KC 2024/016

 

De beklagcommissie heeft kennisgenomen van de klacht van:

 

[…], verder te noemen klager.

 

De klacht is gericht tegen het uitlekken van persoonlijke gegevens ten gevolge van het datalek van 3 november 2023.

 

De directeur heeft schriftelijk gereageerd. Klager heeft een kopie daarvan ontvangen. De klacht is behandeld op de beklagzitting van 4 april 2024, in PI Nieuwegein. Gezien de omstandigheid dat het ging om een klacht die door meerdere klagers was ingediend, is er voor gekozen een vertegenwoordiger uit te nodigen om het woord te voeren ter zitting. Dhr. […] is hiervoor uitgenodigd. Ter zitting zijn verschenen:

 

-        Klager, of namens klager, dhr. […];

-        plv. vestigingsdirecteur PI Nieuwegein, dhr. E. P.

 

De beklagcommissie heeft kennisgenomen van de in bijlage 1 genoemde informatie.

 

Klager klaagt dat op 3 november 2023 als gevolg van een datalek persoonlijke gegevens van hem naar iemand buiten de inrichting zijn verzonden. Klager stelt dat door dit datalek de directie tekort is geschoten in haar zorgplicht, om de privacy van gedetineerden te beschermen. Daarnaast stelt klager onvoldoende geïnformeerd te zijn over de inhoud van het datalek en het bereik daarvan.

 

Het standpunt van de directeur 
Voor het standpunt van de directeur wordt verwezen naar het verweerschrift.

Ter zitting stelt de directie dat de gelekte informatie bestaat uit SKN-nummers, de betreffende afdeling van verblijf, cel nummer en een abstracte weergave van het aantal goederen op cel. De directie stelt tevens te betreuren dat klager in onzekerheid heeft gezeten over de inhoud en het bereik van het datalek. De directie stelt in de veronderstelling te zijn geweest dat alles voldoende duidelijk was voor de personen die dit betrof en dat klager wist dat hij terecht kon bij het afdelingshoofd voor vragen.

 

Klager stelt dat de directeur tekort is geschoten in haar zorgplicht omdat door een van haar personeelsleden  persoonsgegevens van klager aan een derde zijn verstrekt (zonder toestemming). Dit handelen van het personeelslid zou een schending van klagers recht op privacy met zich mee kunnen brengen.

 

De beklagcommissie stelt voorop dat de directeur ervoor dient te zorgen dat het recht op privacy zoveel – als redelijkerwijs mogelijk – wordt gewaarborgd. Hieronder valt ook dat er zorgvuldig wordt omgegaan met privacygevoelige stukken en dat deze stukken bij de juiste gedetineerde terechtkomen, om te voorkomen dat niet gerechtigde anderen inzage (kunnen) hebben in de stukken. Klager moet vanwege de vermeende schending van zijn recht op privacy, dat is neergelegd in artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden, in zijn beklag worden ontvangen.[1]

 

De beklagcommissie merkt volledigheidshalve op dat voor de afhandeling van datalekken de Wet justitiële en strafvorderlijke gegevens een afzonderlijke procedure kent. Dit neemt niet weg dat op grond van artikel 8 EVRM een gedetineerde zich moet kunnen beklagen bij de beklagcommissie en vervolgens in beroep bij de beroepscommissie, indien sprake is van schending van een fundamenteel recht.[2]

 

De vraag die de beklagcommissie moet beantwoorden is of er sprake is van een belangrijke tekortkoming in de verzorgende taken van de directeur.

 

Op grond van artikel 58 PM is iedereen die betrokken is bij de uitvoering van de Penitentiaire Beginselenwet en de Penitentiaire Maatregel en daarbij de beschikking krijgt over gegevens waarvan hij het vertrouwelijke karakter kent of redelijkerwijs moet vermoeden, en voor wie niet reeds een geheimhoudingsplicht geldt, verplicht tot geheimhouding van die vertrouwelijke gegevens.

 

Artikel 8 EVRM bepaalt dat;

1. Een ieder heeft recht op respect voor zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie.

2. Geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit recht, dan voor zover bij de wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen.

