Is uw advocatenkantoor zich al op GDPR aan het voorbereiden? Het is belangrijk dat uw kantoor niet alleen de belangrijkste wettelijke verplichtingen en risico's begrijpt, maar ook al aan een strategisch complianceplan werkt.
Vanaf 25 mei 2018 zal de Europese algemene verordening gegevensbescherming (GDPR) de gegevensbeschermingsrichtlijn uit 1995 (officieel richtlijn 95/46/EG) vervangen. De gegevensbeschermingsautoriteiten kunnen boetes opleggen tot € 20 miljoen of 4% van de wereldwijde omzet van uw kantoor, als dat percentage hoger is. Gegevensbescherming mag dan ook niet gezien worden als een bijzaak, maar is een belangrijk punt van overweging bij het opzetten van een systeem dat persoonlijke gegevens verwerkt.
Voor het geval u niet zeker weet waar te beginnen, worden in dit artikel 7 stappen beschreven om uw advocatenkantoor voor te bereiden op de GDPR nog vóór het jaar ten einde loopt.
1. Bewustmaken
Advocatenkantoren bezitten een grote hoeveelheid persoonsgegevens. Daarom moet iedereen de gevolgen van de GDPR kunnen inschatten. Het is ook in uw kantoor raadzaam een persoon aan te stellen die over de gegevensbescherming waakt en erop toeziet dat de GDPR eisen worden nageleefd. Deze persoon kan als referentie dienen voor alle vormings en opleidingsactiviteiten van het kantoor. Dit hoeft niet noodzakelijk een aparte functie te zijn (DPO), wat in sommige organisaties wel een verplichting is.
2. De persoonsgegevens in u bezit in kaart brengen
Voer een volledige controle uit van alle persoonsgegevens die u bezit. Onderzoek waar ze vandaan komen en met wie u ze deelt.
3. Een assessment van uw gegevensbescherming uitvoeren
We raden zdvocatenkantoren aan om een assessment van de impact van uw gegevensbescherming (DPIA's) uit te voeren voor alle activiteiten, ongeacht het risiconiveau. DPIA's helpen u te bepalen in welke mate de processen van uw organisatie de privacy van de personen van wie u de gegevens bezit, kunnen beïnvloeden of in gevaar kunnen brengen. Indien u de vastgestelde risico's niet voldoende beperkt, moet u overleg plegen met een gegevensbeschermingsautoriteit vóór u de verwerkingsactiviteit aanvat.
4. Uw privacyverklaringen en contracten aanpassen
Wat uw privacybeleid betreft, moet u de rechtsgrondslag voor uw verwerkingsactiviteit (met name toestemming) aangeven, hem staven en uw privacyverklaring aanpassen om hem toe te lichten. Advocatenkantoren moeten ook hun overeenkomsten met gegevensverwerkers opnieuw bekijken en indien nodig nieuwe contracten opstellen die in overeenstemming zijn met de eisen van de GDPR.
5. Privacy in uw processen verankeren
GDPR maakt duidelijk dat privacy geen bijzaak kan zijn. Hij moet geïntegreerd worden in de geleverde producten en diensten. U moet dus zowel technische (b.v. standaardinstellingen) als organisatorische maatregelen nemen om ervoor te zorgen dat persoonsgegevens alleen worden verwerkt wanneer dat nodig is om de verwerkingsdoeleinden te bereiken. Zo mag u bijvoorbeeld aangekruiste vakjes niet gebruiken voor marketingdoeleinden en gegevens niet aanwenden voor doelen die niet expliciet vermeld werden.
6. De verwerking van toestemmingen en rechten van personen opnieuw bekijken
GDPR legt strengere regels op voor het verkrijgen van een geldige toestemming van personen. Advocatenkantoren moeten in kaart brengen hoe zij een toestemming hebben gevraagd, verkregen, geregistreerd, getraceerd en gewijzigd. Ze moeten dit doen voor alle processen, van HR tot marketing en commerciële ontwikkeling. Bovendien moet u uw (technische en administratieve) procedures onderzoeken om na te gaan of ze de verenigbaar zijn met de rechten van personen, inclusief het recht 'om vergeten te worden' of het recht op overdraagbaarheid.
7. De melding van inbreuken herzien
Omdat advocatenkantoren veel vertrouwelijke gegevens bezitten, zijn zij een geliefkoosd doelwit van internetcriminelen. Krachtens de oude wet op de privacy moesten organisaties de personen op wie de gegevens betrekking hadden en de autoriteiten inlichten, maar GDPR verplicht organisaties voortaan ook om informatie over eventuele inbreuken te registreren. Deze documentatie moet op verzoek ter beschikking worden gesteld van een gegevensbeschermingsautoriteit. Als uw organisatie in meer dan een EU lidstaat actief is, moet u bovendien bepalen wie uw leidende toezichthoudende gegevensbeschermingsautoriteit is en haar de nodige documenten ter beschikking stellen.