Toezicht verwerking persoonsgegevens gerechten en parket bij de Hoge Raad

Ingediende klachten

In 2025 zijn negen klachten ingediend bij de procureur-generaal bij de Hoge Raad, twee meer dan in 2024. In de jaren ervoor kwamen vier (2023), vijf (2022), elf (2021), zeven (2020), twaalf (2019) en zes (2018) klachten binnen.

Eén klacht werd ingetrokken, alle andere in 2025 ingediende klachten zijn in dat jaar afgehandeld.

Vijf klachten (waaronder de later ingetrokken klacht) zijn ingediend door dezelfde klager. Er werd geklaagd over de privacyverklaringen van de Rechtspraak en de Hoge Raad, over de inhoud van de Regeling toezicht verwerking persoonsgegevens door gerechten en het parket bij de Hoge Raad en over een beslissing van een rechtbank om een zaak niet versneld te behandelen. Hierop is geantwoord dat dit geen klachten zijn in de zin van art. 7 van de Regeling toezicht verwerking persoonsgegevens door gerechten en het parket bij de Hoge Raad. Verder werd onder meer geklaagd over de behandeling van inzageverzoeken zoals bedoeld in art. 15 AVG. In reactie hierop is toegelicht waarom geen aanleiding wordt gezien om een vordering bij de Hoge Raad in te stellen.

Een andere klacht ging over de afwijzing van een verzoek tot verwijdering en vernietiging van een vonnis in kort geding. Het gerechtsbestuur heeft bij de afwijzing van het verzoek verwezen naar de wettelijke regeling die van toepassing is, waaronder de Archiefwet 1995, waaruit volgt dat de rechtbank wettelijk verplicht is het vonnis blijvend te bewaren. Op de klacht is geantwoord dat de beoordeling door het gerechtsbestuur zorgvuldig en niet onjuist wordt geacht. Hieraan is toegevoegd dat de verwerking van persoonsgegevens in een vonnis in kort geding door deze blijvend te bewaren zijn grondslag vindt in de noodzakelijkheid van de vervulling van een taak van algemeen belang.

In een andere zaak werd geklaagd dat een op rechtspraak.nl gepubliceerde uitspraak niet voldoende was gepseudonimiseerd, omdat de persoonsgegevens van de klager nog zichtbaar waren en ook op een website van een derde hebben gestaan. Dit heeft de klager eerst aangekaart bij het gerechtsbestuur. Het gerechtsbestuur heeft onder meer geschreven dat bij de publicatie ten onrechte is verzuimd de naam van de klager uit de uitspraak te verwijderen. Er zijn excuses aangeboden en de publicatie is gecorrigeerd. Daarnaast is samengevat geschreven dat het bestuur niet verantwoordelijk is voor de publicatie van uitspraken door derden. In reactie op de klacht is bericht dat de beoordeling door het gerechtsbestuur zorgvuldig en niet onjuist wordt geacht.

Naar aanleiding van een klacht over een mogelijk datalek is geschreven dat niet meer kan worden vastgesteld dat van een datalek sprake is. Tot slot is er één klacht geweest die, hoewel ingediend als een “klacht verwerking persoonsgegevens”, geen betrekking bleek te hebben op de verwerking van persoonsgegevens.

Vordering

In het verslagjaar heeft de procureur-generaal een vordering ingesteld op grond van de Regeling toezicht verwerking persoonsgegevens door gerechten en het parket bij de Hoge Raad. De aanleiding was een klacht over een op rechtspraak.nl gepubliceerd nieuwsbericht. Dit nieuwsbericht betrof een vonnis in een strafzaak over seksueel misbruik van minderjarigen. Er werd geklaagd over een feitelijke onjuistheid. Verder werd erover geklaagd dat de informatie tot de betrokkene herleidbaar was en dat zij daarmee in een negatief daglicht kwam te staan. De vordering strekte ertoe dat de Hoge Raad een onderzoek instelt naar de wijze waarop het gerechtsbestuur de persoonsgegevens in het nieuwsbericht heeft verwerkt. De procureur-generaal gaf de Hoge Raad in overweging om de klacht gegrond te verklaren, behoudens voor zover wordt opgekomen tegen de zakelijke inhoud van het vonnis. De Hoge Raad deed op 19 december 2025 uitspraak (ECLI:HR:2025:1980).

Datalekken

In het verslagjaar zijn 517 inbreuken op de AVG, in de zin van datalekken, geregistreerd. Een enkele keer hebben de datalekken geleid tot het treffen van interne beheersmaatregelen. Dit aantal is fors hoger dan in 2024 (393), 2023 (262), 2022 (175), 2021 (208) en 2020 (197). Elf datalekken vonden binnen de Hoge Raad plaats, twee minder dan in 2024. De overige datalekken vonden plaats bij 15 gerechten en bij IVO Rechtspraak, de ICT-dienstverlener voor de Rechtspraak. Net als in voorgaande jaren ging het van de datalekken die in 2025 plaatsvonden in het merendeel van de gevallen (361) om het tonen, versturen of afgeven van persoonsgegevens aan een persoon terwijl dit niet de bedoeling was. In andere gevallen ging het onder meer om gestolen of kwijtgeraakte gegevensdragers en/of papier met persoonsgegevens (24), en om persoonsgegevens die per ongeluk zijn gepubliceerd (121).

In het verslagjaar is melding gemaakt van een datalek betreffende het register nevenbetrekkingen van rechterlijke ambtenaren. De melding betrof gegevens die niet meer in het register staan omdat de betrokkene uit dienst is. Gebleken is dat die gegevens nog konden worden ingezien via een link op een website van een derde. IVO Rechtspraak heeft actie ondernomen om dit datalek te dichten.

Tussen de gerechten bestaan verschillen in het aantal datalekmeldingen. Een groter aantal datalekmeldingen bij een gerecht hoeft niet te duiden op een lager niveau van gegevensbescherming dan bij een gerecht met minder meldingen. Het verschil kan ook samenhangen met de mate waarin de organisatie alert is op datalekken en/of de inschatting of een datalek een risico inhoudt dat verplicht tot melding bij de toezichthouder.