Toezicht verwerking persoonsgegevens gerechten en parket bij de Hoge Raad (AVG)

De Algemene Verordening Gegevensbescherming (AVG) wordt vanaf 25 mei 2018 toegepast. Het betreft Europese regelgeving die in Nederland de Wet bescherming persoonsgegevens vervangt. De AVG beschermt de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens. In de AVG worden regels gegeven voor de verwerking van persoonsgegevens. De bepalingen uit de AVG zijn ook van toepassing op activiteiten van de gerechten, tenminste voor zover deze niet zien op strafzaken. Voor strafzaken geldt in plaats van de AVG de Richtlijn gegevensbescherming opsporing en vervolging. Anders dan de AVG heeft de Richtlijn geen directe werking. Ter implementatie van de Richtlijn zijn de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens gewijzigd.

De rechtspraak heeft de taak zelf de normen van de AVG en de krachtens de Richtlijn vastgestelde bepalingen te handhaven, zonder toezicht van de Autoriteit Persoonsgegevens. De procureur-generaal bij de Hoge Raad nam in 2018 in overleg met de gerechten het initiatief om dit toezicht te beleggen bij de procureur-generaal bij de Hoge Raad door, kort gezegd, AVG-klachten in te bedden in het al bestaande externe klachtrecht.

De Regeling toezicht verwerking persoonsgegevens voor gerechten en het parket bij de Hoge Raad (verder: de Regeling) houdt in dat onder verwerking van persoonsgegevens in het kader van de uitoefening van gerechtelijke taken wordt verstaan: alle verwerkingen van persoonsgegevens die plaatsvinden in het kader van rechtszaken. De toezichthoudende rol van de procureur-generaal bij de Hoge Raad bestaat onder meer uit het behandelen van klachten van betrokkenen die van mening zijn dat de verwerking van hun persoonsgegevens door de gerechten of het parket bij de Hoge Raad inbreuk maakt op de AVG of de krachtens de Richtlijn vastgestelde bepalingen. Verder houdt de Regeling onder meer in dat de procureur-generaal jaarlijks een verslag over zijn activiteiten opstelt, met daarin mogelijk een lijst van de soorten klachten en gemelde inbreuken en de eventueel ingestelde vorderingen bij de Hoge Raad.

Ingediende klachten
In 2021 zijn elf AVG-klachten ingediend bij de procureur-generaal bij de Hoge Raad. Deze klachten zijn op vier na in 2021 afgehandeld. In reactie op vier klachten is geantwoord dat op grond van art. 11 van de Regeling niet kan worden geklaagd over de zakelijke inhoud van een rechterlijke beslissing.

Een klacht hield in dat klager als betrokkene (niet als procespartij) persoonsgegevens van haarzelf en haar kinderen in een (kinderalimentatie)procedure bij het gerechtshof heeft moeten aanleveren, zodat een van de partijen daarvan kennis heeft kunnen nemen. Geantwoord is dat de door klaagster aangeleverde gegevens in de procedure bij het gerechtshof mede van belang zijn geweest ter beoordeling van het geschil en dat over de zakelijke inhoud van een rechterlijke beslissing niet kan worden geklaagd.

Een andere klacht hield in dat het in afschrift aan de wederpartij sturen van de mededeling dat de vrijstelling van griffierecht (voorlopig) is verleend omdat “is voldaan aan de criteria van betalingsonmacht” een inbreuk op de AVG vormt. Hierop is geantwoord dat de beslissing over vrijstelling van griffierecht een processuele beslissing is waarover niet kan worden geklaagd.

Twee andere klachten zagen op hetgeen de rechter in het vonnis heeft overwogen, zodat zij niet in behandeling kunnen worden genomen.

