AVG en de kerk

Sinds mei 2018 geldt de Algemene Verordening Gegevensbescherming, hierna de: “AVG”. Daarvoor gold de Wet Bescherming Persoonsgegevens (hierna: “WBP”). De WBP was – voor de goede orde – een implementatie van een Europese Richtlijn. Het zal weinigen zijn ontgaan dat de AVG in werking trad. Velen zijn door de AVG druk geweest met de vraag of zij nu “verwerker” of “verwerkingsverantwoordelijke” zijn. Ook zijn er talloze “privacystatements” en “verwerkersovereenkomsten” in het leven geroepen.

Het stof van de AVG is nog niet neergedaald. Regelmatig verschijnt er rechtspraak over de werking en gevolgen van de AVG. En die gevolgen van de AVG zijn niet beperkt gebleven voor overheden en bedrijven. Ook verenigingswerk en voor de kerkelijke rechtspersonen in Nederland geldt de AVG. Soms gaat dat verder dan we denken (of hopen). Het vergaande karakter van de AVG is (weer eens) bevestigt in een uitspraak van het Gerechtshof Den Haag (Gerechtshof Den Haag 17 september 2019, ECLI:NL:GHDHA:2019:2398). In deze uitspraak ging het om een lid van de Gereformeerde Kerk (Vrijgemaakt) te Dordrecht (hierna: “de kerk”) en een van haar leden. Tussen het lid en de kerk bestond een dispuut dat aanleiding vormde voor het opvragen van documenten. Hierna wordt verder stilgestaan bij deze uitspraak.

Wat was er aan de hand?

De uitspraak meldt dat het lid van de kerk zich op het standpunt stelde dat haar binnen de Kerk onrecht zou worden aangedaan. Daarbij wordt door het lid melding gemaakt van smaad en laster ten aanzien van haar persoon. Via het kerkrecht zou het probleem dat zij ervoer niet opgelost kunnen worden. Daarom wenst het lid inzage in de documenten waarin haar schade zou worden berokkend. Daarvoor heeft zij een schriftelijk ingediend bij de kerk. Doordat het lid geen inzage in deze documenten heeft, kan het lid zich ook niet verweren, aldus het lid. Bovendien wordt de kring van personen die de schadelijke informatie over haar kan lezen, groter. De kerkenraad wisselt immers periodiek van samenstelling. Het stelt zich op het standpunt dat inzage in de documenten onlosmakelijk deel uit maakt van de verzoening waarnaar ook de kerk zegt te streven. Het lid wil na ontvangst van de documenten nagaan of het nodig is de vastgelegde gegevens te laten corrigeren of te laten verwijderen. De kerk heeft desgevraagd een overzicht van de persoonsgegevens verstrekt van het lid. Het ging hier om persoonsgegevens die waren opgenomen in het ledenregister.

De procedure bij de rechtbank

Het antwoord was echter niet voldoende voor het lid. Het lid is vervolgens naar de rechtbank gestapt om de door haar gevraagde documenten alsnog in handen te krijgen waarin haar persoonsgegevens zouden zijn verwerkt. De rechtbank heeft in haar eindoordeel beslist dat de kerk een aantal documenten aan het lid diende te verstrekken. Ook diende de kerk te melden wie in het bezit is van die documenten. Verder diende de kerk aan te geven wat het doel van de gegevensverwerking van de documenten was.

De procedure bij het gerechtshof

De kerk is in hoger beroep gegaan tegen het oordeel van de rechtbank bij het Gerechtshof Den Haag. Het Gerechtshof Den Haag heeft de zaak opnieuw beoordeeld en het oordeel van de rechtbank vernietigd. De kerk is alsnog verplicht tot inzage, maar wel met de nodige nuancering. Hierna worden een aantal van die nuanceringen wat uitgebreider besproken.

Interne stukken?

Het meest fundamentele bezwaar van de kerk was dat het lid inzage wilde in notities en correspondentie (“interne” documenten). Deze interne documenten bevatten (o.a.) de persoonlijke gedachten van de kerkenraad(sleden). Op zich toont het Gerechtshof begrip voor het standpunt dat men vertrouwelijke stukken geheim wil houden. Maar het Gerechtshof Den Haag oordeelt dat de wens tot vertrouwelijkheid geen blokkade mag vormen voor het (fundamentele) recht van het lid op de bescherming van haar persoonsgegevens. Interne stukken zijn daarvan niet uitgezonderd. Ook de kerk dient dat (fundamentele) recht in acht te nemen, aldus het Gerechtshof. Het Gerechtshof verwijst daarbij naar een uitspraak van de Hoge Raad d.d. 29 juni 2007 (Vindplaats:ECLI:NL:2007:AZ4664).

