We hebben het voorbije anderhalf jaar heel wat cliënten bijgestaan met advies inzake GDPR compliance en het is daarbij bij Sirius Legal vaak zo druk geweest dat we nog geen gelegenheid hadden om eens stil te staan bij onze eigen rol in het kader van GDPR wanneer we voor onze cliënten aan de slag gaan.
Tijd om even stil te staan bij deze vraag dus: is uw advocaat een verwerker met wie u een verwerkersovereenkomst moet afsluiten of is hij of zij een verantwoordelijke voor de verwerking (met wie u ook best schriftelijke afspraken maakt over de wijze waarop uw data bewaard en gebruikt wordt, overigens)…?
Verwerker of verantwoordelijke?
Het antwoord klinkt precies zoals u het zou verwachten van een advocaat: “het hangt er een beetje van af…”
De eerste reflex, en een veel voorkomende fout bij de toepassing van de GDPR regels, is om er van uit te gaan dat uw advocaat automatisch wel een verwerker moet zijn omdat hij of zij dienstverlener is van zijn of haar cliënten. U geeft persoonsgegevens door aan uw advocaat, die vervolgens met die gegevens aan de slag gaat om u een dienst te verlenen, hij moet dus wel een verwerker van persoonsgegevens zijn met wie u een verwerkersovereenkomst moet afsluiten?
Wel, zo eenvoudig ligt het niet. Bovenstaande redenering zien we geregeld, niet alleen in de relatie advocaat-cliënt, maar in het kader van allerlei dienstverlenende beroepen zoals accountants, boekhouders, artsen, consultants, …
Maar het loutere feit dat iemand een dienst voor u verleent is niet het doorslaggevende element om te bepalen of hij of zij al dan niet verwerker is in de zin van de GDPR. Om daartoe te besluiten zijn er twee criteria die beantwoord moeten worden:
- bepaalt uw dienstverlener (mee) het “doel” van de verwerking?
- bepaalt uw dienstverlener (mee) de middelen die ingezet worden om dat doel te bereiken?
Als het antwoord op bovenstaande vragen positief is, dan is uw dienstverlener (in ons geval uw advocaat) niet louter een verwerker in uw opdracht, maar is hij of zij een zelfstandige “verantwoordelijke voor de verwerking van persoonsgegevens”. Eventueel en afhankelijk van de omstandigheden is hij of zij dan gezamenlijk verantwoordelijke, samen met u.
Het antwoord op de vraag is van belang omdat de verantwoordelijkheden en aansprakelijkheden van een verantwoordelijke voor de verwerking veel verder gaan dan die van een loutere verwerker en natuurlijk omdat u met een verwerker een verwerkersovereenkomst moet afsluiten.
Een interessant criterium om te bepalen of uw advocaat een verantwoordelijke of een verwerker is, wordt door de Working Party 29 (het Europese overlegorgaan inzake privacy en databescherming) aangedragen. Zij stellen dat als een dienstverlener een “traditionele rol en professionele deskundigheid” heeft, dat meestal betekent dat deze “het doel en de middelen voor verwerking (mee) zal bepalen”, en dus in vele gevallen de rol van en verantwoordelijke voor de verwerking zal verkrijgen.
Specifiek met betrekking tot advocaten stellen ze vast dat in situaties waarin een “advocaat zijn cliënt vertegenwoordigt in de rechtbank, en in verband met deze missie, persoonsgegevens verwerkt die verband houden met de zaak van de cliënt”, de advocaat een verantwoordelijke voor de verwerking is. De advocaat bepaalt immers het “doel” in de zin dat hij of zij bepaalt welke uw juridische positie is (kan u schadevergoeding claimen, kan u het staken van een bepaalde handeling vorderen, …) en hij of zij bepaalt de middelen (welke procedure er gevoerd moet worden, welke argumenten ingezet kunnen worden, …). Het idee is dat de verwerking van gegevens een nevenfunctie is die geheel (of gedeeltelijk) wordt bepaald door de advocaat onafhankelijk van de cliënt, moet de verwerking van de advocaat worden gezien als die van een verantwoordelijke.
