Casemanagement en GDPR-compliance voor advocaten

Advocaten moeten veilig met klantgegevens omgaan. Gegevens moeten op het juiste moment op de juiste plaats beschikbaar zijn, maar we moeten natuurlijk ook voldoen aan de GDPR. Dit artikel gaat over de aspecten van GDPR-compliance waarmee rekening moet worden gehouden bij het gebruik van zowel een case management systeem als Outlook bij juridisch werk.

By: Lars Houmann, CTO, Abakion
» Lars on Linkedin

De moeilijkste uitdaging: e-mail

Laten we beginnen met het gedeelte waar de GDPR normaal gesproken de meeste problemen oplevert voor advocaten: e-mail. De meeste advocaten schrijven e-mails in Outlook, en wanneer we ‘hij’ in het ontvangersveld typen, suggereert Outlook onmiddellijk ‘Henrik’. De vraag is of de Henrik die Outlook in gedachten heeft wel de juiste is.

Het automatisch aanvullen van e-mailontvangers aan hebben staan is een van de grootste risico’s als het gaat om GDPR-compliance. Ongetwijfeld denken de meeste advocaten dat het alleen andere mensen zijn die fouten maken, maar iedereen kan in de val trappen als het druk is, en wij hebben al heel wat e-mails gezien die om deze reden naar de verkeerde ontvangers zijn gestuurd.

Individuele beoordelingen

Het casemanagementsysteem bevat veel gegevens die onder de GDPR vallen. Het systeem kan natuurlijk helpen bij de naleving van de GDPR, maar er zijn nog steeds veel beslissingen die door de advocaten moeten worden beoordeeld.

Wanneer is een zaak verouderd? En wie moet dan beoordelen of een verouderde zaak moet worden gewist of alleen geanonimiseerd?

Hetzelfde geldt voor klanten en partijen. Moet een verouderde klant of partij geanonimiseerd of helemaal verwijderd worden? Dat hangt af van de situatie.

Waar worden persoonlijke gevoelige gegevens opgeslagen?

Persoonsgevoelige gegevens bestaan natuurlijk over zaken, cliënten en partijen, en ze kunnen zich op veel verschillende plaatsen bevinden. Er kunnen persoonlijke gevoelige gegevens zoals een burgerservicenummer op de zaakkaart staan, of de zaak kan geregistreerd zijn als een zaak over een bepaalde ziekte of iets anders van persoonlijke gevoelige aard.

Maar waar worden persoonlijke gevoelige gegevens nog meer opgeslagen?

Hoe zit het met voormalige werknemers? Dit is een gebied dat in het bijzonder om anonimisering vraagt, omdat er zeer oude tijdregistraties kunnen zijn die op een later tijdstip als documentatie nodig zullen zijn.

De tijdregistraties zelf, en de geplaatste vermeldingen, kunnen iets zeggen als “ophalen van doktersbriefje met diagnose van geestesziekte”. Dat is ook persoonlijk gevoelig.

Dan zijn er nog alle gegevens die buiten het case- en ERP-systeem zijn opgeslagen, zoals alle documenten die in een documentoplossing (bijv. SharePoint) of op een file share zijn opgeslagen. De documenten bevatten natuurlijk veel persoonlijke gegevens.

Het is ook niet zeker dat het alleen om doorzoekbare documenten gaat. Er kunnen bijvoorbeeld audiobestanden of video-opnamen van hoorzittingen zijn. Deze zijn moeilijker te doorzoeken op naam of persoonlijke gegevens. En hoe zit het met e-mailbijlagen: hoe kunnen die worden opgepakt?


Verwijdering heeft gevolgen

Wanneer u in de praktijk begint met het anonimiseren en verwijderen van gegevens, duiken er een aantal uitdagingen op.

Wij hebben zelf GDPR-functies ingebouwd in ons casemanagementsysteem Navokat. Het doel is natuurlijk om advocaten zoveel mogelijk ondersteuning te bieden bij het anonimiseren en wissen van gegevens, maar alle beslissingen vereisen individuele beoordelingen, zodat het helaas nog lang niet het hele proces is dat op een geautomatiseerde manier kan plaatsvinden.

We hebben logica in het systeem ingebouwd waardoor het zaken voorstelt die verwijderd moeten worden. Het doet dit aan de hand van bepaalde criteria die u zelf instelt. De jurist kan dan de suggesties bekijken en kiezen wat hij wil verwijderen. U kunt de oplossing bijvoorbeeld vragen om zaken voor te stellen die meer dan X jaar geleden gearchiveerd werden.

