Intern privacybeleid
1. Inleiding
Dit is het privacybeleid van Joosten Advocaten. Dit privacybeleid heeft betrekking op het verwerken van persoonsgegevens in het kader van zowel de juridische dienstverlening als de (interne) bedrijfsvoering van Joosten Advocaten.
Joosten Advocaten is als advocatenkantoor verwerkingsverantwoordelijke. Joosten Advocaten bepaalt het doel en de middelen voor de verwerking van persoonsgegevens. Dit document beschrijft de wijze waarop Joosten Advocaten als verwerkingsverantwoordelijke met persoonsgegevens omgaat, zodat aan de vereisten van de Algemene verordening gegevensbescherming (‘AVG’) wordt voldaan.
Aan bod komen de volgende onderwerpen:
- Actualisatie en controle naleving privacybeleid;
- Categorieën persoonsgegevens en doelen;
- Organisatorische en technische maatregelen / beveiliging;
- Informatieplicht;
- Verwerkingsregister;
- Verwerkers en ontvangers;
- Bewaartermijnen;
- Gegevensbeschermingseffectbeoordeling (DPIA);
- Doorgifte buiten de EU;
- Geen functionaris voor de gegevensbescherming;
- Beveiligingsincidenten;
- Rechten van betrokkenen.
2. Actualisatie en controle naleving privacybeleid
De verwerking van persoonsgegevens binnen Joosten Advocaten dient in overeenstemming te blijven met de AVG en met elke verordening en wet- en regelgeving die de AVG aanvult, wijzigt of vervangt. Om die reden zal het privacybeleid periodiek worden geëvalueerd en zo nodig worden aangepast. Eveneens zal periodiek worden gecontroleerd of het privacybeleid door medewerkers en verwerkers van Joosten Advocaten daadwerkelijk wordt nageleefd.
3. Categorieën persoonsgegevens en verwerkingsdoelen
Joosten Advocaten verwerkt persoonsgegevens van de volgende categorieën personen:
- (potentiële) cliënten;
- wederpartijen, deskundigen, getuigen, belangenbehartigers e.d.;
- bezoekers aan het kantoorgebouw van Joosten Advocaten;
- bezoekers van www.joostenadvocaten.nl en usa-advocaten.nl;
- ontvangers van (digitale) nieuwsbrieven van Joosten Advocaten;
- deelnemers aan bijeenkomsten van Joosten Advocaten;
- aandeelhouders;
- medewerkers;
- ZZP’ers;
- student-stagiaires;
- sollicitanten;
- alle overige personen die met Joosten Advocaten contact opnemen of van wie Joosten Advocaten persoonsgegevens verwerkt.
3.1. (potentiële) cliënten
Joosten Advocaten verwerkt persoonsgegevens van (potentiële) cliënten, ten behoeve van identificatie van de cliënt (op grond van de Wwft en de sanctiewet) en de behandeling van een zaak. Voor identificatie gaat het om naam, contact- en adresgegevens, geboortedatum en kenmerk van het identiteitsbewijs (paspoort) van de cliënt. Voor de behandeling van een zaak kan het om ook andere (bijzondere) persoonsgegevens gaan, zoals medische gegevens. Welke persoonsgegevens per zaak verder zijn benodigd, is sterk afhankelijk van de (soort) zaak.
De opgenomen gegevens van een cliënt worden vermeld op een digitaal intakeformulier, op basis waarvan de gegevens van de cliënt in het kantoorsysteem worden geregistreerd. Documenten van een cliënt worden ingenomen/gekopieerd en ingescand, en vervolgens in het kantoorsysteem opgeslagen.
Alle gegevens die Joosten Advocaten verkrijgt in het kader van de registratie van een cliënt en de behandeling van een zaak, worden (gescand) opgeslagen in het kantoorsysteem en niet anders gebruikt dan voor de behandeling van de zaak.
Voor zover een zaak door een andere partij dan de cliënt wordt aangemeld, zoals door een rechtsbijstandsverzekeraar, beroepsaansprakelijkheidsverzekeraar, branche- of beroepsvereniging of ander advocatenkantoor, worden stukken (met persoonsgegevens) per post of digitaal ontvangen en vervolgens in het kantoorsysteem opgenomen.