 

De gelekte persoonsgegevens van klager vallen onder het recht op respect voor zijn privéleven, zoals bedoeld in artikel 8, eerste lid, van het EVRM. De beklagcommissie stelt voorop dat de directeur er dus voor dient te zorgen dat het recht op privacy zoveel – als redelijkerwijs mogelijk – wordt gewaarborgd. Hieronder valt ook dat er zorgvuldig wordt omgegaan met privacygevoelige stukken en dat deze stukken niet bij anderen terechtkomen zodat wordt voorkomen dat niet gerechtigde anderen inzage (kunnen) hebben in de stukken.

 

Nu vast staat dat door een (menselijke) fout van een inrichtingsmedewerker persoonsgegevens van klager zijn gelekt aan een derde en klager als gedetineerde behoort tot een kwetsbare doelgroep, oordeelt de beklagcommissie dat klagers recht op privacy zoals neergelegd in artikel 8 van het EVRM, is geschonden. De beklagcommissie zal het beklag daarom gegrond verklaren.

 

Bij de beoordeling of aan klager een financiële tegemoetkoming moet worden toegekend, zal acht worden geslagen op de ernst van de privacy schending. Volgens de directeur is de naam, het SKN-nummer, de betreffende afdeling van verblijf, cel nummer en een abstracte weergave van het aantal goederen op de cel van klager gelekt. Er zijn geen andere persoons- of adresgegevens verstrekt. Deze gegevens zijn verstrekt aan één derde, welke persoon door de directeur na ontdekking van het datalek is gevraagd het gegevensbestand te vernietigen. In een vervolggesprek heeft deze persoon aangegeven dat hij de privacygevoelige informatie niet zou delen met derden en dat hij het gegevensbestand zou vernietigen.

 

Verder neemt de beklagcommissie mee dat de directeur het datalek heeft gemeld bij de autoriteit persoonsgegevens (AP) binnen de termijn die daarvoor staat en de personen die door het datalek mogelijk zijn benadeeld zoveel mogelijk heeft geïnformeerd over het datalek. Via dji.nl is informatie over het datalek bekend gemaakt. Verschillende media (waaronder verschillende kranten, NU.NL en RTV Utrecht) hebben de informatie overgenomen. Klagers die op 20 februari nog verbleven in de PI Nieuwegein zijn per brief geïnformeerd over het datalek. Klagers die op 20 februari verbleven in een andere DJI-inrichting zijn per brief geïnformeerd over het datalek. Klagers die op 20 februari niet meer in detentie zaten, van wie de PI een verblijfadres kon achterhalen, zijn geïnformeerd over het datalek per aangetekende brief. In deze brief stond direct vermeld dat de gelekte informatie gaat om de namen, voorletters, celnummers, registratienummers en ingevoerde goederen van de personen die op 3 november 2023 in Pl Nieuwegein geregistreerd stonden. Ook stond in deze brief direct vermeld dat de informatie gedeeld was met één persoon die desgevraagd heeft aangegeven deze informatie te zullen vernietigen. Ter zitting heeft de directeur zijn excuses aangeboden. Het ontstaan van het datalek wordt geëvalueerd. Op basis daarvan zullen de directie en de medewerkers verdere maatregelen treffen om te zorgen dat een dergelijk incident in de toekomst kan worden voorkomen. In ieder geval werd duidelijk dat het hier – hoe betreurenswaardig ook- een incident betrof en waaruit voor benadeelden ook geen aantoonbaar nadeel is ontstaan. 

 

Gelet op het voorgaande – in onderling verband en samenhang bezien – ziet de beklagcommissie geen aanleiding om aan klager een tegemoetkoming toe te kennen.

 

De beklagcommissie verklaart de klacht gegrond.

 

Deze uitspraak is gedaan op 8 augustus 2024 door mw. mr. J.O.A.N. de Vries, voorzitter, dhr. mr. P.F. Emmelot, dhr. A.K.O. Bourguignon, leden, bijgestaan door mw. mr. M.S. van Norden, secretaris.


Er is door klager beroep ingesteld bij de RSJ onder kenmerk R-24/42514/GA

---