Isis VERMANDER & Sasha DEWITTE, Geassocieerde notarissen te Wuustwezel

 

Isis VERMANDER & Sasha DEWITTE

Geassocieerde notarissen te Wuustwezel

NATIONALE KAMER VAN NOTARISSEN

Gedragscode van de Nationale Kamer van notarissen van 28 januari 2021 houdende verduidelijking van bepaalde modaliteiten met betrekking tot de toepassing van de Algemene verordening gegevensbescherming (EU) 2016/679 (AVG) voor de notarissen

 

Houdende opheffing van de richtlijn aangenomen door de algemene vergadering van 22 oktober 2015 met betrekking tot bepaalde maatregelen te treffen door de notarissen in het kader van de verwerking van persoonsgegevens

Goedgekeurd door de algemene vergadering van 28 januari 2021

Goedgekeurd door de Gegevensbeschermingsautoriteit op 24 mei 2021

Zijnde een Reglement van de Nationale Kamer van notarissen in de zin van artikel 91 van de Ventôsewet

Aangenomen rekening houdend met:

  • considerans 98 van de AVG, die organen die categorieën van de verwerkingsverantwoordelijken vertegenwoordigen, aanmoedigt om binnen de grenzen van deze verordening gedragscodes op te stellen, rekening houdend met de aan de verwerking verbonden risico's voor de rechten en vrijheden van natuurlijke personen;
  • de richtlijnen 1/2019 voor gedragscodes en toezichthoudende organen in de zin van verordening (EU) 2016/679;
  • de krachtens het artikel 91 van de wet van 25 ventôse jaar XI op het notarisambt verleende bevoegdheden van de Nationale Kamer van notarissen om:
    • binnen de grenzen van haar bevoegdheid, alle leden van de genootschappen van notarissen van het Rijk te vertegenwoordigen ten aanzien van elke overheid of instelling;
    • de algemene regels inzake deontologie vast te stellen en een algemeen reglementair kader vast te stellen waarbinnen de bevoegdheden van de genootschappen van notarissen uitgeoefend worden,
    • alle geschikte maatregelen te nemen tot nakoming, binnen de grenzen en onder de voorwaarden die zij bepaalt, van de verplichtingen die uit de beroepsaansprakelijkheid van de notarissen voortvloeien,
    • en aan de kamers van notarissen noodzakelijke of nuttige aanbevelingen te doen met het oog op de naleving van de tucht;
  • considerans 99 van de AVG en de voorafgaande raadpleging van de verwerkingsverantwoordelijken, op 3 december 2020, op het Directiecomité van de Nationale Kamer van notarissen, samengesteld uit notarissen die elk Gewest van het land vertegenwoordigen;
  • het feit dat het aantal potentieel betrokken personen – namelijk de burgers betrokken bij een notarisdossier – het niet wenselijk maakt, bij gebrek aan haalbaarheid, om over te gaan tot de voorafgaande raadpleging van de betrokken personen overeenkomstig considerans 99 van de AVG.
 

DOELSTELLING

Deze gedragscode heeft tot doel alle notarissen van België te helpen met de verwerking van de persoonsgegevens in het kader van hun activiteiten in overeenstemming met de vereisten van de AVG. De uit de AVG afkomstige begrippen die erin worden uitgewerkt, moeten geïnterpreteerd worden volgens de bepalingen van de AVG, de richtlijnen aangenomen door het Europees Comité voor gegevensbescherming en, in voorkomend geval, de aanbevelingen en adviezen aangenomen door de bevoegde Gegevensbeschermingsautoriteit. De gedragscode vult de regels van de AVG aan en verduidelijkt ze door ze aan te passen aan de bijzondere kenmerken van de notariële sector, zonder dat hij de bepalingen van de AVG kan vervangen of daarvan kan afwijken.

De regels vervat in deze gedragscode zijn dwingend voor de notarissen. De naleving ervan is voor hen een verplichting en laat toe een indicatie te geven betreffende de overeenstemming met de regels die van toepassing zijn inzake bescherming van persoonsgegevens. Met deze indicatie wordt rekening gehouden in het kader van het in artikel 5 van de gedragscode gespecificeerde toezichtmechanisme. Het niet-naleven van de regels van deze gedragscode kan leiden tot sancties, onder andere disciplinaire maatregelen.