Voor de behandelend advocaat wordt tevens een papieren werkdossier aangemaakt. Onderdeel van het papieren dossier is een formulier met cliëntgegevens. Afhankelijk van de behoefte van de advocaat, worden daarnaast stukken vanuit het digitale dossier geprint en in het werkdossier opgenomen. Ook persoonlijke aantekeningen van de advocaat (zoals telefoonnotities en gespreksverslagen) worden in het werkdossier opgenomen en voor het digitale dossier ingescand. Na behandeling van de zaak wordt het papieren werkdossier vernietigd.
In het kantoorsysteem worden ook de declaraties voor de cliënt aangemaakt. Joosten Advocaten verzendt de declaraties per e-mail en/of per post naar de cliënt of naar de partij die de declaratie volgens afspraak zal voldoen, zoals een rechtsbijstandsverzekeraar, beroepsaansprakelijkheidsverzekeraar, branche- of beroepsvereniging.
3.2. wederpartijen, deskundigen, getuigen, belangenbehartigers e.d.
In het kader van de behandeling van een zaak verwerkt [LID LSA] persoonsgegevens van personen die in de betreffende zaak zijn betrokken, zoals bijvoorbeeld wederpartijen, deskundigen, getuigen en belangenbehartigers.
3.3. bezoekers aan het kantoorgebouw van Joosten Advocaten
De receptioniste van Joosten Advocaten noteert de naam van personen die het kantoor op afspraak bezoeken, ter facilitering van hun komst. Verder worden bij de ingang van het gebouwd, ingang van het kantoor op de 1e verdieping, bij de lift en in het trappenhuis van het kantoorpand camerabeelden gemaakt. Joosten Advocaten doet dit om bij calamiteiten te weten wie zich in het gebouw bevinden en om te zorgen dat onbevoegden geen toegang krijgen tot het kantoor. Camerabeelden worden in beginsel na 30 dagen vernietigd.
3.4. bezoekers van joostenadvocaten.nl en usa-advocaten.nl
Tijdens een bezoek van een betrokkene aan de websites van Joosten Advocaten worden (mogelijke) persoonsgegevens gegenereerd, zoals het IP-adres, het surfgedrag op de website (zoals gegevens over het eerste bezoek, vorige bezoek en huidige bezoek, de bekeken pagina’s en de wijze waarop door de website wordt genavigeerd), of de betrokkene een nieuwsbrief of commerciële e-mail opent en op welke onderdelen daarvan de betrokkene klikt. Joosten Advocaten verwerkt deze gegevens voor marketing- en communicatiedoeleinden.
Verder worden persoonsgegevens gegenereerd als een bezoeker een contact- of ander webformulier op de website invult. Die gegevens worden gebruikt voor het doel waarvoor het contact- of webformulier dient.
3.5. ontvangers van digitale nieuwsbrieven van Joosten Advocaten
Tijdens het lezen van digitale nieuwsbrieven worden (mogelijke) persoonsgegevens gegenereerd, zoals het IP-adres, het surfgedrag op de website (zoals gegevens over het eerste bezoek, vorige bezoek en huidige bezoek, de bekeken pagina’s en de wijze waarop door de website wordt genavigeerd), of de betrokkene een nieuwsbrief of commerciële e-mail opent en op welke onderdelen daarvan de betrokkene klikt. Joosten Advocaten verwerkt deze gegevens voor marketing- en communicatiedoeleinden.
3.6. deelnemers aan bijeenkomsten van Joosten Advocaten
Ten behoeve van en/of tijdens een bijeenkomst van Joosten Advocaten worden persoonsgegevens gegenereerd, zoals de naam, functie en de contactgegevens van de deelnemers. De gegevens worden vermeld op een lijst van deelnemers, naamkaartjes en -als een deelnemer daartoe bereid is- op evaluatieformulieren. Na de bijeenkomst wordt de deelnemerslijst bewaard, zodat de deelnemers voor een volgende bijeenkomst (met voorrang) kunnen worden uitgenodigd. Als deelnemers op het evaluatieformulier hebben aangegeven de nieuwsbrief van Joosten Advocaten te willen ontvangen, worden de naam en contactgegevens van de deelnemer in het adressenbestand voor de nieuwsbrief opgenomen.
