Op verzoek van de GS Zwolle/Zuid 2008/2009 boden deputaten generaal-synodaal publicaties een model aan voor een privacyreglement. Dit model dient nog gescreend te worden op wetgeving vanaf 2008. HKO acht dit een taak van Steunpunt KerkenWerk aan wie dit model is doorgegeven. Het luidt:
Model privacyreglement verwerking kerkelijke gegevens
Artikel 1 - Begripsbepalingen
In dit reglement wordt verstaan onder:
a. Kerklid: natuurlijke persoon die bij een plaatselijke kerk als
gewoon of buitengewoon lid staat ingeschreven;
|84|
b. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde
of identificeerbare natuurlijke persoon;
c. Verwerking van persoonsgegevens: elke handeling of elk geheel
van handeling- en met betrekking tot persoonsgegevens, waaronder
in ieder geval het verzamelen, vastleggen, ordenen, bewaren,
bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken
door middel van doorzending, verspreiding of enige ander vorm van
terbeschikkingstelling, samenbrengen, met elkaar in verband
brengen, alsmede het afschermen, uitwissen of vernietigen van
gegevens;
d. Administratiecode: eenduidige code die wordt gebruikt ten
behoeve van efficiënte verwerking van persoonsgegevens;
e. Bestand: elk gestructureerd geheel van persoonsgegevens,
ongeacht of dit geheel van gegevens gecentraliseerd is of
verspreid is op een functioneel of geografisch bepaalde wijze,
dat volgens bepaalde criteria toegankelijk is en betrekking heeft
op verschillende personen;
f. Verantwoordelijke: de natuurlijke persoon, rechtspersoon of
ieder ander die of het bestuursorgaan dat, alleen of tezamen met
anderen, het doel van en de middelen voor de verwerking van
persoonsgegevens vaststelt;
g. Beheerder: degene die onder verantwoordelijkheid van de
verantwoordelijke is belast met de (dagelijkse) zorg voor de
verwerking van persoonsgevens, alsmede voor het bewaren,
verwijderen en verstrekken van gegevens;
h. Bewerker: degene die op basis van een overeenkomst ten behoeve
van de verantwoordelijke persoonsgegevens verwerkt, zonder aan
zijn rechtstreeks gezag te zijn onderworpen;
i. Gebruiker: degene in de zin van artikel 7 die gerechtigd is
kennis te nemen van bepaalde gegevens in een
persoonsregistratie;
j. Betrokkene: degene op wie een persoonsgegeven betrekking
heeft;
k. Derde: ieder niet zijnde de betrokkene, de verantwoordelijke,
de bewerker, of degene(n) die onder gezag van de
verantwoordelijke of de bewerker gemachtigd is (zijn) om
persoonsgegevens te verwerken;
l. Ontvanger: degene aan wie de persoonsgegevens worden
verstrekt;
m. College bescherming persoonsgegevens: het college bedoeld in
artikel 51 van de Wet Bescherming Persoonsgegevens;
n. Toestemming van betrokkene: elke vrije, specifieke en op
informatie berustende wilsuiting waarmee betrokkene
aanvaardt dat de hem / haar betreffende persoonsgegevens
worden verwerkt;
o. WBP: Wet Bescherming Persoonsgegevens, staatsblad 2000,
302;
p. Vrijstellingsbesluit Wbp: besluit van 7 mei 2001, (Staatsblad
2001, 250), houdende aanwijzing van verwerkingen van
persoonsgegevens die zijn vrijgesteld van de melding bedoeld in
artikel 27 van de Wet bescherming persoonsgegevens.
Artikel 2 - Reikwijdte en doelstelling van het reglement
1. Dit reglement is van toepassing op alle persoonsgegevens van
een kerklid die door of namens... [plaatselijke gemeente] ...
worden verwerkt.
2. Dit reglement heeft tot doel:
a. de persoonlijke levenssfeer van kerkleden van wie
persoonsgegevens worden verwerkt te beschermen tegen
misbruik van die gegevens en tegen het verwerken
van onjuiste gegevens;
b. te voorkomen dat persoonsgegevens worden verwerkt voor een
ander doel dan het doel waarvoor ze verzameld zijn;
c. de rechten van de kerkleden te waarborgen.
|85|
Artikel 3 - Doel van de verwerking van persoonsgegevens
De verwerking geschiedt ten behoeve van
a. ...
b. de uitvoering of toepassing van een wettelijke regeling.
