Stichting NIRI

Europese Privacy (AVG)

Inleiding

Als Register-FG, CISO en CITSM schrijf ik (Tangali) dit artikel in grote lijnen voor moslims (individuen) en moslimorganisaties die de AVG op ernstige wijze overtreden—een overtreding die ook in de Heilige Qur’ān (onder andere hoofdstuk 24) als verboden is geopenbaard en in de Ahadīth-boeken (Sahīh al-Bukhārī en Sahīh Muslim, onder het hoofdstuk ‘Toestemming’) wordt genoemd.

De Autoriteit Persoonsgegevens (AP) en de Algemene Verordening Gegevensbescherming (AVG) stellen dat elke organisatie die persoonsgegevens verwerkt — dus ook een Dar-ul-Iftā, Jamia en madrassa — zich moet houden aan de regels van de AVG. Er is geen aparte regelgeving specifiek voor ze, dus vallen ze onder dezelfde verplichtingen als andere onderwijsinstellingen of stichtingen.

  • Moslims van wie persoonsgegevens zonder nadrukkelijke toestemming zijn verwerkt, kunnen hiervan melding maken bij de Autoriteit Persoonsgegevens (AP).
  • Ook als je donateur bent van een stichting of vereniging met ANBI-status en je geen jaarrekening met toelichting krijgt kan je dit melden aan Belastingdienst/afdeling ANBI.
  • Weet je niet hoe je dit moet doen? Neem dan contact met mij op — ik help je graag gratis. Je kunt je gratis aanmelden bij mij (Register-FG) door hierop te klikken.
  • Voor andere diensten (betaald) klikt u hierop voor meer informatie.
Wat betekent dit voor een moslimorganisatie?

Een Jamia verwerkt vaak:

  • Persoonsgegevens van kinderen (zoals naam, geboortedatum, contactgegevens van ouders)
  • Mogelijk ook bijzondere persoonsgegevens zoals religieuze overtuiging, dieet, geestelijke toetstand, en ziekte.

Algemene AVG-verplichtingen

  • Rechtmatige grondslag voor verwerking (bijvoorbeeld toestemming van ouders).
  • Transparantie: heldere privacyverklaring, ook begrijpelijk voor kinderen en ouders.
  • Dataminimalisatie: alleen gegevens verzamelen die echt nodig zijn.
  • Beveiliging: passende technische en organisatorische maatregelen.
  • Verwerkersovereenkomsten: met externe partijen zoals softwareleveranciers.
  • Rechten van betrokkenen: zoals inzage, correctie en verwijdering.

Extra aandacht voor kinderen

  • Toestemming moet schriftelijk worden gegeven door ouders/verzorgers als kinderen jonger zijn dan 16.
  • Communicatie over privacy moet kindvriendelijk zijn, dus ook kinderen moeten kunnen begrijpen wat hun rechten zijn.

Bijzondere persoonsgegevens

Religieuze overtuiging is een bijzondere categorie onder de AVG. Als een Jamia deze gegevens verwerkt (bijvoorbeeld door inschrijving of deelname aan religieuze lessen), dan gelden extra strenge eisen:

  • Alleen verwerken als het strikt noodzakelijk is.
  • Altijd goed onderbouwen en beveiligen met ISO27001/27002 norm.
Is een Functionas Gegevensbescherming (FG) verplicht?

Alleen als de Jamia en moskee:

  • Op grote schaal bijzondere persoonsgegevens verwerkt.
  • En dat doet als kernactiviteit.

Bij kleinschalige Jamia en madrassa is een FG meestal niet verplicht, maar het is wel verstandig om dit schriftelijk te onderbouwen. Je kunt de algemene uitleg van de AVG nalezen op de website van de Autoriteit Persoonsgegevens.

Beeld en video

Volgens de AVG mag jouw video en foto niet zomaar zonder jouw nadrukkelijke toestemming op social media worden geplaatst of in de klas worden gebruikt, zeker niet als het om persoonsgegevens gaat of als je herkenbaar bent in beeld of geluid.