3.7. aandeelhouders
Joosten Advocaten is een besloten vennootschap (BV). Van de aandeelhouders van Joosten Advocaten worden persoonsgegevens verwerkt, voor zover verwerking noodzakelijk is ten behoeve van:
- het functioneren van de aandeelhoudersvergadering;
- de uitoefening van rechten en de nakoming van (wettelijke en contractuele) verplichtingen door individuele aandeelhouders, mede in hun hoedanigheid van advocaat.
3.8. medewerkers
Joosten Advocaten verwerkt persoonsgegevens van haar medewerkers, voor zover dat noodzakelijk is voor uitvoering van de arbeidsovereenkomsten en/of een wettelijke verplichting of als de medewerker toestemming heeft gegeven.
Personeelsdossier
In het personeelsdossier van iedere medewerker worden de volgende gegevens bewaard:
- de arbeidsovereenkomst en daarmee verband houdende gegevens, ten behoeve van het vaststellen en uitbetalen van salaris. Voor de berekening van het salaris (en overige vergoedingen) maakt Joosten Advocaten gebruik van Oliemans Accountans en Salaris Administratie
- gegevens over het functioneren van medewerkers, ten behoeve van individuele prestatiebeoordeling- en verbetering, meer specifiek voor (toekomstige) beoordelings- en functioneringsgesprekken en begeleidingstrajecten;
- overige gegevens, zoals met betrekking tot eventuele klachten, waarschuwingen, beoordelingen en verzuim;
- verkregen toestemming voor verwerking van (bijzondere) persoonsgegevens.
De toegang tot de personeelsdossiers is beveiligd. Alleen de Accountant en Salarisadministrateur Oliemans, Mw N.Toyer en Mw. L. van den Broeke en de aandeelhouders van Joosten Advocaten hebben toegang tot de personeelsdossiers. Op verzoek kan een medewerker zijn of haar personeelsdossier inzien.
Gegevens uit personeelsdossiers kunnen ook worden gebruikt als managementinformatie.
Wettelijke verplichting
Joosten Advocaten is verplicht persoonsgegevens van medewerkers aan derde partijen te verstrekken, o.a. in de volgende situaties:
- voor (beginnend) advocaten worden gegevens verstrekt aan de rechtbank ten behoeve van inschrijving op het tableau van de Nederlandse Orde van Advocaten;
- ziek- en herstelmeldingen worden doorgegeven aan de arbodienst Zorg van de Zaak (Achema);
- bij ziekte en bij zwangerschapsverlof worden gegevens van de betreffende medewerker aan het UWV doorgegeven;
- aan pensioenfondsen en andere daaraan gelieerde instellingen en organisaties worden gegevens verstrekt die in het kader van de pensioenovereenkomst zijn benodigd. Voor medewerkers van Joosten Advocaten is een pensioenovereenkomst gesloten met Brand New Day.
Overig
Joosten Advocaten verwerkt verder de volgende persoonsgegevens:
- de naam van medewerkers die beschikken over een sleutel en ‘druppel’ van het kantoorpand, zijn voor administratieve doeleinden op een lijst vermeld;
- van iedere advocaat is een profielfoto voor representatiedoeleinden op de website van Joostenadvocaten.nl gepubliceerd, waarvoor de uitdrukkelijke toestemming van iedere advocaat is gevraagd en verkregen;
- gegevens die zijn benodigd voor (betaling voor) deelname aan dan wel lidmaatschappen voor cursussen, opleidingen, beroepsverenigingen en externe bijeenkomsten.
3.9. ZZP’ers
Joosten Advocaten verwerkt de persoonsgegevens van door haar ingeschakelde ZZP’ers. De overeenkomst van opdracht en daarmee samenhangende gegevens worden opgeslagen in het kantoorsysteem. Joosten Advocaten vraagt ZZP’ers niet om een kopie of scan van hun identiteitsbewijs te verstrekken.
