Nieuwe video’s toegevoegd aan het lesmateriaal van Advocaat op School
Voorzitter op vrijdag: "Met onze Belgische zin voor relativering en zelfhumor kunnen wij veel aan. Te veel, soms."
Rechten van betrokkenen
De AVG kent de betrokkenen acht rechten toe. Dit thema behandelt de voor de advocatuur relevantste rechten van betrokkenen, inclusief het spanningsveld tussen sommige van die rechten en het beroepsgeheim van de advocaat.
We hebben voor u een modelantwoord opgesteld over het evenwicht tussen de vraag tot inzage van persoonsgegevens van derde partijen en uw beroepsgeheim.
Wat u moet weten
De AVG kent de betrokkenen acht rechten toe:
- Het recht op informatie (artikel 13 en 14 AVG)
- Het recht van inzage (artikel 15 AVG)
- Het recht op rectificatie (artikel 16 AVG)
- Het recht op gegevenswissing (artikel 17 AVG)
- Het recht op beperking van de verwerking (artikel 18 AVG)
- Het recht op overdraagbaarheid van persoonsgegevens (artikel 20 AVG)
- Het recht van bezwaar (artikel 21 AVG)
- Het recht om niet te worden onderworpen aan geautomatiseerde besluitvorming (artikel 22 AVG).
Dit thema behandelt de voor de advocatuur relevantste rechten van betrokkenen, inclusief het spanningsveld tussen sommige van die rechten en het beroepsgeheim van de advocaat.
Wat u moet doen
U voorziet best in een geautomatiseerd proces (bijvoorbeeld via een persoonlijk account) om tegemoet te komen aan de rechten van de betrokkene en/of in de aanstelling van een interne verantwoordelijke die de verzoeken van de betrokkenen rechtstreeks ontvangt en opvolgt (bijvoorbeeld door één specifiek e-mailadres ‘privacy@...’ en/of telefoonnummer op te nemen in de privacyverklaring). Een verzoek dat elektronisch wordt ingediend (bijvoorbeeld via e-mail), moet in principe ook elektronisch beantwoord worden, tenzij de betrokkene anderszins verzoekt.
De termijn van 1 maand om te antwoorden, verlengbaar met 2 maanden, begint te lopen van zodra het verzoek duidelijk is, d.i. van zodra duidelijk is wie het verzoek indient en wat men vraagt. Indien de identiteit en/of het verzoek van de betrokkene niet duidelijk zijn, dient u om bijkomende informatie te vragen in uw ontvangstbevestiging. U moet desalniettemin de ontvangst van elk verzoek zo snel mogelijk bevestigen en minstens binnen de termijn van 1 maand na ontvangst, ongeacht de wijze waarop het verzoek door de betrokkene werd ingediend. Het niet naleven van deze termijn leidt niet automatisch tot een inbreuk voor zover er een redelijke verantwoording voor het overschrijden van de termijn voorhanden is.
U moet zich vergewissen van de identiteit van de betrokkene, bijv. aan de hand van een dossiernummer, het opvragen van oude persoonsgegevens of een kopie van de voorkant van de identiteitskaart van de betrokkene. Zo vermijdt u dat persoonsgegevens in handen komen van andere personen dan de betrokkene. Indien de betrokkene zich niet afdoende identificeert, kan u weigeren om in te gaan op het verzoek.
U moet elke communicatie in een beknopte en gemakkelijk toegankelijke vorm bezorgen en in duidelijke en eenvoudige taal opstellen. Uw communicatie dient bij voorkeur schriftelijk te gebeuren. De opvolging van een verzoek moet in principe kosteloos gebeuren. U kan een redelijke vergoeding vragen bijvoorbeeld bij repetitieve verzoeken. De vergoeding moet dan in verhouding staan tot uw administratieve kosten.
Indien u een verzoek afwijst omdat dit kennelijk ongegrond (bijvoorbeeld omdat geen persoonsgegevens verwerkt worden van de betrokkene) of buitensporig is (bijvoorbeeld bij buitensporige verzoeken), moet u de reden voor afwijzing uitdrukkelijk vermelden. De betrokkene moet meteen ook geïnformeerd worden over de mogelijkheid om klacht in te dienen bij de Gegevensbeschermingsautoriteit en beroep in te stellen bij de rechter.
