Wie is in de mediatie verantwoordelijk voor de gegevensbescherming?

Verantwoordelijk voor de gegevensbescherming in de zin van de AVG is de persoon of instantie die beslist over het doel en de middelen van de gegevensverwerking. In de mediatie zijn dat de mediators. Dit betekent praktisch: Zij zijn verantwoordelijk voor de omgang met de gegevens. Zij moeten de beginselen van gegevensbescherming naleven, informeren over de verwerking, de rechten van de betrokken personen waarborgen en passende technische en organisatorische maatregelen ter bescherming van de gegevens implementeren.

Welke mediatiegegevens moet ik hoe lang bewaren?

Persoonsgegevens mag je alleen zo lang bewaren als er een rechtsgrond voor bestaat of de gegevens voor het betreffende doel nog nodig zijn. Er is geen vaste standaardtermijn. Voor advocaten geldt bij handdossiers volgens § 50 Abs. 2 BRAO een bewaartermijn van vijf jaar . Langere termijnen kunnen echter voortvloeien uit § 147 AO, uit lopende rechtszaken of uit § 3 Abs. 3 Mediationsgesetz. Zodra het doel vervalt, moeten de gegevens worden gewist.

Gegevensbeschermingswetten en Mediation: Overzicht

Als bij een mediation op een online-marktplaats gegevens verkeerd worden behandeld, dreigen niet alleen geschillen, maar ook AVG-problemen. Voor mij is de kern heel eenvoudig: Mediatiedata mogen alleen voor het geschil worden gebruikt, de toegang moet strikt beperkt zijn, en gegevens moeten na vaste termijnen worden gewist of bewaard.

Ik neem uit de bijdrage vooral deze punten mee:

AVG, BDSG en de Mediationwet werken samen
Vertrouwelijkheid en privacy zijn niet hetzelfde
Platform, mediator en IT-dienstverleners hebben verschillende rollen
Elke fase heeft een eigen juridische basis nodig
Rechten op informatie en verwijdering gelden, maar niet zonder grenzen
Typische fouten zijn te veel toegang, ontbrekende verwijdertermijnen en onveilige overdracht

Kortom: Als ik mediation op een platform zoals Gunfinder rechtsgeldig wil opzetten, heb ik duidelijke verantwoordelijkheden, weinig gegevens, gescheiden zaakdossiers, versleutelde communicatie en een verwijderplan met termijnen zoals 6 of 10 jaar, afhankelijk van het document.

Mijn korte conclusie: Privacy in mediation is geen extra punt. Het moet vanaf het begin in formulieren, processen, contracten en systemen worden opgenomen.

AVG: De 5 belangrijkste gebruikersvragen over de Algemene Verordening Gegevensbescherming

Juridisch kader: AVG, BDSG en de Mediationwet

Nadat vertrouwelijkheid en privacy apart zijn bekeken, gaat het nu om de juridische regels daarachter. Voor mediationprocedures in Duitsland zijn vooral drie rechtsbronnen belangrijk. Ze werken samen, maar elke dekt een ander deel af.

Wet	Toepassingsgebied	Kernverplichtingen	Relevantie voor Mediation
AVG	Alle verantwoordelijken in de EU	Beginselen volgens Art. 5, juridische basis (Art. 6), boetes (Art. 83)	Basis voor de gegevensverwerking in de procedure
BDSG	Openbare en private instellingen in Duitsland	Verplichting DSB (§ 38), werknemersgegevens (§ 26), beperking van informatie (§ 29)	Kan rechten van betrokkenen beperken bij geheimhoudingsbelangen
MediationsG	Mediators en hun assistenten	Vertrouwelijkheid (§ 4)	Beschermt de inhoud van de procedure verder dan alleen de gegevensverwerking

Voor mediatiegevallen zijn vooral drie punten van belang: doelbinding, een duidelijke rechtsgrond en netjes verdeelde rollen. Bij Gunfinder betreft dit vooral gebruikers-, transactie- en communicatiedata uit het geschil.

DSGVO-principes bij de verwerking van mediatiegegevens

Art. 5 DSGVO noemt de basisregels die gelden bij elke verwerking van persoonsgegevens – dus ook in mediatieprocedures ^[2]. Juist hier zijn deze regels meer dan louter formaliteiten. Ze bepalen heel praktisch wat er met gevalgegevens mag gebeuren en wat niet.