3.10. student-stagiaires
Van student-stagiaires worden de naam, contact- en adresgegevens opgeslagen, voor zover die nodig zijn voor het doorlopen van de stage. De naam van een student-stagiaire wordt op het beoordelingsformulier voor student-stagiaires vermeld. De gegevens worden bewaard door de advocaat die de portefeuille student-stagiaires op dat moment beheert.
3.11. sollicitanten
Van personen die voor een functie bij Joosten Advocaten hebben gesolliciteerd, worden persoonsgegevens verwerkt, zoals contactgegevens en gegevens die zijn vermeld in de sollicitatiebrief en het cv. Deze gegevens worden verwerkt ter beoordeling van de geschiktheid van de kandidaat en om met een kandidaat contact te leggen. De gegevens worden bewaard door de advocaat die de sollicitaties voor de betreffende functie in behandeling heeft.
3.12. overige personen
In het kader van de juridische dienstverlening, maakt Joosten Advocaten gebruik van gegevens afkomstig van bronnen als het handelsregister van de Kamer van Koophandel, het Kadaster, een beroepsaansprakelijkheids- of rechtsbijstandsverzekeraar, beroeps- of branchevereniging. Het gaat hier om ingevulde en benodigde contactgegevens en andere persoonsgegevens die voor de behandeling van een zaak zijn benodigd.
Verder ontleent Joosten Advocaten gegevens aan (openbare) zakelijke social media platforms als LinkedIn en openbare zakelijke websites. Joosten Advocaten gebruikt openbare contactgegevens voor het leggen van zakelijk contact.
4. Organisatorische en technische maatregelen / beveiliging
Uitgangspunt voor Joosten Advocaten is dat niet meer persoonsgegevens worden verwerkt dan noodzakelijk is om het doel te bereiken waarvoor ze zijn verzameld, zowel intern als bij inschakeling van derde partijen. Voor beide gevallen heeft Joosten Advocaten passende technische en organisatorische maatregelen getroffen om persoonsgegevens te beschermen tegen verlies of onrechtmatige verwerking.
4.1. interne maatregelen
Joosten Advocaten heeft de volgende interne technische en organisatorische maatregelen getroffen:
- toegang tot het kantoorsysteem op afstand is alleen mogelijk via een beveiligde VPN-verbinding op basis van twee-wachtwoorden authenticatie;
- persoonsgegevens worden beveiligd (versleuteld mailverkeer) uitgewisseld en niet via (zakelijke of privé) e-mailaccounts van medewerkers of via applicaties als (of vergelijkbaar met) WhatsApp of Dropbox of WeTransfer. E-mail is alleen geschikt voor algemene communicatie;
- persoonsgegevens worden uitsluitend opgeslagen in het kantoorsysteem en niet daarbuiten. Persoonsgegevens worden ook niet naar een externe gegevensdragers gekopieerd, tenzij dit noodzakelijk is en deze gegevens worden versleuteld;
- uitsluitend Oliemans Accountans, de interne kantooradministratie (h.t. Mw Toyer en Mw van den Broeke) en de aandeelhouder(s) hebben toegang tot de personeelsdossiers van medewerkers van Joosten Advocaten;
- uitsluitend de advocaat (en diens waarnemer) die student-stagiaires werft, selecteert en begeleidt, beheert hun (persoons)gegevens en slaat deze gegevens uitsluitend op in de daarvoor bestemde map in het kantoorsysteem;
- uitsluitend de medewerkers die de sollicitaties voor een bepaalde functie behandelen, beheren de persoonsgegevens van sollicitanten en slaan deze uitsluitend op in de daarvoor bestemde map in het kantoorsysteem;
- wachtwoorden van alle medewerkers en aandeelhouders zijn voldoende sterk en worden periodiek gewijzigd;
- apparatuur als laptops, tablets en mobiele telefoons worden niet onbeheerd buiten kantoor achtergelaten en zijn vergrendeld met een wachtwoord;
- inloggegevens worden vertrouwelijk behandeld en zijn niet toegankelijk voor derden. Uitsluitend in voorkomende gevallen mogen inloggegevens vertrouwelijk met een kantoorgenoot worden gedeeld, zoals in geval van waarneming tijdens verlof;