Helaas hebben we al een klant gekend die te veel vertrouwen had in de suggesties van het systeem en uiteindelijk gevallen wist die eigenlijk niet gewist hadden mogen worden. En nu zijn de gegevens weg. Helemaal weg, want als er een “ongedaan maken”-functie zou zijn, zouden we niet voldoen aan de GDPR.

Wanneer u ervoor kiest om een zaak te verwijderen, gaan niet alleen de zaakkaart en het journaal weg. Het kunnen ook cliënten, partijen en alle documenten zijn die bij de zaak horen. Dit omvat tijdregistraties, geboekte boekingen – alles in de buik van het ERP-systeem.

Het verwijderen van een dossier is een belangrijke beslissing. Het is verplicht onder de GDPR, maar u moet er zeker van zijn dat u de gevolgen begrijpt wanneer u uw beslissing neemt.

Sommige zaken moeten worden geanonimiseerd – niet verwijderd

In principe is tijd de belangrijkste parameter. Wanneer zaken zo oud zijn dat het geen zin meer heeft om ze te bewaren, moeten ze worden verwijderd. Sommige advocaten interpreteren dit als 10 jaar, anderen zeggen 5 jaar. De meningen lopen in feite uiteen, maar tijd is altijd het belangrijkste criterium.



Niet alles moet echter verwijderd worden. Als u een goede reden hebt om gegevens te bewaren, kunt u dat doen. Een goede reden kan bijvoorbeeld zijn dat de zaak principiële kwesties betreft of de aandacht van de pers of officiële instanties trekt.

Zaken waarbij principiële kwesties een rol spelen, mogen natuurlijk niet verwijderd worden – maar het kan zijn dat ze op een gegeven moment geanonimiseerd moeten worden.

Ook hier is het weer een kwestie van inschatting of het van fundamenteel belang is dat een bepaalde naam in de zaak voorkomt of dat de naam geanonimiseerd kan worden. Ook dit is een oordeel waar uw IT-oplossing helaas niet bij kan helpen.

Als we Peter Petersen, een getuige in een zaak, willen anonimiseren, kunnen we zeker naar zijn naam zoeken. Op sommige plaatsen staat alleen P. Petersen of meneer Petersen. En op pagina 37 van een document staat “de fietsenwinkelier”, waarvan iedereen natuurlijk weet dat het Peter Petersen betekent, omdat het een kleine stad is met maar één fietsenwinkel. Deze vermelding moet ook geanonimiseerd worden.

Het is moeilijk om een IT-systeem te laten herkennen dat “de fietsenwinkeleigenaar” naar Peter Petersen verwijst, dus ook hier is het moeilijk om hulp van de technologie te krijgen. De technologie moet niet alleen “de fietsenwinkeleigenaar” herkennen als een verwijzing naar een persoon, maar moet ook beoordelen of het in het geval van deze specifieke vermelding relevant is om te weten dat het om de fietsenhandelaar gaat. Dit vereist ofwel serieuze kunstmatige intelligentie of vele uren handmatig onderzoek.

Hoe volwassen is uw IT-systeem?

De manieren waarop uw IT-systemen u kunnen helpen bij het verwijderen en anonimiseren vallen uiteen in vier niveaus:

  1. Niveau 1 is wanneer het systeem u gevallen voorstelt om te beoordelen.
  2. Niveau 2 is wanneer het systeem de zaken kan verwijderen, inclusief geposte items en documenten, die u wilt verwijderen.
  3. Niveau 3 is wanneer het systeem zaken kan anonimiseren op basis van door u gekozen zoekcriteria. Het is een soort zoeken-en-vervangen in het casemanagementsysteem.
  4. Het ultieme niveau is waar het systeem kunstmatige intelligentie kan gebruiken om alle persoonlijk gevoelige termen te vinden, zoals in het voorbeeld ‘fietsenwinkeleigenaar’.

De overgrote meerderheid van de systemen bevindt zich op niveau 1 en 2. We kunnen er geen noemen die op niveau 4 zitten of dat in de toekomst zullen halen. Maar zelfs als systemen de punten 1 tot en met 4 zouden kunnen halen, dan nog zou een groot deel van de verantwoordelijkheid voor naleving van de GDPR bij de juristen liggen, die moeten beoordelen wat er in individuele gevallen gedaan moet worden.

Verzoek om toegang

Dat is genoeg over verwijderen en anonimiseren. Een ander onderwerp dat een grote werklast voor advocaten met zich mee kan brengen, zijn verzoeken om toegang.

