Bewaartermijnen
De advocaat mag de persoonsgegevens van zijn cliënten, werknemers, leveranciers, … niet langer verwerken dan noodzakelijk. Dat moet hij beoordelen in functie van het doel waarvoor hij die persoonsgegevens gebruikt. Het is dus belangrijk om de doeleinden waarvoor persoonsgegevens worden gebruikt, te identificeren.
Auteur
Arthur Ockerman
Bij het bepalen van de bewaartermijn is het nuttig om rekening te houden met wettelijk vastgelegde bewaartermijnen en wettelijke verjaringstermijnen. In de GDPR-verwerkingsfiches, beschikbaar op onze website, namen we voor elk van de verschillende verwerkingsdoeleinden een voorstel op van de relevante bewaartermijnen.
Wat u moet weten
De advocaat mag de persoonsgegevens van zijn cliënten, werknemers, leveranciers, … niet langer verwerken dan noodzakelijk (Artikel 5.1 c) AVG). Dat moet hij beoordelen in functie van het doel waarvoor hij die persoonsgegevens gebruikt. Het is dus belangrijk om de doeleinden waarvoor persoonsgegevens worden gebruikt, te identificeren.
Bij het bepalen van de bewaartermijn is het nuttig om rekening te houden met wettelijk vastgelegde bewaartermijnen (bijv. artikel 2276bis BW, artikel III.86 WER, artikel 60§1 W. BTW en KB van 28 november 1969) en wettelijke verjaringstermijnen (bijv. artikel 2262 en artikel 2262bis BW). De desbetreffende persoonsgegevens kunnen tenminste gedurende die termijnen worden bewaard. De advocaat draagt de bewijslast in geval van een langere bewaartermijn.
Wat u moet doen
U moet (vooraf) bepalen hoelang u de persoonsgegevens zal bewaren. Dat doet u door na te gaan hoelang u de persoonsgegevens nodig heeft, rekening houdende met eventuele wettelijk vastgelegde bewaartermijnen en verjaringstermijnen. We geven u enkele concrete voorbeelden in de FAQ onderaan deze pagina.
Deze bewaartermijnen neemt u op in uw register. Om te verzekeren dat de persoonsgegevens niet langer gebruikt en/of bewaard worden dan noodzakelijk in functie van het beoogde doel, raden we aan om interne maatregelen te nemen die de bewaartermijnen ook daadwerkelijk in de praktijk implementeren, zoals bijvoorbeeld door een data retention policy op te stellen.
Daarnaast raden we aan om een onderscheid te maken tussen persoonsgegevens (of de bestanden waarin ze bewaard worden) in de actieve gebruiksfase en in de passieve gebruiksfase. Bestanden zijn in de actieve gebruiksfase wanneer u ze nog actief gebruikt en nodig heeft. Bestanden die u niet meer actief gebruikt, maar waarvan de bewaartermijn nog niet is verstreken (omwille van administratieve redenen, wettelijke bewaartermijnen, etc.) bevinden zich in de passieve gebruiksfase. Die bestanden kan u, bijvoorbeeld in het kader van een jaarlijkse audit, archiveren. De archivering houdt ten minste in dat de toegang tot de bestanden beperkt wordt.
Tot slot moet u de persoonsgegevens waarvan de bewaartermijn verstreken is, dat wil zeggen waarvoor er geen verwerkingsdoel meer aanwezig is, anonimiseren of vernietigen. U moet ook bewijs voorzien van dat proces.
Praktische richtsnoeren
Er zijn geen specifieke richtsnoeren van de Gegevensbeschermingsautoriteit of het Europees Comité voor Gegevensbescherming over (het bepalen en implementeren van) de bewaartermijnen.
Voor de verwerking van de persoonsgegevens van cliënten is het afsluiten van het dossier veelal het vertrekpunt voor de bewaartermijn. Lees daarover meer bij de FAQ onderaan deze pagina. Om dat vertrekpunt vast te leggen, kan u gebruiken van het volgende model: brief inzake afsluiting dossier.
Per verwerkingsdoeleinde is een ‘verwerkingsfiche’ beschikbaar. Lees daarover meer. Elke verwerkingsfiche bevat een voorstel van de relevante bewaartermijn. U kunt die bewaartermijn overnemen indien die overeenstemt met hoelang u de persoonsgegevens nodig hebt.
