De AVG is van toepassing als „persoonsgegevens” worden verwerkt. Dat doet een plaatselijke gemeente van alle doop- en belijdende leden en meelevende leden. Van verwerking is sprake als op basis van de verwerkte informatie zo’n lid direct of indirect kan worden geïdentificeerd. Dat kan via de naam, de initialen, een adres en zelfs psychische kenmerken van iemand. Voor het verwerken van bepaalde informatie, zoals doop-, belijdenis- en huwelijksregistratie, adressen en verhuizingen, is geen toestemming nodig. Veelal mag men uitgaan van stilzwijgend gekregen toestemming. De kerkenraad mag de gegevens gebruiken om bijvoorbeeld pastoraat mogelijk te maken. De AVG noemt dat „behartiging van gerechtvaardigde belangen.”

De AVG gaat ervan uit dat er een „verwerkingsverantwoordelijke” wordt aangewezen. Dat is in de plaatselijke gemeente veelal een ouderling. De kerkenraad zelf wordt wel als „verwerker” van de informatie gezien. De AVG gaat uit van het beginsel dat persoonsgegevens worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is. De gegevens moeten bovendien toereikend zijn, ter zake dienen en echt nodig zijn voor de doeleinden waarvoor zij worden verwerkt. Het recht op verwerking van persoonsgegevens is dus beperkt. De verwerkte gegevens moeten bovendien juist zijn en actueel blijven. De door de kerkenraad aangewezen verwerkingsverantwoordelijke is hiervoor verantwoordelijk.

Openheid

Als de informatie geautomatiseerd wordt verwerkt of aanwezig is in bestanden, is er in beginsel sprake van verwerking van persoonsgegevens. Dan is ook het inzagerecht van de AVG van toepassing. Om dat recht ten volle te kunnen uitoefenen, is het wel belangrijk dat eerst wordt vastgesteld hoever het begrip ”persoonsgegevens” strekt. Dus wat valt er wel en wat valt er niet onder?

Het Europese Hof van Justitie heeft hier in 2017 een ruime uitleg aan gegeven. Die wordt door de Nederlandse rechter gevolgd. Het hof oordeelde dat het begrip persoonsgegevens zich potentieel uitstrekt tot elke soort informatie, zowel objectieve als subjectieve informatie, die de betrokkene betreft. Persoonsgegevens zijn dus niet alleen de opgeslagen NAW-gegevens, maar ook feitelijke of waarderende gegevens over eigenschappen, opvattingen of gedragingen van iemand. Te denken valt zelfs aan een intern verslag (al dan niet in notulen verwoord) van een pastoraal of huisbezoek. De informatieplicht (als inzage wordt verzocht) gaat dan ook heel ver.

Ik maak in mijn praktijk mee dat kerkenraden op een inzageverzoek niet of onvoldoende zijn ingesteld. Zich soms door een dergelijke aanvraag overrompeld voelen en deze afwijzen met de enkele mededeling dat alleen NAW-gegevens worden verwerkt. Bij verder doorvragen blijkt soms dat er wel degelijk ook andere dan NAW-gegevens van de aanvrager worden verwerkt. Los van het feit dat het hier om een wettelijke verplichting gaat, mag van een kerkenraad worden verwacht dat openheid en transparantie over alle verwerkte gegevens van zijn leden voorop staan. Vandaar mijn advies aan kerkenraden om een inzageverzoek van een lid ruimhartig tegemoet te treden en niet direct in een kramp te schieten. Gemeenteleden hebben immers het recht om te weten welke persoonsgegevens de kerkenraad van hen registreert, hoe en door wie die worden verwerkt en of de gegevens juist en nog actueel zijn. En als er fouten in de verwerking worden geconstateerd, geef dat als kerkenraad dan gewoon toe en zeg herstel toe. Dat neemt, zo is mijn ervaring, veel irritatie bij een aanvrager weg. Ook de verwerking van persoonsgegevens door een kerkenraad is en blijft immers mensenwerk.

