Stappenplan voor de verwerker in de juridische sector

Categorie:

Stappenplan voor de verwerker

Als advocaat of jurist verwerk jij meer dan eens persoonsgegevens in opdracht van een andere organisatie. Dit kan een extern kantoor zijn of een cliënt. Sinds de ingang van de AVG verloopt de communicatie tussen jou en al die partijen niet meer zo soepeltjes. Zo mag je dossiers alleen over de schutting gooien als je tot in detail nadenkt over de privacy van de betrokkenen. Deze werkwijze slokt jouw tijd op. Neem jullie verwerkingsovereenkomst, softwarepakketten en privacybeleid opnieuw onder de loep met dit stappenplan voor de verwerker in de juridische sector.

Stap 1: Introduceer een dataminimalisatiebeleid

Des te minder gegevens je binnen jouw organisatie hebt, des te kleiner de kans dat het misgaat. Om de hoeveelheid informatie binnen jullie kantoor te verminderen, onderneem je meerdere stappen. De eerste is een overstap naar een digitale omgeving. Daarnaast voer je de volgende zaken (beter) door.

Wat valt er allemaal onder het brede begrip ‘verwerken’? Een heleboel. Waaronder het verzamelen, vastleggen, ordenen, bewaren, wijzigen, raadplegen, doorsturen of wissen van persoonsgegevens. Dikke kans dus dat jullie persoonsgegevens verwerken.

Stap 1.1: Bepaal wat je verwerkt

Bepaal welke persoonsgegevens van cliënten je precies verwerkt. Verwerken jullie nog altijd een geboortedatum en burgerservicenummer? Ga dan bij jezelf te rade of dit ook noodzakelijk is. Minder gegevens scheelt immers kostbare tijd.

Veel kantoren blijken gegevens van hun cliënteel in een andere map te bewaren dan die van potentiële cliënten. Twee mappen, vaak in twee verschillende systemen, of zelfs op meerdere harde schijven binnen het kantoor, zorgen echter ook voor een grote kans op problemen. Volg daarom punt 1.2.

Stap 1.2: Bepaal hoe je informatie verwerkt

Hoe verwerk je alle (persoons)gegevens? Ga na hoe je dat nu doet en wat er beter kan. Zoals in het voorbeeld van cliënten en potentiële cliënten. Er zijn tal van software-oplossingen waarin je deze gegevens in een keer kwijt kunt.

In de juridische sector wordt er nog steeds veel geprint en zelfs gefaxt. Dit kan nog steeds als jullie overstappen op een digitaal archief. Zorg er dan wel voor dat alle partijen zich bewust zijn van een zorgvuldige omgang en vernietiging van de documenten zodra deze overbodig zijn.

 

Zet alternatieven op een rij en bepaal met welke software-oplossingen je aan de slag gaat. Het systeem moet alle persoonsgegevens veilig kunnen dragen en overal, ongeacht de locatie of applicatie inzichtelijk zijn. Zo hoef je persoonsgegevens maar in één systeem in te voeren en houd je het overzichtelijk.

Nadat je deze keuzes hebt gemaakt is het belangrijk om ook de bevoegdheid onder de loep te nemen. Kan het hele kantoor bij de gegevens of heeft iedereen rechten behalve de advocaat-stagiaires?

Maak keuzes en neem ze op in de verwerkersovereenkomst van jullie kantoor.

Stap 2: Maak een lijst

Creëer een overzicht waarin je alle verwerkingen kunt bijwerken. Schrijf de volgende zaken op:

  1. Naam van de cliënten waarvoor je gegevens verwerkt
  2. De verwerkingen die je uitvoert per cliënt
  3. Of de gegevens buiten Europa gedeeld worden

Stap 3: Verwerkersovereenkomst

Neem de verwerkersovereenkomst ieder jaar opnieuw onder de loep. Verwerk nieuwe inzichten die jullie hebben opgedaan en controleer of de overeenkomst voldoet aan de AVG. 

Verzend de nieuwe versie naar jullie huidige cliënten als dit nog niet is gebeurd. Zorg dat bij iedere nieuwe zaak of offerte deze overeenkomst vanaf nu wordt meegestuurd en getekend terug krijgt voor de start van elke nieuwe opdracht.

