Rechten van betrokkenen
De AVG kent de betrokkenen acht rechten toe. Dit thema behandelt de voor de advocatuur relevantste rechten van betrokkenen, inclusief het spanningsveld tussen sommige van die rechten en het beroepsgeheim van de advocaat.
Auteur
Arthur Ockerman
We hebben voor u een modelantwoord opgesteld over het evenwicht tussen de vraag tot inzage van persoonsgegevens van derde partijen en uw beroepsgeheim.
Wat u moet weten
De AVG kent de betrokkenen acht rechten toe:
- Het recht op informatie (artikel 13 en 14 AVG)
- Het recht van inzage (artikel 15 AVG)
- Het recht op rectificatie (artikel 16 AVG)
- Het recht op gegevenswissing (artikel 17 AVG)
- Het recht op beperking van de verwerking (artikel 18 AVG)
- Het recht op overdraagbaarheid van persoonsgegevens (artikel 20 AVG)
- Het recht van bezwaar (artikel 21 AVG)
- Het recht om niet te worden onderworpen aan geautomatiseerde besluitvorming (artikel 22 AVG).
Dit thema behandelt de voor de advocatuur relevantste rechten van betrokkenen, inclusief het spanningsveld tussen sommige van die rechten en het beroepsgeheim van de advocaat.
Wat u moet doen
U voorziet best in een geautomatiseerd proces (bijvoorbeeld via een persoonlijk account) om tegemoet te komen aan de rechten van de betrokkene en/of in de aanstelling van een interne verantwoordelijke die de verzoeken van de betrokkenen rechtstreeks ontvangt en opvolgt (bijvoorbeeld door één specifiek e-mailadres ‘privacy@...’ en/of telefoonnummer op te nemen in de privacyverklaring). Een verzoek dat elektronisch wordt ingediend (bijvoorbeeld via e-mail), moet in principe ook elektronisch beantwoord worden, tenzij de betrokkene anderszins verzoekt.
De termijn van 1 maand om te antwoorden, verlengbaar met 2 maanden, begint te lopen van zodra het verzoek duidelijk is, d.i. van zodra duidelijk is wie het verzoek indient en wat men vraagt. Indien de identiteit en/of het verzoek van de betrokkene niet duidelijk zijn, dient u om bijkomende informatie te vragen in uw ontvangstbevestiging. U moet desalniettemin de ontvangst van elk verzoek zo snel mogelijk bevestigen en minstens binnen de termijn van 1 maand na ontvangst, ongeacht de wijze waarop het verzoek door de betrokkene werd ingediend. Het niet naleven van deze termijn leidt niet automatisch tot een inbreuk voor zover er een redelijke verantwoording voor het overschrijden van de termijn voorhanden is.
U moet zich vergewissen van de identiteit van de betrokkene, bijv. aan de hand van een dossiernummer, het opvragen van oude persoonsgegevens of een kopie van de voorkant van de identiteitskaart van de betrokkene. Zo vermijdt u dat persoonsgegevens in handen komen van andere personen dan de betrokkene. Indien de betrokkene zich niet afdoende identificeert, kan u weigeren om in te gaan op het verzoek.
U moet elke communicatie in een beknopte en gemakkelijk toegankelijke vorm bezorgen en in duidelijke en eenvoudige taal opstellen. Uw communicatie dient bij voorkeur schriftelijk te gebeuren. De opvolging van een verzoek moet in principe kosteloos gebeuren. U kan een redelijke vergoeding vragen bijvoorbeeld bij repetitieve verzoeken. De vergoeding moet dan in verhouding staan tot uw administratieve kosten.
Indien u een verzoek afwijst omdat dit kennelijk ongegrond (bijvoorbeeld omdat geen persoonsgegevens verwerkt worden van de betrokkene) of buitensporig is (bijvoorbeeld bij buitensporige verzoeken), moet u de reden voor afwijzing uitdrukkelijk vermelden. De betrokkene moet meteen ook geïnformeerd worden over de mogelijkheid om klacht in te dienen bij de Gegevensbeschermingsautoriteit en beroep in te stellen bij de rechter.
