We hebben de voorbije jaren heel wat cliënten bijgestaan met advies inzake GDPR compliance. Daarbij was het vaak zo druk dat we nog geen gelegenheid hadden om eens stil te staan bij onze eigen rol in het kader van GDPR wanneer we voor onze cliënten aan de slag gaan.
Is jouw advocaat een verwerker met wie je een verwerkersovereenkomst moet afsluiten of is hij of zij een verantwoordelijke voor de verwerking (met wie je ook best schriftelijke afspraken maakt over de wijze waarop uw data bewaard en gebruikt wordt, overigens)…? We lichten dit graag even toe in dit artikel.
Dit artikel dateert van 21 sept 2018, maar onderging een update op 5 januari 2021.
Verwerker of verantwoordelijke?
Het antwoord klinkt precies zoals je het zou verwachten van een advocaat: “het hangt er een beetje van af…”
De eerste reflex, en een veel voorkomende fout bij de toepassing van de GDPR regels, is om er van uit te gaan dat je advocaat automatisch wel een verwerker moet zijn omdat hij of zij dienstverlener is van zijn of haar cliënten. Je geeft persoonsgegevens door aan je advocaat, die vervolgens met die gegevens aan de slag gaat om je een dienst te verlenen, hij moet dus wel een verwerker van persoonsgegevens zijn met wie je een verwerkersovereenkomst moet afsluiten?
Wel, zo eenvoudig ligt het niet. Bovenstaande redenering zien we geregeld, niet alleen in de relatie advocaat-cliënt, maar in het kader van allerlei dienstverlenende beroepen zoals accountants, boekhouders, artsen, consultants, …
Maar het loutere feit dat iemand een dienst aan jou verleent is niet het doorslaggevende element om te bepalen of hij of zij al dan niet verwerker is in de zin van de GDPR. Om daartoe te besluiten zijn er twee criteria die beantwoord moeten worden:
- bepaalt jouw dienstverlener (mee) het “doel” van de verwerking?
- bepaalt jouw dienstverlener (mee) de middelen die ingezet worden om dat doel te bereiken?
Als het antwoord op bovenstaande vragen positief is, dan is jouw dienstverlener (in ons geval jouw advocaat) niet louter een verwerker in jouw opdracht, maar is hij of zij een zelfstandige “verantwoordelijke voor de verwerking van persoonsgegevens”. Eventueel en afhankelijk van de omstandigheden is hij of zij dan samen met jou gezamenlijk verantwoordelijke.
Het antwoord op de vraag is van belang omdat de verantwoordelijkheden en aansprakelijkheden van een verantwoordelijke voor de verwerking veel verder gaan dan die van een loutere verwerker en natuurlijk omdat je met een verwerker een verwerkersovereenkomst moet afsluiten.
Een interessant criterium om te bepalen of jouw advocaat een verantwoordelijke of een verwerker is, wordt door de Working Party 29 (het Europese overlegorgaan inzake privacy en databescherming) aangedragen. Zij stellen dat als een dienstverlener een “traditionele rol en professionele deskundigheid” heeft, dat meestal betekent dat deze “het doel en de middelen voor verwerking (mee) zal bepalen”, en dus in vele gevallen de rol van verantwoordelijke voor de verwerking zal verkrijgen.
Specifiek met betrekking tot advocaten stellen ze vast dat in situaties waarin een “advocaat zijn cliënt vertegenwoordigt in de rechtbank, en in verband met deze missie, persoonsgegevens verwerkt die verband houden met de zaak van de cliënt”, de advocaat een verantwoordelijke voor de verwerking is. De advocaat bepaalt immers het “doel” in de zin dat hij of zij bepaalt welke jouw juridische positie is (kan je schadevergoeding claimen, kan je het staken van een bepaalde handeling vorderen, …) en hij of zij bepaalt de middelen (welke procedure er gevoerd moet worden, welke argumenten ingezet kunnen worden, …). Het idee is dat de verwerking van gegevens een nevenfunctie is die geheel (of gedeeltelijk) wordt bepaald door de advocaat onafhankelijk van de cliënt, moet de verwerking van de advocaat worden gezien als die van een verantwoordelijke.
Ook in zijn adviesfunctie, is de advocaat eerder een verantwoordelijke voor de verwerking dan een verwerker. Een advocaat moet worden beschouwd als een verantwoordelijken voor de verwerking wanneer hij of zij persoonlijke gegevens over een derde partij ontvangt om de klant te adviseren over zijn rechten ten aanzien van de gegevens van die derde.