Daartoe neemt de Nationale Kamer van notarissen deze gedragscode aan, die de toepassingsmodaliteiten verduidelijkt met betrekking tot: 

  • de verplichte aanwijzing van een functionaris voor gegevensbescherming (art. 1);
  • de maatregelen die getroffen moeten worden om de veiligheid van de verwerking te verzekeren (art. 2);
  • de door de notaris te treffen maatregelen ten opzichte van zijn medewerkers (art. 3);
  • het recht op informatie van de burgers (art. 4).
 

TOEPASSINGSGEBIED

Alle notarissen van België, verwerkingsverantwoordelijken, zijn onderworpen aan deze gedragscode, teneinde de gegevensbeschermingsmaatregelen die ze bij de vervulling van hun notariële taken treffen, te harmoniseren.

De betrokkenen bij deze gedragscode zijn de burgers aangezien deze rechtstreeks of onrechtstreeks betrokken zijn in een notarieel dossier.

De gedragscode betreft voornamelijk maar niet uitsluitend de volgende verwerkingen van persoonsgegevens:

  • verzameling van de persoonsgegevens bij de betrokken personen, bij de authentieke bronnen, zoals het rijksregister of de kruispuntbank van de sociale zekerheid en bij de administraties;
  • opnemen van de persoonsgegevens in de authentieke aktes en in de overige documenten voorbereid door de notarissen;
  • bewaring van de persoonsgegevens in de dossiers van de notarissen;
  • overdracht van de persoonsgegevens naar de bevoegde administraties in het kader van de vervulling van de administratieve formaliteiten die vereist zijn door de bestaande wetgeving.

De verwerkte persoonsgegevens zijn onderworpen aan het beroepsgeheim of aan de discretieplicht overeenkomstig de respectieve regels van het Strafwetboek en van de Deontologische Code van de Nationale Kamer van notarissen en vallen in het algemeen onder een of meer van de volgende categorieën:

  • identificatiegegevens;
  • gegevens met betrekking tot de bekwaamheid van de natuurlijke persoon;
  • fiscale gegevens;
  • financiële gegevens;
  • familiale gegevens;
  • sociale gegevens.
 

Art. 1. Functionaris voor gegevensbescherming

§ 1. Als overheidsinstantie in de zin van de AVG voor de verwerkingen van persoonsgegevens die hij verricht met het oog op de uitvoering van zijn activiteiten en als rechtspersoon die gemachtigd is om toegang te hebben tot de authentieke bronnen, wijst de notaris een functionaris voor gegevensbescherming aan die, gelet op de specificiteit van de sector, over gespecialiseerde kennis beschikt van het recht en van de praktijken inzake gegevensbescherming.

§ 2. De notaris gaat bij de functionaris voor gegevensbescherming die hij aangewezen heeft te rade, om erop toe te zien dat de toepassingsmodaliteiten van de gedragscode nageleefd worden. 

Toelichting

Dit artikel wordt uitgevaardigd ter uitvoering van afdeling 4 (Functionaris voor gegevensbescherming) van hoofdstuk IV (Verwerkingsverantwoordelijke en verwerker) van de AVG.

 

 

Art. 2. Door de notaris te treffen maatregelen om de veiligheid van de verwerking van persoonsgegevens te verzekeren

§ 1. De notaris neemt de volgende veiligheidsmaatregelen: 

