In veel kerken worstelt men met de toepassing van de Algemene verordening gegevensbescherming (AVG), schrijft mr. P. J. den Boef (RD 7-1). Die constatering deel ik. Gelukkig bieden veel landelijke kerkverbanden informatie aan plaatselijke gemeenten. Ook het Interkerkelijk Contact in Overheidszaken (CIO) spant zich daartoe in. Toch blijft er nog veel verwarring over de AVG. Den Boef neemt die verwarring helaas niet helemaal weg. Ik beperk mij tot drie onderwerpen, omdat die betrekking hebben op de basisbeginselen die gelden voor het verwerken van persoonsgegevens onder de AVG.

Lees ook

Kerken worstelen met hanteren privacyregels

Lees ook

AVG geeft ruimte voor archivering

Verwerkingsverantwoordelijke

In de eerste plaats de verantwoordelijkheid voor de gegevensverwerking. Den Boef merkt op dat de verwerkingsverantwoordelijke –dat is de partij die het doel en de middelen van de verwerking bepaalt– meestal de ouderling is en dat de kerkenraad de verwerker is. Dat is onjuist. De kerkenraad moet doorgaans worden gezien als de verwerkingsverantwoordelijke en is in die hoedanigheid aanspreekbaar op een correcte uitvoering van de AVG. Dat brengt onder meer de verplichting met zich mee dat de kerkenraad goed nadenkt over welke persoonsgegevens er worden verwerkt en hoe die gegevens worden beveiligd. Ook moet de kerkenraad erop letten dat niet meer persoonsgegevens worden verwerkt dan noodzakelijk is. De verwerker is de partij die in opdracht van de kerkenraad de persoonsgegevens feitelijk verwerkt, bijvoorbeeld de leverancier van het ICT-systeem voor de ledenadministratie. Overigens wordt de verwerkingsverantwoordelijke niet „aangewezen”, maar volgt die juridische hoedanigheid uit de feitelijke omstandigheden.

Uitzondering

In de tweede plaats noemt Den Boef dat toestemming voor het verwerken van persoonsgegevens van leden wordt verondersteld. Toestemming voor de gegevensverwerking is hier echter niet aan de orde en het begrip veronderstelde toestemming kent de AVG niet. Het verwerken van persoonsgegevens van leden van een kerkelijke gemeente komt neer op het verwerken van bijzondere persoonsgegevens, namelijk omtrent religie. Het lidmaatschap van een gemeente zegt immers iets over de religie van die persoon. Bijzondere persoonsgegevens verwerken is verboden, tenzij de wet zegt dat het mag.

Voor het verwerken van gegevens omtrent religie hebben de AVG en nationale wetgeving een uitzondering gemaakt voor onder andere kerkgenootschappen. Voor die organisaties is de verwerking van die bijzondere persoonsgegevens onlosmakelijk verbonden met hun doelstellingen. Verwerking van bijzondere persoonsgegevens mag door die organisaties plaatsvinden in het kader van hun „gerechtvaardigde activiteiten” en met passende waarborgen voor de betrokkenen. De verwerking mag uitsluitend betrekking hebben op de leden en de voormalige leden van de kerkelijke instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden. Anders gezegd, voor het delen van persoonsgegevens binnen de kerkelijke gemeente is een afzonderlijke wettelijke basis gemaakt, zodat veronderstelde toestemming van de betrokkene niet aan de orde is.

Uiteraard moet daarbij wel worden bedacht dat het verwerken noodzakelijk en proportioneel moet zijn en dat bepaalde informatie van gemeenteleden om vertrouwelijke redenen ook niet binnen de gemeenschap mag worden gedeeld. Dat geldt bijvoorbeeld voor andere bijzondere persoonsgegevens die vaak binnen de kerk worden gedeeld, zoals medische gegevens. Meestal wordt daarvoor uitdrukkelijk toestemming gevraagd. Dat is ook niet meer dan fatsoenlijk.

Gegevens naar derden

In de derde plaats gaat Den Boef in op het verstrekken van persoonsgegevens van gemeenteleden aan derden buiten de kerkelijke gemeente. Opgemerkt wordt dat daarvoor een gerechtvaardigd belang moet bestaan en dat de ”verwerker” –dat moet de verwerkingsverantwoordelijke zijn– daarvoor privacywaarborgen moet treffen.

Hier wordt over het hoofd gezien dat de AVG én de Nederlandse Uitvoeringswet AVG, die de AVG nader invult voor de Nederlandse situatie, bepalen dat bijzondere persoonsgegevens in dit kader niet zonder toestemming van de betrokkene buiten de instantie mogen worden verstrekt.

Kortom, bij het verstrekken van persoonsgegevens aan derden buiten de kerkelijke gemeente is toestemming van de betrokkene het uitgangspunt en niet het gerechtvaardigd belang van de kerkelijke gemeente.

Zorgvuldig

Een juiste toepassing van de AVG is gebaat bij zo min mogelijk verwarring en goede informatie. Uiteraard blijven er dan nog interpretatieverschillen mogelijk, omdat de AVG een open en algemeen normenkader biedt. Den Boef wijst er in het slot van zijn opiniestuk op dat kerken het risico lopen dat de burgerlijke rechter kaders gaat vaststellen die in het nadeel van de kerk kunnen uitpakken. Dat lijkt mij de omgekeerde wereld. Het gaat erom dat kerkleden erop kunnen vertrouwen dat hun gemeente op een zorgvuldige en vertrouwelijke manier met persoonsgegevens omgaat. Het gaat om zeer vertrouwelijke gegevens, waarvan je niet wilt dat die in onbevoegde handen komen. De kwestie zou dus veel meer moeten zijn: hoe waarborgen kerken dat leden vertrouwen hebben in een zorgvuldige omgang met hun persoonsgegevens? Daar is nog een wereld te winnen.

De auteur is jurist privacy en gegevensbescherming en werkte onder meer bij de Autoriteit Persoonsgegevens.