Altijd verantwoordelijke?
Jouw advocaat is echter niet altijd verantwoordelijke voor de verwerking van persoonsgegevens. De Working Party 29 stelt vast dat in sommige situaties een advocaat ook optreedt als een verwerker in jouw opdracht. Dat zou bijvoorbeeld het geval kunnen zijn als je een advocaat aanstelt met het specifieke doel om gegevens te “verwerken” (bvb een onderzoek naar de kredietwaardigheid van een contractspartij, een puur uitvoerende opdracht in bvb incasso, waarbij de instructies over wat moet gebeuren, hoe het moet gebeuren en met welk doel het moet gebeuren door de cliënt geleverd worden.
Verwerkersovereenkomst?
Moet je dan een verwerkersovereenkomst afsluiten met jouw advocaat? Wel, als je samenwerkt in het kader van één specifiek dossier, waarbij de advocaat duidelijk als verantwoordelijke aan te merken valt, bvb het voeren van een gerechtelijke procedure waarbij jouw advocaat de strategie vrij kan bepalen, is dat wellicht niet absoluut nodig.
Nochtans is het onze mening dat jouw advocaat je spontaan de nodige verwerkersgaranties op papier zou moeten aanbieden, ook als hij of zij niet als verwerker optreedt in een concreet dossier. Veilig omgaan met jouw gegevens is immers de hoeksteen van ons beroep en de basis van een vertrouwensrelatie met jouw advocaat.
Vraag dus bij élk dossier zeker aan jouw advocaat of hij of zij “GDPR compliant” werkt en of hij of zij dat schriftelijk kan garanderen in hetzij een verwerkersovereenkomst, hetzij in zijn of haar standaard kantoorvoorwaarden of standaard engagement letter.
Analogie door te trekken naar andere beroepen
De vraag of er sprake is van een verwerkersrelatie kan overigens voor alle dienstverlenende beroepen op dezelfde wijze opgelost worden. Bepaalt jouw dienstverlener het doel van de verwerking en bepaalt hij of zij de middelen die daarvoor ingezet worden.
Een accountant of tax advisor die fiscaal advies geven, zullen bijvoorbeeld meestal verantwoordelijke voor de verwerking zijn. Zij bepalen in grote mate zelf de aard en inhoud van het advies dat ze je geven of de strategie die ze je voorstellen. Voor een boekhouder die jouw facturen inboekt en aangifte verzorgt, is de vraag al minder eenduidig. Daar gaat het immers in grote mate om uitvoerend werk met een beperkte beoordelingsvrijheid en dan zal het besluit al sneller zijn dat er wél sprake is van een verwerkersrelatie.
Ook jouw sociaal secretariaat, de leasingfirma die jouw fleet beheert, het reisbureau dat je business travel regelt, zijn in de meeste gevallen verwerkers en geen verantwoordelijken. Zij bepalen immers zelden het doel van de verwerking (waarom worden gegevens verwerkt), ook al hebben zij soms wel enige vrijheid voor wat betreft de keuze van de middelen van de verwerking.
Wiens verantwoordelijkheid is het om een verwerkersovereenkomst te voorzien?
Je bent als verantwoordelijke en “eigenaar” van je eigen data verantwoordelijk voor om ervoor te zorgen dat je een verwerkersovereenkomst hebt met al je verwerkers alvorens je data met hen deelt. De boetes bij het niet hebben van verwerkersovereenkomsten die veilige verwerking garanderen, lopen op tot 2% van jouw wereldwijde omzet of 10 miljoen euro en die boete is in de eerste plaats voor jou als verantwoordelijke en niet voor de verwerker waar je beroep op deed. Dring dus aan en zorg voor een schriftelijke verwerkersgarantie. Dat kan overigens ook in algemene voorwaarden, in licentievoorwaarden of in elk bindend document met je dienstverleners. Een afzonderlijke verwerkersovereenkomst is zeker niet altijd nodig.
Vragen over databescherming of GDPR?
Neem gerust vrijblijvend contact op met ons team op info@siriuslegal.be of op 0032 2 721 13 00
Bart
Van den Brande
Ik ben de oprichter en Managing Partner van Sirius Legal. In 2010 besloot ik de Brusselse advocatenwereld achter me te laten om op een and...