Doelbinding betekent: gegevens die zijn verzameld voor geschiloplossing mogen niet plotseling voor andere doeleinden worden gebruikt. Een typisch voorbeeld zou de evaluatie voor marketinganalyses zijn. Dat kan niet zomaar ^[2].

Gegevensminimalisatie betekent dat formulieren alleen mogen vragen wat voor het specifieke geval nodig is. Niet alles wat "misschien ooit nuttig kan zijn", behoort automatisch tot de gegevensverzameling. Juist daar scheidt goede praktijk zich van onnodige gegevensverzameling.

Daar komt de opslagbeperking bij. Gevalgegevens moeten worden gewist zodra het doel is bereikt, tenzij er fiscale bewaartermijnen van toepassing zijn ^[2]. Voor de communicatie in de procedure geldt bovendien het principe van integriteit en vertrouwelijkheid. Met andere woorden: de overdracht moet technisch beveiligd zijn, bijvoorbeeld via TLS/SSL of end-to-end encryptie ^[2]^[8].

De verwerking is meestal gebaseerd op Art. 6 lid 1 sub b DSGVO. Voor bepaalde communicatiewijzen kan bovendien toestemming nodig zijn ^[2].

Hoe deze regels in de verschillende procesfasen worden toegepast, laat het volgende deel zien.

Hoe BDSG en Mediationsgesetz Duitse bijzonderheden toevoegen

De DSGVO is het kader op EU-niveau. De BDSG vult dit aan voor Duitsland. Voor de praktijk is vooral § 38 BDSG belangrijk: Wie doorgaans minimaal 20 personen voortdurend met geautomatiseerde gegevensverwerking bezighoudt, moet een functionaris voor gegevensbescherming aanwijzen ^[2]^[7]. Zodra deze drempel is bereikt, bestaat de verplichting.

Ook § 29 BDSG speelt in de mediationomgeving een belangrijke rol. De bepaling kan het recht op informatie volgens Art. 15 DSGVO beperken, wanneer door de informatie geheimhoudingsbelangen van andere betrokkenen zouden worden geschonden. Dit betekent in duidelijke taal: Een partij kan niet zomaar alle informatie over de andere partij eisen, wanneer deze onder de bescherming van vertrouwelijkheid valt ^[2]^[4].

Daar komt § 4 MediationsG bij. Hij verplicht mediators en betrokkenen tot geheimhouding over alles wat hen in de mediation bekend wordt ^[5]. Dit gaat verder dan alleen gegevensverwerking. Beschermd zijn niet alleen opgeslagen gegevens, maar ook gesproken woorden, indrukken en non-verbale communicatie ^[8]^[4].

Belangrijk is ook een punt dat in de praktijk gemakkelijk over het hoofd wordt gezien: De mediator heeft een geheimhoudingsplicht, maar geen eigen geheimhoudingsrecht. Wanneer de partijen hem van de vertrouwelijkheid ontheffen, kan hij verplicht zijn om getuigenis af te leggen ^[4].

Wie verantwoordelijk is voor de gegevens: platform, mediator en dienstverlener

Wie juridisch verantwoordelijk is voor de gegevens, blijft in het mediationproces niet altijd op dezelfde plek. Afhankelijk van de fase kan dit verschuiven.

Gunfinder is als platform in eerste instantie verantwoordelijk voor gebruikersaccount- en transactiegegevens, evenals voor het ontvangen van geschillen ^[2]. De mediator verwerkt de gevalgegevens voor de uitvoering van de procedure daarentegen als eigen verantwoordelijke ^[2].

Anders is het bij IT-dienstverleners, zoals cloud- of videoconferentieaanbieders. Zij zijn verwerkers volgens Art. 28 DSGVO. Dit betekent: Zij mogen gegevens alleen verwerken op instructie van de verantwoordelijke. Hiervoor is een schriftelijke verwerkersovereenkomst nodig ^[2]^[8].

De naleving van deze regels wordt gecontroleerd door de Duitse landelijke gegevensbeschermingsautoriteiten. Ook mediators vallen onder deze controle ^[2].

Vertrouwelijkheid en gegevensbescherming in de mediation

Zwijgplichten voor mediators en partijen

Wie als mediator of als betrokken persoon een procedure begeleidt, is onderworpen aan de geheimhouding. Dit geldt ook voor medewerkers van een platform, wanneer zij toegang hebben tot een zaak. In dergelijke gevallen moet de vertrouwelijkheid contractueel worden vastgelegd.

Voor de partijen zelf geldt deze verplichting echter niet automatisch. Deze moet expliciet worden overeengekomen, bijvoorbeeld in een mediationovereenkomst of in een aparte vertrouwelijkheidsovereenkomst ^[4]^[3]. Juist daarom zou een passende clausule in elke mediationovereenkomst moeten staan.

Uitspraken uit de mediation kunnen in een latere procedure in principe niet zonder meer worden gebruikt ^[3]. Gegevensbescherming en vertrouwelijkheid grijpen hier wel in elkaar, maar betekenen niet hetzelfde.

Hieruit volgen duidelijke richtlijnen voor toegang, doorgeven en opslaan. Het is dus niet voldoende om alleen over geheimhouding te spreken. Ook de beveiliging van de zaakgegevens moet goed geregeld zijn.

Technische en organisatorische beschermingsmaatregelen voor digitale zaakgegevens

Om ervoor te zorgen dat vertrouwelijkheid niet alleen op papier staat, zijn technische en organisatorische beschermingsmaatregelen nodig.

Zaakdocumenten zouden alleen toegankelijk moeten zijn voor de verantwoordelijke mediator en de direct betrokken partijen ^[2]. In de praktijk gebeurt dit meestal via rolgebaseerde toegangsrechten: Elke rol ziet alleen de gegevens die zij voor de betreffende zaak nodig heeft. Daar komt het scheidingsgebod bij. Zaakgegevens moeten logisch of fysiek gescheiden worden opgeslagen van de algemene marktplaatsgegevens, zodat medewerkers zonder zaakverbinding geen toegang krijgen ^[2].

Bij bijzonder gevoelige inhoud is end-to-end encryptie zinvol, bijvoorbeeld met S/MIME of PGP ^[2].

Ook aan de organisatorische kant zijn duidelijke regels nodig. Dit omvat vooral:

een verwerkingsregister volgens art. 30 AVG
vaste verwijdertermijnen
de inachtneming van wettelijke bewaartermijnen, bijvoorbeeld 10 jaar volgens § 147 AO in het belastingrecht of 6 jaar voor advocaat-mediators volgens § 50 BRAO ^[1]^[2]

Zo wordt vertrouwelijkheid meer dan alleen een belofte in het contract. Het wordt ook praktisch gewaarborgd in de dagelijkse omgang met digitale gevalgegevens.

Rechtsconforme gegevensverwerking op Gunfinder: van de binnenkomst van het geschil tot de afsluiting van de zaak

DSGVO-conforme Mediation: Gegevensfases & Rechtsgrondslagen in overzicht

Gegevensverzameling en rechtsgrondslagen in elke mediatiefase

Na de beschermingsmaatregelen gaat het nu om de praktische afhandeling van de zaak op Gunfinder.

Belangrijk is: Niet elke fase verwerkt dezelfde gegevens. En precies daarom heeft elke stap zijn eigen rechtsgrondslag nodig.

