← Terug naar blog
    Compliance

    Echtscheidingsdossier veilig uitwisselen: voorkom AVG-claims

    Bijzondere persoonsgegevens in echtscheidingsdossiers, vier praktijkincidenten, vijf best practices en de meldingsplicht onder artikel 33 AVG.

    TransferGuard redactieJuridisch & Compliance8 min

    Echtscheidingsdossiers behoren tot de meest AVG-gevoelige stukken die een advocatenkantoor in handen heeft. Financiële posities, medische gegevens, kinderen: een datalek in dit type dossier leidt vrijwel automatisch tot ernstige reputatie- en schadeclaim-risico's.

    Waarom echtscheidingszaken een hoog AVG-risico vormen

    In een gemiddeld echtscheidingsdossier zitten meer categorieën bijzondere en gevoelige persoonsgegevens dan in vrijwel elk ander type dossier. Inkomensgegevens van beide partijen, banktransacties, bedrijfsadministraties, taxaties van onroerend goed, medische verklaringen rond psychische geschiktheid voor co-ouderschap, pedagogische rapporten over de kinderen: alles in één dossier.

    De gevoeligheid van de relatie tussen partijen vergroot het risico verder. Onbedoelde verzending naar de wederpartij in plaats van de eigen cliënt kan in deze sfeer direct tot beklag, tuchtklachten en schadeclaims leiden. De AVG-risicoclassificatie loopt in deze dossiers zonder uitzondering "hoog".

    Bijzondere categorieën persoonsgegevens

    Artikel 9 AVG verbiedt verwerking van bijzondere persoonsgegevens, met een aantal uitzonderingen, waaronder verwerking voor rechtsvordering (artikel 9 lid 2 sub f). De uitzondering legt verwerking toe, maar laat de verplichting tot passende beveiliging onverkort gelden. Categorieën die in echtscheidingsdossiers veel voorkomen:

    • Gezondheidsgegevens (psychiatrische rapporten, verslavingszorg, medische verklaringen rond letsel of arbeidsongeschiktheid).
    • Gegevens over seksueel gedrag of seksuele gerichtheid (zelden, maar wel voorkomend in specifieke geschillen).
    • Strafrechtelijke gegevens (eerdere veroordelingen, lopende onderzoeken).
    • Gegevens van kinderen (artikel 8 AVG verleent kinderen aanvullende bescherming).

    Vier incidenten uit de praktijk

    Onderstaande casussen zijn samengesteld uit publiek bekende patronen in handhavingsbesluiten en tuchtuitspraken, geanonimiseerd en plausibel maar niet 1-op-1 herleidbaar tot een specifiek geval. Iedere casus illustreert een type fout dat door betere processen voorkombaar was.

    Casus 1: Verkeerde geadresseerde

    Een advocaat verstuurde een volledig financieel dossier via e-mail met daarin een aanvullende e-mailbijlage. Door autocomplete selecteerde de mailclient het e-mailadres van de wederpartij in plaats van de eigen cliënt. Het dossier werd binnen drie minuten geopend en kort daarna verspreid in een familiekring. De boete van de Autoriteit Persoonsgegevens lag in de hoogste schaal.

    Casus 2: Doorgestuurde transferlink

    Het kantoor stuurde een conceptconvenant via een consumentenoverdrachtsdienst zonder identiteitsverificatie. De cliënt stuurde de link door naar haar moeder voor "een tweede mening", die op haar beurt de link in een groeps-app deelde. Het dossier kwam zo bij de wederpartij terecht.

    Casus 3: Te lange bewaartermijn

    Een afgesloten dossier was na elf jaar nog toegankelijk in een consumentenshareplatform dat het kantoor "tijdelijk" had ingezet tijdens een eerdere ICT-migratie. Door een datalek bij de provider kwam het dossier in handen van een derde. De AVG-verplichting tot vernietiging na het verstrijken van de bewaartermijn was niet nageleefd.

    Casus 4: Geen identiteitsverificatie bij ondertekening

    De conceptscheidingsakte werd voor parafering toegezonden zonder authenticatie. Een familielid van een van de partijen ondertekende onder valse hoedanigheid. De resulterende juridische complicaties bleken jarenlang door te werken.