- bij (dagelijks) vertrek van kantoor dient iedere medewerker zijn/haar desktop computer volledig uit te loggen, af te sluiten en papieren dossiers volledig in zijn/haar dossierkast op te bergen en de deuren van de dossierkast te sluiten;
- het is medewerkers niet toegestaan, zonder toestemming van Joosten Advocaten, software te downloaden en/of om firewalls of virusscanner aan te passen of te verwijderen;
- een thuiscomputer van een medewerker waarmee verbinding wordt gemaakt met het netwerk van Joosten Advocaten (VPN-verbinding) dient te zijn voorzien van actieve wachtwoordbeveiliging, firewall en virusscanner. Veiligheidsupdates dienen tijdig te worden uitgevoerd. Er mag geen verbinding worden gelegd via openbare WIFI-netwerken. Het is niet toegestaan vertrouwelijke informatie op de thuiscomputer op te slaan of om papieren dossiers of externe gegevensdragers (zoals een laptop, tablet of externe harde schijn) met vertrouwelijke informatie onbeheerd in een auto of elders buiten kantoor achter te laten;
- vertrouwelijke informatie op papier wordt uitsluitend gedeponeerd in de daarvoor bestemde papierbakken en -containers;
- zaakdossiers dienen volgens het archiveringsprotocol van Joosten Advocaten te worden gearchiveerd;
- bij vertrek van kantoor dient iedere medewerker te controleren of er nog andere medewerkers in het pand aanwezig zijn. De laatst aanwezige medewerker zorgt ervoor dat alle ramen en deuren zijn gesloten en dat het alarm wordt geactiveerd;
- (potentiële) datalekken en verzoeken tot inzage, rectificatie, wissing, overdracht, beperking van en bezwaren tegen (de verwerking) van persoonsgegevens dienen aan de verantwoordelijken [F.Joosten en M.Vernooij] te worden gemeld.
- toegang tot het pand is alleen mogelijk met aan medewerkers verstrekte sleutels en ‘druppels’. Sleutels en druppels mogen niet aan derden worden afgegeven;
- aan de buitenzijde en binnen het kantoorgebouw worden camerabeelden gemaakt, om te zorgen dat onbevoegden geen toegang krijgen tot het kantoor en met het oog op de veiligheid van personen die zich in het gebouw bevinden;
- dagelijks worden van de server van Joosten Advocaten back-ups gemaakt, zodat in geval van een beveiligingsincident met persoonsgegevens over een recente back-up kan worden beschikt en persoonsgegevens niet blijvend verloren gaan;
- alle medewerkers die geen advocaat zijn, ondertekenen een geheimhoudingsverklaring;
- dit privacybeleidsdocument voorziet in een stappenplan dat voorschrijft wat er moet gebeuren als zich een beveiligingsincident met betrekking tot persoonsgegevens voordoet of als betrokkenen een beroep op hun rechten doen.
Joosten Advocaten ziet op naleving van de hiervoor genoemde maatregelen. Steekproefsgewijs kunnen (proportionele) controles worden uitgevoerd. Als wordt vermoed dat maatregelen door een bepaalde medewerker niet in acht worden genomen, kan worden overgegaan tot gerichte controles tegen de medewerker in kwestie. Na deze controle kan Joosten Advocaten op basis van haar bevindingen besluiten tot het treffen van arbeidsrechtelijke maatregelen.
4.2. verwerkers
Met verwerkers heeft Joosten Advocaten afspraken gemaakt over de te nemen technische en organisatorische maatregelen. Op grond van de vastgestelde risico’s die de persoonsgegevens en de aard van de verwerking met zich meebrengen, is het gewenste beveiligingsniveau bepaald.
Door Joosten Advocaten ingeschakelde verwerkers zijn verplicht Joosten Advocaten alle informatie te verstrekken die nodig is om de nakoming van de verplichtingen als verwerker aan te tonen en audits, waaronder inspecties, door Joosten Advocaten of een door Joosten Advocaten gemachtigde controleur mogelijk te maken en er aan bij te dragen.