Archivering

In mijn praktijk maak ik ook mee dat kerkenraden gegevens van leden die allang als lid hebben bedankt, bewaren en in een archief aanhouden; nut en noodzaak hiervan zijn discutabel. In sommige situaties zou een bewaartermijn van bijvoorbeeld een of twee jaar verdedigbaar kunnen zijn, ware het niet dat de AVG de kerk verplicht om persoonsgegevens zonder onredelijke vertraging te wissen wanneer ze niet langer nodig zijn voor de doeleinden waarvoor ze zijn verzameld. Archivering is namelijk alleen toegestaan met het oog op een algemeen belang of wanneer er wetenschappelijke, historische of statistische doeleinden mee zijn gediend. Bij een kerk is dat niet snel het geval. Als een kerkenraad een dossier toch enige tijd bewaren wil (algemeen belang), dient dat gemotiveerd te worden en met de nodige zorgvuldigheid gepaard te gaan. Dat kan door pseudonimisering. Een veelgebruikte techniek is encryptie met een geheime sleutel. Zo’n versleuteling behoedt voor ongewenste nieuwsgierigheid binnen de kerkenraad.

Aan kerken dus de taak om de rechtmatigheid van de verwerking te waarborgen en regelmatig de archieven op te schonen. Veel kerkenraden hebben overigens relevante zaken geregeld in een ”privacystatement”. Op die manier wordt de gemeente geïnformeerd over zaken zoals welke gegevens waar en door wie worden verwerkt, hoe de gemeente hierover wordt geïnformeerd en welke rechten men heeft om de eigen persoonsgegevens te kunnen controleren. Maar ook wie verantwoordelijk is voor het verwerken van gegevens, het juiste gebruik van de systemen en het instellen van een jaarlijkse evaluatie. Als er dan toch nog fouten worden gemaakt, komt het verwijt minder hard aan.

Afwijzing

Op basis van artikel 15 lid 1 van de AVG hebben alle gemeenteleden (overigens ook oud-leden) het recht om de kerkenraad te vragen welke persoonsgegevens van hen zijn verwerkt. Op de website van de Autoriteit Persoonsgegevens (AP) staat een voorbeeldbrief. Bij een afwijzing moet de kerkenraad binnen een maand gemotiveerd reageren. In dat geval of als het desbetreffende lid meent dat de verwerking van zijn of haar gegevens inbreuk maakt op de AVG, kan deze klagen bij de AP of naar de burgerlijke rechter stappen. De kerkenraad moet de aanvrager bij een afwijzing ook expliciet daarop wijzen. De AP kan bemiddelend optreden maar hoeft niet verplicht te worden ingeschakeld. Tegen een afwijzing van het inzageverzoek kan men direct een doeltreffende voorziening bij de burgerlijke rechter instellen, met het verzoek dat alsnog inzage wordt verleend. Van dit recht wordt nogal eens met succes gebruikgemaakt als de aanvrager aannemelijk kan maken dat een kerkenraad de aanvraag ten onrechte afwees.

Ik maak mee dat een kerkenraad bij een afwijzing de aanvrager meldt dat hij of zij vanwege het kerkenraadsbesluit in appel kan gaan bij de classis of een kerkelijke commissie die met rechtspraak is belast. Die aanwijzing hoeft naar mijn mening niet te worden opgevolgd. De rechtsingang die de AVG hier biedt (rechtstreekse toegang tot de burgerlijke rechter) kan namelijk niet door regels van kerkrecht worden beknot.

Recht op vergetelheid

Als aan het verzoek om inzage tegemoet wordt gekomen, moet de aanvrager in staat zijn de rechtmatigheid van de verwerking van zijn gegevens te controleren. Fouten kunnen dan worden rechtgezet en het recht bestaat zelfs om de kerkenraad te verzoeken bepaalde of alle gegevens te wissen. Ook hier gaat het nogal eens fout. De AVG spreekt over het „recht op vergetelheid” ofwel het recht „om vergeten te worden.” Vooral bij afgehandelde tuchtzaken moet het na verloop van tijd een keer afgelopen zijn.

Het recht op inzage betekent niet dat de aanvrager in alle gevallen recht heeft op afschriften van alle stukken waarin zijn of haar gegevens staan opgenomen. Er bestaat wel een recht op een volledig „overzicht”, in begrijpelijke vorm, van verwerkte persoonsgegevens. Als daaraan kan worden voldaan, hoeft er, aldus bestaande rechtspraak, in beginsel geen afschrift te worden verstrekt.

Iets anders is het als documenten naast NAW-gegevens ook feitelijke en waarderende gegevens bevatten over eigenschappen of gedragingen van de aanvrager. Dit soort persoonlijke gegevens leent zich niet goed voor opname in een overzicht. De aanvrager heeft dan wél recht op een kopie van de documenten waarin zijn of haar gegevens zijn opgenomen. De verplichting is om zo volledig en duidelijk mogelijk alle informatie te verschaffen.

