Nieuw wetsontwerp streeft naar taalevenwicht in Brusselse justitiële organen
Schijven waarop erelonen curatoren berekend worden voor vijfde keer verhoogd met 5%
Bijzondere categorieën van persoonsgegevens en strafrechtelijke gegevens
De advocaat verwerkt vaak bijzondere categorieën van persoonsgegevens of strafrechtelijke gegevens van cliënten. Daarnaast verwerkt hij ook gezondheidsgegevens van zijn werknemers.
De verwerking van die persoonsgegevens is slechts toegelaten wanneer één van de uitzonderingen in artikel 9.2 AVG van toepassing is.
Wanneer u bijzondere categorieën van persoonsgegevens en/of strafrechtelijke gegevens verwerkt, gelden daarenboven nog enkele specifieke verplichtingen die voortvloeien uit de (Belgische) Wet Bescherming Persoonsgegevens.
We leggen u de uitzonderingsgevallen uit en aan welke specifieke verplichtingen u moet voldoen als advocaat.
Wat u moet weten
Bijzondere categorieën van persoonsgegevens
De verwerking van bijzondere categorieën van persoonsgegevens is aan strenge regels onderworpen.
Bijzondere categorieën van persoonsgegevens zijn persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, genetische gegevens, biometrische gegevens, gegevens over gezondheid, of gegevens met betrekking tot seksueel gedrag of seksuele gerichtheid.
De advocaat verwerkt bijzondere categorieën van persoonsgegevens van (particuliere) cliënten in functie van de rechtsdomeinen waarin de advocaat actief is (bijvoorbeeld medisch recht of vreemdelingenrecht). Daarnaast verwerkt een advocaat ook gezondheidsgegevens van zijn werknemers (bijvoorbeeld ziektebriefjes).
De verwerking van deze persoonsgegevens is slechts toegelaten wanneer één van de uitzonderingen in artikel 9.2 AVG van toepassing is. Daarnaast is ook nog steeds een rechtsgrond onder artikel 6 AVG noodzakelijk.
Artikel 9.2 AVG bevat een lijst met 10 uitzonderingen op het verbod om bijzondere persoonsgegevens te verwerken. Die uitzonderingen moeten restrictief geïnterpreteerd worden. In het kader van de advocatuur zijn de volgende uitzonderingen relevant:
- Artikel 9.2 b) AVG laat de advocaat toe om bijzondere categorieën van persoonsgegevens van zijn personeel te verwerken voor zover die verwerking noodzakelijk is voor de naleving van zijn arbeids- en sociaalrechtelijke verplichtingen als werkgever.
- Artikel 9.2 f) AVG laat de advocaat toe om bijzondere categorieën van persoonsgegevens van cliënten te verwerken indien die verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering (Overeenkomstig overweging 52 AVG, kan het gaan om een rechtsvordering in een gerechtelijke procedure dan wel in een administratieve of buitengerechtelijke procedure. De uitzondering omvat dus ook de juridische adviesverlening door de advocaat.). Voor rechtsvorderingen kan het bij uitbreiding ook noodzakelijk zijn om bijzondere categorieën van persoonsgegevens te verwerken van de tegenpartij.
- Artikel 9.2 a) AVG voorziet meer algemeen dat de verwerking van bijzondere categorieën van persoonsgegevens ook toegestaan is wanneer de advocaat daartoe de uitdrukkelijke toestemming heeft gekregen van de betrokkene. Deze rechtsgrond zal in de praktijk slechts beperkt toepassing vinden. Er zijn weinig situaties denkbaar waarin de advocaat bijzondere categorieën van persoonsgegevens zal verwerken die los staan van zijn arbeids- en sociaalrechtelijke verplichtingen als werkgever en van zijn juridische dienstverlening. Lees meer informatie over het verkrijgen van toestemming van werknemers.
Strafrechtelijke gegevens
Artikel 10 AVG bevat een principieel verbod op de verwerking van persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten behoudens onder toezicht van de overheid of indien die verwerking is toegestaan bij wet.
Daarnaast is ook nog steeds een rechtsgrond onder artikel 6 AVG noodzakelijk.
De advocaat kan strafrechtelijke persoonsgegevens verwerken in het kader van sollicitaties, juridische dienstverlening aan cliënten (bijvoorbeeld bij de behandeling van strafzaken) en zijn eigen geschillenbeheer (bijvoorbeeld bij een inbraak op kantoor).
