De AVG geldt onverkort voor advocatenkantoren, maar botst op één punt hard met de kernwaarde van het beroep: het beroepsgeheim en het verschoningsrecht. Een advocaat is verwerkingsverantwoordelijke voor cliëntdossiers vol bijzondere en strafrechtelijke gegevens, en tegelijk gebonden aan geheimhouding die AVG-rechten van derden juist inperkt. Kort gezegd: u past de AVG toe, maar het inzagerecht van een wederpartij strandt op het verschoningsrecht en op artikel 41 UAVG. Hieronder leest u hoe u dossiers, bewaartermijnen, cloudleveranciers en het inzagerecht praktisch inricht zonder uw geheimhoudingsplicht te schenden.
Key Takeaways
- Een advocatenkantoor is verwerkingsverantwoordelijke voor cliëntdossiers; het beroepsgeheim is geen ontheffing van de AVG maar bepaalt wél de reikwijdte van rechten van betrokkenen.
- Het inzagerecht van een derde stuit op het verschoningsrecht en de uitzonderingen van artikel 41 UAVG — u hoeft geheime stukken niet prijs te geven.
- Bewaartermijnen lopen van 5 tot 20 jaar afhankelijk van dossiertype, verjaring en aansprakelijkheid; leg ze per dossiersoort vast.
- Cloud- en dataleveranciers vereisen een verwerkersovereenkomst én een toets of het verschoningsrecht gewaarborgd blijft.
- Een FG is voor de meeste kantoren niet verplicht, maar bij grootschalige verwerking van bijzondere gegevens wel verstandig.
Rol en grondslag: het kantoor als verwerkingsverantwoordelijke
Een advocaat bepaalt zelf doel en middelen van de gegevensverwerking in een dossier en is daarmee verwerkingsverantwoordelijke in de zin van artikel 4 AVG. De verwerking rust doorgaans op twee grondslagen uit artikel 6 AVG: de uitvoering van de overeenkomst van opdracht met de cliënt en het gerechtvaardigd belang van rechtsbijstand. Voor de wettelijke taken die op een advocaat rusten geldt aanvullend de grondslag “wettelijke verplichting”.
Dossiers bevatten vrijwel altijd bijzondere persoonsgegevens (gezondheid, strafrechtelijke gegevens) waarvoor artikel 9 en 10 AVG een verbod met uitzonderingen kennen. Voor de advocatuur is de relevante uitzondering de instelling, uitoefening of onderbouwing van een rechtsvordering — die maakt verwerking van bijvoorbeeld een strafblad of medisch rapport in een letselschadezaak rechtmatig.
Beroepsgeheim versus AVG-rechten
Het beroepsgeheim en het verschoningsrecht zijn wettelijk verankerd (onder meer in de Advocatenwet en de Gedragsregels). Zij werken twee kanten op onder de AVG:
- Naar de wederpartij toe: een betrokkene die geen cliënt is, kan een inzageverzoek doen. Het inzagerecht van artikel 15 AVG wordt echter begrensd door artikel 41 UAVG, dat het recht buiten toepassing laat voor zover dat noodzakelijk is met het oog op onder meer de bescherming van de rechten en vrijheden van anderen. Het verschoningsrecht valt hieronder.
- Naar de cliënt toe: de eigen cliënt heeft wél volledig inzage in zijn dossier, met uitzondering van interne werkaantekeningen en gegevens van derden die door geheimhouding worden beschermd.
Praktisch: u weigert nooit botweg. U bevestigt de ontvangst van het verzoek, beoordeelt per document of het verschoningsrecht speelt, en motiveert de (gedeeltelijke) afwijzing schriftelijk met verwijzing naar artikel 41 UAVG.
Bewaartermijnen per dossiertype
De AVG schrijft geen concrete termijn voor; het beginsel van opslagbeperking uit artikel 5 AVG verlangt dat u niet langer bewaart dan noodzakelijk. Voor de advocatuur wordt “noodzakelijk” ingevuld door verjaringstermijnen en de eigen beroepsaansprakelijkheid.
| Dossiertype | Indicatieve bewaartermijn | Grondslag |
|---|---|---|
| Algemeen civiel dossier | 5–7 jaar na sluiting | Verjaring vordering, beroepsaansprakelijkheid |
| Dossier met onroerend goed / erfrecht | tot 20 jaar | Lange verjaringstermijnen |
| Strafdossier | 5–10 jaar | Aard van de zaak, herzieningsmogelijkheid |
| Financiële administratie kantoor | 7 jaar | Fiscale bewaarplicht |
| Cliëntonderzoek (Wwft) | 5 jaar na einde relatie | Wwft |
Leg deze termijnen vast in een bewaarschema en koppel er een vernietigingsprocedure aan. Termijnen die “voor de zekerheid” op oneindig staan, zijn in strijd met de opslagbeperking.
Verwerkers, cloud en verschoningsrecht
Vrijwel elk kantoor gebruikt externe diensten: praktijkbeheersoftware, e-discovery, dictafoon-transcriptie, cloudopslag en e-mail. Zodra een partij namens u persoonsgegevens verwerkt, is dat een verwerker en sluit u een verwerkersovereenkomst op grond van artikel 28 AVG. Voor de advocatuur komt daar een extra eis bovenop: de leverancier mag het verschoningsrecht niet uithollen.