De kerk zal in haar reactie gelijktijdig moeten meedelen wat de doeleinden van de verwerking zijn, op welke categorieën van gegevens de verwerking betrekking heeft, wie de ontvangers van deze gegevens zijn, alsmede wat de herkomst ervan is. De AVG kent enkele weigeringsgronden, zoals kennelijke ongegrondheid of buitensporigheid van het inzageverzoek. Mijn ervaring is dat de rechter zo’n grond niet snel aanneemt.

Soms is een beperking op het inzagerecht gerechtvaardigd. Bijvoorbeeld als de (privacy)rechten van een derde zwaarder moeten wegen. De kerk mag dan overgaan tot het anonimiseren of zwart maken van bepaalde gegevens. Ook interne stukken kunnen vallen onder het inzagerecht. Bijvoorbeeld een ingewonnen advies van een deskundige of deputaat kerkrecht waarin persoonsgegevens van de aanvrager zijn verwerkt. Als de kerkenraad over zo’n stuk beschikt, verwerkt hij dit document, en is er een recht op inzage. Dit inzagerecht geldt ook voor interne (handgeschreven) vertrouwelijke notities, zoals een verslag van een pastoraal bezoek.

In een door mij behandelde (niet gepubliceerde) zaak overwoog de rechter in dit geval dat het recht op inzage niet op voorhand zonder meer kon worden geblokkeerd, omdat in de desbetreffende documenten sprake zou (kunnen) zijn van vertrouwelijke (interne) correspondentie, stukken waarin persoonlijke gedachten en/of adviezen zijn verwoord en die zijn opgesteld met het oog op intern overleg en beraad, dan wel interne besluitvorming. Hoewel het inzagerecht afbreuk zou doen aan de rechten en vrijheden van anderen, moet (aldus overwoog de rechter) gelden dat de persoonsgegevens van anderen dan de aanvrager gemakkelijk zwart gemaakt kunnen worden. Tegenover het ambtsgeheim van de kerkenraad staat het belang van de aanvrager op recht op inzage in zijn of haar persoonsgegevens ter controle van de rechtmatigheid van de verwerking ervan. En al kende de aanvrager de gegevens, dan vond de rechter dat niet relevant. Het beroep door de desbetreffende kerkenraad op een uitzonderingsgrond werd afgewezen.

Op zich gaat deze uitspraak ver. Aan de andere kant was het ook te verdedigen dat het belang van de aanvrager onder omstandigheden zwaarder moest wegen. Kerkenraden moeten hierop bedacht zijn en zich ervan vergewissen of de afdoening van een inzageverzoek de AVG-toets kan doorstaan. Mijn proceservaring is dat, als het oordeel van een rechter wordt gevraagd, dat veelal in het voordeel van de aanvrager uitvalt, omdat kerkenraden een te enge uitleg geven aan het begrip ”persoonsgegevens”. Er zijn overigens kerkenraden die om die reden zo weinig mogelijk schriftelijk vastleggen. Dat lijkt mij niet verstandig, omdat een kerkenraad snel in bewijsproblemen kan komen.

Gegevens naar derden

Persoonsgegevens mogen niet zomaar aan derden worden verstrekt. Daar moet een gerechtvaardigd belang voor zijn, waarbij de verwerker (veelal de kerkenraad) zich moet afvragen of met anonieme of met minder gegevens hetzelfde resultaat kan worden bereikt. Ook moet er een privacytoets worden uitgevoerd, waarbij de wederzijdse belangen worden afgewogen. Dit is actueel bij appelzaken, waar (soms) vele tientallen afgevaardigden over vaak zeer privacygevoelige stukken de beschikking krijgen. Veelal zonder dat een appellant weet wie allemaal kennisneemt van zijn dossier. Dat kan natuurlijk niet.

Ook deze vorm van verwerking (verspreiden van persoonsgegevens) valt onder de AVG en roept vragen op. Want wie is hier verantwoordelijk voor de vraag of er gehandeld wordt binnen de kaders van de AVG? Wie bewaakt de vertrouwelijkheid en bij wie moet een belanghebbende aankloppen om inzage te verkrijgen? Commissies van onderzoek vallen hier uiteraard ook onder.

Het zijn onderwerpen die het bestek van dit artikel overstijgen, maar belangrijk genoeg zijn om met elkaar over na te denken. Anders lopen de kerken een serieus risico dat de burgerlijke rechter kaders vaststelt. De praktijk wijst uit dat dit niet altijd in het voordeel van de kerk uitvalt.

De auteur is advocaat te Houten.