Modellen AVG
In het kader van de AVG biedt de NOvA advocaten de volgende conceptdocumenten* die u naar eigen inzicht kunt gebruiken.
Register verwerkingsactiviteiten
Met dit model-register verwerkingsactiviteiten* bent u goed in staat om te voldoen aan uw verantwoordingsplicht richting de Autoriteit Persoonsgegevens en heeft u in één oogopslag inzicht op alle verwerkingen binnen uw kantoor en eventueel ingeschakelde derde partijen.
> Download
Toelichting
Op grond van artikel 30 van de AVG moeten advocatenkantoren een register van gegevensverwerkingen bijhouden. Deze verplichting geldt ook voor advocatenkantoren met minder dan 250 werknemers, omdat bij advocatenkantoren sprake zal zijn van niet-incidentele verwerkingen, zoals het bijhouden van de cliënten-, debiteuren- en crediteurenadministratie. De AVG legt meer verantwoordelijkheid bij u als zelfstandig advocaat of het advocatenkantoor om aan te tonen dat u aan de privacyregels voldoet. Deze regels dwingen u om goed na te denken over hoe u/uw kantoor persoonsgegevens verwerkt en beschermt. De Autoriteit Persoonsgegevens geeft aan dat een verwerking aan de belangrijke beginselen moet voldoen zoals rechtmatigheid, transparantie, doelbinding en juistheid. Ook moet u kunnen laten zien dat u de juiste technische en organisatorische maatregelen hebt genomen om de persoonsgegevens te beschermen. In een register kunt u bijhouden hoe u met al deze aspecten bij uw beroepsuitoefening rekening houdt. Dit overzicht van alle verwerkingen binnen uw kantoor heeft u nodig om verantwoording af te kunnen leggen wanneer de Autoriteit Persoonsgegevens daar om vraagt.
Verwerkersovereenkomst
Deze model-verwerkersovereenkomst* kunt u hanteren als u gebruikmaakt van een derde partij bij de verwerking van persoonsgegevens voor uw kantoor.
> Download
Toelichting
Als u als advocaat gebruikmaakt van de dienst van een derde partij die in opdracht en ten behoeve van u persoonsgegevens verwerkt, bijvoorbeeld gegevens van uw cliënten of werknemers, schrijft de AVG voor dat u gebruik moet maken van een verwerkersovereenkomst. U bent samen met deze verwerker verplicht een aantal onderwerpen te bespreken en schriftelijk vast te leggen. Dit betreft onder andere de aard en doeleinden van de verwerking, het soort persoonsgegevens dat verwerkt wordt, geheimhoudingsplicht, instructies over de verwerking, beveiligingsmaatregelen, het al dan niet inschakelen van subverwerkers, privacyrechten van betrokkenen, audits/controle en het retourneren en/of verwijderen van persoonsgegevens door de verwerker.
Meldingsformulier beveiligingsincident
Met het model-meldingsformulier beveiligingsincident* wordt inzichtelijk gemaakt welke informatie nodig is in het geval zich een datalek voordoet bij uw advocatenkantoor of ingeschakelde verwerker. Dit formulier bevat alle elementen die bij een datalek in het kader van een eventueel afgesloten verwerkersovereenkomst (minimaal) aangeleverd dienen te worden. Ook komt deze informatie intern van pas bij het invullen van het register datalekken en het eventueel moeten doen van een melding van een datalek bij de Autoriteit Persoonsgegevens. Het model biedt dus een handige houvast bij een beveiligingsincident en het opvragen van de juiste en relevante informatie.
> Download
Toelichting
De meldplicht datalekken houdt in dat organisaties, dus ook een advocatenkantoor, direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. Soms moet het datalek ook gemeld worden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt, bijvoorbeeld uw cliënten of werknemers van het advocatenkantoor).
Register datalekken
Een model-register datalekken* biedt een handvat om te komen tot de benodigde set documentatie waarmee de Autoriteit Persoonsgegevens kan controleren of u als kantoor aan de meldplicht heeft voldaan.
> Download
Toelichting
Onder de AVG blijft de meldplicht datalekken grotendeels hetzelfde. De AVG stelt wel strengere eisen aan uw eigen registratie van (mogelijke) datalekken die zich in uw kantoor hebben voorgedaan. Deze registratie is gericht op zowel op de interne organisatie als extern. U moet alle datalekken documenteren. Een datalek is elke inbreuk op de beveiliging waarbij persoonsgegevens verloren zijn gegaan, ongeoorloofd zijn gewijzigd, verstrekt of ingezien. Ook verlies of diefstal van een usb-stick valt als datalek te kwalificeren, net als het laten liggen van uw dossier in de trein of het versturen van een e-mail met een concept processtuk (waarin persoonsgegevens zijn opgenomen) naar een verkeerd en dus onbevoegd persoon.
Melding datalek
Een melding van een datalek dient door een daartoe bevoegde vertegenwoordiger van uw advocatenkantoor te worden gedaan bij de Autoriteit Persoonsgegevens via het meldloket datalekken. Dit kan uiteraard ook door uzelf worden gedaan in het geval u als advocaat een eigen praktijk uitoefent.
Brief met aanvullende afspraken tussen verwerkingsverantwoordelijken
Deze voorbeeldbrief* met aanvullende afspraken onder de AVG kunt u hanteren als u persoonsgegevens uitwisselt met een andere partij die ook verwerkingsverantwoordelijke is.
> Download
Toelichting
Als u gebruikmaakt van de diensten van een derde partij die in opdracht en ten behoeve van u persoonsgegevens verwerkt, en deze net als u als verwerkingsverantwoordelijke kan worden aangemerkt, bent u niet verplicht een verwerkersovereenkomst op te stellen. Dit is bijvoorbeeld het geval als u als arbeidsrechtadvocaat een medisch deskundige opdracht geeft een advies of inhoudelijke beoordeling op te stellen. Of als u als familierechtadvocaat bij een echtscheiding aan een andere advocaat vraagt ter controle een nieuwe alimentatieberekening te maken. In zulke gevallen is de partij aan wie u persoonsgegevens verstrekt, in het kader van een opdracht, ook een verwerkingsverantwoordelijke, want diegene bepaalt zelf de doelen en middelen op basis waarvan de verwerking plaatsvindt. Vervolgens stuurt die partij weer persoonsgegevens, eventueel met aanvullingen of aanpassingen, terug aan u ter verdere behandeling van uw dossier. Het is dan raadzaam om met die partij aanvullende afspraken te maken over de eenzijdige verstrekking van persoonsgegevens dan wel uitwisseling daarvan.
hANDREIKING PRIVACYSTATeMENT
Deze handreiking* kan behulpzaam zijn bij het opstellen van een privacystatement.
> Download
Toelichting
Met een privacystatement maakt u inzichtelijk dat u uitvoering geeft aan de in de AVG neergelegde informatieplicht aan diegenen van wie u persoonsgegevens verwerkt. Met de publicatie op uw website van uw privacystatement, de verwijzing daarnaar in uw algemene voorwaarden en in uw opdrachtbevestigingen en eventuele andere overeenkomsten, bent u transparant naar uw cliënten en andere derde partijen over hoe en welke persoonsgegevens u verwerkt en hoelang deze worden bewaard.
* Alle documenten zijn met zorg en aandacht door de NOvA samengesteld en worden u aangeboden om naar eigen inzicht te gebruiken. Aan deze documenten of aan het gebruik ervan kunnen geen rechten worden ontleend jegens de NOvA.