Iedereen kan bij ons solliciteren en vragen wat wij over hem of haar weten. En dan halen we een medewerker van de werkvloer, zodat die kan gaan zitten en documenten kan doorbladeren om de plaatsen te vinden waar de betreffende persoon wordt genoemd. Het kan voor een gewone advocatenpraktijk enorm ontmoedigend zijn als er veel van dit soort toegangsverzoeken binnenkomen. Ook hierbij hebben we hulp van het systeem nodig.

In principe is de uitdaging hetzelfde als bij anonimiseren. We moeten gegevens kunnen vinden in alle hoeken en gaten van dossiers en documenten. De IT-uitdaging is dezelfde en technologisch moeilijk op te lossen.

Wie kan eigenlijk wat doen?

Er zijn veel subtaken op dit gebied, en de vraag is: wie kan eigenlijk wat doen in uw organisatie? Als u een delete-knop beschikbaar hebt, heeft het geen zin als iemand er per ongeluk op kan drukken om de gegevens in het niets te laten verdwijnen.

  1. De eerste taak is identificatie. Dit houdt in dat er een longlist moet worden opgesteld van zaken en gegevens die mogelijk verwijderd moeten worden. Dit is vooral een taak voor de IT-systemen, en de meeste mensen in de organisatie mogen toegang hebben tot de longlist.
  2. De volgende taak is het beoordelen van de longlist. Hier moeten advocaten met kennis van de specifieke zaken beoordelen welke zaken verwijderd of geanonimiseerd moeten worden. Mogelijk moeten er interne processen zijn die bepalen hoe lang een verwijdering na de deadline kan worden uitgesteld zonder een partner bij de beslissing te betrekken.
  3. En dan komen we bij het verwijderen zelf. Hier is de vraag: wie heeft de bevoegdheid om op de delete-knop te drukken? Wie krijgt de bevoegdheid om een zaak te verwijderen? Wij zijn van mening dat hier zorgvuldig overwogen moet worden of bijvoorbeeld voor het definitief verwijderen de goedkeuring van een partner vereist is.

Wie kan wat zien?

Gegevensbescherming omvat ook het beveiligen van gegevens tegen openbaarmaking aan onbevoegden. Hoe zorgen we ervoor dat niemand in het bedrijf iets te zien krijgt wat niet mag?

Natuurlijk moet de IT-beveiliging onder controle zijn, zodat hackers geen gegevens kunnen stelen en deze verkopen of uit het systeem verwijderen en betaling eisen voor de teruggave, zoals wel eens is gebeurd. Helaas zien we dat er veel mislukte inlogpogingen zijn op externe desktops met de Navokat-oplossing, waar software met vallen en opstaan werkt om toegang te krijgen. Dit is een bedreiging die iedereen serieus zou moeten nemen.

Maar ook intern moeten we er gewoon voor zorgen dat alleen het juiste personeel toegang heeft tot gegevens. Moeten alle gebruikers op kantoor toegang hebben tot alle gegevens in alle gevallen, of kunnen er beperkingen worden bedacht die voldoen aan de GDPR-vereisten zonder dat dit de dagelijkse werkzaamheden in de weg staat?

Op dezelfde manier kan worden nagedacht over de vraag of de externe IT-leverancier te allen tijde onbeperkte toegang tot gegevens moet hebben. Natuurlijk moeten zij ondersteuning kunnen bieden en IT-problemen kunnen oplossen, en in dat verband kan het bijvoorbeeld zinvol zijn om hen in de tijd beperkte toegang tot gegevens te geven, maar de IT-leverancier hoeft niet per se altijd vrije toegang te hebben.

Wie heeft toegang tot wat?

Het is natuurlijk ook belangrijk om te kunnen documenteren hoe de persoon zijn of haar toegangsrechten heeft gebruikt. Wie heeft welke gegevens bekeken en wanneer?

Het is belangrijk om dit toegangslogboek te hebben, zodat naleving van gegevensbescherming kan worden gedocumenteerd en verzoeken om toegang naar tevredenheid kunnen worden beantwoord.

Waar staat u in het GDPR-proces?

Er is veel om van af te bijten als een advocatenpraktijk aan elk aspect van de GDPR moet voldoen. Een andere controversiële kwestie is hoeveel er redelijkerwijs van u verwacht kan worden als u een kleine praktijk bent met weinig middelen en als de technologie nog niet echt op elk gebied kan helpen.

Maar de eerste stap is om de balans op te maken, zodat u weet waar u staat, en vervolgens te plannen hoe groot u uw ambities op GDPR-gebied wilt maken.

Als u iemand nodig hebt als klankbord voor GDPR-kwesties met betrekking tot casemanagementsystemen, dan voeren wij graag een gesprek zonder dat het u een cent kost. Wij zijn altijd in voor een debat over een van de onderwerpen die op dit moment opduiken voor advocaten.