Nieuw wetsontwerp streeft naar taalevenwicht in Brusselse justitiële organen
Schijven waarop erelonen curatoren berekend worden voor vijfde keer verhoogd met 5%
Samenwerkingsverbanden tussen advocaten
Advocaten oefenen hun beroep doorgaans uit in een samenwerkingsverband met andere advocaten. Het soort samenwerkingsverband heeft een invloed op uw verplichtingen binnen de GDPR.
Als zelfstandige ondernemingen kwalificeren de advocaten van een samenwerkingsverband als gezamenlijke verwerkingsverantwoordelijken voor die activiteiten die zij gezamenlijk uitoefenen en die gepaard gaan met de verwerking van persoonsgegevens. U moet dus een overeenkomst opstellen tussen de associatie/groepering en alle individuele advocaten. Maak daarvoor gebruik van ons model voor een overeenkomst voor gezamenlijke verwerkingsverantwoordelijken.
Wat u moet weten
Advocaten oefenen hun beroep doorgaans uit in een samenwerkingsverband met andere advocaten (artikel 170 e.v. Codex Deontologie voor Advocaten). Afhankelijk van de mate van samenwerking, spreken we over groeperingen of associaties.
Een groepering is een samenwerkingsverband waarin de leden enkel contractueel hebben vastgelegd hoe zij gemeenschappelijke diensten ter ondersteuning van de beroepsuitoefening (bijvoorbeeld secretariaatsdiensten, de huur van een kantoor, etc.) organiseren en hoe ze de kosten daarvan onderling delen.
Een associatie is een samenwerkingsverband waarin de leden ook de uitoefening van het beroep van advocaat volledig of gedeeltelijk hebben ingebracht en contractueel hebben vastgelegd hoe tussen hen de baten of verliezen van de uitoefening van het beroep worden verdeeld. Het soort samenwerkingsverband heeft een invloed op uw verplichtingen binnen de GDPR.
Als zelfstandige ondernemingen kwalificeren de advocaten van een samenwerkingsverband als gezamenlijke verwerkingsverantwoordelijken voor die activiteiten die zij gezamenlijk uitoefenen en die gepaard gaan met de verwerking van persoonsgegevens. In een associatie zijn advocaten gezamenlijke verwerkingsverantwoordelijken voor alle verwerkingsactiviteiten binnen die associatie. In een groepering zijn advocaten enkel gezamenlijke verwerkingsverantwoordelijken voor die verwerkingen die plaatsvinden in het kader van de gemeenschappelijke diensten van de groepering, bijvoorbeeld de verwerking van de persoonsgegevens van de gezamenlijke secretaresse. Advocaten blijven afzonderlijk verantwoordelijk voor de verwerkingen buiten die gemeenschappelijke diensten, bijvoorbeeld in het kader van de juridische dienstverlening aan cliënten en hun btw- en boekhoudverplichtingen.
Gezamenlijke verwerkingsverantwoordelijken moeten een onderlinge taakverdeling opstellen waarin zij hun respectieve verantwoordelijkheden voor de nakoming van de verplichtingen van de GDPR vaststellen (artikel 26 AVG). Deze onderlinge regeling moet minstens betrekking hebben op de informatieverplichting en de verplichting tot de uitoefening van de rechten van betrokkenen. Het is wel aangewezen om een verregaandere taakverdeling af te spreken (bijvoorbeeld contactpunt bij vragen en verzoeken van de Gegevensbeschermingsautoriteit, melding van datalekken, etc.).
Tot slot moet ten aanzien van de betrokkenen kenbaar worden gemaakt welke rol de gezamenlijke verwerkingsverantwoordelijken hebben en moet de “wezenlijke” inhoud van de onderlinge taakverdeling aan hen ter beschikking gesteld worden.
Wat u moet doen
Eerst moet u de gezamenlijke verwerkingsactiviteiten identificeren. In het kader van een associatie zijn alle verwerkingsactiviteiten binnen die associatie gezamenlijk. De meest gebruikelijke verwerkingsactiviteiten worden geïdentificeerd in thema 1 (onder de ‘verwerkingsdoeleinden’). Voor een groepering moet u feitelijk nagaan welke verwerkingsactiviteiten plaatsvinden binnen het samenwerkingsverband, dat wil zeggen in het kader van de (contractueel vastgelegde) gemeenschappelijke diensten ter ondersteuning van de beroepsuitoefening. Het gaat bijvoorbeeld om de verwerking van persoonsgegevens in het kader van de huur van een kantoor (verwerking van persoonsgegevens van de (contactpersoon bij de) verhuurder en/of syndicus) of secretariaatsdiensten (verwerking van persoonsgegevens van personeel) en dus niet voor de afzonderlijke verwerkingsactiviteiten in het kader van de btw- en boekhoudverplichtingen en juridische dienstverlening (bijv. verwerking van persoonsgegevens van cliënten).
U stelt vervolgens best een overeenkomst op tussen de associatie/groepering en alle individuele advocaten waarin
- de gezamenlijke verwerkingsactiviteiten worden omschreven (onder meer het doel en de gemeenschappelijke datasystemen die gebruikt worden)
- wordt opgenomen dat de associatie/groepering en de individuele advocaten als gezamenlijke verwerkingsverantwoordelijken optreden
- de verplichtingen in de GDPR worden verdeeld tussen de associatie/groepering en de individuele advocaten
In het kader van een associatie is een logische taakverdeling dat de associatie alle GDPR verplichtingen op zich neemt en de individuele advocaten een bijstandsverplichting hebben bij de volgende verplichtingen:
- Het beantwoorden van vragen en verzoeken van de Gegevensbeschermingsautoriteit;
- Het opstellen van privacyverklaringen. De individuele advocaat zou de nodige ontwerpen ter goedkeuring kunnen voorleggen aan de vennoten;
- Het beantwoorden van verzoeken van betrokkenen. De associatie kan één of meerdere individuele advocaten aanstellen voor het opvolgen van de mailbox waar verzoeken van betrokkenen binnen komen. De individuele advocaten behouden hier ook een eigen verplichting. Artikel 26.3 AVG bepaalt immers dat betrokkenen, ongeacht de onderlinge regeling, elke gezamenlijke verwerkingsverantwoordelijke kunnen aanspreken voor de uitoefening van zijn rechten;
- Het melden van datalekken. De individuele advocaten zijn best gebonden door een vertrouwelijkheids-en beveiligingsverbintenis (om datalekken te vermijden) en worden best verplicht het interne beleid inzake datalekken na te leven (zodat datalekken binnen het kantoor tijdig ontdekt worden);
- Het afsluiten van de nodige verwerkersovereenkomsten. Individuele advocaten moeten bijstand verlenen door het identificeren van de samenwerkingen en doorgiftes waarvoor een overeenkomst vereist is die dan afgesloten wordt door de associatie.
Aangezien de associatie alle verplichtingen op zich neemt, voorziet u best ook dat de individuele advocaat de associatie moet vrijwaren en schadeloosstellen indien een klacht of vordering te wijten is aan de niet-naleving van zijn verplichtingen.
Vervolgens moet u ervoor zorgen dat elke bestaande medewerker, maar ook elke nieuwe medewerker bij zijn indiensttreding deze overeenkomst tekent. Die getekende overeenkomsten moeten gelet op de verantwoordingsplicht goed bijgehouden worden.
Tot slot, moet u uitdrukkelijk in de privacyverklaringen voor de gezamenlijke verwerkingsactiviteiten vermelden dat het samenwerkingsverband en de individuele advocaten kwalificeren als gezamenlijke verwerkingsverantwoordelijken. Zo kan u bijvoorbeeld een verwijzing opnemen naar het team op de website van het kantoor. Daarnaast moet u ook de contactgegevens opnemen voor de uitoefening van de rechten van betrokkenen met de vermelding dat de onderlinge taakverdeling steeds opgevraagd kan worden. Indien een betrokkene daarom verzoekt, vat u vervolgens kort de taakverdeling samen.
Praktische richtsnoeren/templates
De OVB heeft een model opgemaakt voor advocaten waarin de onderlinge taakverdeling tussen het kantoor en de medewerkers opgenomen is.
Wat betreft de kwalificatie als gezamenlijke of afzonderlijke verwerkingsverantwoordelijken heeft het Europees Comité voor Gegevensbescherming richtsnoeren uitgevaardigd met ook enkele voorbeelden die kunnen helpen bij het identificeren van de gezamenlijke verwerkingen.
Frequently Asked Questions
Kwalificeren we als gezamenlijke verwerkingsverantwoordelijken wanneer we gebruik maken van hetzelfde dossier management systeem in het kader van de juridische dienstverlening binnen onze groepering?
In het kader van de juridische dienstverlening aan cliënten, lijkt de loutere beslissing om gebruik te maken van hetzelfde dossier management systeem (bijv. Kleos) zonder meer – bijvoorbeeld zonder inzage in cliënten van de andere advocaat of zonder een winstdeling –niet voldoende om te spreken van een gezamenlijke verwerkingsactiviteit met de andere advocaten in deze groepering. Bijgevolg kwalificeert u als afzonderlijke verwerkingsverantwoordelijken voor de verwerking van persoonsgegevens van cliënten in het kader van de juridische dienstverlening.
Moet ik als advocaat in een groepering de GDPR-organisatie regelen op het niveau van mijn eigen vennootschap of op het niveau van de groepering?
In een groepering moet u eerst en vooral een onderscheid maken tussen de afzonderlijke verwerkingsactiviteiten (bijv. verwerking van persoonsgegevens van cliënten voor de boekhouding en btw) en de gezamenlijke verwerkingsactiviteiten (bijv. verwerking van persoonsgegevens van de gezamenlijke secretaresse).
Wat betreft de afzonderlijke verwerkingsactiviteiten moet u als advocaat uw eigen GDPR-organisatie (eigen privacyverklaringen, eigen verwerkersovereenkomsten, etc.) hebben op het niveau van uw vennootschap.
Wat betreft de gezamenlijke verwerkingsactiviteiten blijft iedere advocaat wel onderworpen aan de verplichtingen van de GDPR, maar bent u verplicht om een onderlinge taakverdeling af te spreken om de verschillende GDPR verplichtingen toe te wijzen aan één van de advocaten (die deze verplichtingen dan in naam van hen beiden naleeft). Het volstaat dus om één privacyverklaring (per categorie van betrokkenen of bijvoorbeeld voor de website), één verwerkersovereenkomst per verwerker, etc. op te stellen; weliswaar in naam van alle vennootschappen. Bijgevolg situeert de GDPR-organisatie voor de gezamenlijke verwerkingsactiviteiten zich hier in de praktijk op het niveau van de groepering.