Inzage
Een (geldig) verzoek om inzage moet worden beantwoord ongeacht de achterliggende motieven van de betrokkene. Indien een verzoek tot inzage aan de betrokkene ook inzage zou geven in persoonsgegevens van derden, zakengeheimen of gegevens die beschermd zijn door het beroepsgeheim, moet u die (persoons)gegevens verwijderen of anonimiseren.
Rectificatie
Wanneer de persoonsgegevens daadwerkelijk onjuist of onvolledig zijn, geeft u gevolg aan het verzoek van de betrokkene ongeacht de redenen van het verzoek en ongeacht of de betrokkene schade lijdt door de onjuistheid of onvolledigheid van zijn persoonsgegevens. Indien de aanpassing technisch onmogelijk is, moet u de nodige stappen ondernemen om die technische onmogelijkheid te verhelpen en aan het verzoek kunnen beantwoorden. U moet bijvoorbeeld ingaan op het verzoek van een cliënt om een accent (“é”) toe te voegen in de achternaam ook al lijdt de cliënt geen schade door deze onjuistheid. U licht indien nodig ook de ontvangers van de persoonsgegevens in over de rectificatie van de persoonsgegevens, zoals gezamenlijke verwerkingsverantwoordelijken en verwerkers waarmee u samenwerkt.
Gegevenswissing
Wanneer de betrokkene recht heeft op wissing van zijn persoonsgegevens, zorgt u ervoor dat de persoonsgegevens op onomkeerbare wijze worden gewist uit alle papieren archieven en digitale (back-up) systemen. U kan wel een bewijs bijhouden dat de gegevens van de betrokkene daadwerkelijk werden gewist. U licht indien nodig ook de ontvangers van de persoonsgegevens in over de wissing van de persoonsgegevens, zoals gezamenlijke verwerkingsverantwoordelijken en verwerkers waarmee u samenwerkt.
Beperking
Wanneer de betrokkene recht heeft op de beperking van zijn persoonsgegevens, is het aan te raden om deze persoonsgegevens tijdelijk over te brengen naar een ander verwerkingssysteem of om deze persoonsgegevens onbeschikbaar te maken voor de gebruikers. Indien het gaat om gepubliceerde persoonsgegevens, moet u deze persoonsgegevens tijdelijk van de website halen. Wanneer de betrokkene een beperking van de verwerking heeft verkregen en u meent dat die beperking kan worden opgeheven, moet u de betrokkene daarvan op de hoogte brengen voordat de beperking van de verwerking wordt opgeheven.
Overdraagbaarheid
U moet een verzoek tot overdracht van persoonsgegevens beantwoorden in een voor advocaten gangbaar formaat, d.i. in principe doc-, .docx-, .rtf-, .xls- of .pdf-formaat. U moet de overdracht van persoonsgegevens van anderen zoveel mogelijk beperken, bijvoorbeeld door deze uit te sluiten van de overdracht of te anonimiseren. Het is aan te raden om de gegevens op een veilige manier, bijvoorbeeld via encryptie, te verzenden. De OVB raadt af om gebruik te maken van gratis diensten voor de verzending van persoonsgegevens, bijvoorbeeld Whatsapp of Dropbox, tenzij de overdracht louter de naam, het adres, de woonplaats en/of andere contactgegevens betreft.
Praktische richtsnoeren/templates
Er bestaat een spanningsveld tussen de wetgeving inzake de bescherming van persoonsgegevens en het beroepsgeheim van de advocaat. Dat geldt onder meer tussen het recht van inzage van de betrokkenen en het beroepsgeheim. U kan als volgt omgaan met dit spanningsveld:
Ten aanzien van de betrokkene van wie u de persoonsgegevens rechtstreeks heeft verkregen, moet u altijd tegemoet komen aan een verzoek om inzage. U moet evenwel alle informatie verwijderen, waaronder persoonsgegevens, voor zover dat noodzakelijk is in het licht van de naleving van uw beroepsgeheim ten aanzien van uw cliënt.
Ten aanzien van de betrokkene (bijvoorbeeld de tegenpartij) van wie u de persoonsgegevens onrechtstreeks heeft verkregen (bijvoorbeeld via uw cliënt), weigert u elk verzoek om inzage wanneer dat een schending vormt van het beroepsgeheim ten aanzien van uw cliënt. In een dergelijk geval kan u zelfs niet antwoorden op de vraag of u persoonsgegevens van de betrokkene verwerkt. U kan in dat geval onderstaand modelantwoord gebruiken:
Het is een advocaat niet toegestaan om aan een natuurlijke persoon te bevestigen of hij al dan niet persoonsgegevens over hem of haar verwerkt. Dit betekent met andere woorden dat wij geen persoonsgegevens van u verwerken of dat wij wel uw persoonsgegevens verwerken, maar dit niet kunnen bevestigen.