Artikel 10 Wet Bescherming Persoonsgegevens geeft uitvoering aan artikel 10 AVG en bevat enkele wettelijke uitzonderingen op het verbod om strafrechtelijke gegevens te verwerken. Die uitzonderingen moeten restrictief geïnterpreteerd worden. In het kader van de advocatuur zijn de volgende uitzonderingen relevant:
- Artikel 10, §1, 1° Wet Bescherming Persoonsgegevens laat de advocaat toe om strafrechtelijke gegevens te verwerken indien dat noodzakelijk is voor het beheer van de eigen geschillen van de advocaat (onder meer met cliënten, personeel, leveranciers, derden)
- Artikel 10, § 1, 2° Wet Bescherming Persoonsgegevens laat de advocaat toe om strafrechtelijke gegevens te verwerken indien dat noodzakelijk is voor de verdediging van de belangen van zijn cliënten. Bij uitbreiding kan het ook noodzakelijk zijn om strafrechtelijke gegevens te verwerken van andere partijen, bijvoorbeeld van de verdachte bij een burgerlijke partijstelling.
- Artikel 10, §1, 5° Wet Bescherming Persoonsgegevens voorziet dat de verwerking van strafrechtelijke gegevens ook toegestaan is wanneer de advocaat daartoe de uitdrukkelijke toestemming heeft gekregen van de betrokkene. Er zijn echter niet meteen situaties denkbaar waarin de advocaat strafrechtelijke gegevens zou kunnen verwerken, los van zijn eigen geschillenbeheer of juridische dienstverlening aan cliënten.
De aanstelling van een functionaris voor gegevensbescherming (‘DPO’)
Advocaten wiens hoofdactiviteit bestaat in de grootschalige verwerking van bijzondere categorieën van gegevens of strafrechtelijke gegevens moeten verplicht een DPO aanstellen.
Advocaten die hoofdzakelijk gespecialiseerd zijn in rechtsdomeinen die steeds gepaard gaan met de verwerking van bijzondere categorieën van persoonsgegevens (bijvoorbeeld medisch recht, vreemdelingenrecht) hebben als hoofdactiviteit de verwerking van bijzondere categorieën van persoonsgegevens. De vraag stelt zich of en wanneer een dergelijke verwerking dan grootschalig is.
Een verwerking van persoonsgegevens door een individuele advocaat wordt in elk geval niet als grootschalig beschouwd. Een advocaat die niet aan deze voorwaarden voldoet, moet geen DPO aanstellen maar kan dat wel vrijwillig doen.
Het uitvoeren van een gegevensbeschermingseffectbeoordeling (‘GEB’)
Een GEB is verplicht wanneer de verwerking "waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen".
De AVG bepaalt dat dit het geval is bij een grootschalige verwerking van bijzondere categorieën van persoonsgegevens of van strafrechtelijke persoonsgegevens.
Advocaten wiens juridische dienstverlening gepaard gaat met een grootschalige verwerking van bijzondere categorieën van persoonsgegevens of strafrechtelijke gegevens moeten dus verplicht een GEB uitvoeren.
Een verwerking is niet grootschalig als die wordt uitgevoerd door een (individuele) advocaat. Voor een advocaat die niet aan deze voorwaarden voldoet, is een GEB met betrekking tot zijn juridische dienstverlening niet vereist.
Wat u moet doen
U mag enkel bijzondere categorieën van persoonsgegevens en strafrechtelijke persoonsgegevens verwerken in de uitzonderingsgevallen waarin de AVG dit toestaat. Lees meer over het uittreksel uit het strafregister bij de aanwerving van advocaten.
In elke andere omstandigheid moet u zich ervan onthouden om bijzondere categorieën van persoonsgegevens of strafrechtelijke gegevens op te vragen of, wanneer deze persoonsgegevens spontaan worden opgebracht door de betrokkene (bijvoorbeeld in het kader van een sollicitatiegesprek), om daar nota van te nemen en die informatie bij te houden.
Wanneer u bijzondere categorieën van persoonsgegevens en/of strafrechtelijke gegevens verwerkt, gelden daarenboven nog enkele specifieke verplichtingen die voortvloeien uit de (Belgische) Wet Bescherming Persoonsgegevens. (Artikel 9.4 AVG laat lidstaten toe om bijkomende voorwaarden en beperkingen op te leggen aan de verwerking van een aantal bijzondere categorieën van persoonsgegevens. In België wordt hier invulling aan gegeven aan deze mogelijkheid in artikel 9 en 10.2 Wet Bescherming Persoonsgegevens.)
Zo moet u een interne lijst opstellen die per categorie van personen (bijvoorbeeld HR-manager, dossierbeheerder) aangeeft tot welke bijzondere categorieën van persoonsgegevens en strafrechtelijke gegevens zij toegang hebben, inclusief een nauwkeurige omschrijving van hun hoedanigheid. Die lijst moet u ter beschikking houden van de Gegevensbeschermingsautoriteit.
