanwezig is, anonimiseren of vernietigen. U moet ook bewijs voorzien van dat proces.
Praktische richtsnoeren
Er zijn geen specifieke richtsnoeren van de Gegevensbeschermingsautoriteit of het Europees Comité voor Gegevensbescherming over (het bepalen en implementeren van) de bewaartermijnen.
Voor de verwerking van de persoonsgegevens van cliënten is het afsluiten van het dossier veelal het vertrekpunt voor de bewaartermijn. Lees daarover meer bij de FAQ onderaan deze pagina. Om dat vertrekpunt vast te leggen, kan u gebruiken van het volgende model: brief inzake afsluiting dossier.
Per verwerkingsdoeleinde is een ‘verwerkingsfiche’ beschikbaar. Lees daarover meer. Elke verwerkingsfiche bevat een voorstel van de relevante bewaartermijn. U kunt die bewaartermijn overnemen indien die overeenstemt met hoelang u de persoonsgegevens nodig hebt.
Modelbrief voor de afsluiting van een dossier
Kopieer en gebruik onderstaande tekst als modelbrief voor de afsluiting van een dossier. U bepaalt vanzelfsprekend zelf wanneer u een dossier afsluit. U bepaalt ook zelf of u dat uitdrukkelijk, door middel van een actieve handeling doet, dan wel een dossier afgesloten ‘acht’ wanneer bijvoorbeeld de laatste handeling gesteld werd. Dat gezegd zijnde, de persoonsgegevens in dossiers mogen dus niet oneindig bewaard worden.
Geachte heer/mevrouw,
Ik verwijs naar het hierboven vermelde dossier.
Middels dit schrijven informeer ik u dat dit dossier zal worden afgesloten.
Ik zal het dossier, inclusief de daarin opgenomen persoonsgegevens, nog [10 jaar plus een verificatieperiode van 1 jaar] bewaren. Na afloop van deze termijn zal het dossier vernietigd worden tenzij dit dossier in de tussentijd opnieuw relevant is geworden, bijv. voor de behandeling van een nieuw dossier.
Indien u hieromtrent of omtrent de verwerking van uw persoonsgegevens enige vragen heeft, kan u steeds met mij contact opnemen.
Hoogachtend,
[Advocaat]
Frequently Asked Questions
Praktijkvoorbeeld: hoelang mag ik de persoonsgegevens van mijn cliënten bewaren?
De advocaten zijn ontlast van hun beroepsaansprakelijkheid en zijn niet meer verantwoordelijk voor de bewaring van de stukken vijf jaar na het beëindigen van hun taak.
De bewaartermijn van 5 jaar voor de dossiers inzake juridisch advies is afgeleid van art. 2276bis van het Burgerlijk Wetboek. (Deze verjaring is echter niet van toepassing indien de advocaat uitdrukkelijk met het bewaren van bepaalde stukken is belast.) Dat kan worden beschouwd als een minimale ondergrens voor het bewaren van persoonsgegevens.
In het kader van het beheer van uw cliëntendossiers, mag u de persoonsgegevens van uw cliënten echter tot zeker 10 jaar na afsluiten van het dossier bewaren. Gedurende die periode kan de cliënt immers nog een contractuele vordering tegen u instellen. Niet alle contractuele vorderingen van de cliënt tegen de advocaat vallen immers noodzakelijk onder de vijfjarige termijn van artikel [aan te vullen].
De bewaartermijn kan bovendien langer zijn dan 10 jaar indien het gerechtvaardigd is om de persoonsgegevens toch langer bij te houden (bijvoorbeeld omdat het in uw vakgebied reëel is dat een cliënt na 10 jaar terugkomt en u zijn dossier dan terug moet kunnen raadplegen). Indien u jaarlijks een audit doet (zie hierboven), kan u verder nog een verificatieperiode van 1 jaar toevoegen.
Tot slot, in het kader van uw geschillenbeheer, mag u de persoonsgegevens van cliënten met wie u bijvoorbeeld een ereloongeschil heeft, bijhouden tot 5 jaar (plus een verificatieperiode) na afloop van de desbetreffende procedures en/of het verstrijken van de laatste termijn tot hogere voorziening. Ook in dergelijk geval moeten de persoonsgegevens dus niet worden gewist na het verstrijken van de termijn van 10 (+ 1) jaar. Er zijn andere uitzonderlijke hypothesen denkbaar die een langere bewaartermijn verantwoorden.
Hoe zorg ik ervoor dat mijn data tijdig wordt gewist?
Bij wijze van voorbeeld, kan u deze technische maatregelen overwegen:
- automatisch vernietigen
- markeren van data na het verstrijken van de bewaartermijn
- zogenaamde 'sticky policies' (voorwaarden en beperkingen die op elektronische wijze aan de persoonsgegevens gehecht worden en beschrijven hoe die persoonsgegevens moeten worden behandeld);
- data fading (waarbij de persoonsgegevens geleidelijk aan worden geaggregeerd naarmate ze niet langer noodzakelijk zijn)
- bewijs van verwijdering door een log of een audit report
We raden aan om bovengenoemde technische maatregelen te bespreken met uw IT-provider om in detail te kunnen nagaan welke maatregelen praktisch en haalbaar zijn voor de goede werking van uw kantoor.
Op vlak van organisatorische maatregelen, kan u een beleid opmaken met een overzicht van de bewaartermijnen en de omgang met e-waste (zowel oude documenten als apparaten die informatie kunnen bevatten).
Na het implementeren van deze technische en organisatorische maatregelen, is het aangewezen de doeltreffendheid van deze maatregelen ook op gezette tijdstippen te testen, beoordelen en evalueren.