Ga verder naar de inhoud

Register van ver­wer­kings­ac­ti­vi­tei­ten

Elke advocaat, ongeacht de omvang van zijn kantoor, moet als verwerkingsverantwoordelijke een register opstellen en bijhouden van alle verwerkingsactiviteiten (artikel 30 AVG). Dat is geen register van de verwerkte persoonsgegevens. Het register omschrijft de verwerkingsactiviteiten van de advocaat, zonder opname van de concrete persoonsgegevens.

Persoonsgegevens

Deel dit artikel

Wat u moet weten

Het is vooreerst belangrijk om te weten wat persoonsgegevens zijn en wanneer er sprake is van de verwerking van persoonsgegevens.

Persoonsgegevens zijn alle gegevens die informatie bevatten over een geïdentificeerd persoon of een persoon die identificeerbaar is, dat wil zeggen die onderscheiden kan worden binnen een bepaalde groep, de zogenaamde betrokkenen. Het gaat om iemands naam, (privé of professioneel) adres, telefoonnummer, e-mailadres, diens persoonlijke situatie, beroepsprestaties, lidmaatschap, rekeningnummer, locatie, … Ook een IP adres dat via een cookie wordt verzameld of een rijksregisternummer is een persoonsgegeven.

Het is irrelevant of de gegevens objectief of subjectief zijn, juist of fout, bewezen of onbewezen, publiek beschikbaar, etc. Het moet wel gaan om een levende, natuurlijke persoon. Gegevens over een overledene of een rechtspersoon zijn geen persoonsgegevens in de zin van de AVG. Let uiteraard wel op met de gegevens over bijvoorbeeld een eenmanszaak. Die zullen ook vaak informatie bevatten over de natuurlijke persoon ‘achter’ de eenmanszaak.

Er is sprake van de verwerking van persoonsgegevens wanneer de persoonsgegevens worden geraadpleegd, verzameld, doorgegeven, ter beschikking gesteld of op gelijk welke andere manier worden gebruikt op voorwaarde dat dit ‘gebruik’ verloopt via een geautomatiseerd proces, bijvoorbeeld via een computer of een router, of via een gestructureerd papieren bestand. De gegevensbeschermingsautoriteiten zijn al snel van oordeel dat er sprake is van verwerking. Ook (handgeschreven) notities van een telefoongesprek, de evaluatie van een medewerker, etc. betreft de verwerking van persoonsgegevens.

Het register van verwerkingsactiviteiten omschrijft alle verwerkingen. Het moet met name de volgende zaken omvatten (artikel 30 AVG): de naam en contactgegevens van de advocaat en/of zijn kantoor, desgevallend ook de naam en contactgegevens van de functionaris voor gegevensbescherming, de verwerkingsdoeleinden, de categorieën van betrokkenen en de categorieën van persoonsgegevens, de categorieën van verwerkers, gezamenlijke verwerkingsverantwoordelijken en andere ontvangers en desgevallend dat zij buiten de EER gevestigd zijn, (een verwijzing naar) de relevante documenten voor doorgiftes buiten de EER, de bewaartermijnen en een algemene omschrijving van de technische en organisatorische beveiligingsmaatregelen.

Het register van verwerkingsactiviteiten is de eerste informatiebron voor de toezichthoudende autoriteit. Het dient als eerste bewijsmiddel van de advocaat om aan te tonen dat hij/zij conform de AVG persoonsgegevens gebruikt. Het is dan ook van bijzonder belang om dat register op te stellen en bij te houden.

twee mensen die samen aan een computer werken
twee mensen die samen aan een computer werken - Unsplash

Wat u moet doen

U bouwt uw register op vertrekkende van de verschillende doeleinden waarvoor u als advocaat persoonsgegevens verwerkt. U moet inderdaad ten laatste op het ogenblik waarop de persoonsgegevens worden verzameld het doeleinde van de verwerking afbakenen. Zo zal u persoonsgegevens van cliënten verwerken voor het verstrekken van juridische dienstverlening aan de cliënt, het verzenden van nieuwsbrieven en andere commerciële berichten, … Een overzicht van de meest voorkomende doeleinden binnen een advocatenkantoor leest u verder bij de praktische richtsnoeren op deze pagina.