    Hoe TransferGuard elk van deze incidenten voorkomt

    De vier casussen hierboven hebben één gemeenschappelijke oorzaak: het verzendkanaal vertrouwde op de link of het e-mailadres, niet op de persoon. TransferGuard draait dat om.

    • Verkeerde geadresseerde (casus 1). Het bestand opent pas na verificatie van de ontvanger. Bij Verified Identity controleert TransferGuard zelfs of de naam op het ID-bewijs overeenkomt met de naam die u heeft opgegeven. De wederpartij die per ongeluk de e-mail ontvangt, komt niet door die controle.
    • Doorgestuurde link (casus 2). Een TransferGuard-link is zonder verificatie waardeloos. De moeder of de groeps-app kan klikken wat ze wil: zonder de e-mailcode, het SMS-nummer of het ID-bewijs van de geadresseerde blijft het dossier versleuteld en dicht.
    • Te lange bewaartermijn (casus 3). Elke zending krijgt een vervaldatum (7, 14 of 30 dagen) en wordt daarna automatisch verwijderd. "Vergeten op te ruimen" bestaat niet meer.
    • Valse ondertekening (casus 4). Bij ondertekening via TransferGuard met ID-verificatie staat de geverifieerde naam van de ondertekenaar op het certificaat. Een familielid dat onder valse hoedanigheid tekent, valt direct door de mand.

    Vijf best practices voor echtscheidingsdossiers

    Onderstaande best practices vormen een minimum voor kantoren die regelmatig met echtscheidingsdossiers werken. Het zijn maatregelen die incidenten als bovenstaande in vrijwel alle gevallen voorkomen.

    • Strikt één verzendkanaal voor cliëntdossiers. Eén gecertificeerd platform; geen gewone e-mail, geen WeTransfer, geen Dropbox-link.
    • Identiteitsverificatie standaard aan. Voor elk stuk dat naar cliënt of wederpartij gaat: SMS-OTP minimaal, biometrisch bij gevoelige passages.
    • Verkort de bewaartermijn op platformniveau. Stel zendingen in op een vervaldatum die past bij de aard van het stuk, niet "onbeperkt".
    • Geen autocomplete bij gevoelige zendingen. Vereis dat de geadresseerde handmatig wordt geselecteerd uit het dossiersysteem.
    • Auditrapporten archiveren bij het dossier. Standaardonderdeel van het closing-protocol bij elke zaak, bij voorkeur voorzien van een onafhankelijke geverifieerde tijdstempel van een externe tijdstempelautoriteit, zodat datum en tijd onafhankelijk worden vastgelegd.

    Datalek: de meldingsplicht onder druk

    Wanneer onverhoopt toch een lek optreedt, geldt artikel 33 AVG: melding binnen 72 uur aan de Autoriteit Persoonsgegevens, tenzij het lek "waarschijnlijk geen risico inhoudt". In echtscheidingszaken is die uitzondering vrijwel nooit van toepassing. De gevoeligheid van de gegevens en de relatie tussen partijen zorgen ervoor dat bijna elk lek als risicovol zal worden gewaardeerd. Aanvullende melding aan de betrokkenen zelf (artikel 34) zal in de praktijk ook vrijwel altijd vereist zijn.

    Een verifieerbare audit trail (waarover wij meer schrijven in Bewijslast in digitale dossiers ) is bij datalek-onderzoek doorslaggevend: het bewijst exact wat wel en niet is geraakt, waardoor de scope van een lek objectief en verdedigbaar wordt afgebakend.

    Conclusie

    Echtscheidingsdossiers verdienen de hoogste classificatie binnen het AVG-beleid van een advocatenkantoor. TransferGuard combineert identiteitsverificatie, automatische vervaltermijnen, EU-opslag (Frankfurt) en lang-bewaarbare certificaten in één platform, en reduceert daarmee het lek-risico tot een fractie van wat gangbare consumententools toelaten. Het verschil tussen een probleemloos afgesloten dossier en een tuchtklacht ligt vrijwel altijd in de gekozen verzendprocedure.

    Lees ook ons artikel over de AVG-eisen aan bestandsoverdracht of bekijk de Certified Delivery features.

    Klaar om aangetekend te versturen?

    Certified Delivery vanaf €49/mnd excl. BTW. Verified Identity vanaf €79/mnd. Maandelijks opzegbaar.

    Aan de slag

    Lees ook