Artikel 4 - Verwerking van persoonsgegevens
Geen andere persoonsgegevens van een kerklid worden verwerkt
dan:
a. naam, voornamen, voorletters, titulatuur, geslacht,
geboortedatum, adres, postcode, woonplaats, telefoonnummer
en soortgelijke voor communicatie bedoelde gegevens, alsmede
bank- en girorekeningnummer van de betrokkene;
b. geboorteplaats;
c. gegevens met het oog op het berekenen, vastleggen en innen van
kerkelijke bijdragen;
d. andere dan de onder a tot en met c bedoelde gegevens waarvan
de verwerking wordt vereist ingevolge of noodzakelijk is met
het oog op de toepassing van een wettelijke regeling.
Artikel 5 - Het beheer van (de verwerking van)
persoonsgegevens
Persoonsgegevens worden op naam van het kerklid verzameld. De
verzameling van persoonsgegevens van het kerklid vormt het
dossier.
Artikel 6 - Verstrekking van gegevens
De persoonsgegevens worden slechts verstrekt aan:
a. degenen, waaronder begrepen derden, die leiding geven aan of
belast zijn met de verwerking van persoonsgegevens van
kerkleden of die daarbij noodzakelijk zijn betrokken;
b. anderen, in de gevallen bedoeld in artikel 8 onder a, c en d,
of artikel 9 (verenigbaar gebruik), derde lid, van de
Wbp;
c. anderen, in de gevallen bedoeld in artikel 8 onder e en f, van
de Wbp, voor zover het slechts gegevens betreft als bedoeld
in artikel 4 van dit modelreglement, en nadat het voornemen
daartoe aan betrokkene is medegedeeld en deze gedurende een
redelijke termijn in de gelegenheid is geweest het recht als
bedoeld in artikel 40 of 41 van de Wbp uit te oefenen.
Artikel 7- Toegang tot persoonsgegevens
1. Onverminderd eventuele wettelijke voorschriften ter zake
hebben slechts toegang tot de persoonsgegevens:
a. degenen, waaronder begrepen derden en anderen, die zijn belast
met of leiding geven aan de activiteiten die in verband staan met
de verwerking van de gegevens of die daarbij noodzakelijk zijn
betrokken;
b. anderen, in gevallen als bedoeld in artikel 8 onder a, c en d,
en artikel 9 derde lid van de Wbp.
2. Degenen genoemd in lid 1 sub a dienen zich te registreren in
het bestand dat alsbijlage bij dit reglement wordt gevoegd.
Artikel 8 - Beveiliging en geheimhouding
1. De verantwoordelijke draagt zorg voor passende technische en
organisatorische maatregelen ter voorkoming van verlies of
onrechtmatige verwerking van persoonsgegevens. Deze maatregelen
garanderen, rekening houdend met de stand der techniek en de
kosten van de tenuitvoerlegging, een passend beveiligingsniveau,
gelet
|86|
op de risico’s die de verwerking en de aard van de te beschermen
gegevens met zich meebrengen. De maatregelen zijn er mede op
gericht onnodige verzameling en verdere verwerking van
persoonsgegevens te voorkomen.
2. Indien sprake is van elektronische verwerking van
persoonsgegevens zal de beheerder via een coderings- en
wachtwoordbeveiliging de verschillende functionarissen, als
bedoeld in artikel 7, toegang geven tot bepaalde gedeelten van de
persoonsgegevens of tot alle persoonsgegevens al naar gelang hun
werkzaamheden dit vereisen.
3. Een ieder die betrokken is bij de uitvoering van dit reglement
en daarbij de beschikking krijgt over persoonsgegevens waarvan
hij het vertrouwelijke karakter kent of redelijkerwijs kan
vermoeden en voor wie niet reeds uit hoofde van beroep, functie
of wettelijk voorschrift ter zake van de persoonsgegevens een
geheimhoudingsplicht geldt, is verplicht tot geheimhouding
daarvan. Dit geldt niet indien enig wettelijk voorschrift hem tot
bekendmaking verplicht of uit zijn taak bij de uitvoering van dit
reglement de noodzaak tot bekendmaking voortvloeit.
Artikel 9 - Informatieplicht
1. De verantwoordelijke informeert betrokkene over de
persoonsgegevens die worden verwerkt, met welk doel dat gebeurt
en aan wie de gegevens worden verstrekt.
2. De verantwoordelijke informeert betrokkene over het verwerken
van diens persoonsgegevens, voorafgaand aan de verzameling van de
persoonsgegevens of, indien de gegevens van derden afkomstig
zijn, voorafgaand aan de verwerking.
Artikel 10 - Rechten betrokkene(n): inzage, correctie, verzet
1. Elke betrokkene heeft het recht op inzage. Aan een verzoek om
inzage kunnen kosten worden verbonden.
2. Een verzoek om inzage dient te worden gedaan aan de
verantwoordelijke, die binnen vier weken na ontvangst van dit
verzoek hierop schriftelijk reageert.