Verder moet u ervoor zorgen dat deze personen gehouden zijn het vertrouwelijk karakter van de persoonsgegevens in acht te nemen door een wettelijke of statutaire verplichting (dat is het beroepsgeheim voor advocaten) of door een evenwaardige contractuele bepaling (voor werknemers).
Indien u op grote schaal bijzondere categorieën van persoonsgegevens of strafrechtelijke gegevens verwerkt, moet u verplicht een DPO aanstellen en een GEB uitvoeren.
Ook wanneer u niet verplicht bent om een DPO aan te stellen, is het alsnog aanbevolen om op vrijwillige basis een persoon aan te duiden die verantwoordelijk is voor de implementatie en opvolging van de naleving van de AVG.
Indien u die persoon (vrijwillig) tot DPO benoemt, moet u ook aan alle verplichtingen die de GDPR oplegt voor de aanstelling van een DPO voldoen. Dat kan u vermijden tot deze persoon niet als DPO aan te stellen, maar bijvoorbeeld als privacy manager, GDPR coördinator, etc.
Praktische richtsnoeren/templates
De Gegevensbeschermingsautoriteit heeft op haar website een thema uitgewerkt over gevoelige gegevens.
Er is op dit moment nog geen concrete beslissingspraktijk van de Gegevensbeschermingsautoriteit in verband met de vraag wanneer er sprake is van een grootschalige verwerking van bijzondere categorieën van gegevens of strafrechtelijke gegevens (in het kader van een hoofdactiviteit) waardoor de verplichting bestaat om een DPO aan te stellen of een GEB uit te voeren. De volgende richtsnoeren kunnen alsnog als leidraad dienen:
- De EDPB heeft enkele voorbeelden opgenomen in de richtlijnen voor functionarissen voor gegevensbescherming (bijvoorbeeld verwerking door ziekenhuizen, banken, een stad, internationale fastfoodketen, enz).
- In Nederland heeft de Autoriteit Persoonsgegevens in haar thema over gezondheid opgenomen dat zorgaanbieders op grote schaal gegevens verwerken indien zij meer dan 10.000 ingeschreven patiënten hebben of gemiddeld meer dan 10.000 patiënten per jaar behandelen en die gegevens in één informatiedossier opgenomen zijn. In dat geval is de aanstelling van een DPO verplicht. Mogelijk kan voor de verwerkingen door een advocaat / advocatenkantoor een parallel worden getrokken.
Frequently Asked Questions
Er bestaat volgens de AVG een verbod op de verwerking van bijzondere categorieën van persoonsgegevens. Kan ik het medisch dossier of het strafdossier van mijn cliënt inkijken zonder een inbreuk te begaan op de AVG en op welke wettelijke basis?
Wanneer u een schadevergoedingsactie voorbereidt op basis van een medische fout, is het noodzakelijk dat u het medisch dossier van uw cliënt inkijkt. Dat geldt evenzeer wanneer u een cliënt bijstaat in het kader van een strafrechtelijk onderzoek, waarbij u om inzage kan vragen in het strafdossier en er kopieën van kan nemen.
U beschikt overeenkomstig artikel 9.2 f) AVG (instelling, uitoefening of onderbouwing van een rechtsvordering) over een wettelijke uitzondering om die gegevens in te kijken.
De rechtsgrond voor de verwerking is overeenkomstig artikel 6.1 b) AVG het uitvoeren van een overeenkomst voor juridische dienstverlening met de cliënt en, voor wat betreft de persoonsgegevens van andere partijen, het gerechtvaardigd belang dat voortvloeit uit de belangenverdediging van uw cliënt conform artikel 6.1, f) AVG.
Ik kan als advocaat beroep doen op een uitzondering op het verbod van de verwerking van bijzondere categorieën van persoonsgegevens en strafrechtelijke gegevens. Moet ik aan bijkomende voorwaarden voldoen volgens de AVG of de Belgische wetgeving?
U moet een interne lijst opstellen en per functie (bijvoorbeeld HR-manager, dossierbeheerder, …) te bepalen tot welke persoonsgegevens zij toegang hebben (bijvoorbeeld gezondheidsgegevens van personeel, strafrechtelijke gegevens van cliënten) en door welke vertrouwelijkheidsverplichting zij gebonden zijn (i.e. beroepsgeheim of contractuele vertrouwelijkheidsverplichting). Die lijst moet ter beschikking worden gehouden van de Gegevensbeschermingsautoriteit.