Inzage
Een (geldig) verzoek om inzage moet worden beantwoord ongeacht de achterliggende motieven van de betrokkene. Indien een verzoek tot inzage aan de betrokkene ook inzage zou geven in persoonsgegevens van derden, zakengeheimen of gegevens die beschermd zijn door het beroepsgeheim, moet u die (persoons)gegevens verwijderen of anonimiseren.
Rectificatie
Wanneer de persoonsgegevens daadwerkelijk onjuist of onvolledig zijn, geeft u gevolg aan het verzoek van de betrokkene ongeacht de redenen van het verzoek en ongeacht of de betrokkene schade lijdt door de onjuistheid of onvolledigheid van zijn persoonsgegevens. Indien de aanpassing technisch onmogelijk is, moet u de nodige stappen ondernemen om die technische onmogelijkheid te verhelpen en aan het verzoek kunnen beantwoorden. U moet bijvoorbeeld ingaan op het verzoek van een cliënt om een accent (“é”) toe te voegen in de achternaam ook al lijdt de cliënt geen schade door deze onjuistheid. U licht indien nodig ook de ontvangers van de persoonsgegevens in over de rectificatie van de persoonsgegevens, zoals gezamenlijke verwerkingsverantwoordelijken en verwerkers waarmee u samenwerkt.
Gegevenswissing
Wanneer de betrokkene recht heeft op wissing van zijn persoonsgegevens, zorgt u ervoor dat de persoonsgegevens op onomkeerbare wijze worden gewist uit alle papieren archieven en digitale (back-up) systemen. U kan wel een bewijs bijhouden dat de gegevens van de betrokkene daadwerkelijk werden gewist. U licht indien nodig ook de ontvangers van de persoonsgegevens in over de wissing van de persoonsgegevens, zoals gezamenlijke verwerkingsverantwoordelijken en verwerkers waarmee u samenwerkt.
Beperking
Wanneer de betrokkene recht heeft op de beperking van zijn persoonsgegevens, is het aan te raden om deze persoonsgegevens tijdelijk over te brengen naar een ander verwerkingssysteem of om deze persoonsgegevens onbeschikbaar te maken voor de gebruikers. Indien het gaat om gepubliceerde persoonsgegevens, moet u deze persoonsgegevens tijdelijk van de website halen. Wanneer de betrokkene een beperking van de verwerking heeft verkregen en u meent dat die beperking kan worden opgeheven, moet u de betrokkene daarvan op de hoogte brengen voordat de beperking van de verwerking wordt opgeheven.
Overdraagbaarheid
U moet een verzoek tot overdracht van persoonsgegevens beantwoorden in een voor advocaten gangbaar formaat, d.i. in principe doc-, .docx-, .rtf-, .xls- of .pdf-formaat. U moet de overdracht van persoonsgegevens van anderen zoveel mogelijk beperken, bijvoorbeeld door deze uit te sluiten van de overdracht of te anonimiseren. Het is aan te raden om de gegevens op een veilige manier, bijvoorbeeld via encryptie, te verzenden. De OVB raadt af om gebruik te maken van gratis diensten voor de verzending van persoonsgegevens, bijvoorbeeld Whatsapp of Dropbox, tenzij de overdracht louter de naam, het adres, de woonplaats en/of andere contactgegevens betreft.
Praktische richtsnoeren/templates
Er bestaat een spanningsveld tussen de wetgeving inzake de bescherming van persoonsgegevens en het beroepsgeheim van de advocaat. Dat geldt onder meer tussen het recht van inzage van de betrokkenen en het beroepsgeheim. U kan als volgt omgaan met dit spanningsveld:
Ten aanzien van de betrokkene van wie u de persoonsgegevens rechtstreeks heeft verkregen, moet u altijd tegemoet komen aan een verzoek om inzage. U moet evenwel alle informatie verwijderen, waaronder persoonsgegevens, voor zover dat noodzakelijk is in het licht van de naleving van uw beroepsgeheim ten aanzien van uw cliënt.
Ten aanzien van de betrokkene (bijvoorbeeld de tegenpartij) van wie u de persoonsgegevens onrechtstreeks heeft verkregen (bijvoorbeeld via uw cliënt), weigert u elk verzoek om inzage wanneer dat een schending vormt van het beroepsgeheim ten aanzien van uw cliënt. In een dergelijk geval kan u zelfs niet antwoorden op de vraag of u persoonsgegevens van de betrokkene verwerkt. U kan in dat geval onderstaand modelantwoord gebruiken:
Het is een advocaat niet toegestaan om aan een natuurlijke persoon te bevestigen of hij al dan niet persoonsgegevens over hem of haar verwerkt. Dit betekent met andere woorden dat wij geen persoonsgegevens van u verwerken of dat wij wel uw persoonsgegevens verwerken, maar dit niet kunnen bevestigen.