Wat zegt de AVG over toestemming?

De AVG stelt dat persoonsgegevens alleen verwerkt mogen worden als er een geldige grondslag is. Een van die grondslagen is toestemming. Die toestemming moet:

  • Vrijelijk gegeven zijn (zonder druk)
  • Specifiek en geïnformeerd zijn (je moet weten waarvoor je toestemming geeft)
  • Ondubbelzinnig zijn (een duidelijke actieve handeling, zoals een mondelinge of schriftelijke verklaring, maar bij mondeling kan de gever van de toestemming ook naderhand zeggen geen toestemming gegeven te hebben). De overtreder zit dan met een groot probleem.

Zonder jouw toestemming is het dus niet toegestaan om jouw toespraak, video, foto en/of geheimschrift te publiceren als deze persoonsgegevens bevat of jou identificeert. Als jouw geheimschrift en andere persoonlijke gegevens zonder toestemming is gedeeld, dan is dat een onrechtmatige daad (verwerking). Dit kan leiden tot:

  • Reputatieschade voor de organisatie
  • Boetes door de Autoriteit Persoonsgegevens
  • Schadeclaims via civielrecht en strafrecht -> OM
Online publicatie zonder toestemming

Hiervoor dient aangifte bij de politie te worden gedaan en online gemeld te worden aan klachtmeldpunt van de AP. Lees verder >>>>

Als iemand jouw video of foto waarop je herkenbaar bent op social media, email of andere communicatiemiddel zet en jou daarbij beledigt, dan kan dat vallen onder:

  • Smaad of laster: het opzettelijk beschadigen van iemands reputatie
  • Belediging: het opzettelijk krenken van iemands eer of goede naam

Dat valt onder een heel ander juridisch kader strafrecht: namelijk het strafrecht en civiel recht rond smaad, laster of belediging, In Nederland kun je hiervan aangifte doen bij de politie. Daarnaast kun je civielrechtelijk stappen ondernemen, zoals het eisen van verwijdering van de content of schadevergoeding.

Strafrecht: Belediging, Smaad of Laster

Als persoon die actief lid is als bestuurder van een organisatie of raadslid Dar-ul-Iftā en  jou via die video opzettelijk beledigt of jouw reputatie schaadt, dan kan dat vallen onder:

  • Belediging (art. 266 Sr)
  • Smaad (art. 261 Sr)
  • Laster (art. 262 Sr)
  • Schending privacy rechten AVG en EVRM.

Dit zijn strafbare feiten. Je kunt hiervan aangifte doen bij de politie.

Wat kun je doen?

  • Vraag om verwijdering van de video of post via Facebook zelf
  • Dien een klacht in bij de Autoriteit Persoonsgegevens als je denkt dat jouw privacy is geschonden.
  • Overweeg juridische stappen als je reputatie is geschaad of je bent beledigd.
Wanneer is toestemming nodig?

Volgens de Autoriteit Persoonsgegevens:

  • Zodra iemand herkenbaar in beeld is, gaat het om persoonsgegevens.
  • Het publiceren van zo’n video of foto op een openbare plek zoals Facebook is een verwerking van persoonsgegevens.
  • Daarvoor is een geldige grondslag nodig, namelijk toestemming van de persoon die in beeld is.
Mag een moskee video-opnames maken?

Nee, een moskee mag jouw toespraak of foto niet zonder jouw toestemming op YouTube, sociale media of met derden delen als jij herkenbaar in beeld of geluid bent. Dat valt onder de regels van de AVG.