Modelbrief voor de afsluiting van een dossier
Kopieer en gebruik onderstaande tekst als modelbrief voor de afsluiting van een dossier. U bepaalt vanzelfsprekend zelf wanneer u een dossier afsluit. U bepaalt ook zelf of u dat uitdrukkelijk, door middel van een actieve handeling doet, dan wel een dossier afgesloten ‘acht’ wanneer bijvoorbeeld de laatste handeling gesteld werd. Dat gezegd zijnde, de persoonsgegevens in dossiers mogen dus niet oneindig bewaard worden.
Geachte heer/mevrouw,
Ik verwijs naar het hierboven vermelde dossier.
Middels dit schrijven informeer ik u dat dit dossier zal worden afgesloten.
Ik zal het dossier, inclusief de daarin opgenomen persoonsgegevens, nog [10 jaar plus een verificatieperiode van 1 jaar] bewaren. Na afloop van deze termijn zal het dossier vernietigd worden tenzij dit dossier in de tussentijd opnieuw relevant is geworden, bijv. voor de behandeling van een nieuw dossier.
Indien u hieromtrent of omtrent de verwerking van uw persoonsgegevens enige vragen heeft, kan u steeds met mij contact opnemen.
Hoogachtend,
[Advocaat]
Frequently Asked Questions
Praktijkvoorbeeld: hoelang mag ik de persoonsgegevens van mijn cliënten bewaren?
De advocaten zijn ontlast van hun beroepsaansprakelijkheid en zijn niet meer verantwoordelijk voor de bewaring van de stukken vijf jaar na het beëindigen van hun taak.
De bewaartermijn van 5 jaar voor de dossiers inzake juridisch advies is afgeleid van art. 2276bis van het Burgerlijk Wetboek. (Deze verjaring is echter niet van toepassing indien de advocaat uitdrukkelijk met het bewaren van bepaalde stukken is belast.) Dat kan worden beschouwd als een minimale ondergrens voor het bewaren van persoonsgegevens.
In het kader van het beheer van uw cliëntendossiers, mag u de persoonsgegevens van uw cliënten echter tot zeker 10 jaar na afsluiten van het dossier bewaren. Gedurende die periode kan de cliënt immers nog een contractuele vordering tegen u instellen. Niet alle contractuele vorderingen van de cliënt tegen de advocaat vallen immers noodzakelijk onder de vijfjarige termijn van artikel [aan te vullen].
De bewaartermijn kan bovendien langer zijn dan 10 jaar indien het gerechtvaardigd is om de persoonsgegevens toch langer bij te houden (bijvoorbeeld omdat het in uw vakgebied reëel is dat een cliënt na 10 jaar terugkomt en u zijn dossier dan terug moet kunnen raadplegen). Indien u jaarlijks een audit doet (zie hierboven), kan u verder nog een verificatieperiode van 1 jaar toevoegen.
Tot slot, in het kader van uw geschillenbeheer, mag u de persoonsgegevens van cliënten met wie u bijvoorbeeld een ereloongeschil heeft, bijhouden tot 5 jaar (plus een verificatieperiode) na afloop van de desbetreffende procedures en/of het verstrijken van de laatste termijn tot hogere voorziening. Ook in dergelijk geval moeten de persoonsgegevens dus niet worden gewist na het verstrijken van de termijn van 10 (+ 1) jaar. Er zijn andere uitzonderlijke hypothesen denkbaar die een langere bewaartermijn verantwoorden.
Hoe zorg ik ervoor dat mijn data tijdig wordt gewist?
Bij wijze van voorbeeld, kan u deze technische maatregelen overwegen:
- automatisch vernietigen
- markeren van data na het verstrijken van de bewaartermijn
- zogenaamde 'sticky policies' (voorwaarden en beperkingen die op elektronische wijze aan de persoonsgegevens gehecht worden en beschrijven hoe die persoonsgegevens moeten worden behandeld);
- data fading (waarbij de persoonsgegevens geleidelijk aan worden geaggregeerd naarmate ze niet langer noodzakelijk zijn)
- bewijs van verwijdering door een log of een audit report
We raden aan om bovengenoemde technische maatregelen te bespreken met uw IT-provider om in detail te kunnen nagaan welke maatregelen praktisch en haalbaar zijn voor de goede werking van uw kantoor.
