Toezicht verwerking persoonsgegevens gerechten en parket bij de Hoge Raad

De toezichthoudende rol van de procureur-generaal bij de Hoge Raad bestaat onder meer uit het behandelen van klachten van betrokkenen die van mening zijn dat de verwerking van hun persoonsgegevens door de gerechten of het parket bij de Hoge Raad inbreuk maakt op de Algemene verordening gegevensbescherming (AVG) of de krachtens de Richtlijn gegevensbescherming opsporing en vervolging vastgestelde bepalingen. Dit is vastgelegd in de Regeling toezicht verwerking persoonsgegevens door gerechten en het parket bij de Hoge Raad.

Ingediende klachten

In 2024 zijn zeven klachten ingediend bij de procureur-generaal bij de Hoge Raad, drie meer dan in 2023. In de jaren ervoor kwamen vijf (2022), elf (2021), zeven (2020), twaalf (2019) en zes (2018) klachten binnen.

Eén klacht zou nog nader worden toegelicht. Dit is in het verslagjaar niet gebeurd, waardoor de klacht verder niet in behandeling is genomen. De overige in 2024 ingediende klachten zijn in 2024 afgehandeld.

Eenzelfde klager heeft tegen twee gerechten telkens een klacht en een handhavingsverzoek ingediend. In een zaak werd geklaagd dat de persoonsgegevens van de cliënten van klager, die volgens klager allen als minderjarigen slachtoffer zijn geworden van een ernstig zedenmisdrijf, in de bestandenpostbus van verschillende media zijn geplaatst. De bestandenpostbus is een online omgeving waartoe alleen de media toegang hebben. Hierin plaatsen de gerechten onder embargo informatie over aankomende rechtszaken. Geantwoord is dat navraag bij het gerecht heeft uitgewezen dat de persoonsgegevens van de cliënten van klager uit de bestandenpostbus zijn verwijderd, zodat voor een onderzoek naar de klacht op dat moment onvoldoende aanleiding bestaat. In de andere zaak is in overweging gegeven de klacht, dat de persoonsgegevens van een cliënt die slachtoffer was geworden van een zedenmisdrijf in de bestandenpostbus van verschillende media zijn geplaatst, eerst in te dienen bij het desbetreffende gerecht. Wat betreft de verzoeken tot handhaving is opgemerkt dat de procureur-generaal geen interventiebevoegdheid toekomt. De procureur-generaal heeft voor deze kwestie wel aandacht gevraagd binnen de Rechtspraak.

In een andere zaak werd geklaagd over de vermelding van de medische gegevens van de klager in een rechterlijke beslissing. Geantwoord is onder meer dat op grond van artikel 11 van de Regeling toezicht verwerking persoonsgegevens door gerechten en het parket bij de Hoge Raad niet kan worden geklaagd over de zakelijke inhoud van een rechterlijke beslissing.

Een klacht dat sprake is van een datalek vanuit het gerecht is kennelijk ongegrond verklaard. Niet kon worden vastgesteld dat de stukken, die geadresseerd waren aan het gerecht maar buiten het gerecht werden aangetroffen, binnen het gerecht aanwezig waren geweest.

Ook werd geklaagd over de vermelding van de persoonsgegevens van een klager, die in de desbetreffende procedure als gemachtigde optrad, in een gepubliceerde uitspraak. Naar aanleiding van de klacht waren de persoonsgegevens in de gepubliceerde uitspraak alsnog geanonimiseerd. Omdat daarmee is tegemoetgekomen aan de klacht, bestaat onvoldoende aanleiding om over de klacht een oordeel te vragen aan de Hoge Raad.

Een andere klacht hield in dat de griffie van een gerecht per abuis geen volmacht bij klager, die partij was in de procedure, heeft opgevraagd, maar wel het verweerschrift bij de wederpartij heeft opgevraagd. Geantwoord is onder meer dat de klacht terecht is voorgesteld maar dat er, gelet op het gewicht van de gedraging, onvoldoende aanleiding is om over deze klacht een oordeel van de Hoge Raad te vragen.

In 2024 is verder nog een klacht uit 2023 beantwoord. Geschreven is dat het bestuur van het gerecht de klacht over de kwijtgeraakte stukken op een zorgvuldige manier heeft behandeld en dat klager redelijkerwijs onvoldoende belang heeft bij een onderzoek naar de klacht door de Hoge Raad. Hieraan is toegevoegd dat een onderzoek door de Hoge Raad niets zou veranderen aan de omstandigheid dat de stukken zijn kwijtgeraakt, terwijl zo’n onderzoek ook niets verandert aan de hierdoor voor klager ontstane situatie.

Datalekken

In het verslagjaar zijn 393 inbreuken op de AVG, in de zin van datalekken, geregistreerd. Hiertoe behoort een melding van een gerecht in 2024 die ziet op 103 datalekken binnen dat gerecht in 2023. Een enkele keer hebben de datalekken geleid tot het treffen van interne beheersmaatregelen. De aantallen van 2024 en van 2023 (het jaarverslag over 2023 houdt in dat er 262 inbreuken op de AVG, in de zin van datalekken, zijn geregistreerd) zijn fors hoger dan in 2022 (175), 2021 (208) en 2020 (197). Dertien datalekken vonden binnen de Hoge Raad plaats. De overige datalekken vonden plaats bij 14 gerechten en bij IVO Rechtspraak, de ICT-dienstverlener voor de Rechtspraak. Net als in voorgaande jaren ging het van de datalekken die in 2024 plaatsvonden in het merendeel van de gevallen (191) om het tonen, versturen of afgeven van persoonsgegevens aan een persoon terwijl dit niet de bedoeling was. In andere gevallen ging het onder meer om gestolen of kwijtgeraakte gegevensdragers en/of papier met persoonsgegevens (24), en om persoonsgegevens die per ongeluk zijn gepubliceerd (59). Laatstgenoemd aantal is iets lager dan in 2023 (68).

Tussen de gerechten bestaan verschillen in het aantal datalekmeldingen. Een groter aantal datalekmeldingen bij een gerecht hoeft niet te duiden op een lager niveau van gegevensbescherming dan bij een gerecht met minder meldingen. Het verschil kan ook samenhangen met de mate waarop de organisatie alert is op datalekken en/of de inschatting of een datalek een risico inhoudt dat verplicht tot melding bij de toezichthouder.