De AVG legt geen exacte technologie voor; ze legt resultaatsverplichtingen op. Wat moet u als kantoor concreet regelen rond bestandsoverdracht om compliant te zijn en, even belangrijk, dat aantoonbaar te maken?
AVG artikel 32: passende technische en organisatorische maatregelen
Artikel 32 AVG is de centrale bepaling voor bestandsoverdracht. De verwerkingsverantwoordelijke moet "rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, omvang, context en de doeleinden van de verwerking" passende maatregelen treffen. Dit is uitdrukkelijk een open norm: wat "passend" is, hangt af van het risico voor betrokkenen.
Voor juridische dossiers is dat risico naar de aard hoog. Het gaat om bijzondere of gevoelige gegevens (gezondheidsgegevens in letselschadezaken, strafrechtelijke gegevens in strafdossiers, financiële gegevens in faillissementen). Dat schuift het ondergrens- niveau van "passend" omhoog. Een gewone TLS-verbinding bij verzending via reguliere e-mail is in deze context aantoonbaar onvoldoende.
Concrete minimumeisen in 2026
De Autoriteit Persoonsgegevens en het Europees Comité voor gegevensbescherming (EDPB) hanteren in handhavingsbesluiten in toenemende mate de volgende minimumlat voor risico-gevoelige sectoren:
- End-to-end encryptie of equivalent (TLS 1.3 minimum bij transit).
- Encryptie at rest met sleutelbeheer binnen EU.
- Toegangslogs met minimaal twaalf maanden bewaartermijn.
- Multi-factor authenticatie voor verwerkers en eindgebruikers.
- Identiteitsverificatie van de ontvanger bij gevoelige verzendingen.
DPIA: wanneer wel, wanneer niet?
Een Data Protection Impact Assessment (DPIA, artikel 35 AVG) is verplicht wanneer een verwerking "waarschijnlijk een hoog risico inhoudt". De Autoriteit Persoonsgegevens publiceerde een lijst van verwerkingen waarvoor een DPIA verplicht is. Voor de juridische praktijk relevant zijn met name verwerkingen die grootschalig bijzondere persoonsgegevens betreffen, of waarbij stelselmatig kwetsbare betrokkenen (kinderen, slachtoffers) zijn betrokken.
Voor een doorsnee transferplatform dat wordt ingezet voor losse cliëntcommunicatie is een DPIA strikt genomen niet verplicht. Wij adviseren echter wel een verkorte DPIA-light vast te leggen wanneer u een nieuw platform implementeert, al was het maar om bij een latere klacht de afweging te kunnen reconstrueren.
De verwerkersovereenkomst (artikel 28)
Iedere leverancier die in uw opdracht persoonsgegevens verwerkt, en een transferplatform doet dat per definitie, is uw "verwerker". U moet daarmee een verwerkersovereenkomst (DPA) sluiten. Een paar praktische aandachtspunten.
- Sub-verwerkers. De DPA moet alle sub-verwerkers benoemen (bijvoorbeeld de hostingpartij, de e-mailprovider voor notificaties). Een wijziging vereist toestemming of een notificatieprocedure.
- Doorgifte buiten EU. Geen onbeperkte doorgifte toestaan. Standard Contractual Clauses (SCCs) zijn de minimumvoorwaarde wanneer doorgifte plaatsvindt.
- Auditrechten. U moet kunnen auditen, eventueel via een onafhankelijke partij of via certificeringen van de onderliggende infrastructuur (zoals ISO 27001).
- Bewaartermijnen en wissing. Concreet vastgelegd: binnen hoeveel dagen na opzegging worden bestanden verwijderd?
Datalek-risico: wanneer en hoe meldt u?
Onder artikel 33 AVG moet een datalek binnen 72 uur worden gemeld bij de Autoriteit Persoonsgegevens, tenzij het lek "waarschijnlijk geen risico inhoudt". Bij betrokkenen geldt een aparte plicht (artikel 34) wanneer het risico hoog is. Voor bestandsoverdracht ligt het meest voorkomende datalek niet bij de provider zelf, maar bij verzenderfouten: het verkeerde e-mailadres, een vergeten identiteitsverificatie, een te lange bewaartermijn van een gevoelig dossier.
Een verifieerbare audit trail (waarover wij meer schrijven in Bewijslast in digitale dossiers) is bij een datalek-onderzoek doorslaggevend: het bewijst exact wie wat heeft ontvangen en wanneer, waardoor de scope van een lek objectief vast te stellen is.
Praktische checklist voor uw kantoor
Onderstaande checklist geeft een momentopname van de AVG-positie van uw kantoor ten aanzien van bestandsoverdracht. Een ja op alle punten betekent dat u verdedigbaar staat bij een controle door de Autoriteit Persoonsgegevens.
- Is er één goedgekeurd transferplatform voor cliëntdossiers?
- Is een verwerkersovereenkomst getekend?
- Zijn alle sub-verwerkers bekend en goedgekeurd?
- Is dataopslag aantoonbaar EU-only?
- Wordt identiteit van de ontvanger geverifieerd bij gevoelige zaken?
- Is er een interne procedure voor datalek-melding binnen 72 uur?
- Worden auditrapporten van verzendingen 5+ jaar bewaard?
Hoe TransferGuard helpt
TransferGuard is opgezet rond de eisen van artikel 32: 100% EU-infrastructuur, end-to-end encryptie, onafhankelijke geverifieerde tijdstempels, SHA-256 hashes en optionele biometrische identiteitsverificatie. Een AVG-conforme verwerkersovereenkomst is standaard inbegrepen en raadpleegbaar op de DPA-pagina. Onze infrastructuur en hosting draaien bovendien op ISO 27001-gecertificeerde datacenters. Voor een totaaloverzicht van bewijs- en compliance-functies verwijzen wij naar de features-pagina.
