Ken­nis­ge­ving van rech­ter­lij­ke be­slis­sin­gen via e-mail: werk­last­be­spa­ring ten koste van ge­ge­vens­be­scher­ming

Advocaten en partijen kunnen sinds kort vonnissen en arresten in hun mailbox terugvinden. Dat is het gevolg van een recente wijziging van het eerste lid van artikel 792 van het gerechtelijk wetboek, die op 1 maart 2021 in werking trad. Voorheen stelde die bepaling dat de griffier binnen acht dagen na de uitspraak bij gewone brief een niet ondertekend afschrift van het vonnis bezorgde aan elke partij of aan hun advocaten.

De zesde potpourriwet van 25 mei 2018 zou die bepaling op twee punten wijzigen. Enerzijds zou ze haar uitdrukkelijk van toepassing verklaren in burgerlijke én strafzaken. Anderzijds zou ze de kennisgevingstermijn van acht tot vijf dagen terugbrengen, omdat artikel 32ter Ger. W. weldra snelle elektronische kennisgevingen via de Jbox, een van de informaticasystemen van Justitie, mogelijk zou maken.

De uitrol van dat informaticasysteem had echter meer voeten in de aarde dan verwacht. Zo zijn momenteel enkel de vredegerechten op de Jbox aangesloten, en ook het aantal advocaten dat een Jbox heeft, is nog beperkt. De inwerkingtreding van de wijzigingen aan het eerste lid van artikel 792 Ger. W. werd daarom uitgesteld tot 1 maart 2021. Uiteindelijk bleek ook die datum niet haalbaar.

Ondertussen hadden sommige hoven en rechtbanken zonder een eigen Jbox tijdens de coronapandemie een bedenkelijke, maar begrijpelijke gewoonte ontwikkeld om beslissingen per e-mail aan de partijen en hun advocaten over te maken. Zo vaardigden het Antwerpse en het Gentse hof van beroep in die zin beschikkingen uit in april 2020. Nochtans bestond daar geen wettelijke basis voor.

Hoewel alle advocaten binnenkort over een Jbox zullen beschikken, verloopt de uitrol van dat systeem onder de hoven en rechtbanken nog altijd erg moeizaam. Om toch de werklast van de griffies te verlichten, besloot de wetgever die praetoriaanse coronagewoonte voorlopig wettelijk te verankeren. Met artikel 23 van de wet van 17 februari 2021 wijzigde hij daarom de eerdere wijzigingsbepaling voor het eerste lid van artikel 792 Ger. W. in de zesde potpourriwet, met behoud van de datum van inwerkingtreding op 1 maart 2021. Vanaf die datum geeft de griffier dus, zowel in burgerlijke als in strafzaken, binnen vijf dagen na de uitspraak van de beslissing een niet ondertekend afschrift ervan per e-mail ter kennis aan elke partij of aan hun advocaten. Enkel als er bij de griffier geen e-mailadres gekend is, of als de kennisgeving per e-mail kennelijk niet geslaagd is, gebeurt die alsnog per gewone brief. De regeling zou volgens de memorie van toelichting gelden totdat alle hoven en rechtbanken op de Jbox zijn aangesloten.

De verzending van rechterlijke beslissingen per e-mail staat gelijk aan een verwerking van persoonsgegevens onder de algemene verordening gegevensbescherming (AVG). Toch werd het advies van de Gegevensbeschermingsautoriteit niet ingewonnen, en ook de afdeling Wetgeving van de Raad van State stond er in zijn advies niet bij stil. Het valt echter te betwijfelen of de nieuwe regeling in het eerste lid van artikel 792 Ger. W. wel aan de strenge vereisten van de AVG beantwoordt.

Volgens de AVG moet een verwerking voldoen aan het integriteits- en vertrouwelijkheidsbeginsel (artikel 5, §1, f)). Persoonsgegevens moeten op zo’n manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat ze beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen
onopzettelijk verlies, vernietiging of beschadiging. Dat vergt passende technische en organisatorische maatregelen. Daarbij moet de verwerkingsverantwoordelijke rekening houden met de stand van de techniek, de uitvoeringskosten, en met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen.

Tijdens juridische procedures worden er vaak gevoelige persoonsgegevens verwerkt, zoals genetische gegevens, strafrechtelijke veroordelingen en strafbare feiten, rijksregisternummers, gezondheidsgegevens, persoonsgegevens over ras of etnische afkomst, enz. Die categorie van persoonsgegevens geniet onder de AVG een bijzondere status, want een verwerking van dat soort gegevens moet aan bijkomende veiligheidsvereisten beantwoorden.

De verzending van rechterlijke beslissingen als bijlage bij een e-mail, zonder verdere begeleidende veiligheidsmaatregelen, is echter risicovol. E-mail is, ondanks zijn populariteit, zijn gebruiksgemak en vele toepassingen, een inherent onveilig medium. Er zitten immers enkele zwakke schakels in het transport van een e-mail van de afzender naar de bestemmeling. Die zwakke schakels kunnen te wijten zijn aan technische elementen (een e-mailadres is eenvoudig te hacken, onbevoegde toegang door phishing, namaak van een bestaand mailadres,…), maar ook aan menselijk gedrag (gebruik van zwakke wachtwoorden, e-mails per vergissing naar een onbevoegde persoon sturen,…).

De onveilige verzending van bestanden via email leidde al tot ernstige datalekken. Zo ontving een HIV-kliniek in het Verenigd Koninkrijk een boete nadat alle e-mailadressen van patiënten zichtbaar waren voor alle ontvangers. Bij de verzending van een nieuwsbrief werd in plaats van de bcc-knop, de cc-knop gebruikt. Daardoor kon iedere ontvanger zien naar wie de nieuwsbrief nog meer was verstuurd. Voor veel betrokkenen was dat uiteraard een pijnlijke ontdekking. Wanneer rechterlijke beslissingen met gevoelige persoonsgegevens uitlekken, kan dat even desastreuze gevolgen hebben voor de betrokkenen, bijvoorbeeld op het vlak van arbeidskansen.

Het is dus niet aangewezen om rechterlijke beslissingen per standaard e-mail te verzenden. Wanneer de wetgever er toch voor kiest om die verzendingswijze toe te laten, moet dat minstens gepaard gaan met de meest optimale technische en organisatorische beveiligingsmaatregelen, desnoods neergelegd in een KB of in een omzendbrief om uniformiteit onder alle hoven en rechtbanken te garanderen. Qua technische maatregelen valt te denken aan encryptie of tweefactorauthenticatie, en de plaatsing van een digitale handtekening, zodat ook de vervalsing van de berichten wordt tegengegaan. Ook de factor ‘menselijk gedrag’ mag niet uit het oog worden verloren. Interne organisatorische maatregelen, zoals opleidingen voor het griffiepersoneel, moeten erop gericht zijn een veilig en correct e-mailbeleid te waarborgen. Overleg met de Gegevensbeschermingsautoriteit (GBA) lijkt ons wenselijk om dat minimale kader aan bijkomende beveiligingsmaatregelen vast te leggen. Als dat kader er echter niet komt, kan de GBA volgens artikel 58, tweede lid AVG zelf corrigerende maatregelen treffen om compliance met de AVG af te dwingen.

Deze analyse is niet nieuw. Het onveilige karakter van e-mail heeft er recent al meermaals toe geleid het gebruik van e-mail in juridische procedures aan banden te leggen. Op 9 februari 2016 vernietigde de Raad van State (RvS nr. 233.777) nog het KB van 26 januari 2014 ‘tot wijziging van het KB van 21 december 2006 houdende de rechtspleging voor de Raad voor Vreemdelingenbetwistingen’ (RvV), omdat het advocaten dwong om de elektronische versie van hun verzoekschriften en synthesememories als bijlage in een e-mail naar de griffie van de RvV te sturen. De Raad overwoog dat vreemdelingen in die stukken vaak gevoelige persoonlijke informatie moeten delen wil hun beroep een kans op slagen hebben. Een opgelegd communicatiemedium moet daarom een veilige verwerking van die informatie waarborgen. Omdat e-mail volgens de Raad echter geen enkele garantie bood voor de vertrouwelijkheid van de gevoerde communicatie, vernietigde hij het KB wegens strijdigheid met artikel 22 van de Grondwet en artikel 8 EVRM.

Enkele maanden na de aanvang van de coronapandemie werd het gebruik van e-mail voor de neerlegging van stukken wederom in de ban gedaan. Als advocaten procedurestukken elektronisch willen neerleggen, dan moeten ze dat normaal doen via de Jbox voor verzoekschriften, en via DPA- of e-Deposit voor (brieven bij) conclusies, memories en stukken. Dat is erg interessant voor advocaten vanuit het oogpunt van gegevensbescherming. Het KB van 16 juni 2016 ‘houdende de elektronische communicatie overeenkomstig artikel 32ter van het Gerechtelijk Wetboek’ duidt de FOD Justitie immers aan als verwerkingsverantwoordelijke. Op de FOD Justitie rust dus de verplichting om ervoor te zorgen dat beide informaticasystemen aangepaste beveiligingstechnieken bieden om de oorsprong, integriteit en vertrouwelijkheid van de inhoud van de zending via die systemen te verzekeren. In het geval van een datalek bij e-Deposit is de FOD Justitie verantwoordelijk.

Hoewel alle advocaten bij aanvang van de coronapandemie wel toegang hadden tot DPA- en e-Deposit, moesten ze nog tot juni 2020 wachten op de uitrol van de Jbox. Om fysieke neerleggingen en dus mogelijke besmettingen te vermijden, bepaalde het College van Hoven en Rechtbanken in zijn dwingende richtlijnen van maart en april 2020 dat advocaten alle procedurestukken uitzonderlijk niet alleen via e-Deposit, maar ook via e-mail aan de griffies mochten bezorgen. Net zoals de verzending van rechterlijke beslissingen per e-mail, kende ook deze maatregel geen wettelijke grondslag. Daarom zag de wetgever zich genoodzaakt de neerleggingen retroactief tot 18 maart 2020 te regulariseren in artikel 4 van de wet van 20 mei 2020 ‘houdende diverse bepalingen inzake justitie in het kader van de strijd tegen de verspreiding van het coronavirus COVID-19’. Wel liet dat artikel vrijwel onmiddellijk na de bekendmaking van de wet de mogelijkheid uitdoven voor advocaten en gerechtsdeurwaarders om verzoekschriften per e-mail neer te leggen. Ze kunnen dat nog wel doen tot 30 juni 2021 via DPA en e-Deposit.

Tijdens de bespreking van het ‘wetsvoorstel’ in de Kamercommissie Justitie liet minister Geens er geen twijfel over bestaan waarom hij de parlementsleden e-mail ook op dit punt aan banden liet leggen: ‘E-mails zijn geen goed instrument voor het communiceren van dit soort documenten en zijn niet GDPR-conform’ (DOC 55-1181/004, 10). Om dezelfde redenen had de Orde van Vlaamse Balies advocaten al eerder in april afgeraden om van e-mail gebruik te maken ter neerlegging van procedurestukken.

De wet van 17 februari 2021 is een stap achteruit op het vlak van gegevensbescherming. Email heeft wegens zijn onveilige karakter geen plaats in juridische procedures. De voortdurende verwerking van (gevoelige) persoonsgegevens door advocaten en rechters moet verlopen via veilige kanalen, want een datalek kan verstrekkende gevolgen hebben voor de betrokkenen. De codificatie van een bedenkelijke praetoriaanse coronagewoonte moet minstens gepaard gaan met begeleidende beveiligingsmaatregelen. Werklastbesparing en gebruiksgemak kunnen geen motieven zijn om af te dingen op gegevensbescherming. Dit toont eens te meer aan waarom investeringen in een correcte digitalisering van Justitie broodnodig zijn.