Let daarom op twee zaken. Ten eerste encryptie en toegangsbeheer: de leverancier mag geen ongecontroleerde toegang tot dossierinhoud hebben. Ten tweede de locatie van de gegevens: bij hosting buiten de EER moet u een geldig doorgiftemechanisme hebben en beoordelen of overheidstoegang in het derde land het verschoningsrecht bedreigt. Dit is dezelfde afweging die speelt bij internationale doorgifte naar derde landen na Schrems II.
Beveiliging en datalekken
Een advocatenkantoor verwerkt gevoelige gegevens en is daarmee een aantrekkelijk doelwit. Artikel 32 AVG verlangt passende technische en organisatorische maatregelen — voor de advocatuur betekent dat minimaal versleutelde opslag, tweefactorauthenticatie en strak geregeld toegangsbeheer per dossier. De AP toonde in de zorg met de boete tegen het HagaZiekenhuis (€460.000, 2019, onvoldoende toegangsbeveiliging) hoe hard toegangscontrole telt; dezelfde logica geldt voor juridische dossiers.
Gaat het toch mis, dan geldt de meldplicht: een datalek met risico voor betrokkenen meldt u binnen 72 uur bij de AP. Zie hiervoor onze uitleg over een datalek melden bij de AP. Een lek waarbij verschoningsgerechtigde informatie op straat komt, weegt in de risicobeoordeling zwaar.
Functionaris voor gegevensbescherming
Een FG is verplicht wanneer de kernactiviteit bestaat uit grootschalige verwerking van bijzondere gegevens of stelselmatige grootschalige monitoring. Voor de meeste advocatenkantoren is dat niet het geval, maar bij grote of gespecialiseerde kantoren (letselschade, strafrecht, medisch tuchtrecht) kan de grens in zicht komen. Lees wanneer de aanstelling verplicht is in onze gids over de functionaris gegevensbescherming en de aanstellingsplicht. Ook zonder verplichting is een privacy-verantwoordelijke aanspreekpunt verstandig.
Het bijhouden van het register van verwerkingsactiviteiten en het onderbouwen van bewaartermijnen kost tijd; platforms zoals Legiscope helpen kantoren om dat register en de bijbehorende documentatie actueel te houden zonder losse spreadsheets.
Verwerkingsregister en verantwoordingsplicht
De verantwoordingsplicht verlangt dat u kunt aantonen dat u compliant bent. Voor een advocatenkantoor betekent dat minimaal een verwerkingsregister waarin u per verwerking het doel, de categorieën betrokkenen (cliënten, wederpartijen, getuigen, personeel), de grondslag, de bewaartermijn en de ingeschakelde verwerkers vastlegt. Bijzondere en strafrechtelijke gegevens markeert u apart, omdat daarvoor extra waarborgen gelden. De Autoriteit Persoonsgegevens vraagt dit register vrijwel altijd als eerste op bij een onderzoek.
Denk daarnaast aan een korte, begrijpelijke privacyverklaring voor cliënten en websitebezoekers, aan afspraken over toegang binnen het kantoor en aan een vaste procedure voor het beantwoorden van rechten van betrokkenen. Leg vast wie binnen het kantoor verantwoordelijk is voor privacy — ook als er geen formele FG is aangesteld. Een kantoor dat deze basis op orde heeft, doorstaat een inzageverzoek of een AP-vraag zonder improvisatie.
Praktische checklist voor het kantoor:
- Bepaal per gegevensstroom of het kantoor verwerkingsverantwoordelijke is en leg de grondslag vast.
- Stel een bewaarschema op met een termijn per dossiertype en een vernietigingsprocedure.
- Sluit een verwerkersovereenkomst met elke ICT-, cloud- en transcriptieleverancier en toets de bescherming van het verschoningsrecht.
- Beoordeel bij hosting buiten de EER het doorgiftemechanisme en de kans op overheidstoegang.
- Richt een proces in voor inzageverzoeken met een vaste toets aan artikel 41 UAVG.
- Zorg voor versleuteling, tweefactorauthenticatie en toegangsbeperking per dossier.
FAQ
Mag ik een inzageverzoek van de wederpartij weigeren?
U mag het niet zonder meer weigeren, maar u mag het wél beperken. Voor zover de gevraagde informatie onder het verschoningsrecht of de bescherming van rechten van anderen valt, laat artikel 41 UAVG het inzagerecht buiten toepassing. Motiveer de gedeeltelijke afwijzing schriftelijk en geef aan welke gegevens u wél verstrekt.
Hoe lang moet een advocatenkantoor dossiers bewaren?
Er is geen vaste AVG-termijn. In de praktijk hanteren kantoren 5 tot 7 jaar na sluiting voor gewone dossiers en tot 20 jaar bij zaken met lange verjaringstermijnen (onroerend goed, erfrecht). Bepaal de termijn per dossiertype en leg de onderbouwing vast in een bewaarschema.
Heeft een advocatenkantoor een FG nodig?
Meestal niet. Een FG is pas verplicht bij grootschalige verwerking van bijzondere gegevens als kernactiviteit. Kleine en middelgrote kantoren vallen daar doorgaans buiten, maar een vrijwillige privacy-verantwoordelijke is aan te raden gezien de gevoeligheid van de dossiers.
Mag ik cliëntdossiers in een cloudomgeving opslaan?
Ja, mits u een verwerkersovereenkomst sluit, de gegevens versleuteld en met strak toegangsbeheer worden bewaard, en de hostinglocatie geen ongewenste overheidstoegang mogelijk maakt die het verschoningsrecht ondermijnt. Bij hosting buiten de EER toetst u het doorgiftemechanisme.
Zie ook: AVG voor accountantskantoren.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial