Joris DeeneHeeft een betrokkene recht op een kopie van het getekende contract bij een inzageverzoek onder de AVG (GDPR)? En wat als u dit contract door een archiveringsfout niet meer terugvindt? Een recente beslissing van de Belgische Gegevensbeschermingsautoriteit (GBA) schept duidelijkheid: ja, contracten zijn vaak essentieel om de rechtmatigheid van de verwerking te controleren. Het verlies ervan vormt een inbreuk op de beveiligingsverplichting, zelfs als de contractuele relatie juridisch nog bestaat.
De feiten
In deze zaak diende een cliënt (de klager) een klacht in tegen Bank Y bij de Belgische Gegevensbeschermingsautoriteit (GBA). De klager had via een inzageverzoek (artikel 15 AVG) gevraagd om toegang tot zijn persoonsgegevens, maar specifiek ook om kopieën van de openingscontracten van zijn rekeningen en de bijbehorende bankkaarten.
De bank verstrekte een overzicht van de verwerkte persoonsgegevens en verwees naar de algemene voorwaarden op de website. Echter, voor één specifiek rekeningnummer moest de bank bekennen dat ze niet langer in het bezit was van de fysieke openingscontracten wegens een “probleem met de archivering”.
De bank argumenteerde dat ze voldaan had aan haar plichten door de gegevens zelf (in een overzicht) te verstrekken en dat de fysieke contracten niet noodzakelijk waren, aangezien de contractuele relatie duidelijk bleek uit het gebruik van de rekening.
De beslissing en regelgeving
De Geschillenkamer van de GBA oordeelde ten gronde in haar beslissing 08/2026 van 26 januari 2026. De uitspraak steunt op twee belangrijke pijlers: het recht op kopie en de verantwoordingsplicht.
1. Recht op kopie van documenten (CRIF-rechtspraak)
De GBA verwijst naar het CRIF-arrest van het Europees Hof van Justitie (C-487/21). Hoewel artikel 15 AVG strikt genomen recht geeft op inzage in gegevens en niet per se documenten, oordeelde de GBA dat het verstrekken van de contracten hier onmisbaar was.
De redenering is als volgt: een van de doelen van het inzagerecht is de betrokkene in staat stellen de rechtmatigheid van de verwerking te controleren. Aangezien de verwerking van bankgegevens gebaseerd is op de uitvoering van een overeenkomst (artikel 6.1.b AVG), vormt het contract de basis van de verwerking. Zonder inzage in dit contract kan de klager zijn rechten (zoals beperking van verwerking) niet effectief uitoefenen. De contracten maakten dus integraal deel uit van het inzageverzoek.
2. Beveiliging en verlies van documenten
De bank kon aantonen dat er wel degelijk een contractuele relatie bestond (via transactiehistoriek en andere elementen), waardoor de verwerking op zich rechtmatig bleef onder artikel 6 AVG.
Echter, het feit dat de bank het fysieke contract niet meer kon voorleggen, werd bestraft. De GBA stelde vast dat het verlies van de contracten een inbreuk vormt op de artikelen 5.1.f (integriteit en vertrouwelijkheid), 25.1 (gegevensbescherming door ontwerp) en 32 (beveiliging van verwerking) van de AVG. De bank kreeg hiervoor een berisping.
Juridische analyse en duiding
Deze beslissing, in lijn met recente rechtspraak van het Hof van Cassatie (arrest van 10 januari 2025), bevestigt dat de GBA bevoegd is om het bestaan van een contract te beoordelen in het kader van gegevensbescherming. De uitspraak heeft echter bredere implicaties voor de compliancestrategie van ondernemingen.
De grens van “essentiële” documentatie
De kern van de beslissing ligt in de kwalificatie van de contracten als “essentieel” voor de uitoefening van de rechten van de betrokkene. Dit sluit aan bij de CRIF-doctrine: u hoeft geen kopie van elk document te geven, tenzij dit noodzakelijk is om de context en juistheid van de gegevens te begrijpen. In dit geval waren de contracten de corpus waarop de verwerking steunde. Dit opent de deur naar discussies over proportionaliteit: een creatieve verzoeker kan beweren dat elk brondocument “essentieel” is om te controleren of de data correct zijn ingevoerd.
Een hellend vlak naar “excessieve” archivering?