Twee soortgelijke klachten hielden in dat de rechtbank in een procedure waarbij klager partij noch betrokkene is, producties bij het dossier heeft gevoegd die privacygevoelige informatie van klager bevatten. Klagers menen dat sprake is van schending van de AVG. Op de klachten is geantwoord dat de (plaatsvervangend) procureur-generaal kan besluiten om een klacht over verwerking van de klager betreffende persoonsgegevens door gerechten in het kader van de uitoefening van hun gerechtelijke taken, hetzij in behandeling te nemen, hetzij ter behandeling door te zenden naar het betrokken gerecht indien dit gerecht de klacht nog niet heeft behandeld. Gelet op het bepaalde in art. 8 en art. 9 van de Regeling in verbinding met art. 13b lid 4 van de Wet op de rechterlijke organisatie, heeft de plaatsvervangend procureur-generaal de klacht (telkens) doorgezonden aan het bestuur van de rechtbank, onder mededeling aan klager dat, indien de behandeling van de klacht door het gerechtsbestuur leidt tot een uitkomst waarover klager niet tevreden is, klager alsnog de klacht bij de procureur-generaal kan indienen.

Een andere klacht had betrekking op de wijze waarop de president van de rechtbank namens het gerechtsbestuur klachten op grond van de AVG heeft beantwoord. Aan klaagster is onder meer geschreven dat de president de verzoeken van klaagster niet onbegrijpelijk heeft opgevat als een verzoek om inzage om te zien of alle stukken wel zijn ontvangen door de rechtbank. Een dergelijk verzoek is niet een verzoek op grond van de AVG. Voorts werd geklaagd dat het gerechtsbestuur de begrippen verwerkingsverantwoordelijke en verwerkers van persoonsinformatie verwart. Hierop is onder meer geantwoord dat in de brief van de president is vermeld dat rechterlijke ambtenaren en gerechtsambtenaren toegang hebben tot de gegevens ten behoeve van de administratie en behandeling van de zaak. In het licht van hetgeen is bepaald in de AVG  is de plaatsvervangend procureur-generaal van mening dat het gerechtsbestuur kon volstaan met het mededelen van de verwerkingsverantwoordelijke.

Eén klacht die in 2020 is ingediend is in het verslagjaar beantwoord.

Geklaagd werd dat de rechtbank de persoonsgegevens van klaagster op onrechtmatige wijze heeft verwerkt door deze te koppelen aan een nota ter betaling van griffierecht. Hierop is onder meer geantwoord dat de klacht, die er in wezen op neerkomt dat klaagster het met de betaling van het griffierecht oneens is, niet binnen het domein van de AVG-problematiek valt. Voor zover andere klachten zien op zaken bij de rechtbank die in 2013 en 2016 zijn afgedaan, zijn deze klachten naar het oordeel van de procureur-generaal niet binnen een redelijke termijn ingediend, zodat deze klachten niet in behandeling worden genomen. Ook is geschreven dat de rechtbank klaagster bij het doorzenden van haar zaak aan een andere rechtbank heeft laten weten dat zij dit deed omdat het correspondentieadres van klaagster in het arrondissement van de andere rechtbank ligt. Dat maakt deze rechtbank volgens de wet bevoegd en dat maakt ook dat de medewerkers van deze rechtbank kennis mogen nemen van de processtukken van klaagster. Ten slotte is geantwoord dat over de zakelijke inhoud van rechterlijke beslissingen niet kan worden geklaagd en dat de procureur-generaal niet bevoegd is tot behandeling van klachten over de verwerking van persoonsgegevens door het Ministerie van Justitie en Veiligheid.

Verder zijn er in het verslagjaar 208 inbreuken op de AVG, in de zin van datalekken, geregistreerd. Daarvan vonden tien datalekken binnen de Hoge Raad plaats en de overige datalekken bij de gerechten en bij de Raad voor de Rechtspraak. In het merendeel van de gevallen (169) ging het om het tonen, versturen of afgeven van persoonsgegevens aan een persoon terwijl dit niet de bedoeling was. In andere gevallen ging het onder meer om gestolen of kwijtgeraakte gegevensdragers en/of papier met persoonsgegevens (15), om persoonsgegevens die per ongeluk zijn gepubliceerd (13), dan wel om post met persoonsgegevens die is kwijtgeraakt of geopend retour ontvangen (10).