De geheimhoudingsplicht van advocaten

Klik hier voor de .pdf-file met voetnoten.

Het post-Snowden-tijdperk kenmerkt zich met een al dan niet gegronde vrees dat de staat meer over zijn burgers weet dan hen lief is, overheidsfunctionarissen de hand lichten met privacybeschermende wet- en regelgeving en geen computer, telefoon of -netwerk nog veilig is tegen hackers of spionerende software. Aan dat firmament het Openbaar Ministerie, dat bij monde van Officier van Justitie Vincent Leenders in juni 2015 stelde dat het verschoningsrecht van advocaten is verouderd en doorgeschoten en het dus tijd wordt voor een inperking van dat privilege. Het verschoningsrecht van de advocaat is zijn recht om alles wat onder zijn geheimhoudingsplicht valt, geheim te houden. Alle hens aan dek dus voor advocaten, die onder deze barre omstandigheden vertrouwelijkheid overeind proberen te houden.

De advocaat heeft een beroepsgeheim en kan zich beroepen op het verschoningsrecht. Een advocaat zal met niemand anders spreken over de zaak. Alles wat besproken wordt, blijft tussen hem en zijn cliënt. Daardoor kan de cliënt samen met zijn advocaat vertrouwelijk spreken over de zaak, hetgeen de belangenbehartiging ten goede komt. Een advocaat is voor velen een 'last resort', aan wie men vrijelijk zijn verhaal - met alles wat goed en fout is gedaan -moet kunnen vertellen.

Maar bijna nog belangrijker is dat het beroepsgeheim en het verschoningsrecht een maatschappelijk doel dienen; de rechtstaat is erbij gebaat dat cliënt en advocaat strikt confidentieel met elkaar kunnen communiceren; eenieder moet zich vrijelijk en zonder vrees voor openbaarmaking van het besprokene om bijstand en advies tot een advocaat kunnen wenden. Dat strekt zich uit tot alles wat de advocaat in zijn hoedanigheid is toevertrouwd, zo vindt de Hoge Raad. De vertrouwelijkheid weegt extra zwaar, omdat bij gerechtelijke procedures een advocaat verplicht is.

Het rumoer binnen de advocatuur is niet van de lucht, niet slechts omdat advocaten bereid zijn hun kernwaarden stevig te verdedigen, maar ook omdat hij wettelijk verplicht is om het vertrouwen van zijn cliënt te beschermen. Art 10a Advocatenwet (Advw) bepaalt immers: "In het belang van een goede rechtsbedeling draagt de advocaat zorg voor de rechtsbescherming van zijn cliënt. Daartoe is de advocaat bij de uitoefening van zijn beroep (..) vertrouwenspersoon en neemt hij geheimhouding in acht binnen de door de wet en het recht gestelde grenzen."

Dat artikel is uitgewerkt in Gedragsregel 6: "De advocaat is verplicht tot geheimhouding; hij dient te zwijgen over bijzonderheden van door hem behandelde zaken, de persoon van zijn cliënt en de aard en omvang van diens belangen. (..) De advocaat legt zijn medewerkers en personeel de inachtneming van een gelijke geheimhouding op. De geheimhoudingsplicht duurt voort na de beëindiging van de relatie met de cliënt." In de toelichting op Gedragsregel 6 staat dat de geheimhoudingsplicht en het wettelijk verschoningsrecht van de advocaat zich slechts uitstrekken tot hetgeen de cliënt de advocaat heeft toevertrouwd, maar dat het met het oog op een goede beroepsuitoefening gewenst is dat de geheimhoudingsplicht van de advocaat zich verder uitstrekt.

Aangezien de advocaat moet zwijgen over zijn zaken, zijn cliënt en diens belangen, doet hij er verstandig aan alle gegevens die daarop betrekking hebben adequaat te beveiligen. Veelal zullen die gegevens te kwalificeren zijn als persoonsgegevens in de zin van de Wet bescherming persoonsgegevens (Wbp) en opereert de advocaat als Verantwoordelijke in de zin van die wet. Artikel 13 Wbp eist dat de advocaat (die kennelijk per definitie persoonsgegevens verwerkt), 'passende technische en organisatorische maatregelen' neemt om persoonsgegevens te beveiligen. Hij riskeert om tegen de lamp te lopen als hij de persoonsgegevens niet (goed) beveiligt. De handhavende instantie, het College Bescherming Persoonsgegevens (CBP) controleert en deelt boetes uit. Beveiliging van persoonsgegevens is een van de speerpunten van het handhavingsbeleid van het CBP. Zij handhaaft langs de lijn van haar 'CBP-richtsnoeren: beveiliging van persoonsgegevens'.

In die richtsnoeren stelt het CBP dat verantwoord omgaan met persoonsgegevens valt of staat met een adequate beveiliging van de gegevens, dat tot stand wordt gebracht door 'passende' beveiligingsmaatregelen. Geen absolute norm dus, maar een norm die afhankelijk wordt gesteld van diverse omstandigheden, zoals de gevoeligheid van de te beschermen gegevens en de stand der techniek, zoals beschreven in de Code voor Informatiebeveiliging of de ict-beveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum. Aldus vormen de CBP-richtsnoeren de verbindende schakel tussen enerzijds het juridisch domein, met daarbinnen de eisen uit de Wbp, en anderzijds het domein van de informatiebeveiliging, waarin de noodzakelijke kennis en kunde aanwezig is om daadwerkelijk aan die eisen te voldoen.