Stap 4: Verwerk met zorg

Jullie gingen altijd al met grote zorg om met dossiers. Jullie hebben immers een beroepsgeheim om aan te houden. Toch vraagt de AVG net wat meer zorgvuldigheid van je. Verwerk persoonsgegevens met meer zorg in 3 stappen.

Stap 4.1: Beveiliging

Je bent verantwoordelijk voor de veiligheid van alle persoonsgegevens in jullie dossiers. Een datalek moet je te allen tijde voorkomen. Dit vraagt om een veilige digitale werkomgeving en opslagmogelijkheden, maar ook om een goede fysieke beveiliging. En dat betekent vaak dat een softwarepakket in de cloud voor de juridische sector het veiligst en betrouwbaar is. 

De keuze voor een dossiermanagementsysteem dat draait op een Nederlands datacenter, kan een slimme beveiligingsoverweging zijn. Deze cloudoplossingen zijn vaak veiliger en beter toegankelijk dan een eigen server of fysiek archief. Hier moet het datacenter aan voldoen om jouw beroepsgeheim en de eisen van de AVG te waarborgen. 

Stap 4.2: Overige verwerkers

Met sub-verwerkers moet je ook schriftelijke afspraken maken. Dit kunnen andere organisaties zijn die meewerken aan hetzelfde dossier. Maar ook het accountantskantoor waarmee jullie werken is een sub-verwerker. Laat hen een verklaring ondertekenen om met dezelfde zorg met de gegevens om te gaan zoals jullie dat doen. 

Stap 4.3: Functionaris voor gegevensbescherming (FG)

Is jullie kantoor belast met een zaak die meerdere betrokkenen aangaat? Bijvoorbeeld de Groningers tegen de overheid of tientallen patiënten tegen een ziekenhuis? Dan doen jullie er verstandig aan om een FG in te huren. Diegene adviseert jullie kantoor over de AVG en controleert of jullie op de juiste manier met alle gegevens omgaan. 

De Functionaris voor gegevensbescherming (FG) noemen we mondiaal Data Protection Officer. Deze persoon is vaak ook freelance in te huren.

Stap 5: Werk als team

De afgelopen tijd is vooral gebleken dat de ene collega wat nauwkeuriger met de regels omgaat dan de ander. Redenen voor een AVG-opfristraining en een (herzien) protocol. Zo werkt de hele firma op dezelfde manier. Voeg aan jullie verwerkersovereenkomst de onderlinge afspraken.

Schrijf hier het volgende in:

  1. De regels waaraan jullie je moeten houden
  2. Wie de beslissing neemt over de verwerking van de gegevens
  3. Wie jou en je collega’s controleert

Een dossiermanagementsysteem kan helpen een pluriforme verwerking binnen het kantoor aan te houden. Door overkoepelend een aantal standaarden aan te maken en de opslag van documenten volgens dezelfde richtlijnen te verwerken, doen jullie allemaal hetzelfde.

Stap 6: Regel tijdige verwijdering

Direct na de afloop van de verwerkingsdiensten, dus bij het sluiten van het dossier, moeten persoonsgegevens verwijderd worden. Maar het dossier moet nog enige tijd bewaard worden in verband met de bewaarverplichting die je over juridische en administratieve stukken hebt. Dit zet je in veel gevallen in spagaat of zorgt in ieder geval voor heel veel werk.

In een slim DMS kun je per document direct aangeven tot welk termijn het bewaard moet worden. Zo voldoe je aan alle regelgeving zonder een losse agenda bij te moeten houden met de verjaringstermijn van al jouw documenten. Dat scheelt je een hoop tijd.

Stap 7: Bepaal het datalekbeleid

Hoe zorgvuldig je ook bent, een datalek kan alsnog voorkomen. Bijvoorbeeld doordat jullie kantoor is gehackt door een lek in de printersoftware. Pech, maar in veel gevallen niet onoverkomelijk. Wel is het belangrijk dat je weet wie verantwoordelijk is voor de melding van het datalek aan de Autoriteit Persoonsgegevens.

Zorgvuldig met gegevens omgaan gaat verder dan het opstellen van een verwerkersovereenkomst. Zorg dat jouw software op orde is. Ga voor een betrouwbaar pakket, dat draait op een veilige server in een Nederlands datacenter en zorg voor regelmatige updates.

wij helpen je

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *