Ga verder naar de inhoud

Beveiliging

Advocaten moeten passende technische en organisatorische beveiligingsmaatregelen nemen die een beveiligingsniveau waarborgen dat is afgestemd op het risico dat gepaard gaat met hun verwerkingen van persoonsgegevens.

Persoonsgegevens die het voorwerp uitmaken van het beroepsgeheim van de advocaat moeten in principe worden beschouwd als gevoelige persoonsgegevens. Dat zijn persoonsgegevens met een hoger risico voor de rechten en vrijheden van de betrokken personen. In lijn met de op risico gebaseerde aanpak van de AVG, moeten die persoonsgegevens dus een hoger niveau van bescherming krijgen dan minder gevoelige persoonsgegevens.

Cybersecurity
Cybersecurity - iStock

Wat u moet weten

De AVG omvat de verplichting om (technische en organisatorische) beveiligingsmaatregelen te nemen. Dat is één van de essentiële beginselen van de verwerking van persoonsgegevens opgenomen in artikel 5 AVG. Die beveiligingsmaatregelen moeten de integriteit, vertrouwelijkheid en beschikbaarheid garanderen van de persoonsgegevens die advocaten verwerken. De beveiligingsplicht wordt verder uitgewerkt in artikel 32 AVG.

Overeenkomstig artikel 32 AVG moeten advocaten passende technische en organisatorische beveiligingsmaatregelen nemen die een beveiligingsniveau waarborgen dat is afgestemd op het risico dat gepaard gaat met hun verwerkingen van persoonsgegevens. Daarbij moet enerzijds rekening gehouden worden met de stand van de techniek en de kosten om die maatregelen toe te passen en anderzijds met de aard van de te beveiligen persoonsgegevens en de potentiële risico’s. De AVG somt enkele voorbeelden van beveiligingsmaatregelen op, zoals onder meer pseudonimisering en versleuteling van persoonsgegevens, het opstellen van een procedure voor het testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking, etc.

Persoonsgegevens die het voorwerp uitmaken van het beroepsgeheim van de advocaat moeten in principe worden beschouwd als gevoelige persoonsgegevens, dat zijn persoonsgegevens met een hoger risico voor de rechten en vrijheden van de betrokken personen. In lijn met de op risico gebaseerde aanpak van de AVG, moeten die persoonsgegevens dus een hoger niveau van bescherming krijgen dan minder gevoelige persoonsgegevens.

Indien ondanks de beveiligingsmaatregelen zich een datalek voordoet, heeft de advocaat een documentatieplicht en in bepaalde gevallen een meldplicht overeenkomstig artikelen 33 en 34 AVG.

Wat u moet doen

U moet een beveiligingsbeleid of beveiligingsmaatregelen implementeren per verwerkingsactiviteit en per bestand, document of programma (“systeem”) waarin persoonsgegevens worden opgeslagen. U moet die verwerkingsactiviteiten en systemen in kaart brengen aan de hand van uw register van verwerkingsactiviteiten. Vervolgens moet u een analyse maken van de risico’s (inclusief de kans en de ernst ervan) voor de betrokkenen van wie de persoonsgegevens worden verwerkt in het kader van die verwerkingen, rekening houdende met de verschillende beveiligingsincidenten die zich kunnen voordoen (menselijk falen, technisch of organisatorisch falen en kwaadwillend handelen). Het beveiligingsbeleid en de genomen beveiligingsmaatregelen moeten niet alleen beveiligingsincidenten vermijden, maar moeten ze ook kunnen identificeren en moeten toelaten om op een gepaste wijze te kunnen ingrijpen.

De Orde van Vlaamse Balies doet hieronder enkele aanbevelingen voor het beveiligingsbeleid en de minimale maatregelen voor verwerkingen door advocaten. Die aanbevelingen moeten worden aangepast en geëvalueerd in het licht van nieuwe richtlijnen en beslissingspraktijken van de toezichthoudende overheden, de Europese toezichthouder of de (inter)nationale rechtbanken.

U kunt met uw IT-leverancier of interne IT verantwoordelijke overlopen of, en op welke manier, u beveiligingsmaatregelen kunt implementeren, controleren en aanpassen rekening houdende met uw praktijk.

Digitale informatiesystemen

Elk digitaal informatiesysteem dat door u wordt gebruikt om persoonsgegevens te verwerken, moet aan de volgende vereisten voldoen:

  1. De systemen maken enkel gebruik van software met een geldige licentie.
  2. Indien de software pseudonimisering en/of versleuteling mogelijk maakt, moet u die functionaliteit gebruiken. U volgt de goede prakrijken op voor de regelgeving en richtlijnen rond de aankoop, beveiliging en updates van software en/of clouddiensten, met inbegrip van eventuele toekomstige normen of aanbevelingen die de Orde van Vlaamse Balies of de lokale Ordes publiceren.
  3. De systemen worden beschermd door een adequate firewall en anti-virussoftware met ten minste de volgende functionaliteiten: het tegenhouden van virussen, spyware, ransomware en andere malware; het waarschuwen voor onveilige links en bijlagen in e-mail; en het scannen naar oorzaken die de performantie van computers verminderen.
  4. De systemen kennen een passende wachtwoordbeveiliging, dat wil zeggen met een voldoende complex paswoord (bijvoorbeeld, minstens 8 tekens lang, die grote letters, kleine letters, een getal en een speciaal teken bevatten); die op geregelde tijdstippen moeten worden aangepast; en gedurende drie jaar niet meermaals kunnen worden gebruikt.
  5. U maakt gebruik van e-mail en opslagdiensten die tenminste beschikken over voldoende encryptie (at rest en in transit) en een adequaat authenticatiesysteem (bijvoorbeeld twee-staps-verificatie). De email-provider doet geen scanning en/of tracering van e-mails voor andere dan technische redenen.. U informeert uw werknemers en medewerkers dat zij voor de uitvoering van hun werk geen gebruik mogen maken van hun privé e-mail of privé opslagdienst in de cloud.

