Når en advokat behandler oplysninger, kan de samtidig være omfattet af både advokatens tavshedspligt og GDPR. Det skaber særlig friktion i situationer, hvor GDPR kræver transparens såsom oplysningspligt og indsigtsret, mens tavshedspligten tilsiger hemmeligholdelse. Hver behandling skal derfor vurderes efter begge regelsæt. Begge indeholder undtagelser, der kan begrunde begrænset indsigt eller lovlig deling, men de skal anvendes snævert og dokumenteres.

Sikker behandling er central, også hos it- og cloudleverandører. Et brud på tavshedspligten kan samtidig udgøre et sikkerhedsbrud efter GDPR, og omvendt. Ved hændelser bør der laves en samlet vurdering af både fortrolighedsbrud og persondatasikkerhed, herunder om der skal ske anmeldelse til Datatilsynet og eventuel underretning af registrerede.

Som praktisk udgangspunkt kan advokater styrke efterlevelsen ved at sikre følgende:

1. Identifikation af, om oplysninger er både tavshedsbelagte og personoplysninger.
2. Fastlæggelse af hjemmel eller undtagelse efter begge regelsæt.
3. Passende tekniske og organisatoriske foranstaltninger samt leverandørstyring.
4. Beredskab for håndtering og dokumentation af brud og indsigtsanmodninger.

Læs mere i vejledningen fra Advokatsamfundet her.