Hoge Raad: autorisaties moeten aansluiten bij beleid en dat beleid moet helder zijn en eenduidig worden toegepast

6 juni 2024, laatst geüpdatet 19 september 2024
De Hoge Raad heeft onlangs een beslissing genomen over de verwerking van persoonsgegevens in het E-archief van de rechtspraak. Uit de beslissing volgen enkele zaken die privacyrechtelijk in bredere zin interessant kunnen zijn.
Mark Jansen 
Mark Jansen 
Advocaat - Associate Partner
In dit artikel

De kwestie

De kwestie handelt over een man die in allerlei procedures optreedt als gemachtigde. Verschillende rechtbanken nemen uitspraken waarbij hij betrokken is op in het interne E-archief. Sommige rechtbanken zoeken bij andere procedures zijn gegevens terug op in het E-archief. De man dient hierover verschillende klachten in, uiteenlopend over de opname in het E-archief, als over het zoeken in het E-archief. Deze kwestie belandt uiteindelijk via de procureur-generaal bij de Hoge Raad.

Context en achtergronden

In de uitspraak wordt uitgebreid beschreven dat de rechtspraak intern allerlei overleg heeft gehad over het E-archief en de beveiliging daarvan. Het komt er op neer dat de rechtspraak zich zeer bewust is van het belang van een goede afscherming van het archief en dat er al veel stappen zijn gezet, doch dat het nog niet op alle punten helemaal op orde is. Die context lijkt de uitspraak van de Hoge Raad wel te 'kleuren'.

Hoge Raad: grondslag buiten twijfel

De Hoge Raad stelt allereerst vast dat op rechtbanken een taak rust, en soms zelfs een plicht, waaruit voortvloeit dat persoonsgegevens moeten worden verwerkt. Gelet op alle onderliggende wetten waarin die taken zijn beschreven "is buiten redelijke twijfel dat aan de rechtmatigheidseisen van art. 6 lid 1 en lid 3 AVG wordt voldaan".

Hoge Raad: in het midden of archiveren of een nieuw doel is

Het is opvallend dat de Hoge Raad vervolgens in r/o 4.8 uitdrukkelijk in het midden laat of de opname in het E-archief en het zoeken in het E-archief nu moet worden gezien als een 'verdere verwerking' als bedoeld in artikel 6 lid 4 AVG. Tegelijkertijd oordeelt de Hoge Raad in r/o 4.12 ook uitdrukkelijk over het raadplegen van gegevens in het E-archief als volgt:

Deze (verdere) verwerking is verenigbaar met het doel waarvoor de gegevens oorspronkelijk zijn verzameld en vond plaats binnen het kader waarin de persoonsgegevens zijn verzameld.

Hoge Raad: met online privacystatement voldaan aan transparantie-eis

De Hoge Raad overweegt dat met de privacyverklaring die vanaf het najaar van 2022 op de website stond vermeld wordt voldaan aan de transparantie-eisen uit de AVG. De Hoge Raad wijst hierbij op overweging 58 uit de AVG, waarin staat dat elektronische verstrekking mogelijk is.

Hoge Raad: onduidelijk of met autorisaties eigen reglement wordt nageleefd

De Hoge Raad stelt in r/o 4.16 vast dat volgens het eigen privacyreglement van de gerechten een medewerker "uitsluitend mag zoeken naar een voor het eigen werk relevante uitspraak binnen het eigen rechtsgebied of de eigen rechtsgebieden en daartoe door het gerechtsbestuur wordt geautoriseerd."

In r/o 4.17 wordt vervolgens overwogen dat in de praktijk de autorisaties zijn opgedeeld in civiel recht, strafrecht en bestuursrecht. Hiervan wordt overwogen dat zodoende onduidelijk is of de autorisaties aansluiten bij de machtigingen. Hierbij lijkt te worden meegewogen dat verder verfijnen wel mogelijk blijkt te zijn, althans is verkend, maar nog niet is uitgevoerd:

Op basis van de gedingstukken en het verhandelde ter zitting staat vast dat in het E-archief het rechtsgebied civiel recht, rechterlijke uitspraken omvat die betrekking hebben op handels-/kantonzaken en familie- en jeugdzaken, terwijl het rechtsgebied bestuursrecht rechterlijke uitspraken omvat die betrekking hebben op alle bestuursrechtelijke zaken, inclusief vreemdelingenzaken en belastingzaken. Dit is dusdanig ruim, dat niet valt vast te stellen dat voldoende is gewaarborgd dat een medewerker daadwerkelijk uitsluitend kan zoeken naar een voor het eigen werk relevante uitspraak binnen het eigen rechtsgebied of de eigen rechtsgebieden waartoe het gerechtsbestuur de medewerker heeft geautoriseerd. Uit de voortgangsrapportages blijkt dat de mogelijkheid van het inbouwen van een extra autorisatielaag op deze kleinere domeinen niet op voorhand onmogelijk is geacht, maar dat het onderzoek daarnaar is doorgeschoven naar het programma ‘Meer en Verantwoord publiceren’. Hierbij komt dat onduidelijk is hoe bij de inrichting van het E-archief de normen van de AVG zijn ingebed die raken aan het zoeken specifiek op naam of op andere persoonsgegevens.
Het voorgaande wordt niet anders doordat de maatregel is getroffen dat uitspraken ouder dan tien jaar bij een zoekopdracht niet automatisch worden gevonden (voortgangsrapportage van 4 november 2022; zie hiervoor in 3.5), aangezien met die maatregel niet een nader onderscheid is aangebracht binnen (een van) de drie in het E-archief ingerichte rechtsgebieden of een onderscheid tussen zoeken op persoonsgegevens en op andere gegevens.

Hoge Raad: duidelijk kader voor toekennen en intrekken autorisaties vereist

Ook stelt de Hoge Raad vast dat een duidelijk kader voor het toekennen en intrekken van autorisaties nog ontbreekt:

Onvoldoende blijkt echter dat maatregelen zijn getroffen om (eenduidige) criteria te ontwikkelen en te hanteren bij het verstrekken en intrekken van autorisaties aan een medewerker voor een of meer rechtsgebieden. Een duidelijk kader voor het toekennen van (enkelvoudige en meervoudige) autorisaties lijkt nog te ontbreken. Er zijn per gerecht verschillende manieren waarop autorisaties worden aangevraagd, gewijzigd, ingetrokken en gecontroleerd, en informatie over de wijze waarop de (gedelegeerde) bevoegdheid daartoe is vastgelegd, is niet in alle gevallen voorhanden. Ter zitting is naar voren gekomen dat niet alleen rechters en medewerkers van de juridische ondersteuning, maar ook andere medewerkers binnen de gerechten toegang tot het E-archief kunnen verkrijgen als dat nodig is voor de uitoefening van hun functie. Niet is duidelijk geworden welke criteria daarbij worden gehanteerd.
Zodoende kan niet worden vastgesteld of met de thans getroffen maatregelen voldoende is gewaarborgd dat autorisaties worden verstrekt en ingetrokken met inachtneming van de hiervoor in 4.7 vermelde andere eisen dan de eis van transparantie.

Conclusie: kan niet volledig worden vastgesteld dat wordt voldaan aan de normen uit de AVG

Gelet hierop oordeelt de Hoge Raad dan ook dat niet kan worden vastgesteld dat het E-archief volledig voldoet aan de eisen uit de AVG. Aan de transparantie-eisen is wel voldaan, overigens is dat nog onduidelijk.

Slotopmerkingen

De Hoge Raad is opvallend soepel over het transparantievereiste. Waar artikel 12 AVG toch tot uitgangspunt lijkt te nemen dat er maatregelen moeten worden getroffen om te borgen dat de informatie betrokkene daadwerkelijk bereikt, en ook de toezichthouders veelal uitgaan van vrij 'actieve' verstrekking, acht de Hoge Raad online publicatie van een privacystatement in deze context voldoende.

Het is opvallend dat de Hoge Raad in het midden laat of archiveren nu een nieuw doel is of niet. Gelet op het Digi-arrest van het HvJEU zou ik namelijk menen dat al vrij snel sprake is van een verdere verwerking. Het is mij onduidelijk waarom de Hoge Raad deze kwestie hier in het midden laat.

Het oordeel over de autorisaties moet naar mijn inschatting sterk in de context van hetgeen er al gebeurd was worden gezien. De Hoge Raad zegt niet per se dat iedere organisatie altijd een heel verfijnd autorisatiebeleid dient te hebben, doch zegt veeleer dat uitgaande van het eigen reglement en uitgaande van de eigen verkenningen van de gerechten naar autorisaties, steviger onderbouwd had moeten worden waarom de autorisaties niet specifieker waren ingericht. Het is een motivatiegebrek. Tegelijkertijd wijst de Hoge Raad wel in algemene zin op de beginselen uit de AVG en ziet de Hoge Raad ook geen aanleiding om tegen te spreken dat autorisatie fijnmazig zouden moeten zijn. In die zin is het arrest wel degelijk (indirect) richtinggevend zou ik menen.

Het oordeel over het ontbreken van toekenningsbeleid lijkt iets minder door de context ingegeven. Ook dit oordeel ziet op een motiveringsgebrek, doch hier lijkt wel in meer algemene zin overwogen te worden dat een toekenningsbeleid met duidelijke criteria gevergd mag worden. Het is dus zaak om als organisatie kritisch te toetsen of het eigen beleid hieraan voldoet.

Al met al krijgen de gerechten in feite een agenda mee om het E-archief verder aan te scherpen. Tegelijkertijd kan het archief in de kern overeind blijven en worden de klachten van de man in de kern afgewezen. Hij was immers kennelijk vooral ontevreden over het zoeken op zijn naam in de archieven en juist dat mocht van de Hoge Raad gewoon.

Heeft u vragen over privacyrecht? Neem gerust contact op.