  • hij identificeert de dragers die de persoonsgegevens bevatten, zoals interne en externe servers en Cloud-systemen;
  • hij identificeert de lokalen waarin de dragers die persoonsgegevens bevatten geplaatst zijn en beperkt de toegang ertoe enkel tot bevoegde personen;
  • hij voorziet de plaatsing van een airconditioning-en ventilatiesysteem in het serverlokaal, een beveiligde kast (rack) en een noodstroomvoeding;
  • hij voorziet de beveiligde vernietiging van de papieren documenten die persoonsgegevens bevatten door een versnipperaar te gebruiken of door beroep te doen op een firma gespecialiseerd in de vernietiging van documenten;
  • hij voorziet de beveiligde vernietiging van het computermateriaal door een certificaat van vernietiging te vragen aan de firma die hiermee belast is;
  • hij bepaalt de manier waarop de interne medewerkers van het kantoor werden ingelicht over hun verplichtingen inzake geheimhouding – zoals die voortvloeien uit de regels van het beroepsgeheim en van de discretieplicht vastgesteld respectievelijk door het Strafwetboek en door de Deontologische Code van de Nationale Kamer van notarissen – en gegevensbescherming: bijvoorbeeld door middel van het arbeidsreglement;
  • hij bepaalt de door het kantoor getroffen maatregelen inzake fysieke en omgevingsbeveiliging, zoals, en niet gelimiteerd tot, de toegang met badge of met beveiligde sleutels, de plaatsing van camera’s, het bestaan van een inbraak- en/of brandalarm, de aanwezigheid van brandblussers en rookmelders, de effectieve scheiding tussen de kantoren en de lokalen die bestemd zijn om de betrokkenen te ontvangen;
  • hij voorziet de aanwezigheid van een firewall en antivirusprogramma alsook het beheer van de veiligheidsupdates op de desktops, servers en apparatuur;
  • hij bepaalt de logische regels inzake zijn toegangen en de toegangen van zijn medewerkers tot de gegevens van de authentieke bronnen via de eID-kaart of via de eNot-kaart, en de manier waarop deze toegangen getraceerd worden;
  • hij voorziet de regelmatige controle van de back-ups door zijn informaticaleverancier teneinde het onherstelbaar verlies van gegevens in geval van een totale of gedeeltelijke crash te vermijden.

§ 2. Deze maatregelen moeten worden opgenomen in een schriftelijk beleid inzake de informatieveiligheid waarvan het personeel van het notariskantoor alsook eventuele verwerkers van dat kantoor op de hoogte zijn en waartoe ze toegang hebben. In voorkomend geval maakt de notaris gebruik van het beleidsmodel inzake informatieveiligheid dat voor alle notarissen beschikbaar is op het beveiligde portaal van het eNotariaat.

§ 3. Wanneer een notaris beroep doet op een verwerker van persoonsgegevens, zorgt hij ervoor dat deze voldoende garanties biedt om een adequate gegevensbescherming voor de sector te waarborgen en sluit met hem een contract dat aan de eisen van de AVG voldoet, met name wat betreft de waarborgen inzake gegevensbescherming. Teneinde aan die verplichtingen te voldoen, volgt de notaris de in deze paragraaf beschreven procedure en maakt hij in voorkomend geval gebruik van het modelcontract van verwerking van persoonsgegevens dat beschikbaar is voor al de notarissen op het beveiligde portaal van het eNotariaat.

De notaris is ervan bewust dat de onderstaande leveranciers verwerkers zijn in de zin van de AVG:

  • de leverancier van de software voor  dossierbeheer;
  • de leverancier van de software voor boekhoudkundig beheer;
  • de leverancier van de “business intelligence” software bestemd om de organisatie en het beheer van het kantoor te verbeteren;
  • de leverancier van de back-up;
  • de beheerder van het informaticapark;

Derhalve verzekert de notaris zich ervan dat in het contract of in een ander geschrift, afhankelijk van de geleverde dienst, het volgende gepreciseerd wordt :

  • dat de geback-upte persoonsgegevens met behulp van een versleutelings- of encryptietechniek beschermd worden;
  • de juiste plaats(en) waar de persoonsgegevens en hun drager bewaard worden;
  • de manier waarop de persoonsgegevensdragers beveiligd zijn: serverlokaal met airconditioning en ventilatie, toegang beperkt tot bevoegde personen, beveiligde kast (rack) en noodstroomvoeding;
  • de aanwezigheid van een firewall en een antivirusprogramma alsook het beheer van de veiligheidsupdates op de desktops, servers en apparatuur;
  • de vernietiging of de beveiligde overdracht van de persoonsgegevens op het einde van het contract;
  • dat de toegang op afstand, in het kader van de verstrekking van een ondersteuningsdienst, tot de desktop van een gebruiker, de voorafgaande toestemming vergt van die gebruiker ;
  • dat de toegang op afstand tot het netwerk van het notariskantoor afhankelijk kan zijn van de voorafgaandelijke toestemming van de verwerkingsverantwoordelijke (de notaris) of dat die toegang beperkt kan zijn tot de verstrekking van een aantal specifieke ondersteuningsdiensten vermeld in het contract (bijv. bijwerking van een software, onderhoud);
  • dat de toegang tot het netwerk ter plaatse op het notariskantoor enkel kan plaatsvinden in de aanwezigheid van een lid van het kantoor (notaris of medewerker)