Waarom is toestemming nodig volgens de AVG?
  • Zodra iemand herkenbaar in beeld of geluid is, gaat het om persoonsgegevens.
  • Een organisatie, zoals een moskee, mag deze gegevens alleen verwerken (dus ook publiceren) als er een geldige grondslag is.
  • In de meeste gevallen is die grondslag toestemming van de betrokkene.
Moskee als organisatie

Een moskee valt onder de categorie openbaar organisatie, niet onder privégebruik. Dat betekent:

  • De uitzondering voor “persoonlijk of huishoudelijk gebruik” geldt niet.
  • Publicatie op platforms zoals YouTube of Facebook vereist dus expliciete toestemming van jou.
Delen met derden

Het delen van jouw video, foto of gevoelige informatie op schrift met andere partijen (bijvoorbeeld andere moskeeën, media of leden) is ook een vorm van verwerking van persoonsgegevens. Daarvoor is:

  • Toestemming nodig, óf
  • Een andere geldige grondslag, zoals een contractuele verplichting of gerechtvaardigd belang — maar dat laatste moet schriftelijk goed onderbouwd zijn en mag jouw privacy niet schenden.
Wat kun je doen?

Als jouw toespraak of foto zonder toestemming is gedeeld:

  • Vraag de moskee om de video te verwijderen
  • Dien een klacht in bij de Autoriteit Persoonsgegevens als je privacy is geschonden
  • Overweeg juridische stappen naar de rechter of OM via de politie als je reputatie is geschaad of je bent beledigd.

De grondslag voor het verwerken van persoonsgegevens — zoals het publiceren van een video of foto van jouw — is vastgelegd in Artikel 6 van de AVG. Dit artikel beschrijft de zes mogelijke rechtsgronden voor verwerking, waarvan toestemming er één is.

Wat zegt de AVG over Imam, Alīm, dominee, enz.?

Volgens AVG geldt het principe: “niet delen, tenzij”. Dat betekent dat een dominee, imam of andere religieuze ambtsdrager persoonsgegevens niet zomaar mag delen met derden, mondeling of schriftelijk, ze zijn ook vertrouwenspersoon. Als een dominee of imam vertrouwelijke informatie deelt die hem in vertrouwen is verteld, kan dat ernstige gevolgen hebben — zowel ethisch als juridisch. De AVG stelt duidelijke regels over het omgaan met persoonsgegevens, ook binnen religieuze instellingen.

Wat maakt iemand een vertrouwenspersoon?

Een vertrouwenspersoon is iemand bij wie je terecht kunt voor persoonlijke, gevoelige of moeilijke zaken, en die:

  • Luistert zonder oordeel.
  • Discreet omgaat met informatie (geheimhouding).
  • Ondersteuning biedt bij het zoeken naar oplossingen.
  • Veiligheid en vertrouwen uitstraalt.

Hier zijn de belangrijkste punten die van toepassing zijn:

Wettelijke grondslag vereist

Het delen van persoonsgegevens is een vorm van verwerking onder de AVG. Er moet op z’n minst één van de zes grondslagen aanwezig zijn: (1) Toestemming van de betrokkene, (2) Noodzaak voor de uitvoering van een overeenkomst, (3) Bescherming van vitale belangen, (4) Wettelijke verplichting, (5) Gerechtvaardigd belang en (6) Algemeen belang (Openbare Orde & Veiligheid).

Specifiek voor kerken en religieuze instellingen

Binnen moskeeën en kerken geldt een uitzondering onder artikel 9 lid 2d van de AVG:

  • Persoonsgegevens mogen binnen de eigen geloofsgemeente worden verwerkt zonder expliciete toestemming, zolang dit gebeurt in het kader van gerechtvaardigde activiteiten van de kerk.

Voorbeelden: ledenadministratie, doopregistratie, vermelding van zieken in het kerkblad.

Delen met derden buiten de gemeente vereist wél een wettelijke basis of toestemming.

Artikel 9 lid 2d van de AVG stelt een belangrijke uitzondering op het verbod om bijzondere persoonsgegevens te verwerken. Hier is de volledige tekst van lid 2d:

d) de verwerking wordt verricht door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrekt.

Wat betekent dit concreet?