3. Indien de betrokkene bij de verantwoordelijke aantoont dat
bepaalde opgenomen gegevens onjuist c.q. onvolledig zijn, dan wel
gezien de doelstelling van het systeem niet ter zake doen, dan
wel strijdig zijn met dit reglement, draagt de verantwoordelijke
binnen vier weken nadat betrokkene de onjuistheid c.q.
onvolledigheid heeft aangetoond, zorg voor verbetering,
aanvulling of verwijdering. In dat geval worden eventueel
betaalde kosten terugbetaald.
4. Indien de verantwoordelijke twijfelt aan de identiteit van de
verzoeker, vraagt hij zo spoedig mogelijk aan de verzoeker
schriftelijk nadere gegevens inzake zijn identiteit te
verstrekken of een geldig identiteitsbewijs te overleggen. Door
dit verzoek wordt de termijn opgeschort tot het tijdstip dat het
gevraagde bewijs is geleverd.
5. Wanneer de verwerking van persoonsgegevens plaatsvindt op de
grondslag dat die verwerking
a. noodzakelijk is voor de goede vervulling van een door de
verantwoordelijke verrichte publiekrechtelijke taak of
b. noodzakelijk is voor een gerechtvaardigd belang van de
verantwoordelijke of een derde, kan betrokkene schriftelijk
verzet aantekenen tegen de verwerking van de gegevens, op basis
van zijn bijzondere persoonlijke omstandigheden.
De verantwoordelijke dient binnen vier weken na ontvangst van het
verzet te beoordelen of het verzet terecht is. Is dat het geval,
dan dient de verwerking van persoonsgegevens onmiddellijk te
worden beëindigd.
6. Wanneer de verwerking van persoonsgegevens plaatsvindt op de
grondslag dat die verwerking geschiedt voor direct
marketingdoeleinden, kan betrokkene eveneens schriftelijk verzet
aantekenen tegen de verwerking van de gegevens. Indien betrokkene
van dit recht gebruik maakt, dient de verwerking van persoon-
gegevens voor dit doel onmiddellijk te worden beëindigd.
|87|
Artikel 11 - Bewaartermijnen
De persoonsgegevens worden verwijderd uiterlijk twee jaren nadat
het lidmaatschap is beëindigd, tenzij de persoonsgegevens
noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
Artikel 12 - Oud-kerkleden
1. De verantwoordelijke kan besluiten over te gaan tot het
instellen van een verwerking betreffende oud-kerkleden.
2. De verwerking geschiedt slechts voor:
a. het onderhouden van contacten met de oud-kerkleden;
b. het verzenden van informatie aan de oud-kerkleden;
c. het berekenen, vastleggen en innen van bijdragen en giften,
waaronder begrepen het in handen van derden stellen van
vorderingen, alsmede andere activiteiten van
intern beheer;
d. het behandelen van geschillen en het doen uitoefenen van
accountantscontrole.
3. Geen andere persoonsgegevens worden verwerkt dan:
a. naam, voornamen, voorletters, titulatuur, geslacht,
geboortedatum, adres, postcode, woonplaats, telefoonnummer
en soortgelijke voor communicatie benodigde
gegevens, alsmede bankrekeningnummer van de betrokkene;
b. gegevens met het oog op het berekenen, vastleggen en innen van
bijdragen en giften;
c. een administratiecode dat geen andere informatie bevat dan
bedoeld onder a en b.
4. De persoonsgegevens worden slechts verstrekt aan:
a. degenen, waaronder begrepen derden, die zijn belast met of
leiding geven aan de in het tweede lid bedoelde activiteiten
of die daarbij noodzakelijk zijn betrokken;
b. anderen, in de gevallen bedoeld in artikel 8, onder a, c en d,
en artikel 9, derde lid, van de Wbp.
5. De persoonsgegevens worden verwijderd op een daartoe strekkend
verzoek van de betrokkene of bij diens overlijden.
Artikel 13 - Klachten
1. Indien de betrokkene van mening is dat de bepalingen van dit
reglement niet door de instelling worden nageleefd dient hij
zich te wenden tot de verantwoordelijke.
2. Indien de ingediende klacht voor de betrokkene niet leidt tot
een voor hem acceptabel resultaat, kan hij zich wenden tot
het College Bescherming Persoonsgegevens.
Artikel 14 - Inwerkingtreding en citeertitel
Dit reglement kan aangehaald worden als privacyreglement
verwerking gegevens kerkleden en treedt in werking op
...[datum]...
Het reglement is vastgesteld door het bestuur van ...
Dit model is nog niet vergeleken met wet- en regelgeving na 2008.