Het recht op privacy

Het doel van deze ledenadministratie is om een goed overzicht over de gemeente te hebben. Niet alleen voor de uitoefening van de ambtelijke taken - denk bijvoorbeeld aan een wijkindeling en huisbezoekplanning - maar ook voor diverse financiële verplichtingen, onder meer aan verschillende deputaatschappen waaraan dient te worden bijgedragen naar rato van het aantal leden en doopleden.

De scriba van menige kerkenraad kan zich verheugen in de verzoeken van diverse instellingen en verenigingen binnen en buiten de kerk om gebruik te mogen maken van de ledenadministratie voor het werven van donateurs, abonnees, leden, enzovoort. Is dit toegestaan? Met andere woorden: hoe zit het met het recht op bescherming van de persoonsgegevens van gemeenteleden en wanneer mag een scriba wel/niet persoonsgegevens verstrekken? Op deze vragen wil het Deputaatschap Kerkrecht in dit artikel ingaan.

Bescherming persoonsgegevens

Sinds 1995 geldt in Nederland de Wet Bescherming Persoonsgegevens. Deze wet kent een vrijstellingsbesluit voor kerkgenootschappen en andere genootschappen op geestelijke grondslag. Kerken zijn vrijgesteld van de verplichtingen uit de Wet Bescherming Persoonsgegevens, maar alleen voor zover de persoonsgegevens worden gebruikt voor de ‘activiteiten die de kerk volgens de grondslag uitoefent; voor het zenden van informatie aan de leden en voor het berekenen van kerkelijke bijdragen’.

Daarbij mogen, volgens dit besluit, in de ledenadministratie alleen de namen, het geslacht, de geboortedatum, adresgegevens, telefoonnummer en mailadres worden opgenomen. Daarnaast mag de kerk ook andere gegevens vastleggen, wanneer dit volgens het kerkgenootschap nodig is. Redelijke uitleg van deze bepaling brengt met zich mee dat ook belijdenisdata en huwelijksdata in de ledenadministratie mogen worden opgenomen. Deze gegevens zijn immers nodig om te beoordelen of iemand al dan niet belijdend lid is en op welke wijze er bijvoorbeeld een wijkindeling per gezin kan worden vastgesteld.

Wie mag nu gebruik maken van de gegevens uit de ledenadministratie? De kerkenraad uiteraard voor verrichten van de ambtelijke taken. Daarnaast mogen deze persoonsgegevens verstrekt worden aan de (doop)leden van de gemeente. Daarnaast - en dat is een belangrijk punt - mogen persoonsgegevens alleen worden verstrekt aan derden, buiten de eigen kerkelijke gemeente, die belast zijn met het leiding geven aan de kerkelijke activiteiten. Gedacht kan worden aan een deputaatschap. Dit geldt uiteraard alleen voor die activiteiten die het kerkgenootschap volgens haar grondslag uitoefent, zoals het jeugdwerk, zending, enzovoort.

Dit betekent dat aan derden, zoals een kiesvereniging en een goede doelenstichting, géén persoonsgegevens van leden van de kerk mogen worden verstrekt, tenzij hiervoor tevoren toestemming is gevraagd en verkregen.

Een andere regel uit het vrijstellingsbesluit is dat de persoonsgegevens uiterlijk twee jaar nadat het lidmaatschap of het contact met het betrokken gezinslid is beëindigd, denk aan oudere doopleden, uit de ledenadministratie dienen te worden verwijderd.

Een kerk mag persoonsgegevens op internet publiceren, wanneer dit plaatsvindt op een afgeschermde internetpagina en wordt verstrekt. Als één van de leden niet op de internetpagina’s van de kerk vermeld wil staan, dan dient de scriba of de beheerder van de website deze gegevens te verwijderen. Dit geldt alleen als leden toegang mogen hebben tot deze internetpagina.

Toezicht

De Nederlandse privacywetgeving vloeit voort uit een Europese richtlijn. Deze richtlijn - ook de Wet Bescherming Persoonsgegevens - is ingevoerd op een moment dat internet nog niet of nauwelijks bestond. Om deze reden is er kort geleden een nieuwe Europese privacyrichtlijn vastgesteld door het Europees Parlement, waarbij strengere eisen worden gesteld aan het opslaan en gebruik van persoonsgegevens.

Een kerk mag persoonsgegevens op internet publiceren, wanneer dit plaatsvindt op een afgeschermde internetpagina en waarbij aan de leden een wachtwoord wordt verstrekt.

Per 1 januari 2016 is de Wet Bescherming Persoonsgegevens gewijzigd en is er ook een meldingsplicht voor data-lekken ingevoerd. Dit betekent dat, wanneer een beheerder van een website van een kerk vaststelt dat er persoonsgegevens zijn ‘gelekt’, hij dit dient te melden bij het College Bescherming Persoonsgegevens. (Dit college zal na deze wetswijziging de Autoriteit Persoonsgegevens gaan heten). De Autoriteit Persoonsgegevens kan in dat geval een boete opleggen.

Deze regeling geldt voor alle private en publieke organisaties. Een uitzondering voor kerkgenootschappen is in dit verband niet gemaakt. Het is dus van belang om aandacht te geven aan een goede beveiliging van de digitale verwerking van de ledenadministratie en met name na te gaan of er niet meer gegevens worden opgeslagen dan de wet toestaat, wie er toegang hebben tot deze gegevens en aan wie deze gegevens ter beschikking worden gesteld.

M.J.W. Hoek,
lid Deputaatschap Kerkrecht

Deze tekst is geautomatiseerd gemaakt en kan nog fouten bevatten. Digibron werkt voortdurend aan correctie. Klik voor het origineel door naar de pdf. Voor opmerkingen, vragen, informatie: contact.

Op Digibron -en alle daarin opgenomen content- is het databankrecht van toepassing. Gebruiksvoorwaarden. Data protection law applies to Digibron and the content of this database. Terms of use.

Printen