5. Informatieplicht
Joosten Advocaten informeert betrokkenen over hoe binnen kantoor met persoonsgegevens wordt omgegaan. Voor personen die niet aan Joosten Advocaten zijn verbonden is om die reden een extern privacy statement opgesteld. Dit privacy statement is op de website van Joosten Advocaten gepubliceerd.
Bij indiensttreding worden nieuwe medewerkers en stagiaires geïnformeerd over de verwerking van hun persoonsgegevens binnen Joosten Advocaten. Voor medewerkers en stagiaires geldt een intern privacyprotocol. Dit protocol is opgenomen in het kantoorsysteem.
6. Verwerkingsregister
Joosten Advocaten houdt een verwerkingsregister bij. Dit register bevat een beschrijving van onder meer de verwerkingsdoeleinden, categorieën betrokkenen en ontvangers, bewaartermijnen en beveiligingsmaatregelen. In het verwerkingsregister worden verwerkingsactiviteiten per categorie betrokkene en per categorie persoonsgegeven bijgehouden.
Binnen Joosten Advocaten kunnen de advocaten het register raadplegen. F.Joosten en M.Vernooij kunnen namens Joosten Advocaten in het register ook wijzigingen aanbrengen. Hij/zij houdt/houden het register continue en actief bij en zal/zullen wijzigingen direct dan wel naar aanleiding van een periodieke evaluatie doorvoeren.
Het verwerkingsregister (Excel-bestand) is opgenomen in het kantoorsysteem.
7. Verwerkers en ontvangers
7.1. verwerkers
Joosten Advocaten maakt bij het verwerken van persoonsgegevens gebruik van externe dienstverleners. Deze dienstverleners verwerken uitsluitend persoonsgegevens op instructie van Joosten Advocaten. Met deze partijen heeft Joosten Advocaten verwerkersovereenkomsten gesloten. In deze overeenkomsten zijn afspraken vastgelegd over onder meer de aard en doeleinden van de verwerking, het soort persoonsgegevens dat wordt verwerkt, geheimhoudingsplicht, instructies over de verwerking, beveiligingsmaatregelen, het al dan niet inschakelen van subverwerkers, privacyrechten van betrokkenen, audits en controle alsook het retourneren en/of verwijderen van persoonsgegevens door de verwerker.
7.2. ontvangers
Joosten Advocaten verstrekt persoonsgegevens van betrokkenen aan derden wanneer dat noodzakelijk is in het kader van de uitvoering van de juridische dienstverlening, de uitvoering van een (arbeids)overeenkomst of in geval van een wettelijke verplichting. Daarbuiten worden geen persoonsgegevens aan derden verstrekt zonder voorafgaande uitdrukkelijke toestemming van de betrokkene.
8. Bewaartermijnen
Joosten Advocaten vernietigt persoonsgegevens die niet langer noodzakelijk zijn voor het doel waarvoor ze zijn verzameld en tevens niet op grond van andere wetgeving bewaard moeten worden. De persoonsgegevens worden in dat geval uit het kantoorsysteem, eventuele back-ups, archieven en andere systemen verwijderd.
Joosten Advocaten hanteert in beginsel de volgende bewaartermijnen:
- papieren werkdossier: vernietiging binnen 2 jaar na afronding van de zaak;
- digitaal zaakdossier: 20 jaar na afronding van de zaak;
- (financieel-)administratieve gegevens: 7 jaar na vastlegging van de gegevens; doch in het dossier opgenomen gegevens na 20 jaar;
- gegevens van medewerkers en ZZP’ers, anders dan (financieel-)administratieve gegevens: 5 jaar na uitdiensttreding respectievelijk na het einde van de overeenkomst van opdracht;
- gegevens van aandeelhouders, anders dan (financieel-)administratieve gegevens: 5 jaar na overdracht van de aandelen;
- gegevens van sollicitanten: 8 weken na afronding van de sollicitatieprocedure, tenzij de sollicitant toestemming heeft gegeven om zijn/haar gegevens langer te bewaren, in welk geval een termijn van 2 jaar na afronding van de sollicitatieprocedure geldt, doch NAW en mailadres langer indien de gegevens worden opgenomen in de gegevens voor de Nieuwsbrief;
- gegevens van student-stagiaires: 1 jaar na afronding van de student-stage, doch NAW en mailadres langer indien de gegevens worden opgenomen in de gegevens voor de Nieuwsbrief;
- bezoekers van de website en ontvangers van nieuwsbrieven van Joosten Advocaten: 5 jaar na het laatste bezoek aan de website respectievelijk na uitschrijving voor de nieuwsbrief, tenzij eerder bezwaar wordt gemaakt in welk geval tot vernietiging zal worden overgegaan.