Zelfs indien de advocaat geen persoonsgegevens over de natuurlijke persoon verwerkt, zou een antwoord in die zin de advocaat immers kunnen compromitteren in de (andere) gevallen waarin de advocaat wel persoonsgegevens verwerkt over een natuurlijke persoon. In dat laatste geval, kan de advocaat nooit bevestigend antwoorden aangezien alleen al een dergelijke bevestiging een inbreuk vormt op het beroepsgeheim van de advocaat ten aanzien van zijn cliënt.
Bijgevolg kunnen wij u ook geen verdere informatie verschaffen over de eventuele verwerking van uw persoonsgegevens.
Voor meer informatie verwijzen wij naar de privacyverklaring op onze website, gepubliceerd op [www]. Indien u desalniettemin van oordeel bent dat u een recht van inzage heeft, bent u vrij om een klacht in te dienen bij de Belgische Gegevensbeschermingsautoriteit of een beroep in te stellen bij de rechter.
Wanneer de betrokkene (bijvoorbeeld de tegenpartij) op de hoogte is van de verwerking van zijn persoonsgegevens door u, bijvoorbeeld omdat u hem heeft gedagvaard, heeft de betrokkene een recht van inzage in alle persoonsgegevens over hem die geen inbreuk vormen op uw beroepsgeheim, bijvoorbeeld zijn contactgegevens.
De bovengenoemde regeling is niet van toepassing wanneer de volgende twee cumulatieve voorwaarden, in overeenstemming met artikel 19 van de Codex Deontologie voor Advocaten, zijn voldaan:
- u heeft de toestemming gekregen van uw cliënt of diens wettelijke vertegenwoordigers om op het verzoek om inzage in te gaan
- u bent zelf van oordeel dat het verzoek niet indruist tegen de belangen van uw cliënt
Het recht van inzage van de betrokkene is nooit van toepassing op de briefwisseling tussen advocaten, tenzij de stafhouder van de betrokken advocaat hiervoor de toestemming heeft gegeven.
De Gegevensbeschermingsautoriteit heeft een handleiding uitgewerkt hoe KMO’s moeten omgaan met rechten van betrokkenen. Een overzicht van de verschillende soorten rechten van burgers wordt verder uiteengezet in een apart dossier op de website van de Gegevensbeschermingsautoriteit.
Frequently Asked Questions
Welke informatie dien ik over te maken in geval van een verzoek om inzage van een ontslagen medewerker?
U moet ingaan op het verzoek van een ontslagen medewerker om inzage te krijgen in zijn persoonsgegevens, ook al wenst de ontslagen medewerker inzage om vervolgens een vordering in te stellen tegen u. In een dergelijk geval, zal een overzicht van de persoonsgegevens die in het personeelsdossier van de medewerker zijn opgenomen wellicht niet volstaan en moet u ook een kopie bezorgen van evaluaties en andere interne documenten die niet (volledig) in een overzicht kunnen worden opgenomen. U dient alle persoonsgegevens van derden, bijvoorbeeld van een andere collega die informatie heeft gegeven omtrent de ontslagen medewerker, in deze kopie te verwijderen of te anonimiseren.
Het is belangrijk op te merken dat de AVG bepaalt dat het recht van de betrokkenen om een kopie van hun persoonsgegevens te verkrijgen geen afbreuk mag doen aan de rechten en vrijheden van anderen. Indien een document ook vertrouwelijke informatie bevat over anderen, moet een belangenafweging worden gemaakt. Indien mogelijk is het aan te raden dat de betrokkene een afschrift ontvangt waarin deze vertrouwelijke informatie onleesbaar is gemaakt. Dit mag in principe geen reden zijn om de inzage te weigeren.
Ik heb een ‘privacy@[advocaat].be’ e-mailadres in mijn privacyverklaring. Een cliënt oefent zijn recht van inzage evenwel uit via een bericht op sociale media. Moet ik hieraan gevolg geven?
U moet de termijnen voor de ontvangstbevestiging en het beantwoorden van een verzoek respecteren ook wanneer het verzoek niet werd ingediend volgens de procedure (bijv. via het specifieke e-mailadres) voorzien in de privacyverklaring aan de betrokkene.