Ook in zijn adviesfunctie, is de advocaat eerder een verantwoordelijke voor de verwerking dan een verwerker. Een advocaat moet worden beschouwd als een verantwoordelijken voor de verwerking wanneer hij of zij persoonlijke gegevens over een derde partij ontvangt om de klant te adviseren over zijn rechten ten aanzien van de gegevens van die derde.
Altijd verantwoordelijke?
Uw advocaat is echter niet altijd verantwoordelijke voor de verwerking van persoonsgegevens. De Working Party 29 stelt vast dat in sommige situaties een advocaat ook optreedt als een verwerker in uw opdracht. Dat zou bijvoorbeeld het geval kunnen zijn als u een advocaat aanstelt met het specifieke doel om gegevens te “verwerken” (bvb een onderzoek naar de kredietwaardigheid van een contractspartij, een puur uitvoerende opdracht in bvb incasso, waarbij de instructies over wat moet gebeuren, hoe het moet gebeuren en met welk doel het moet gebeuren door de cliënt geleverd worden.
Verwerkersovereenkomst?
Moet u dan een verwerkersovereenkomst afsluiten met uw advocaat? Wel, als u samenwerkt in het kader van één specifiek dossier, waarbij de advocaat duidelijk als verantwoordelijke aan te merken valt, bvb het voeren van een gerechtelijke procedure waarbij uw advocaat de strategie vrij kan bepalen, is dat wellicht niet absoluut nodig.
Nochtans is het onze mening dat uw advocaat u spontaan de nodige verwerkersgaranties op papier zou moeten aanbieden, ook als hij of zij niet als verwerker optreedt in een concreet dossier. Veilig omgaan met uw gegevens is immers de hoeksteen van ons beroep en de basis van uw vertrouwensrelatie met uw advocaat.
Vraag dus bij élk dossier zeker aan uw advocaat of hij of zij “GDPR compliant” werkt en of hij of zij dat schriftelijk kan garanderen in hetzij een verwerkersovereenkomst, hetzij in zijn of haar standaard kantoorvoorwaarden of standaard engagement letter.
Analogie door te trekken naar andere beroepen
De vraag of er sprake is van een verwerkersrelatie kan overigens voor alle dienstverlenende beroepen op dezelfde wijze opgelost worden. Bepaalt uw dienstverlener het doel van de verwerking en bepaalt hij of zij de middelen die daarvoor ingezet worden.
Een accountant of tax advisor die fiscaal advies geven, zullen bijvoorbeeld meestal verantwoordelijke voor de verwerking zijn. Zij bepalen in grote mate zelf de aard en inhoud van het advies dat ze u geven of de strategie die ze u voorstellen. Voor een boekhouder die uw facturen inboekt en aangifte verzorgt, is de vraag al minder eenduidig. Daar gaat het immers in grote mate om uitvoerend werk met een beperkte beoordelingsvrijheid en dan zal het besluit al sneller zijn dat er wél sprake is van een verwerkersrelatie.
Ook uw sociaal secretariaat, de leasingfirma die uw fleet beheert, het reisbureau dat uw business travel regelt, zijn in de meeste gevallen verwerkers en geen verantwoordelijken. Zij bepalen immers zelden het doel van de verwerking (waarom worden gegevens verwerkt), ook al hebben zij soms wel enige vrijheid voor wat betreft de keuze van de middelen van de verwerking.
Wiens verantwoordelijkheid is het om een verwerkersovereenkomst te voorzien?
U bent er als verantwoordelijke en “eigenaar” voor uw eigen data verantwoordelijk voor om ervoor te zorgen dat u een verwerkersovereenkomst heeft met al uw verwerkers alvorens u data met hen deelt. De boetes bij het niet hebben van verwerkersovereenkomsten die veilige verwerking garanderen lopen op tot 2% van uw wereldwijde omzet of 10 miljoen euro en die boete is in de eerste plaats voor u als verantwoordelijke en niet voor de verwerker waar u beroep op deed. Dring dus aan en zorg voor een schriftelijke verwerkersgarantie. dat kan overigens ook in algemene voorwaarden, in licentievoorwaarden of in elk bindend document tussen u en uw dienstverlener. Een afzonderlijke verwerkersovereenkomst is zeker niet altijd nodig.