Op vlak van organisatorische maatregelen, kan u een beleid opmaken met een overzicht van de bewaartermijnen en de omgang met e-waste (zowel oude documenten als apparaten die informatie kunnen bevatten).
Na het implementeren van deze technische en organisatorische maatregelen, is het aangewezen de doeltreffendheid van deze maatregelen ook op gezette tijdstippen te testen, beoordelen en evalueren.
Ook interessant
Beveiliging
Gerelateerd nieuws
Ontwikkelde u een digitale tool om uw kantoorwerking te versterken?
Steeds meer advocaten ontwikkelen zelf digitale oplossingen die hun kantoorwerking efficiënter, klantgerichter of duurzamer maken. Die innovatie willen we in de kijker plaatsen in een nieuwe rubriek op de website van de Orde van Vlaamse Balies: “AI van en voor confraters.”
Vervalt uw advocatenkaart binnenkort?
Vanaf augustus 2025 vervallen heel wat advocatenkaarten. Ook in de maanden nadien zullen nog heel wat kaarten hun geldigheid verliezen. De kans is dus reëel dat ook uw kaart binnenkort moet worden vervangen. Lees hoe u dat eenvoudig doet.
Nieuwe sessie online over AI en het opstellen van documenten
Artificiële Intelligentie wordt steeds vaker deel van onze dagelijkse praktijk. Met Expeditie Digitaal ontdekt u hoe eenvoudige AI-toepassingen uw dagelijkse praktijk kunnen versterken. In drie korte online sessies tonen we hoe u AI vandaag al kunt inzetten in de verschillende fases van een dossier. Daarmee sluiten we aan op onze bestaande AI-richtlijnen. In deze nieuwe sessie focussen we op het opstellen van documenten en hoe slimme automatisering u kan ondersteunen bij het opstellen van ontslagdocumenten en processtukken.
Nieuwe sessie online over AI en dossieronderzoek
Artificiële Intelligentie wordt steeds vaker deel van onze dagelijkse praktijk. Met Expeditie Digitaal ontdekt u hoe eenvoudige AI-toepassingen uw dagelijkse praktijk kunnen versterken. In drie korte online sessies tonen we hoe u AI vandaag al kunt inzetten in de verschillende fases van een dossier. Daarmee sluiten we aan op onze bestaande AI-richtlijnen.
Nieuwe online reeks: AI slim inzetten in uw advocatenpraktijk
Artificiële Intelligentie wordt steeds vaker deel van onze dagelijkse praktijk. Met Expeditie Digitaal ontdekt u hoe eenvoudige AI-toepassingen uw dagelijkse praktijk kunnen versterken. In drie korte online sessies tonen we hoe u AI vandaag al kunt inzetten in de verschillende fases van een dossier.
EU versoepelt GDPR-registerplicht voor middelgrote ondernemingen
De Europese Commissie wil de administratieve lasten voor middelgrote ondernemingen verlichten. Bedrijven met maximaal 750 werknemers en een jaaromzet tot 150 miljoen euro zouden binnenkort vrijgesteld kunnen worden van de GDPR-registerplicht — tenzij hun gegevensverwerking een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen.
Rechtstaat en digitale uitdagingen: een Europese blik vooruit
De rechtstaat staat onder druk. Wat betekent dit fundamentele principe vandaag nog in een Europa dat geconfronteerd wordt met toenemende uitdagingen op het vlak van mensenrechten, toegang tot justitie en technologische regulering? Neem deel aan de studiedag daarover op 23 mei 2025.
Toegang Rijksregister - twee extra velden
Op 23 december 2024 breidde de minister van Binnenlandse Zaken de toegangsrechten van advocaten tot het Rijksregister uit. Dankzij die nieuwe machtiging, die minstens één jaar geldig blijft, kunnen advocaten voortaan twee extra gegevens uit het Rijksregister raadplegen.
Toegang Databank voor de Akten van de Burgerlijke Stand
Sinds 1 januari 2025 is de toegang van advocaten tot de Databank voor de Akten van de Burgerlijke Stand (DABS) ingeperkt. Nieuwe wettelijke bepalingen vereisen een protocol tussen de Ordes en de FOD Justitie, maar ondanks onze inspanningen is dit protocol nog niet opgesteld. Daardoor ondervinden advocaten moeilijkheden bij het verkrijgen van akten van de burgerlijke stand.