Hoe zit dat met advocaat-medewerkers en de GDPR?

De advocaat of het kantoor dat optreedt voor een cliënt in een gerechtelijke procedure doet dit in de hoedanigheid van verwerkingsverantwoordelijke. Maar in welke hoedanigheid treden advocaat-medewerkers van een kantoor op overeenkomstig de GDPR in een dossier en wat zijn de gevolgen hiervan?


De deontologische code van de Orde van Vlaamse Balies stipuleert in artikel 2 dat een advocaat in absolute onafhankelijkheid moet optreden, vrij van alle druk. De advocaat mag hierbij de beroepsethiek niet veronachtzamen om de cliënt, de rechter of derden welgevallig te zijn[1]. Ook artikel 444 van het Gerechtelijk Wetboek stelt dat een advocaat vrij zijn ambt moet uitoefenen ter verdediging van het recht en van de waarheid.


Deze onafhankelijkheid zorgt ervoor dat een advocaat niet zomaar klakkeloos de instructies van een cliënt moet volgen en dat een advocaat steeds als een verwerkingsverantwoordelijke moet aanzien worden ten aanzien van zijn cliënt.


Op de vraag of de advocaat-medewerker hierbij als een verwerker, afzonderlijke verwerkinsverantwoordelijke of als mede-verwerkingsverantwoordelijke moet aanzien worden samen met het advocatenkantoor, is geen eensgezindheid.


L.-A. Nyssen stelt dat voor een individueel advocaat die deel uitmaakt van een kantoor de kwalificatie of deze advocaat eveneens als afzonderlijke verwerkingsverantwoordelijke moet aanzien worden, afhangt van de feitelijke situatie. Indien het kantoor effectief nauw samenwerkt, bijvoorbeeld door de oprichting van een vennootschap, door het delen van een fysieke locatie en door het gebruiken van eenzelfde softwarepakket, dan moet het kantoor als verwerkingsverantwoordelijke aanzien worden, en worden de advocaat-medewerkers geacht deel uit te maken van deze verwerkingsverantwoordelijke, zonder zelf een afzonderlijke verwerkingsverantwoordelijke te zijn[2]. Deze stelling kan echter niet ondersteund worden.



De balie van Luik is de mening toegedaan dat een stagiair-advocaat in een kantoor als een verwerker van het kantoor moet aanzien worden, en stelt een model-verwerkersovereenkomst ter beschikking om toe te voegen aan het stagecontract[3]. Ook deze stelling kan niet ondersteund worden. Het kan correct zijn dat een stagiair in de eerste weken/maanden voornamelijk specifieke instructies zal opvolgen, maar al snel zal hun expertise het strikt opvolgen van instructies overstijgen en zullen zij autonoom gaan optreden, zowel in dossiers van het kantoor als in eigen dossiers. Daarenboven is de stagiair-advocaat net zoveel gebonden aan de Codex Deontologie en de onafhankelijkheid in de uitoefening van zijn/haar activiteiten. Ook een advocaat-stagiair moet aldus steeds als een verwerkingsverantwoordelijke aanzien worden in de uitoefening van zijn/haar taken.


De GBA stelt in voornoemd advies dat in functie van de beslissingsbevoegdheid waarover de advocaten dienaangaande beschikken, zij kunnen beschouwd worden als gezamenlijke verwerkingsverantwoordelijken of het zal het kantoor zelf zijn dat actief heeft deelgenomen aan het bepalen van de wijze waarop het informatiesysteem moet worden geconfigureerd dat zal beschouwd worden als verwerkingsverantwoordelijke voor de verwerkingsactiviteiten die afhangen van deze configuratie. Hierbij stelt ze tevens dat deze vaststelling gedaan wordt zonder afbreuk te doen aan het feit dat elke advocaat verantwoordelijk blijft voor de verwerkingen die hij realiseert in zijn dossier en waarvoor hij de doeleinden en de middelen bepaalt[4].


Gezien de onafhankelijkheid van een advocaat en het feit dat een advocaat in een kantoor niet in een hiërarchische verhouding staat ten opzichte van de overige advocaat-medewerkers als zelfstandige, moet de advocaat steeds als gezamenlijke verwerkingsverantwoordelijke aanzien worden, samen met het kantoor. Dit houdt in dat de er een gezamenlijke verwerkingsverantwoordelijkenovereenkomst moet ondertekend worden tussen beide partijen overeenkomstig artikel 26 GDPR.


Conclusie


Contractueel zal tussen beide partijen (kantoor en individuele advocaat) bepaald moeten worden hoe de verplichtingen die de GDPR oplegt ingevuld zullen worden, zoals wie gevolg geeft aan het recht op inzage, wie de verplichtingen draagt ten aanzien van verwerkers en wie welke verantwoordelijkheid draagt. Tevens moet dit duidelijk worden gemaakt naar de cliënten toe, bijvoorbeeld door hieromtrent een clausule op te nemen in de advocatenovereenkomst en/of in het privacybeleid van het kantoor.



Dit artikel is een uittreksel uit het boek “De GDPR in de advocatoor” van Olivier Sustronck, Thomas Vansteenkiste en Arne Saerens. Dit boek is een praktisch naslagwerk dat stap voor stap gebruikt kan worden bij de implementatie van een GDPR beleid binnen een advocatenkantoor. Kopers ontvangen daarenboven een modellenpakket met een tiental ingevulde modellen waaronder een verwerkingsverantwoordelijkenovereenkomst om te ondertekenen tussen het kantoor en de advocaat-medewerkers. Het boek kan besteld worden via boek@misterfranklin.be en kost 85€ (+ verzendkosten 7,5 €).

[1] Orde van de Vlaamse Balies: Codex Deontologie voor advocaten, BS 4 juli 2017. [2] L-A Nyssen, ‘Le RGPD en pratique pour les avocats’, DAOR 2019/2, n° 130, p. 5. [3] Parsa Saba, “Le R.G.P.D. et la profession d’avocat, au-delà du secret professionnel et du principe de confidentialité” in Le Réglement général sur la protection des données: premières applications et analyses sectorielles, Anthemis, Liège, 2020, p. 141. [4] Gegevensbeschermingsautoriteit, Advies: “Overzicht van de begrippen verwerkingsverantwoordelijke/verwerker in het licht van de Verordening (EU) nr. 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens (AVG) en enkele specifieke toepassingen voor vrije beroepen zoals advocaten.”, ongedateerd, p. 7.