De GBA stelt expliciet dat de verwerkingsverantwoordelijke “passende mechanismen” moet hebben om de noodzaak en mogelijkheid tot recuperatie van verloren contracten te beoordelen. Dit lijkt een zware last te leggen op organisaties. Betekent dit dat alle documenten, inclusief logs van IT-systemen, jarenlang bewaard moeten worden?
Het antwoord is genuanceerd: niet alles moet bewaard worden, maar wel de documentatie die de wettelijke basis (in casu het contract) van uw verwerking vormt. Als u verwerkt op basis van een overeenkomst, is het document dat die overeenkomst bewijst geen “nice to have”, maar een cruciaal onderdeel van uw verantwoordingsplicht (accountability).
Versiebeheer is cruciaal
Voor organisaties die in een digitale omgeving werken met Algemene Voorwaarden (T&C’s) als contractuele basis, is deze uitspraak een waarschuwing. Het is niet voldoende om te zeggen “de klant heeft geaccepteerd”. U moet via strikt versiebeheer kunnen aantonen welke versie van de voorwaarden op welk moment door de klant is geaccepteerd. Zonder deze “snapshot” riskeert u, net als de bank in deze zaak, niet te kunnen voldoen aan een inzageverzoek, met een inbreuk op artikel 32 AVG tot gevolg.
Wat betekent dit concreet voor uw organisatie?
De impact van deze beslissing reikt verder dan de banksector. Elke onderneming die persoonsgegevens verwerkt op basis van een contract, moet rekening houden met de volgende actiepunten:
- Digitaliseer papieren archieven: Vertrouw niet op louter fysieke opslag. Het verlies van een papieren contract door een menselijke fout of calamiteit is een schending van de AVG als er geen digitale back-up is.
- Centraliseer bewijsstukken: Zorg dat de documenten die uw verwerkingsgrond staven (getekende offertes, contracten, akkoordverklaringen) onmiddellijk opvraagbaar zijn bij een inzageverzoek.
- Versiebeheer van T&C’s: Indien u werkt met online ‘click-wrap’ overeenkomsten, zorg dan voor een waterdicht systeem dat registreert welke versie van de voorwaarden actief was op het moment van de klik.
- Procedure voor gegevensherstel: De GBA verwacht een gestructureerd proces om verloren gegevens te trachten recupereren. “Het is weg” is geen aanvaardbaar antwoord zonder dat u kunt aantonen dat u pogingen tot herstel heeft ondernomen.
Veelgestelde vragen (FAQ)
Ben ik verplicht om een kopie van het volledige contract te geven bij een AVG-verzoek?
In veel gevallen wel. Hoewel de AVG spreekt over kopieën van gegevens, stelt de rechtspraak (o.a. het CRIF-arrest en deze GBA-beslissing) dat u kopieën van documenten moet verstrekken als dit essentieel is voor de betrokkene om de rechtmatigheid van de verwerking te controleren. Een samenvatting volstaat dan niet.
Is het verliezen van een contract een inbreuk op de AVG als de samenwerking nog steeds loopt?
Ja. Zelfs als u op andere manieren kunt bewijzen dat de samenwerking bestaat (bv. via facturen), vormt het verlies van het contract zelf een inbreuk op de beveiligingsverplichting (art. 32 AVG) en het principe van integriteit (art. 5.1.f AVG). U moet in staat zijn de documenten die uw verwerking rechtvaardigen, veilig te bewaren.
Moet ik ook oude versies van mijn algemene voorwaarden bewaren?
Ja. Om te voldoen aan de verantwoordingsplicht moet u kunnen aantonen onder welke specifieke voorwaarden een klant in het verleden zijn gegevens heeft laten verwerken. Goed versiebeheer is essentieel om bij een inzageverzoek de juiste informatie te kunnen voorleggen.
Conclusie
Deze beslissing van de GBA herinnert ons eraan dat de AVG niet enkel gaat over bits en bytes, maar ook over degelijk documentbeheer. Het niet kunnen voorleggen van een contract is niet louter een administratieve slordigheid, maar een sanctioneerbare inbreuk op de beveiligingsverplichtingen. Voor ondernemingen in België is de boodschap helder: uw archivering – digitaal of fysiek – is een integraal onderdeel van uw GDPR-compliance.
Dutch 
English