In functie van deze doeleinden, moet u in de eerste plaats bepalen welke categorieën van persoonsgegevens u daadwerkelijk nodig heeft en hoelang u die zal bijhouden; meer informatie over de bewaartermijnen volgt in het volgende thema van deze GDPR-wijzer. U moet ook op regelmatige tijdstippen nagaan of de persoonsgegevens nog correct zijn rekening houdende met deze doeleinden, bijvoorbeeld aan de hand van de KBO. Tot slot zal u die persoonsgegevens niet zonder meer kunnen aanwenden voor andere doeleinden. Wanneer u bijv. opkomt tijdens verkiezingen, mag u uw cliëntendatabank niet gebruiken voor het versturen van verkiezingsmateriaal tenzij u daarvoor de toestemming van de cliënt heeft ontvangen.

Nadat u alle doeleinden heeft geïdentificeerd, neemt u voor elk van deze doeleinden de verplichte vermeldingen in overeenstemming met artikel 30 AVG op in uw register. Daarnaast is het aan te raden om ook de volgende zaken op te nemen:

  • De naam en contactgegevens van de (interne) verantwoordelijke voor het register;
  • De rechtsgrond voor de verwerking;
  • De wijze waarop de betrokkenen werden geïnformeerd;
  • De kwalificatie van de ontvangers (als verwerkers, gezamenlijke verwerkingsverantwoordelijken of derde ontvangers).

2. Identificatie van en informatie omtrent de verschillende soorten verwerkingsactiviteiten

We hebben een lijst opgesteld met de meest gebruikelijke doeleinden waarvoor een advocatenkantoor persoonsgegevens verwerkt.

Per doeleinde is een verwerkingsfiche beschikbaar met concrete informatie die u kan opnemen in uw register voor zover van toepassing op uw kantoor.

Elke verwerkingsfiche bevat concrete informatie voor één of meerdere van de volgende zaken, voor zover daarvoor een bijzonder aandachtspunt bestaat voor de advocaat:

  • De omschrijving van het doel van de verwerking, met in begrip van relevante categorieën van persoonsgegevens en bewaartermijn;
  • De identificatie van de categorieën van betrokkenen (bijvoorbeeld cliënten, werknemers);
  • De meest geschikte grondslag(en) voor de verwerking;
  • De verplichtingen inzake transparantie en rechten van betrokkenen;
  • (De kwalificatie van) de ontvangers (bijvoorbeeld de advocaat van de tegenpartij, gerechtelijke instanties, de tegenpartij zonder advocaat) en (indien van toepassing) specifieke richtsnoeren/verplichtingen inzake de vereiste contractuele afspraken;
  • De analyse van de noodzaak tot de aanstelling van een DPO;
  • De analyse van de noodzaak tot het opstellen (en de eventuele uitwerking) van een gegevensbeschermingseffectbeoordeling;
  • Andere technische en organisatorische maatregelen die nuttig/verplicht zijn.

U kan de informatie in deze fiches, voor zover die correct is voor uw verwerkingen, overnemen in uw register.

Download de verwerkingsfiches

Overzicht ver­wer­kings­doel­ein­den advocatuur

Binnen een advocatenkantoor onderscheiden we gebruikelijk volgende verwerkingsdoeleinden:

Verwerkingen inzake personeel (HR)

  • Aanwerving
  • Personeelsbeheer
  • Loonadministratie
  • Verzekeringen personeel
  • Veiligheid en welzijn personeel
  • Toegang tot infrastructuur (mailboxen, server en kasten)
  • Uitdiensttreding

Verwerkingen inzake cliënteel

  • Juridische dienstverlening aan cliënten
  • Verwerkingen in het kader van standaarddiensten aan cliënten
  • Naleving van witwaspreventie- en anti-fraudewetgeving
  • Organisatie van seminaries en evenementen
  • Nieuwsbrieven en andere commerciële communicaties

Verwerkingen inzake leveranciers/business partners (B2B)

  • B2B beheer

Verwerkingen in het kader van de organisatie van het kantoor

  • Corporate housekeeping
  • Facturatie en boekhouding
  • Geschillenbeheer

Verwerkingen met het oog op de beveiliging van het kantoor

  • Toegangscontrole
  • Camerabewaking

Verwerkingen via de website

  • Cookies
  • Contactformulieren

Frequently Asked Questions

Bestaat er voor eenmans- en kleine kantoren (KMO’s) een uitzondering op de verplichting tot het bijhouden van een register?

Moet ik mijn register ook publiekelijk op mijn website plaatsen?

Ik heb de verwerkingsactiviteiten in kaart gebracht en een register opgesteld. Moet mijn register later worden aangepast?