Zelfs indien de advocaat geen persoonsgegevens over de natuurlijke persoon verwerkt, zou een antwoord in die zin de advocaat immers kunnen compromitteren in de (andere) gevallen waarin de advocaat wel persoonsgegevens verwerkt over een natuurlijke persoon. In dat laatste geval, kan de advocaat nooit bevestigend antwoorden aangezien alleen al een dergelijke bevestiging een inbreuk vormt op het beroepsgeheim van de advocaat ten aanzien van zijn cliënt.
Bijgevolg kunnen wij u ook geen verdere informatie verschaffen over de eventuele verwerking van uw persoonsgegevens.
Voor meer informatie verwijzen wij naar de privacyverklaring op onze website, gepubliceerd op [www]. Indien u desalniettemin van oordeel bent dat u een recht van inzage heeft, bent u vrij om een klacht in te dienen bij de Belgische Gegevensbeschermingsautoriteit of een beroep in te stellen bij de rechter.
Wanneer de betrokkene (bijvoorbeeld de tegenpartij) op de hoogte is van de verwerking van zijn persoonsgegevens door u, bijvoorbeeld omdat u hem heeft gedagvaard, heeft de betrokkene een recht van inzage in alle persoonsgegevens over hem die geen inbreuk vormen op uw beroepsgeheim, bijvoorbeeld zijn contactgegevens.
De bovengenoemde regeling is niet van toepassing wanneer de volgende twee cumulatieve voorwaarden, in overeenstemming met artikel 19 van de Codex Deontologie voor Advocaten, zijn voldaan:
- u heeft de toestemming gekregen van uw cliënt of diens wettelijke vertegenwoordigers om op het verzoek om inzage in te gaan
- u bent zelf van oordeel dat het verzoek niet indruist tegen de belangen van uw cliënt
Het recht van inzage van de betrokkene is nooit van toepassing op de briefwisseling tussen advocaten, tenzij de stafhouder van de betrokken advocaat hiervoor de toestemming heeft gegeven.
De Gegevensbeschermingsautoriteit heeft een handleiding uitgewerkt hoe KMO’s moeten omgaan met rechten van betrokkenen. Een overzicht van de verschillende soorten rechten van burgers wordt verder uiteengezet in een apart dossier op de website van de Gegevensbeschermingsautoriteit.
Frequently Asked Questions
Welke informatie dien ik over te maken in geval van een verzoek om inzage van een ontslagen medewerker?
U moet ingaan op het verzoek van een ontslagen medewerker om inzage te krijgen in zijn persoonsgegevens, ook al wenst de ontslagen medewerker inzage om vervolgens een vordering in te stellen tegen u. In een dergelijk geval, zal een overzicht van de persoonsgegevens die in het personeelsdossier van de medewerker zijn opgenomen wellicht niet volstaan en moet u ook een kopie bezorgen van evaluaties en andere interne documenten die niet (volledig) in een overzicht kunnen worden opgenomen. U dient alle persoonsgegevens van derden, bijvoorbeeld van een andere collega die informatie heeft gegeven omtrent de ontslagen medewerker, in deze kopie te verwijderen of te anonimiseren.
Het is belangrijk op te merken dat de AVG bepaalt dat het recht van de betrokkenen om een kopie van hun persoonsgegevens te verkrijgen geen afbreuk mag doen aan de rechten en vrijheden van anderen. Indien een document ook vertrouwelijke informatie bevat over anderen, moet een belangenafweging worden gemaakt. Indien mogelijk is het aan te raden dat de betrokkene een afschrift ontvangt waarin deze vertrouwelijke informatie onleesbaar is gemaakt. Dit mag in principe geen reden zijn om de inzage te weigeren.
Ik heb een ‘privacy@[advocaat].be’ e-mailadres in mijn privacyverklaring. Een cliënt oefent zijn recht van inzage evenwel uit via een bericht op sociale media. Moet ik hieraan gevolg geven?