Mediatiefase	Verwerkte gegevens	Rechtsgrondslag (Art. 6 DSGVO)	Aangeraden beschermingsmaatregelen
Binnenkomst van het geschil	Naam, contactgegevens, Gunfinder-ID, transactie-ID	Art. 6 lid 1 sub b DSGVO (precontractueel)	Versleutelde invoervormen; toegang alleen voor het ontvangstteam; verwijdering na korte termijn als er geen procedure volgt ^[2]
Identiteitscontrole	gecensureerde kopie van identificatie, eigendomsbewijs	Art. 6 lid 1 sub c DSGVO	Verwijdering van de kopie van identificatie na controle; toegang alleen voor bevoegde personen
Bewijsoverzicht	Chatgeschiedenis, artikel foto's, betalingsbewijzen, rapporten	Art. 6 lid 1 sub b DSGVO	Censurering van niet-relevante persoonsgegevens; beveiligde digitale zaakmap
Sessies	Uitspraken, video-/audio-opnamen, mediator notities	Art. 6 lid 1 sub b DSGVO; bij opnamen aanvullend Art. 6 lid 1 sub a DSGVO	Toestemming voor opnamen; aparte opslag van de mediator notities
Overeenkomst en afsluiting	Overeenkomsttekst, bankgegevens voor terugbetalingen, handtekeningen	Art. 6 lid 1 sub b DSGVO	Digitale handtekeningen; beperkte toegang tot de definitieve overeenkomst
Bewaring/archivering	Facturen, afsluitovereenkomsten, fiscaal relevante communicatie	Art. 6 lid 1 sub c DSGVO	10-jarige bewaring voor fiscaal relevante documenten ^[1]^[2]; geautomatiseerde verwijdertermijnen

De logica hierachter is vrij duidelijk: Bij de binnenkomst van het geschil zijn meestal basisgegevens voldoende voor de toewijzing van de zaak. Later, bij identiteitscontrole of bewijsoverzicht, wordt het duidelijk gevoeliger. Ten laatste bij sessies, opnamen en afsluitdocumenten moet je daarom precies scheiden, wie wat mag zien en hoe lang de gegevens nodig zijn.

Betroffenenrechten en Mediationsvertrouwelijkheid

Betroffenenrechten gelden ook in de mediationprocedure. Ze staan dus niet gewoon stil, alleen omdat er een geschil loopt.

Toch zijn er grenzen. Als een informatieverzoek of verwijdering de vertrouwelijkheid van de mediation of de bescherming van de procedure in gevaar zou brengen, kunnen deze rechten in een specifiek geval wijken. § 29 BDSG kan het recht op informatie bovendien beperken. Mediatornotities moeten daarom apart in het dossier liggen; ze zijn meestal niet informatieplichtig.

Juist hier blijkt hoe belangrijk een nette dossierstructuur is. Als alles in één enkele map belandt, wordt het bij informatieverzoeken of verwijderingsverzoeken snel onoverzichtelijk.

Grensoverschrijdende zaken en bewaartermijnen

Na afsluiting en archivering komen vaak nog een paar lastige punten naar voren, vooral bij zaken met een buitenlandse component.

Binnen de EU en de EER geldt de AVG direct. Voor Zwitserland geldt de adequaatheidsbesluit. Voor andere derde landen heb je standaardcontractbepalingen nodig volgens art. 46 AVG ^[1]^[2].

Wat de termijnen betreft, is de situatie ook duidelijker dan ze op het eerste gezicht lijkt: De MediationsG zelf noemt geen vaste termijnen. Voor belastingrelevante documenten gelden 10 jaar, voor advocaatmediators bovendien 6 jaar ^[1]^[2]. Een geautomatiseerde verwijderkalender is hier bijna verplicht. Het helpt om termijnen netjes te documenteren en verwijderingen tijdig te initiëren.

De grootste risico's liggen aan het einde vaak niet in de binnenkomst van een zaak, maar later in het dagelijks leven:

te brede toegangsrechten
te late verwijdering
gebrekkige documentatie

Precies daar wordt beslist of de gegevensverwerking op Gunfinder in het dagelijks leven soepel verloopt of dat een klein foutje later een ernstig probleem voor de gegevensbescherming wordt.

Risicomanagement en conclusie: Mediationsprocedures rechtsconform en betrouwbaar houden

Als de processtappen eenmaal vaststaan, blijkt snel in de praktijk waar het om draait: Risicomanagement maakt het verschil in kwaliteit.

Typische compliance-risico's in mediationdossiers en communicatie

Volgens de proceslogica uit de vorige sectie komt nu de gevoelige kant van de praktijk aan bod. Anders gezegd: Waar gaat het in de praktijk vaak mis?

