Impact van GDPR op uw advocatenkantoor… en wat u als advocaat moet weten

Als advocaat moet u begrijpen welke gevolgen de nieuwe algemene verordening gegevensbescherming (GDPR) (EU-verordening 2016/679) op uw kantoor zal hebben.

GDPR, die op 25 mei 2018 in werking treedt, vervangt de gegevensbeschermingsrichtlijn uit 1995 (officieel richtlijn 95/46/EG). De GDPR heeft tot doel burgers en ingezetenen opnieuw de controle geven over hun persoonlijke gegevens en de regelgeving voor het internationale bedrijfsleven te vereenvoudigen door een eenvormige regelgeving voor de hele EU te introduceren.

Advocatenkantoren slaan veel vertrouwelijke en uiterst persoonlijke gegevens op. Daarom dragen zij een grotere verantwoordelijkheid op het vlak van gegevensbescherming en moeten ook zij verantwoording afleggen over de manier waarop gegevens worden verzameld, opgeslagen en gebruikt. Met het oog op de naleving van de regels zal het voor advocatenkantoren belangrijk zijn te begrijpen hoe u de persoonsgegevens van uw cliënten en werknemers verzamelt, opslaat en gebruikt.

 

Hoe zal GDPR uw advocatenkantoor beïnvloeden?

Als uw kantoor persoonsgegevens van EU-burgers verzamelt, opslaat of gebruikt, bent u onderworpen aan de GDPR.

De boetes voor overtredingen kunnen oplopen tot 4% van de wereldwijde jaaromzet of € 20 miljoen als dat meer is. 

GDPR omschrijft de partijen als “verwerkingsverantwoordelijken” en “verwerkers”. Een verwerkingsverantwoordelijke vermeldt hoe en waarom persoonlijke gegevens worden verwerkt, de verwerker is de partij die de gegevens daadwerkelijk verwerkt. Een verwerkingsverantwoordelijke kan bijvoorbeeld een advocatenkantoor zijn, een verwerker kan een softwareleverancier zijn die de eigenlijke gegevensverwerking voor haar rekening neemt.

Zelfs wanneer uw kantoor buiten de EU gevestigd is, blijft GDPR van toepassing zolang u met persoonsgegevens van EU-burgers omgaat.

 

Wat moet u als advocaat weten?

Hierna worden enkele van de nieuwe verplichtingen beschreven waarmee advocatenkantoren rekening moeten houden.

  • GDPR legt meer nadruk op de verantwoordingsplicht. Dit betekent dat u een nauwkeurig overzicht van de gegevens die u bezit moet hebben. Bovendien moet u kunnen aantonen hoe ze werden verzameld en dat dit op een rechtmatige manier gebeurde
  • U moet kunnen aantonen dat u persoonsgegevens beheert op een manier die in overeenstemming is met de regelgeving. Uw kantoor moet op verzoek de details kunnen geven van de gegevens die zij bezit en de manier waarop ze werden gebruikt.
  • Een toestemming is volgens GDPR een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting van de betrokken persoon. U zal dus opnieuw moeten bekijken hoe u toestemming heeft verkregen en hoe dit geregistreerd werd.
  • Om persoonsgegevens GDPR-conform te verwerken, moet u een rechtsgrondslag bepalen. Het is belangrijk dat u hun rechtsgrondslag voor het verwerken van persoonsgegevens bepaalt en documenteert.
  • GDPR introduceert bepaalde nieuwe rechten voor personen en versterkt sommige rechten die nu al bestaan in de privacy regelgeving. Als advocaat moet u personen de mogelijkheid geven een brede waaier van persoonlijke rechten uit te oefenen, inclusief het recht ‘om vergeten te worden’, het recht op gegevensoverdraagbaarheid en het recht op inzage.

 

Na de inwerkingtreding van GDPR zal de gegevensbescherming in ieder geval niet meer de verantwoordelijkheid zijn van IT. De bescherming van persoonsgegevens moet verankerd worden in de processen van uw advocatenkantoor, van marketing tot HR en commerciële ontwikkeling.

 

security-factsheet-cta

Topics: Veiligheid