Voor kleine organisaties, zoals de meeste advocatenkantoren, is GDPR een uitdaging. De investering om iemand op te leiden zodanig dat hij over de GDPR-conformiteit van de organisatie kan waken, moet op een te klein draagvlak terugverdiend worden.
Een artikel gepubliceerd in samenwerking met Sub Rosa Legal.
Bij gebrek aan concrete en betaalbare hulpmiddelen en ondersteuning, is GDPR-conformiteit voor vele kantoren een te zware opgave.
Volgens een recent artikel in Advocatie zou de meerderheid van de top 50 kantoren in Nederland in overtreding zijn met de Algemene Verordening Gegevensbewerking (AVG). Concreet ging het over het gebruik van cookies en over het informeren van de bezoekers over het exacte gebruik van hun gegevens.
Een, wat bredere, vraag m.b.t. de situatie in België voorgelegd aan de Orde van Vlaamse Balies werd niet beantwoord, maar er is geen enkele reden om aan te nemen dat de Belgische advocatuur zich beter in regel zou gebracht hebben dan de Nederlandse.
En als de grote kantoren niet in orde zijn met de GDPR-regelgeving, dan is de situatie bij kleinere kantoren, of bij alleenwerkende advocaten, hoogstwaarschijnlijk niet beter.
Advocaten hebben geen DPO nodig?
Volgens een nota van Michael Meysman van de studiedienst van de OVB is het voor advocatenkantoren, wellicht, niet noodzakelijk om een DPO (Data Protection Officer) aan te stellen, toch zeker niet voor de kleinere kantoren.
Wellicht voor de meeste advocaten een opluchting. Maar misschien is dat wel juist spijtig. Met de vaststelling dat een DPO niet noodzakelijk is, is de kous immers niet af. En hoe gaat u er zonder DPO zeker van zijn dat u in regel bent met de GDPR-wetgeving?
In een ander recent artikel, verschenen in Today’s Lawyer (GDPR: gelukkig ook van toepassing op advocaten, Today’s Lawyer, 2018, nr. 3, p. 8.), stelt Maarten Stassen, advocaat aan de balie van Brussel: “Er gaat altijd wel iemand moeten analyseren of verwerkingen compliant zijn met GDPR.”
En als die persoon, u zelf misschien, geen expert is ter zake, hoe weet hij of zij dan hoe en waar te beginnen? Het gaat daarenboven niet enkel om een juridische analyse maar ook om een technische.
Advocatenkantoren zijn geen bedrijven zoals de andere
Duizenden advocaten in ons land hebben zich over de teksten gebogen. Vaak was dat omdat hun klanten hen om advies en begeleiding vroegen bij de implementatie van GDPR in hun bedrijven. Maar bij GDPR gaat het om een “compliance proces”: het organiseren van de passende maatregelen om de persoonsgegevens van onze klanten, en van de klanten van onze klanten, voldoende te beschermen.
Een aantal kantoren hebben de GDPR-regelgeving dan ook vertaald in gestandaardiseerde checklists, en draaiboeken. Noodzakelijk om het proces voor de klanten betaalbaar te houden.
Vanuit de bezorgdheid om onze klanten te informeren en hun gegevens op een correcte manier te verwerken en te beschermen heeft Sub Rosa Legal in eerste instantie het eigen kantoor 100% GDPR conform gemaakt. En, omdat ook de nodige technische maatregelen moeten genomen worden, zijn wij een partnership aangegaan met K-force, een IT-bedrijf dat kon instaan voor het technische deel.
Deze ervaring hebben wij vervolgens vertaald in standaardmateriaal dat wij in aangepaste vorm aan onze klanten hebben aangeboden.
Toen wij ons materiaal op andere activiteiten toepasten merkten we wel hoe specifiek de advocatuur is.
Een gestandaardiseerde aanpak kan niet alles dekken. Telkens opnieuw, in functie van de specifieke activiteit van de klant, moeten de nodige aanpassingen gebeuren. Maar voor onze eigen activiteit als advocaten gaat deze aanpassing nog verder.
Op vraag van enkele confraters, die zoals zovele andere kantoren het probleem steeds verder vooruitduwden, hebben wij daarom een specifiek GDPR-pakket voor advocatenkantoren uitgewerkt.
Zo vond bijvoorbeeld een groot internationaal kantoor, met een relatief kleine aanwezigheid in Brussel, dat zij beter onze ervaring kon aanwenden, dan zelf tijd en energie te steken in een eigen leer-curve. Dat zij het warm water niet opnieuw moesten uitvinden. Zeker nu de GDPR-hype voorbij is, en de kans om zulke kennis en ervaring, in aangepaste vorm, te kunnen aanwenden voor klanten, sterk is afgenomen.
Liever laat dan nooit
Sinds 25 mei is het geruis rond GDPR grotendeels gaan liggen. Omdat iedereen nu in orde is? Zeker niet, maar nu men toch te laat is, komt het niet meer op een maand meer of minder aan, denkt me men. Gevaarlijk, want, zoals meester Stassen het in voormeld artikel stelt: “the proof of the pudding is in the eating”. Het probleem ontstaat wanneer iemand een inbreuk vaststelt. Dan zal men moeten nagaan of de genomen maatregelen voldoende waren.
GDPR-pakket voor advocaten door advocaten
Voor kleine organisaties is GDPR een uitdaging. De investering om iemand op te leiden zodanig dat hij over de GDPR-conformiteit van de organisatie kan waken, moet op een te klein draagvlak terugverdiend worden. Zeker als die investering niet kan hergebruikt worden bij externe klanten.
Maarten Stassen heeft uiteraard gelijk als hij stelt dat wij als advocaten GDPR niet als een onoverkomelijke moeilijkheid mogen zien maar als een opportuniteit voor verbetering, om aldus het vertrouwen in ons beroep te handhaven of te versterken. GDPR en confidentialiteit liggen in elkaars verlengde.
Maar bij gebrek aan concrete en betaalbare hulpmiddelen en ondersteuning dreigt dat bij een aantal confraters een vrome wens te blijven.
De meeste advocatenkantoren zijn kleine organisaties, met daarenboven een zeer specifieke activiteit. De standaard dienstverleningen die men kan aankopen zijn niet aangepast aan onze activiteit.
Dat is de reden waarom wij, samen met onze IT-partner KForce, besloten hebben ons pakket aan te bieden aan de confraters.
Sub Rosa Legal zorgt voor een audit bij u op kantoor en zal op basis daarvan een verslag opstellen en templates bezorgen met betrekking tot een procedure in geval van inbreuk, een intern protocol, een verwerkingsregister en een toestemmingsformulier.
K-Force biedt een technische audit waarbij zij rekening houden met uw E-mail, File Access, Back up en Firewall. Zij bezorgen u een auditverslag.
Meer informatie over ons GDPR-pakket voor advocaten door advocaten op onze website; Of u kan mij ook steeds bellen op het nummer 02 538 32 50.
Marie-Louise Reedijk