9. Gegevensbeschermingseffectbeoordeling (DPIA)
Joosten Advocaten voert voor elke nieuwe verwerking van persoonsgegevens een DPIA uit, tenzij op voorhand duidelijk is dat de verwerking geen hoog risico voor de rechten en vrijheden van natuurlijke personen inhoudt, gelet op de aard, de omvang, de context en de doeleinden daarvan.
De DPIA omvat het volgende:
- een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd;
- een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden;
- een beoordeling van risico’s voor de rechten en vrijheden van betrokkenen;
- de beoogde maatregelen om de risico’s aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie.
De bevindingen naar aanleiding van een DPIA legt Joosten Advocaten vast in een verslag.
10. Doorgifte buiten EER
Joosten Advocaten geeft in beginsel geen persoonsgegevens door aan landen buiten de Europese Economische Ruimte (EER). Indien dit toch noodzakelijk mocht zijn, draagt Joosten Advocaten er voor zorg dat de doorgifte alleen plaatsvindt als de Europese Commissie heeft aangegeven dat het betreffende land een passend beschermingsniveau biedt of als sprake is van passende waarborgen in de zin van de AVG.
11. Geen functionaris voor de gegevensbescherming
Een verwerkingsverantwoordelijke dient een functionaris voor de gegevensbescherming (FG) aan te wijzen, onder meer het geval dat zij hoofdzakelijk is belast met grootschalige verwerking van bijzondere persoonsgegevens (zoals medische gegevens). ‘Hoofdzakelijk belast’ heeft betrekking op de kernactiviteiten van de verwerkingsverantwoordelijke. De Artikel 29-werkgroep definieert kernactiviteiten als processen die essentieel zijn om de doelen van de organisatie te bereiken, of die tot de hoofdtaken van de organisatie horen.
Goed kan worden verdedigd dat het verwerken van medische gegevens geen kernactiviteit is van Joosten Advocaten. De kernactiviteit van Joosten Advocaten is het verlenen van juridische bijstand.
Voor zover de AP mocht stellen dat het verwerken van medische gegevens door Joosten Advocaten wel een kernactiviteit is, dient te worden beoordeeld of sprake is van een grootschalige verwerking. De AVG laat in het midden wanneer hiervan sprake is, maar wel is duidelijk dat bij een individuele huisarts of advocaat geen sprake is van een grootschalige verwerking. Gelet op het feit dat Joosten Advocaten aanzienlijk minder medische gegevens verwerkt dan een individuele huisarts (NB: een gemiddelde huisarts verwerkt in 2018 continue de gegevens van gemiddeld 2095 patiënten), de hoeveelheid gegevens ook is beperkt tot wat noodzakelijk is voor de juridische beoordeling, de verwerking een beperkte duur heeft en onder het beroepsgeheim van de advocaat valt en de geografische omvang eveneens zeer beperkt is, kan met kracht worden betoogd dat bij Joosten Advocaten geen sprake is van grootschalige verwerking van bijzondere categorieën van persoonsgegevens.
Gelet op het voorgaande heeft Joosten Advocaten geen FG aangesteld.
12. Beveiligingsincidenten
Joosten Advocaten heeft passende technische en organisatorische maatregelen genomen die tot doel hebben de kans op verlies of onrechtmatige verwerking van persoonsgegevens zo veel mogelijk te beperken. Ondanks deze maatregelen bestaat de kans dat zich toch een incident met betrekking tot persoonsgegevens voordoet. Om ervoor te zorgen dat er zo snel mogelijk opgetreden kan worden om het incident te beëindigen en de schade zo veel mogelijk te beperken, dient als volgt te worden gehandeld.