Bottom line komt het er voor advocaten op neer dat zij de risico's, dreigingen en gevolgen van (vooral elektronische) dossiervorming voor hun cliënten, moeten inschatten en daarop technische en organisatorische beveiligingsmaatregelen treffen op basis van de op dat moment geaccepteerde beveiligingsmaatregelen. E.e.a. impliceert dat de risico-inschatting en de beveiligingsmaatregelen periodiek dienen te worden herzien. Dat is een heuse kluif, met name voor de ruim 2.250 kleinere advocatenkantoren en 2.700 eenpitters. Beleidsdocumenten en een hoofdstuk in het kantoorhandboek moeten worden geschreven, en trainingen gevolgd. Daarnaast dienen een reeks technische maatregelen te worden getroffen zoals aanbrengen van elektronische toegangsbeveiliging(en), beheer van technische kwetsbaarheden, software-updates, incidentenbeheer, encryptie, beveiligingsassessments etc. De advocaten zien zich geconfronteerd met een relatief dure en tijdrovende exercitie opdat zij aan hun wettelijke verplichtingen (zowel uit hoofde van de Wbp als Advw) kunnen voldoen.

Los van de implicaties bij het in praktijk brengen van de pagina's lange CBP-richtsnoeren, richtlijnen en codes, rijst de vraag of in art. 10a Advw en Gedragsregel 6 ("De advocaat is verplicht tot geheimhouding") een absolute norm moet worden gelezen. Een absolute norm impliceert dat reeds wegens het enkele feit dat de geheimhouding wordt geschonden - door welke oorzaak van buitenaf dan ook (zoals hacking, malware, fysieke inbraak) - de advocaat altijd de sigaar is en dus tuchtrechtelijk en civielrechtelijk kan worden aangesproken.

In het tuchtrecht lijkt de Raad van discipline aansluiting te willen zoeken bij de 'privacywetgeving ' in het algemeen. Niet duidelijk is of de tuchtrechter voor de schuldvraag zal oordelen zoals het CBP, namelijk of de Verantwoordelijke adequate beveiligingsmaatregelen heeft getroffen. In de juridische literatuur blijkt de geheimhouding van de advocaat niet een in steen gebeiteld voorschrift. De geheimhoudingsplicht die is opgenomen in Gedragsregel 6 is, aldus Bannier, een gedragsregel die invulling geeft aan het begrip "behoorlijk advocaat" van art. 46 Advw en aan de mate van zorg die vereist wordt. Aldus heeft de tuchtrechter de vrijheid om aan een gedragsregel voorbij te gaan als dat voor een behoorlijk advocaat passend gedrag betekent.

Een dergelijke vrijheid waarbij wordt ingezoomd op hetgeen een behoorlijk advocaat betaamt, kan leiden tot een discrepantie tussen de uitspraak van de tuchtrechter en het CBP. Advocaten kunnen dus in een spagaat terechtkomen. Immers, de beoordelingsgrondslagen zijn verschillend; het CBP kijkt naar de Wbp, (dus) de te beschermen gegevens en de stand der techniek, terwijl de tuchtrechter kijkt naar de Advw en (dus) wat een behoorlijk handelend advocaat onder vergelijkbare omstandigheden had gedaan (of nagelaten). De verschillende meetlatten zullen echter vermoedelijk in veruit de meeste zaken tot gelijke of vergelijkbare uitspraken leiden (al dan niet schending van privacy/geheimhouding). Zo zal een advocaat die zijn computer aan de straat zet met daarop zijn cliëntdossiers het verwijt treffen niet de gepaste beveiligingsmaatregelen te hebben getroffen en niet te handelen zoals een advocaat betaamt.

Maar wat te denken van het geval waarin een advocaat buiten medeweten van zijn cliënt een rapport met vertrouwelijke medische gegevens aan de rechtbank afgeeft? De Raad van Discipline oordeelde dat een advocaat handelt binnen de grenzen van zijn toekomende vrijheid bij de behartiging van de belangen van cliënt door een dergelijk rapport in geding te brengen. Des advocaats, dus. Echter, niet valt uit te sluiten dat het CBP had geoordeeld dat ingevolge art. 8 Wbp dat rapport werd gebruikt voor een volstrekt ander doel dan waarvoor het was en dus een dergelijk gebruik niet verenigbaar is met de Wbp, met een boete als gevolg.

Het is momenteel niet duidelijk of de rechtspraak van de Raden van Discipline een strengere of mildere norm op het vlak van gegevensbescherming toepassen dan het CBP. Het criterium van de maatman-advocaat betekent dat niet dat de Raden minder gauw aannemen dat een advocaat zijn geheimhoudingsplicht heeft geschonden dan het CBP. Aangezien het doen en laten van de maatman-advocaat een grijs gebied bestrijkt, is het mogelijk dat een schending van de geheimhouding bij de Raden eerder tot sancties leidt dan bij het CBP. Of omgekeerd. Het is wachten op het eerste advoca-tenkantoor dat zijn geheimhoudingsplicht verzaakt en voor dat feit zowel bij de RvD als het CBP mag opdraven.

augustus 2015 © mr. F.J. Van Eeckhoutte, ICT/IE-advocaat, Amersfoort
www.vaneeckhoutteadvocaten.nl