Toelichting

Dit artikel wordt uitgevaardigd ter uitvoering van artikel 28 (Verwerker) en van artikel 32 (Beveiliging van de verwerking) van hoofdstuk IV (Verwerkingsverantwoordelijke en verwerker) van de AVG.

 

Art. 3. Door de notaris te treffen maatregelen ten opzichte van zijn medewerkers

§ 1. Overeenkomstig de behoeften van de sector, geeft de notaris aan zijn interne en externe medewerkers instructies met betrekking tot de bescherming van de persoonsgegevens en het gebruik van het informaticamateriaal dat tot hun beschikking wordt gesteld. In voorkomend geval maakt de notaris gebruik van het model van arbeidsreglement dat beschikbaar is voor al de notarissen op het beveiligde portaal van het eNotariaat.

De vorm waarin de instructies aan de medewerkers worden opgelegd, wordt overgelaten aan de vrije keuze van de notaris. De instructies kunnen opgenomen worden in het arbeidsreglement, in zijn bijlagen of in een afzonderlijk document dat door de medewerkers ondertekend moet worden of nog als bijlage van een verwerkersovereenkomst met externe medewerkers wanneer de instructies op hen van toepassing zijn.

§ 2. De in § 1 bedoelde instructies voorzien minstens :

  • dat de toegang tot de gegevens enkel is toegelaten in omstandigheden waarin dit noodzakelijk is voor de uitvoering van de beroepstaken van de medewerker;
  • dat de gegevens enkel gebruikt, gekopieerd of in enige vorm gereproduceerd mogen worden en enkel aan anderen medegedeeld mogen worden wanneer dat strikt noodzakelijk blijkt voor de uitvoering van de beroepstaken van de medewerker;
  • dat er in geval van twijfel bijkomende bijzonderheden worden gevraagd bij de notaris;
  • de vertrouwelijkheid van de verwerkte persoonsgegevens en met name van het rijksregisternummer, de gegevens van het rijksregister, van de kruispuntbank van de sociale zekerheid, van het kadaster, van de door de notariële instellingen beheerde registers en van alle andere regionale of federale officiële bronnen van persoonsgegevens;
  • dat elke toegang tot officiële bronnen getraceerd wordt en door de medewerker gerechtvaardigd moet kunnen worden, meer bepaald tegenover de betrokken persoon, voor het goed beheer van een dossier van het notariskantoor; 
  • dat geen enkel gegeven van de officiële bronnen ter plaatse (op de harde schijf van de computer) bewaard wordt, tenzij dit strikt noodzakelijk blijkt voor het vervullen van de beroepstaak;
  • dat geen enkel gegeven van de officiële bronnen opgeslagen wordt op een mobiele drager (USB-stick, laptop, tablet, enz.), tenzij dit strikt noodzakelijk blijkt voor het vervullen van de beroepstaak;
  • de gebruiksmodaliteiten inzake de persoonlijke chipkaarten (eID-kaart en eNot-kaart):
    • verboden gebruik door derden;
    • persoonlijke code ;
    • verplichting om onmiddellijk de notaris op de hoogte te brengen in geval van verlies;
    • bewaring op een beveiligde plaats;
  • de regels met betrekking tot het gebruik van e-mails en internet. 

Toelichting

Dit artikel wordt uitgevaardigd ter uitvoering van artikel 29 (Verwerking onder gezag van de verwerkingsverantwoordelijke of de verwerker) van hoofdstuk IV (Verwerkingsverantwoordelijke en verwerker) van de AVG.