Risicoscenario	Mogelijke impact	Tegenmaatregel
Onversleutelde overdracht	Gevoelige gegevens kunnen worden onderschept	Versleutelde overdracht en opslag
Te lange gegevensopslag	Schending van de opslagbeperking	Gedocumenteerd verwijderingsconcept met vaste termijnen
Te brede interne toegangsrechten	Schending van de vertrouwelijkheid volgens § 4 MediationsG	Rolgebaseerde toegangscontroles; fysieke en digitale gegevensscheiding
Gebruik van openbare cloud-AI-diensten	Vertrouwelijke gevalgegevens mogen niet in openbare AI-tools terechtkomen	Lokale of beveiligde AI-systemen; uitdrukkelijke toestemming van de partijen ^[6]
Gegevenslek (bijv. verloren apparaat)	Meldplicht; boetes volgens art. 83 AVG; reputatieschade	Volledige schijfversleuteling; externe wissen (Remote Wipe); 72-uur meldworkflow ^[2]
Openbaarmaking van mediationinhoud voor de rechtbank	Mediationinhoud wordt als bewijs gebruikt	Contractuele beperkingen op gebruik in de mediationovereenkomst ^[4]

Een punt dat vaak over het hoofd wordt gezien: § 4 MediationsG bindt de mediator en hulppersonen. Voor de partijen zelf is dat echter niet automatisch voldoende. Daarvoor is een eigen vertrouwelijkheidsclausule nodig.

Documentatie, training en Privacy by Design

Uit deze risico's ontstaan drie aanpassingsmogelijkheden: Documentatie, training en technische beperking.

Het verwerkingsregister volgens art. 30 AVG legt doel, fase en bewaartermijn vast. Zo blijft niet alles in het hoofd of in afzonderlijke e-mails hangen, maar is het netjes gedocumenteerd. Vooral bij mediationprocedures is dat belangrijk, omdat gegevensstromen anders snel zelfstandig kunnen worden.

Daarbij komen regelmatige trainingen voor medewerkers en mediators. Dat klinkt in eerste instantie droog, maar is in de praktijk vaak het punt waar fouten worden voorkomen. Veel problemen ontstaan niet door kwade opzet, maar door routine, tijdsdruk of een ondoordachte klik.

Bij AI-tools geldt een duidelijke lijn: ze draaien alleen lokaal of in beveiligde systemen. Vertrouwelijke gevalgegevens horen niet in openbare diensten. En als er een datalek plaatsvindt, moet de melding binnen 72 uur gebeuren.

Kernboodschappen

Rechtsconforme mediation vereist duidelijke verantwoordelijkheden, zo min mogelijk gegevens en nette bewaartermijnen. Voor Gunfinder als platform betekent dit: duidelijke juridische grondslagen voor elke verwerkingsfase, strikt beperkte toegangsrechten en een gedocumenteerd verwijderingsconcept.

FAQs

Wanneer heb ik toestemming nodig voor mediationgegevens?

Je hebt toestemming nodig wanneer de verwerking van persoonsgegevens in de mediation niet al op een andere rechtvaardigingsgrond is gebaseerd.

Dit is vooral het geval bij gevoelige gegevens, bijvoorbeeld bij informatie over gezondheid of politieke opvattingen. Ook wanneer je gegevens wilt gebruiken voor doeleinden die niet in de oorspronkelijke privacyinformatie zijn genoemd, is toestemming nodig.

Wie is in de mediation verantwoordelijk volgens de privacywetgeving?

Verantwoordelijk volgens de AVG is de persoon of instantie die beslist over het doel en de middelen van de gegevensverwerking. In de mediation zijn dat de mediators.

Dat betekent in de praktijk: U bent verantwoordelijk voor de omgang met de gegevens. U moet de beginselen van gegevensbescherming naleven, informeren over de verwerking, de rechten van de betrokken personen waarborgen en passende technische en organisatorische maatregelen ter bescherming van de gegevens implementeren.

Welke mediationsgegevens moet ik hoe lang bewaren?

Persoonsgegevens mag je alleen zo lang opslaan als er een rechtsgrondslag voor bestaat of de gegevens voor het betreffende doel nog nodig zijn. Er is geen vaste standaardtermijn.

Voor advocaten geldt bij handstukken volgens § 50 Abs. 2 BRAO een bewaartermijn van vijf jaar. Langere termijnen kunnen echter voortvloeien uit § 147 AO, uit lopende rechtszaken of uit § 3 Abs. 3 Mediationsgesetz.

Zodra het doel vervalt, moeten de gegevens worden gewist.