  • Religieuze instellingen zoals kerken, moskeeën of geloofsgemeenschappen mogen bijzondere persoonsgegevens verwerken binnen hun eigen kring, bijvoorbeeld voor pastorale zorg of ledenadministratie.
  • Voorwaarde: de gegevens mogen niet gedeeld worden met derden buiten de organisatie, tenzij de betrokkene daar uitdrukkelijk toestemming voor geeft.
  • Er moeten passende waarborgen zijn, zoals geheimhouding, beveiliging en transparantie.
Artikel 6 AVG – Rechtmatigheid van verwerking

Volgens Artikel 6 lid 1 sub a van de AVG mag verwerking van persoonsgegevens alleen plaatsvinden als: “de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden.”

Dat betekent:

  • De toestemming moet vrijelijk gegeven, specifiek, geïnformeerd en ondubbelzinnig zijn.
  • De organisatie (zoals een moskee) moet kunnen aantonen dat jij toestemming hebt gegeven.
  • Zonder die toestemming is het niet toegestaan om jouw video te publiceren op YouTube, Facebook of andere platforms.

Let op: Als je herkenbaar in beeld of geluid bent, dan is het beeldmateriaal een persoonsgegeven. Publicatie zonder jouw toestemming is dan een schending van de AVG, tenzij een andere grondslag van toepassing is — wat bij een toespraak niet het geval is.

Als een raadslid van een organisatie jouw toespraak als privépersoon op Facebook plaatst zonder jouw nadrukkelijke toestemming, en daarbij ook nog beledigende uitlatingen doet, dan zijn er twee juridische kaders die van toepassing zijn:

Volgens de AVG is het uploaden van een video waarin jij herkenbaar bent een vorm van verwerking van persoonsgegevens. Dit mag alleen als er een geldige grondslag is, zoals:

  • Toestemming van jou (Artikel 6 lid 1 sub a AVG)
  • Een ander gerechtvaardigd belang — maar dat mag jouw rechten niet schenden.

Belangrijk: De uitzondering voor “persoonlijk of huishoudelijk gebruik” geldt niet als de video op een openbaar platform zoals Facebook wordt geplaatst. Dus: ook als het raadslid zegt dat hij dit “privé” doet, geldt de AVG wel degelijk zodra het publiek toegankelijk is.

Sinds januari 2025 is boete en toezicht aangescherpt

Sinds januari 2025 zijn de regels rondom de AVG aanzienlijk aangescherpt, zowel qua toezicht als boetebeleid omdat veel organisaties niet voldoen aan de Europese wetgeving. Hier zijn de belangrijkste veranderingen:

Strenger toezicht door de Autoriteit Persoonsgegevens (AP)

  • De AP voert intensiever controles uit, ook bij kleinere organisaties zoals stichtingen, verenigingen en zzp’ers.
  • Er wordt sneller opgetreden bij klachten of signalen van datalekken.
  • Organisaties moeten hun verwerkingsregisters, datalekkenregisters en verwerkersovereenkomsten op orde hebben en kunnen overleggen bij controle.

Aangescherpt boetebeleid

Alle organisaties die persoonsgegevens verzamelen en verwerken (gegevensverwerkers) dienen hun AVG-compliance (conform de AVG en ISO 27001) aan te tonen via het auditrapport van een onafhankelijke juridische auditor, Register-FG of NOREA-auditor, aangezien er nog geen officieel AVG-compliancecertificaat bestaat. Zo niet, dan volgt de boetebepaling.

Boetes kunnen oplopen tot:

  • €10 miljoen of 2% van de wereldwijde jaaromzet voor schendingen van verplichtingen zoals het melden van datalekken.
  • €20 miljoen of 4% van de wereldwijde jaaromzet voor schendingen van fundamentele privacyrechten.
  • De basisboete voor onrechtmatige verwerking is vastgesteld op €525.000, met een bandbreedte van €300.000 tot €750.000, afhankelijk van ernst, duur en verwijtbaarheid.
  • Sinds 2025 wordt de omzet van het bedrijf al aan het begin van de boeteberekening meegenomen, wat leidt tot hogere boetes voor grotere organisaties.
  • Er zijn nu drie categorieën voor ernst van overtreding: laag, midden en hoog, elk met een eigen startbedrag voor boetes.
Ter afsluiting aanvullende wetten

