LegalPA onderzocht welke voorschriften en richtlijnen er inmiddels in Frankrijk en onze beide buurlanden in het leven zijn geroepen rondom het anonimiseren van cliëntgegevens door advocaten, notarissen en andere juristen die met zulke gegevens werken. Uit het onderzoek van de leverancier van Nederlandse juridische AI-software blijkt dat daartoe in al die drie landen inmiddels richtlijnen in werking zijn gesteld, anders dan in Nederland. In ons land buigt de NOvA zich al een tijdje over sectorspecifieke anonimiseringsrichtlijnen bij AI-gebruik, maar die laten nog op zich wachten.
Dat zet ons land op een achterstand met potentieel schadelijke gevolgen, vertelt Sebastian van de Poppe, CEO van LegalPA. “Zolang er geen duidelijke kaders zijn, bestaat namelijk de kans dat advocaten vertrouwelijke cliëntgegevens invoeren in AI-systemen die geen anonimisering toepassen.” Dat levert een schending van de AVG op, die bovendien onherroepelijk is. Want: “Eenmaal ingevoerd zijn deze gegevens niet meer terug te halen.”
Nationale richtlijnen
Het onderzoek laat zien dat landen om ons heen bovenop Europese wetgeving, zoals de AVG, al actief aan de slag zijn met aanvullende nationale richtlijnen. Zo is het in België voor juristen verboden AI-tools te gebruiken zonder voorafgaande pseudonimisering. Ruwe persoonsgegevens als input gebruiken is daar uitdrukkelijk verboden. In Frankrijk is naast voorafgaande pseudonimisering ook encryptie verplicht gesteld voor juristen.
In Duitsland ligt de lat nog wat hoger, constateert LegalPA. Niet alleen moeten alle documenten die in AI-systemen worden ingevoerd geanonimiseerd zijn – uit de context mogen ook geen gegevens herleidbaar zijn. Is een advocaat, notaris of andere jurist daarin onzorgvuldig, dan behoort in Duitsland strafrechtelijke vervolging tot de mogelijkheden.
‘NOvA is aan zet’
De NOvA is in Nederland dan ook nadrukkelijk aan zet om met vergelijkbare voorschriften te komen, vindt Van de Poppe. “We hebben wel Europese kaders, zoals de AVG, maar die komen uit een tijd waarin juristen nog niet actief aan de slag waren met AI-tools.” Ondertussen is in verschillende EU-lidstaten al wel geconcludeerd dat de beginselen van de AVG volledig van toepassing zijn op AI-gebruik in de advocatuur.
“Het Hof van Justitie van de EU oordeelde in september 2025 dat persoonsgegevens pas buiten de reikwijdte van de AVG vallen als zij volledig en onomkeerbaar zijn geanonimiseerd. Pseudonimisering kan in bepaalde gevallen volstaan, maar alleen wanneer de kans op herleidbaarheid uitgesloten is en de verantwoordelijke dat kan aantonen.”
Dubbel regime
Voor advocaten die ook met medische gegevens van cliënten te maken hebben – zoals letselschade-advocaten, maar dikwijls ook strafrechtadvocaten – is de noodzaak tot anonimiseren nog dringender, constateert LegalPA. Voor hen geldt een dubbele verplichting, legt Van de Poppe uit: “De medische sector kent de Handreiking Anonimiseren uit 2019, die stelt dat alleen onomkeerbare anonimisering voldoende bescherming biedt. Maar daarnaast gelden de regels van de AVG. Er is dus sprake van een dubbel regime.” Het risico op schending is hier dan ook extra groot.
“Voor de Nederlandse advocatuur is het essentieel dat de NOvA op korte termijn een duidelijke richtlijn formuleert. Alleen dan krijgen advocaten het houvast dat nodig is om AI verantwoord in te zetten, zonder het beroepsgeheim of de AVG te schenden.”