 

Art. 4. Recht op informatie

§ 1. De notaris verstrekt aan de personen op wie de verwerkingen van persoonsgegevens betrekking hebben een gemakkelijke toegang tot alle informatie die nodig is om een behoorlijke en transparante verwerking te waarborgen, en dit uiterlijk op het tijdstip waarop de persoonsgegevens worden verkregen.

§ 2. De informatie wordt proactief verstrekt, door een beleid inzake de bescherming van persoonsgegevens persoonlijk over te maken, wanneer een dossier wordt opgestart en/of via elektronische weg, bijvoorbeeld via een hyperlink, die zichtbaar is voor de betrokken persoon, opgenomen in de e-mail-handtekening van de notaris en van zijn medewerkers. In voorkomend geval maakt de notaris gebruik van het beleidsmodel 7 inzake de bescherming van persoonsgegevens dat beschikbaar is voor alle notarissen op het beveiligde portaal van het eNotariaat.

In ieder geval moet de betrokkene altijd informatie kunnen vragen bij de notaris over de verwerkingen van zijn persoonsgegevens.

§ 3. Wegens het groot aantal betrokkenen, is de publicatie van een beleid inzake de bescherming van persoonsgegevens op de website van de notaris een aanvullende gegevensbeschermingsmaatregel die als passend wordt geacht, met name ten opzichte van personen die betrokken zijn bij de afgesloten dossiers van het kantoor. Het gebruik van een illustratie of van beeldmateriaal vormt ook een nuttige aanvulling op de gekozen methode door de notaris om de informatie te verstrekken.

Toelichting

Dit artikel wordt uitgevaardigd ter uitvoering van de afdelingen 1 (Transparantie en regelingen) en 2 (Informatie en toegang tot persoonsgegevens) van hoofdstuk III (Rechten van de betrokkene) van de AVG.

 

Art. 5. Controlemechanismen

§ 1. De gedragscode valt onder het toezicht van de kamers van notarissen in het kader van de driejaarlijkse kwaliteitscontrole die zij in de notariskantoren verrichten.

De kamers van notarissen zijn de tuchtorganen van het notarisberoep.

De kwaliteitscontrole wordt georganiseerd overeenkomstig het totaal kwaliteitscriterium bedoeld in artikel 6 van de Deontologische Code van de Nationale Kamer van notarissen. 

De kwaliteitscontrole wordt geregeld door een reglement van de Nationale Kamer van notarissen en heeft betrekking op het goed beheer van de dossiers van de notariskantoren, het naleven van de regels met betrekking tot de bestrijding van het witwassen van geld en het naleven van de te treffen maatregelen inzake bescherming van de persoonsgegevens. Wanneer uit de kwaliteitscontrole blijkt dat de notaris de verplichtingen van deze gedragscode niet naleeft kunnen de kamers van notarissen ondersteunings- en toezichtsmaatregelen en de notaris sancties opleggen. Een ondersteunings- en toezichtsmaatregel bestaat erin tijd te geven aan de notaris om zich aan te passen en een aanvullende controle te voorzien op zijn kosten. De sancties worden genomen in een tweede fase. Het gaat om disciplinaire sancties voorzien door de ventôsewet.

De controle die voorzien is door deze gedragscode vervangt niet de controle die de Gegevensbeschermingsautoriteit kan uitvoeren.

§ 2. De notaris mag aan de controleur van de kamer van notarissen de verslagen overmaken die zijn functionaris voor gegevensbescherming opgemaakt heeft in het kader van zijn wettelijke controleopdracht, om aan te tonen dat de regels vervat in de gedragscode nageleefd werden. De kamer van notarissen houdt hiermee rekening in haar evaluatie.

 

Art. 6. Wijzigingsprocedure

§ 1. Elke wijziging aan de gedragscode wordt ter raadpleging voorgelegd aan de verwerkingsverantwoordelijken op het Directiecomité van de Nationale Kamer van notarissen, en vervolgens aan de goedkeuring van de algemene vergadering en de Gegevensbeschermingsautoriteit.