De vertrouwelijkheid van stukken is dus niet meer gewaarborgd zou je kunnen stellen. Is daarmee het recht op inzage dan “onbeperkt” geworden? Neen! Het recht op inzage is niet onbeperkt. Het Gerechtshof verwijst in haar overwegingen naar twee belangrijke grenzen. Er wordt een grens getrokken in de omvang van stukken die getoond moeten worden. En het Gerechtshof trekt een grens indien rechten van anderen in het geding komen.

Volledige inzage?

Het hof is van oordeel dat de Kerk in dit geval kan volstaan met het verstrekken van afschriften van de originele documenten. Daarin mag andere informatie dan persoonsgegevens van het lid onleesbaar zijn gemaakt (het Gerechtshof verwijst daarbij naar een uitspraak van de Hoge Raad van 29 juni 2007 (vindplaats: ECLI:NL:2007:AZ4664). Het hof wijst ook op artikel 15 lid 3 van de AVG. Daarin staat dat “een kopie” dient te worden verstrekt van de persoonsgegevens die worden verwerkt. Het Gerechtshof oordeelt dat de kerk daarom alleen een kopie dient te geven van (het gedeelte van) een document waarin de persoonsgegevens van het lid staan.

Rechten van anderen?

De Kerk mag (ter bescherming van de privacy-rechten van anderen) uitlatingen over het lid anonimiseren. Op die manier is niet herleidbaar wie de uitlating heeft gedaan. Wie de uitlating heeft gedaan is ook niet relevant voor de AVG. De AVG is een waarborg voor de rechtmatige verwerking van persoonsgegevens. De AVG is dus geen waarborg voor de (intrinsieke) juistheid van uitlatingen die iemand heeft gedaan. Dat zou ook een aantasting kunnen opleveren van de rechten van de persoon (zoals privacy) die de uitlating heeft gedaan.

Ontvangers?

Verder speelde in de uitspraak de vraag wie de stukken waar het lid om vroeg in zijn/haar bezit had. Het lid wilde weten wie, buiten de kerkenraad om, haar persoonsgegevens hadden ontvangen. Daarbij is aan de orde gesteld dat een kerkenraad periodiek van samenstelling wisselt. Het Gerechtshof heeft daarbij overwogen dat een Kerk niet gehouden is om mee te delen wie in “bezit” is van documenten. De AVG (en voorheen de WBP) schrijven alleen voor dat dient te worden gemeld wie “de ontvangers” of “categorieën van ontvangers” van de persoonsgegevens zijn.

Hoe verder?

De uitspraak zit vol “jargon”. Hierna wordt geprobeerd kort uiteen te zetten wat deze uitspraak betekent voor de praktijk:

  • Als er persoonsgegevens worden verwerkt, dan heeft de betrokken persoon recht op inzage, ook als het om “interne stukken” gaat en dus niet alleen “een printje” uit het ledenregistratiesysteem. Dat wreekt zich met name bij documentatie die (nog) niet geautomatiseerd “doorzoekbaar” is of gecentraliseerd in een systeem. Een inzageverzoek wordt dan – in figuurlijke zin – een heidens karwei.
  • De AVG is geen waarborg tegen smaad en laster (daar was het in deze zaak om te doen immers). De AVG waarborgt – kort samengevat – het rechtmatig verwerken van persoonsgegevens. Het komt er gechargeerd op neer dat het bezit van documenten met smaad en laster is toegestaan, mits uw naam maar goed gespeld is. Voor smaad en laster zal een andere route gekozen moeten worden zoals een strafrechtelijk traject, of een civiele procedure bij de rechtbank.
  • Het recht van inzage is geen recht op volledige documenten. Het recht van inzage (en correctie) is een recht op inzage in de persoonsgegevens in documenten (of bestanden). Het recht is beperkt tot het deel van het document waarin persoonsgegevens staan. Als dus de persoonsgegevens staan op pagina 10 van een document, dan is het recht op inzage beperkt tot pagina 10. Als op die pagina ook vertrouwelijke gegevens staan van anderen, dan mogen die worden geanonimiseerd.
  • Er hoeft niet te worden meegedeeld wie documenten in zijn bezit heeft. Het volstaat dat in een privacystatement wordt aangegeven wie de (categorieën van) ontvangers (kunnen) zijn. De ontvanger kan bijvoorbeeld de scriba van een kerkenraad zijn. De categorie van ontvangers kan bijvoorbeeld “de leden van de kerk” of “de kerkenraad” zijn.

Vragen?

Heeft u vragen over de verwerking van persoonsgegevens in uw organisatie? Heijink & Meure advocaten helpt u graag verder.