Kantoorruimten

U moet passende maatregelen nemen om de kantoorruimten en in het bijzonder de ruimten waarin de bestanden van cliënten of servers zich bevinden fysiek te beschermen, met inbegrip van maatregelen tegen inbraak, brandschade en waterschade.

Back-up-beleid

Het opstellen en controleren van een back-up beleid is essentieel om ongewenst verlies of onbeschikbaarheid van gegevens te vermijden, zowel voor de digitale als fysieke systemen. Het beleid moet afgestemd zijn op de wettelijke vereisten en uw functionele noden en omvat tenminste de volgende zaken: de frequentie van de back-ups, de locatie (bijvoorbeeld cloud of hard drive) en de toegangsrechten.

Monitoring

U moet voorzien in de monitoring van de genomen beveiligingsmaatregelen, bijvoorbeeld door beroep te doen op een externe partner die een audit uitvoert en/of het trainen van medewerkers om beveiligingsincidenten te herkennen en hierop gepast te reageren.

Evaluatie

Minstens één keer per jaar moeten de genomen beveiligingsmaatregelen worden geëvalueerd door uzelf of door een externe partij, zodat de beveiligingsmaatregelen steeds adequaat en up to date zijn in functie van uw verwerkingsactiviteiten, de handhaving van huidige en nieuwe wetgeving, nieuwe bedreigingen, nieuwe beveiligingstechnologieën, enz.

Vertrouwelijkheid

Tot slot moet u minstens de volgende beveiligingsmaatregelen implementeren voor de vertrouwelijkheid van persoonsgegevens die het voorwerp uitmaken van uw beroepsgeheim:

  1. In lijn met artikel 21 van de Codex Deontologie voor Advocaten zorgt u ervoor dat uw personeel, aangestelden en andere personen die met u in beroepsverband samenwerken, het beroepsgeheim eerbiedigen. Die geheimhoudingsverplichting dient van toepassing te blijven na de beëindiging van de tewerkstelling.
  2. Behoudens de fysieke neerlegging ter griffie of op de zitting, is het sterk aanbevolen dat u conclusies, stukkenbundels en andere documenten met de hoven en rechtbanken via de door de OVB opgezette communicatiekanalen communiceert zoals DPA-Deposit en J-Box.
  3. U classificeert dergelijke persoonsgegevens als strikt vertrouwelijk in uw register van verwerkingsactiviteiten. U zorgt voor een adequate toegangscontrole en, in geval van toegang van op afstand, in een beveiligd kanaal voor dergelijke toegang.

Praktische richt­snoe­ren/templates

De Commissie voor de bescherming van de persoonlijke levenssfeer, de voorganger van de Gegevensbeschermingsautoriteit, heeft aanbeveling nr. 01/2013 van 21 januari 2013 uitgevaardigd betreffende de na te leven veiligheidsmaatregelen ter voorkoming van gegevenslekken. Die aanbeveling wordt momenteel herzien door de Gegevensbeschermingsautoriteit.

Daarnaast heeft de Commissie in december 2014 ook richtsnoeren uitgevaardigd voor de informatiebeveiliging van persoonsgegevens. Dit document streeft de beveiligingscultuur na zoals aanbevolen door de OESO in haar document “Richtlijnen inzake de netwerk- en informatieveiligheid” en is geïnspireerd op onder andere de ISO 27002:2013-norm.

Tot slot is er ook een nota van de Commissie inzake de beveiliging van persoonsgegevens.

Deze documenten zijn op vandaag nog steeds relevant. De door de Commissie gepubliceerde veiligheidsmaatregelen en de ISO 27.002 norm kunnen in dit opzicht een passend algemeen referentiekader bieden.

De Gegevensbeschermingsautoriteit heeft verder aanbeveling nr. 03/2020 uitgevaardigd voor technieken om gegevens op te schonen en gegevensdragers te vernietigen. Op haar website wijdt de Gegevensbeschermingsautoriteit een integraal thema aan informatiebeveiliging waar een praktische samenvatting evenals de voormelde documenten kunnen worden teruggevonden.

Ook de Vlaamse Toezichtcommissie, de toezichthoudende autoriteit verantwoordelijk voor de het toezicht op de naleving van de AVG door de Vlaamse bestuursinstanties, heeft richtlijnen uitgevaardigd voor de verwerking van persoonsgegevens met algemene kantoortoepassingen in de cloud bij lokale besturen. Hoewel die richtlijnen specifiek opgesteld zijn ten aanzien van lokale besturen, zijn deze ook relevant voor advocaten bij het gebruik van kantoortoepassingen in een cloud-model (bijvoorbeeld officepakketten).

Het Europees Comité voor Gegevensbescherming heeft richtsnoeren uitgevaardigd waarin zij voorbeelden geeft van mogelijke beveiligingsincidenten met per type een reeks van preventieve maatregelen die een beveiligingsincident moeten vermijden (bijv. trainingen en opleidingen, beperken van toegang tot gegevens en toegangslogs, firewalls en inbraak preventie- en inbraakdetectiesystemen, etc.).

Download een handleiding voor het encrypteren van bestanden op uw elektronisch toestel.

Frequently Asked Questions

Moet ik het beveiligingsbeleid nagaan van leveranciers van digitale informatiesystemen en andere derde partijen met wie ik samenwerk?

Hoe schat ik de beveiligingsrisico’s voldoende in?