Elk incident met betrekking tot persoonsgegevens dient te worden gemeld aan F.Joosten en M.Vernooij. Hij/zij zal/zullen beoordelen:
- of sprake is van een incident dat betrekking heeft op persoonsgegevens;
- welke maatregelen genomen moeten worden om het incident te beëindigen en de gevolgen te beperken;
- of inschakeling van een externe partij is benodigd om bij de oplossing van het incident te assisteren;
- of het incident aan de AP dient te worden gemeld;
- of degenen op wie de persoonsgegevens betrekking hebben, over het incident dienen te worden ingelicht;
- welke maatregelen er genomen moeten worden om herhaling van het incident te voorkomen.
Joosten Advocaten documenteert alle inbreuken in verband met persoonsgegevens, in het datalekkenregister. Het datalekkenregister (Excel-bestand) is opgenomen in het kantoorsysteem.
Voor het geval dat een (potentieel) incident waarvan een door Joosten Advocaten ingeschakelde verwerker eerder op de hoogte is geraakt, is in de verwerkersovereenkomst bepaald dat de verwerker Joosten Advocaten zo snel mogelijk bericht. Ook zijn er afspraken gemaakt over het oplossen van het incident en het verstrekken van nadere gegevens.
13. Rechten van betrokkenen
Rechten die een betrokkene volgens de AVG in zijn algemeenheid heeft, zijn het recht van inzage, het recht op rectificatie, het recht op gegevenswissing, het recht op beperking van de verwerking, het recht op overdraagbaarheid, het recht van bezwaar en het recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming. Joosten Advocaten heeft zodanige technische maatregelen genomen dat aan een gerechtvaardigde uitoefening van deze rechten gevolg kan worden gegeven.
Verzoeken van betrokkenen met betrekking tot persoonsgegevens die bij Joosten Advocaten binnenkomen, worden behandeld door F.Joosten en/of M.Vernooij, zo nodig in overleg met de behandelend advocaat.
Verzoeken en de afhandeling daarvan worden opgeslagen in een afzonderlijke map in het kantoorsysteem, als onderdeel van het zaakdossier.
Na ontvangst van een verzoek zal de behandelaar van het verzoek eerst de identiteit van de verzoeker vaststellen, aan de hand van naam, contact- en adresgegevens, identiteitsbewijs en geboortedatum.
Nadat de identiteit van de verzoeker is vastgesteld, zal de behandelaar aan de verzoeker bevestigen dat er binnen één maand op het verzoek zal worden gereageerd. Als blijkt dat het verzoek complex is, kan deze termijn met maximaal twee maanden worden verlengd. Over verlenging van de termijn informeert de behandelaar de verzoeker binnen de eerste maand.
De behandelaar stelt vast welk recht de verzoeker inroept en verzamelt in dat kader de benodigde gegevens. De behandelaar beoordeelt of (mede gelet op het beroepsgeheim van advocaten) aan het verzoek van de verzoeker kan worden voldaan. De behandelaar legt zijn bevindingen in een verslag vast. Het verslag wordt opgeslagen in de map van het kantoorsysteem, dat voor het verzoek is aangelegd.
In beginsel worden aan de verzoeker voor de behandeling van het verzoek geen kosten in rekening gebracht. Niettemin kan de verzoeker een redelijke vergoeding op basis van de administratieve kosten in rekening worden gebracht, bijvoorbeeld in geval van herhaalde (ongegronde) verzoeken of als meer dan één kopie van een dossier wordt verlangd.
Als het verzoek wordt gehonoreerd en het verzoek heeft betrekking op rectificatie, wissing of beperking van de verwerking, dienen ook de externe partijen die de persoonsgegevens hebben ontvangen van het verzoek in kennis te worden gesteld. De behandelaar stelt vast of daarvan sprake is en noteert de derde partijen in zijn verslag. Dergelijke kennisgevingen laat de behandelaar achterwege als dit onmogelijk blijkt of onevenredig veel inspanning vergt.