U moet de termijnen voor de ontvangstbevestiging en het beantwoorden van een verzoek respecteren ook wanneer het verzoek niet werd ingediend volgens de procedure (bijv. via het specifieke e-mailadres) voorzien in de privacyverklaring aan de betrokkene.
Ook interessant
Advies 344
Gerelateerd nieuws
Ontwikkelde u een digitale tool om uw kantoorwerking te versterken?
Steeds meer advocaten ontwikkelen zelf digitale oplossingen die hun kantoorwerking efficiënter, klantgerichter of duurzamer maken. Die innovatie willen we in de kijker plaatsen in een nieuwe rubriek op de website van de Orde van Vlaamse Balies: “AI van en voor confraters.”
Vervalt uw advocatenkaart binnenkort?
Vanaf augustus 2025 vervallen heel wat advocatenkaarten. Ook in de maanden nadien zullen nog heel wat kaarten hun geldigheid verliezen. De kans is dus reëel dat ook uw kaart binnenkort moet worden vervangen. Lees hoe u dat eenvoudig doet.
Nieuwe sessie online over AI en het opstellen van documenten
Artificiële Intelligentie wordt steeds vaker deel van onze dagelijkse praktijk. Met Expeditie Digitaal ontdekt u hoe eenvoudige AI-toepassingen uw dagelijkse praktijk kunnen versterken. In drie korte online sessies tonen we hoe u AI vandaag al kunt inzetten in de verschillende fases van een dossier. Daarmee sluiten we aan op onze bestaande AI-richtlijnen. In deze nieuwe sessie focussen we op het opstellen van documenten en hoe slimme automatisering u kan ondersteunen bij het opstellen van ontslagdocumenten en processtukken.
Nieuwe sessie online over AI en dossieronderzoek
Artificiële Intelligentie wordt steeds vaker deel van onze dagelijkse praktijk. Met Expeditie Digitaal ontdekt u hoe eenvoudige AI-toepassingen uw dagelijkse praktijk kunnen versterken. In drie korte online sessies tonen we hoe u AI vandaag al kunt inzetten in de verschillende fases van een dossier. Daarmee sluiten we aan op onze bestaande AI-richtlijnen.
Nieuwe online reeks: AI slim inzetten in uw advocatenpraktijk
Artificiële Intelligentie wordt steeds vaker deel van onze dagelijkse praktijk. Met Expeditie Digitaal ontdekt u hoe eenvoudige AI-toepassingen uw dagelijkse praktijk kunnen versterken. In drie korte online sessies tonen we hoe u AI vandaag al kunt inzetten in de verschillende fases van een dossier.
EU versoepelt GDPR-registerplicht voor middelgrote ondernemingen
De Europese Commissie wil de administratieve lasten voor middelgrote ondernemingen verlichten. Bedrijven met maximaal 750 werknemers en een jaaromzet tot 150 miljoen euro zouden binnenkort vrijgesteld kunnen worden van de GDPR-registerplicht — tenzij hun gegevensverwerking een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen.
Rechtstaat en digitale uitdagingen: een Europese blik vooruit
De rechtstaat staat onder druk. Wat betekent dit fundamentele principe vandaag nog in een Europa dat geconfronteerd wordt met toenemende uitdagingen op het vlak van mensenrechten, toegang tot justitie en technologische regulering? Neem deel aan de studiedag daarover op 23 mei 2025.
Toegang Rijksregister - twee extra velden
Op 23 december 2024 breidde de minister van Binnenlandse Zaken de toegangsrechten van advocaten tot het Rijksregister uit. Dankzij die nieuwe machtiging, die minstens één jaar geldig blijft, kunnen advocaten voortaan twee extra gegevens uit het Rijksregister raadplegen.
Toegang Databank voor de Akten van de Burgerlijke Stand
Sinds 1 januari 2025 is de toegang van advocaten tot de Databank voor de Akten van de Burgerlijke Stand (DABS) ingeperkt. Nieuwe wettelijke bepalingen vereisen een protocol tussen de Ordes en de FOD Justitie, maar ondanks onze inspanningen is dit protocol nog niet opgesteld. Daardoor ondervinden advocaten moeilijkheden bij het verkrijgen van akten van de burgerlijke stand.