Toezicht verwerking persoonsgegevens gerechten en parket bij de Hoge Raad

Ingediende klachten

In 2023 zijn vier klachten ingediend bij de procureur-generaal bij de Hoge Raad. Dit is een lager aantal klachten dan in voorgaande jaren is ingediend. In 2022 zijn vijf klachten ingediend. In de jaren ervoor kwamen elf (2021), zeven (2020), twaalf (2019) en zes (2018) klachten binnen.

Twee van de in 2023 ingediende klachten zijn in 2023 afgehandeld.

In een zaak is onder meer geantwoord dat de procureur-generaal niet bevoegd is tot behandeling van een klacht over de verwerking van persoonsgegevens in een rapport van een bijzondere curator. Ten aanzien van de klacht dat de rechter (de gegevens uit) het rapport heeft gebruikt door zijn beslissing op onder meer het rapport te baseren, is geantwoord dat op grond van art. 11 van de Regeling toezicht verwerking persoonsgegevens door gerechten en het parket bij de Hoge Raad niet kan worden geklaagd over de zakelijke inhoud van een rechterlijke beslissing. De klacht dat de rechtbank klaagster niet actief heeft geïnformeerd over haar privacyrechten werd ongegrond verklaard. Daarbij is erop gewezen dat openbare informatie hierover te vinden is op www.rechtspraak.nl.

In een andere zaak stuurde de rechtbank brieven naar een oud huisadres. Geklaagd werd dat de rechtbank zich niet heeft gehouden aan de opslagbeperking in de zin van artikel 5 lid 1 onder e) AVG. Er werd ook geklaagd dat de rechtbank geen zorg heeft gedragen voor de juistheid van de gegevens in de zin van artikel 5 lid 1 onder d) AVG. De klacht is ter behandeling doorgestuurd naar het bestuur van de rechtbank, omdat de rechtbank over alle relevante gegevens beschikt.

Vordering

In het verslagjaar heeft de procureur-generaal voor het eerst een vordering ingesteld op grond van de Regeling toezicht verwerking persoonsgegevens door gerechten en het parket bij de Hoge Raad. Deze vordering betreft de verwerking van persoonsgegevens in het E-archief. Het E-archief is een interne databank van de Rechtspraak die ongeanonimiseerde uitspraken bevat. Klachten waren ingediend over het opnemen van persoonsgegevens in het E-archief, het raadplegen en delen daarvan in het kader van een rechtszaak en over het afwijzen van een verzoek van klager om zijn persoonsgegevens niet via (onder meer) het E-archief te verspreiden. De vordering strekt ertoe dat de Hoge Raad een onderzoek instelt naar de verwerking van de persoonsgegevens van de klager in het E-archief. De procureur-generaal geeft de Hoge Raad in overweging om de klachten gegrond te verklaren voor zover niet is voldaan aan het beginsel van transparante gegevensverwerking (artikel 5 lid 1 onder a AVG). Voor het overige slagen de klachten volgens de procureur-generaal niet. Verder strekt de vordering ertoe dat de Hoge Raad onderzoekt of de inrichting van het E-archief momenteel voldoet aan de normen van de AVG. De procureur-generaal komt tot de slotsom dat, nadat verbetermaatregelen zijn getroffen, aan die normen wordt voldaan. De Hoge Raad heeft in het verslagjaar nog geen uitspraak gedaan.

Zie ECLI:NL:PHR:2023:823.

Datalekken

In het verslagjaar zijn 262 inbreuken op de AVG, in de zin van datalekken, geregistreerd. Een enkele keer hebben die geleid tot het treffen van interne beheersmaatregelen. Dit aantal is fors hoger dan in 2022 (175), 2021 (208) en 2020 (197). Tien datalekken vonden binnen de Hoge Raad plaats. De overige datalekken vonden plaats bij 13 gerechten en bij IVO Rechtspraak, de ICT-dienstverlener voor de Rechtspraak. Net als in voorgaande jaren ging het in het merendeel van de gevallen (159) om het tonen, versturen of afgeven van persoonsgegevens aan een persoon terwijl dit niet de bedoeling was. In andere gevallen ging het onder meer om gestolen of kwijtgeraakte gegevensdragers en/of papier met persoonsgegevens (19), en om persoonsgegevens die per ongeluk zijn gepubliceerd (68). Laatstgenoemd aantal is aanzienlijk hoger dan in 2022 (13).

In het verslagjaar is melding gemaakt van een datalek van aanzienlijke omvang bij het Centraal Insolventie Register (hierna: CIR). In de publieke omgeving van het CIR worden gegevens van faillissementen en schuldsaneringen van natuurlijke personen gepubliceerd conform de wettelijke verplichting die op de Rechtspraak rust. Gebleken is dat sinds 1995 persoonsgegevens te lang, namelijk buiten de daarvoor bestemde termijn van zes maanden, zichtbaar zijn geweest in het CIR. De rechtbanken hebben de benodigde herstelacties uitgevoerd. Ook zijn er maatregelen genomen om eventuele toekomstige inconsistenties te voorkomen.

Tussen de gerechten bestaan verschillen in het aantal datalekmeldingen. Een groter aantal datalekmeldingen bij een gerecht hoeft niet te duiden op een lager niveau van gegevensbescherming dan bij een gerecht met minder meldingen. Het kan ook samenhangen met de mate waarop de organisatie alert is op datalekken en/of de inschatting of een datalek een risico inhoudt dat verplicht tot melding bij de toezichthouder.

Overig

Gebleken is dat een gerecht ongepseudonimiseerde uitspraken verstrekt aan een uitgever, die deze uitspraken ongepseudonimiseerd publiceert. De procureur-generaal heeft met het gerecht afgesproken dat deze werkwijze wordt aangepast.

Een journalist vroeg de procureur-generaal om een beoordeling van de (afwijzende) reacties van gerechten op zijn vraag om aan hem beschikkingen te verstrekken of inzage daarin te verlenen. Hierop is geantwoord dat het niet tot de taken en bevoegdheden van de procureur-generaal behoort om dergelijke reacties inhoudelijk te beoordelen.