Toezicht verwerking persoonsgegevens gerechten en parket bij de Hoge Raad

De toezichthoudende rol van de procureur-generaal bij de Hoge Raad bestaat onder meer uit het behandelen van klachten van betrokkenen die van mening zijn dat de verwerking van hun persoonsgegevens door de gerechten of het parket bij de Hoge Raad inbreuk maakt op de Algemene verordening gegevensbescherming (AVG) of de krachtens de Richtlijn gegevensbescherming opsporing en vervolging vastgestelde bepalingen. Dit is vastgelegd in de Regeling toezicht verwerking persoonsgegevens door gerechten en het parket bij de Hoge Raad.

Ingediende klachten

In 2022 zijn vijf AVG-klachten ingediend bij de procureur-generaal bij de Hoge Raad. Dit is een lager aantal klachten dan in voorgaande jaren is ingediend. In 2021 waren elf klachten ingediend. In de jaren ervoor kwamen zeven (2020), twaalf (2019) en zes (2018)  klachten binnen.

Een van de in 2022 ingediende klachten is in 2022 afgehandeld. Geantwoord is dat op grond van art. 11 van de Regeling niet kan worden geklaagd over de zakelijke inhoud van een rechterlijke beslissing. De andere klachten hangen met elkaar samen. De klachten richten zich tegen het gebruik door de gerechten van het E-archief. Dit is een interne jurisprudentiedatabank waarin rechterlijke uitspraken in ongeanonimiseerde vorm worden opgenomen. In 2022 is een vooronderzoek naar het gebruik van het E-archief gestart.

Vier klachten die in 2021 zijn ingediend zijn in het verslagjaar beantwoord. Op een van die klachten is onder meer geantwoord dat de Rechtspraak de Anonimiseringsrichtlijn hanteert, die onder meer inhoudt dat gegevens van rechtspersonen en bestuursorganen (op www.rechtspraak.nl) niet worden geanonimiseerd, tenzij (wat betreft civiel recht, zie de toelichting) deze herleidbaar zijn tot een natuurlijk persoon. De landelijke werkwijze houdt in dat onder herleidbare namen van bedrijfspersonen in de zin van de Anonimiseringsrichtlijn wordt verstaan de situatie dat een bedrijfsnaam nagenoeg gelijk is aan de naam van een natuurlijk persoon. De wijze van anonimisering was in dit geval in overeenstemming met de Anonimiseringsrichtlijn.

Datalekken

In het verslagjaar zijn 175 inbreuken op de AVG, in de zin van datalekken, geregistreerd, die een enkele keer hebben geleid tot het treffen van interne beheersmaatregelen. Dit aantal is lager dan in respectievelijk 2021 (208) en 2020 (197), maar hoger dan in 2019 (117). Vier datalekken vonden binnen de Hoge Raad plaats en de overige datalekken bij 13 gerechten. Net als in voorgaande jaren ging het in het merendeel van de gevallen (129) om het tonen, versturen of afgeven van persoonsgegevens aan een persoon terwijl dit niet de bedoeling was. In andere gevallen ging het onder meer om gestolen of kwijtgeraakte gegevensdragers en/of papier met persoonsgegevens (21), en om persoonsgegevens die per ongeluk zijn gepubliceerd (13).

Tussen de gerechten bestaan verschillen in het aantal datalekmeldingen. Een groter aantal datalekmeldingen bij een gerecht hoeft niet op te duiden  op een lager niveau van gegevensbescherming dan bij een gerecht met minder meldingen. Het kan ook samenhangen met de mate waarop de organisatie alert is op datalekken en/of de inschatting of een datalek een risico inhoudt dat verplicht tot melding bij de toezichthouder.