De AVG wordt in Nederland ondersteund door een aantal aanvullende wetten en richtlijnen die samen het juridische kader voor privacy en gegevensbescherming vormen. Hier zijn de belangrijkste aanpalende wetgevingen:

Uitvoeringswet AVG (UAVG)

  1. Deze wet vult de AVG aan op punten waar lidstaten zelf keuzes mogen maken.
  2. Regelt bijvoorbeeld uitzonderingen voor journalistieke doeleinden, verwerking van bijzondere persoonsgegevens en toezicht door de Autoriteit Persoonsgegevens.

Wet politiegegevens (Wpg)

  1. Specifiek voor de verwerking van persoonsgegevens door politie en andere opsporingsinstanties.
  2. Gebaseerd op de Europese Richtlijn gegevensbescherming bij rechtshandhaving (RGR).

Wet justitiële en strafvorderlijke gegevens (Wjsg)

Regelt de verwerking van persoonsgegevens binnen het justitiële domein, zoals door het Openbaar Ministerie en de rechtspraak.

Wet bescherming persoonsgegevens (Wbp) – vervallen

Deze wet is vervangen door de AVG per 25 mei 2018, maar sommige principes zijn overgenomen in de UAVG.

Telecommunicatiewet

  1. Bevat bepalingen over cookies, spam en elektronische communicatie.
  2. Wordt deels vervangen door de aankomende ePrivacy Verordening.

e-Privacy Verordening (toekomstig)

  1. Aanvulling op de AVG, specifiek gericht op privacy in elektronische communicatie.
  2. Nog niet van kracht, maar zal de Telecommunicatiewet deels vervangen.

Europees Verdrag voor de Rechten van de Mens (EVRM) en de AVG (Algemene Verordening Gegevensbescherming) zijn beide cruciaal voor de bescherming van privacy in Europa, maar ze hebben verschillende functies en juridische achtergronden.

Wat is het EVRM?

Het Europees Verdrag voor de Rechten van de Mens is een multilateraal verdrag dat in 1950 is opgesteld binnen de Raad van Europa. Het regelt fundamentele mensenrechten voor inwoners van de verdragsluitende staten.

  1. Artikel 8 EVRM: Beschermt het recht op eerbiediging van privéleven, familie- en gezinsleven, woning en correspondentie.
  2. Toezicht: Wordt gehandhaafd door het Europees Hof voor de Rechten van de Mens (EHRM).
  3. Directe werking: In Nederland heeft het EVRM directe werking, wat betekent dat rechters nationale wetgeving hieraan mogen toetsen.

Wat is de relatie tussen EVRM en AVG?

Hoewel de AVG een specifieke Europese wet is over gegevensbescherming, is ze juridisch en inhoudelijk verbonden met het bredere recht op privacy uit het EVRM.

AspectEVRMAVG
RechtsbronInternationaal verdrag (1950)EU-verordening (2016)
ToezichtEuropees Hof voor de Rechten van de MensNationale toezichthouders (zoals AP)
ReikwijdteBrede bescherming van privélevenSpecifieke bescherming van persoonsgegevens
ArtikelArtikel 8: recht op privacyArtikel 1 t/m 99: regels voor gegevensverwerking
RelatieAVG concretiseert het recht op privacy uit EVRMEVRM biedt grondslag en toetsingskader voor AVG

De AVG is dus een uitwerking van het recht op privacy zoals vastgelegd in artikel 8 EVRM. In juridische procedures wordt vaak naar beide verwezen, zeker als het gaat om de proportionaliteit en rechtmatigheid van gegevensverwerking.

Post Views: 536

© Shaykh Dr Mohamed Juzoef Tangali Qādri Noorani

Translate »
error: Content is protected !!