Privacywetgeving (AVG) kerken

Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) ingegaan. Als kerken is het goed zorgvuldig om te gaan met persoonsgegevens van gemeenteleden en waar nodig uw privacybeleid aan te scherpen. Steunpunt Kerkenwerk heeft de belangrijkste informatie verzameld.

Uitzondering voor kerken

Er geldt een uitzondering voor kerken binnen de AVG wetgeving, lees artikel 9, lid 2d. Dit artikel maakt een onderscheid tussen persoonsgegevens. De persoonsgegevens die vallen onder artikel 9 zijn de persoonsgegevens die binnen de eigen gemeente worden gebruikt. Dit zijn bijvoorbeeld:

• doopregistratie
• contactgegevens nieuwe en oude leden (ledenadministratie)
• adressen en verhuizingen

Voor deze persoonsgegevens is geen toestemming nodig. Het gebruik van deze persoonsgegevens valt namelijk binnen de gerechtvaardigde activiteiten van kerk-zijn.

7 stappen voor kerken

Stap 1: Inventariseer waar en welke persoonsgegevens u verzamelt binnen en buiten de gemeente.
Stap 2: Publiceer als kerkenraad een privacy statement op uw website. Gebruik: Model privacystatement gemeenten
Stap 3: Communiceer naar alle gemeenteleden over het privacy statement en hoe u zorgvuldig omgaat met de gegevens van gemeenteleden.
Stap 4: Check de beveiliging van uw (online) systemen. Ruim regelmatig oude bestanden op.
Stap 5: Evalueer jaarlijks het privacybeleid en -statement: doet u wat u hebt afgesproken?
Stap 6: Vraag altijd toestemming voor gebruik van foto’s op websites of social media.
Stap 7: Blijf op de hoogte. Lees onderstaande informatie en houd onze website in de gaten.

MEER INFORMATIE

Binnen eigen kerk

Het kerkelijk bureau verzamelt de persoonsgegevens. Meestal in een softwaresysteem. Gemeenteleden kunnen individueel bezwaar aantekenen tegen registratie van persoonsgegevens, maar er is niet vooraf toestemming nodig.

Persoonsgegevens mogen gedeeld met leden binnen de eigen gemeente. Denk bijvoorbeeld aan uitwisseling van adressen, vermelding van zieken (bijzonder persoonsgegeven, lees ook veelgestelde vragen) of relevantie informatie voor organisatoren van activiteiten in de kerk.

Een afgeschermde ledenpagina op het internet is een veilige en praktische optie voor het registeren en verzamelen van persoonsgegevens. Daarmee waarborgt u een zorgvuldig omgaan met persoonsgegevens.

Oplossingen voor het gebruik van persoonsgegevens binnen de kerkdiensten (ook online) zijn te lezen in dit document: Werkbare oplossingen. Of lees hieronder de instructies van KerkTV.

Voor ambtsdragers is er eventueel een geheimhoudingsverklaring te tekenen: Model geheimhoudingsverklaring

Daarnaast is geheimhouding ook verankerd in de kerkorde: C49.3 Generale regeling voor geheimhouding in de plaatselijke kerken

Buiten eigen kerk

Voor het verstrekken van persoonsgegevens buiten de eigen gemeente is een wettelijke basis nodig. Het gaat hier bijvoorbeeld om de persoonsgegevens in:

• nieuwsbrieven, kerkblaadjes (die te downloaden zijn op de website, ook naar niet-gemeenteleden verzonden worden)
• briefjes in de kerk
• openbare deel van de website
• openbare facebookpagina
• usb sticks
• openbare postvakjes
• gemeentegidsen, jaarboekjes (lees ook veelgestelde vragen)

Dit valt allemaal onder artikel 6 en 7 van de AVG. Dat betekent dat voor deze manieren van persoonsgegevens geldt dat deze alleen gepubliceerd mogen worden als daarvoor expliciet toestemming is van gemeenteleden.

Gegevens aan derden

Naast toestemming blijft de kerk verantwoordelijk voor persoonsgegevens die zij geeft aan “verwerkers” of derden. Een verwerker is een persoon of organisatie aan wie de verantwoordelijke, in dit geval de kerk, gegevensverwerking heeft uitbesteed. Bijvoorbeeld het personeelsadministratiekantoor of softwarebedrijf.

Wanneer u gebruik maakt van een softwarepakket controleer dan of het bedrijf ISO 27001 gecertificeerd is. Dit certificaat garandeert een onafhankelijke controle op de naleving van de nieuwe privacywetgeving. Is er geen ISO 27001 sluit dan een verwerkersovereenkomst.

Wet Meldplicht Datalekken

De wet meldplicht datalekken bepaalt dat er binnen 24 uur melding gemaakt moet worden bij inbreuk op persoonsgegevens van gevoelige aard met mogelijk ernstige gevolgen. Een inbreuk is een hack, technisch falen,  verlies of diefstal van een laptop waarop persoonsgegevens van de kerk zijn opgeslagen. Persoonsgegevens van gevoelige aard gaan o.a. over betalingsgegevens, verslavingen, werk- of relatieproblemen of gegevens die kunnen worden misbruikt voor (identiteits)fraude. Een andere reden voor melding is wanneer persoonsgegevens uitlekken die media gevoelig zijn.

Meer informatie over deze meldplicht vindt u bij de autoriteit persoonsgegevens.

Online kerkdiensten en privacy

Voor meer informatie over het uitzenden van kerkdiensten en privacywetgeving raden wij u contact op te nemen met uw provider. Hieronder richtlijnen van KerkTV:

1. Zorg voor (schriftelijke) onderbouwing waarin het belang van het uitzenden van kerkdiensten beargumenteerd is. Bijvoorbeeld in een privacy regelement. Leg uit waarom dit belang zwaarder weegt dan de privacy van individuele bezoekers van uw kerkdiensten.
2. Verklaar waarom het doel, bijvoorbeeld het vergroten van de betrokkenheid van gemeenteleden die niet meer zelf aanwezig kunnen zijn, niet op een andere manier kan worden gerealiseerd.
3. Uitzenden van kerkdiensten moet op integere wijze uitgevoerd worden. Kies de uit te zenden gebeurtenissen met zorg en gebruik de mogelijkheden om het kijken naar een uitzending te beperken door middel van een toegangscode.
4. U kan besluiten om alleen mensen op het liturgisch centrum herkenbaar in beeld te brengen. Een bepaald deel van de kerkzaal kan daarbij bewust buiten de reikwijdte van de camera’s vallen. Hou hiermee rekening bij de keuze van de camera positie(s).
5. Het moet duidelijk kenbaar gemaakt worden wanneer er op een bepaalde locatie gebruik gemaakt wordt van camera’s. Heimelijk cameratoezicht is bijvoorbeeld strafbaar gesteld in winkels en horecagelegenheden. Geef in dat kader met bordjes aan dat er gefilmd wordt.

Publicaties AVG en kerken

Veelgestelde vragen

1. Mogen kerken een jaarboek publiceren?
Het Centraal Interkerkelijk Overleg orgaan, die onder andere namens de GKv en NGK de kerken vertegenwoordigt naar de overheid, deed in janauri 2019 de volgende aanbeveling wat betreft jaarboeken:

“In een aantal van de CIO-lidkerken bestaat het gebruik van het uitgeven van jaarboeken. Hierover zijn verschillende vragen tot ons gekomen. In beginsel is het zo dat voor iedere uitgave in beginsel toestemming van het lid nodig is. Bij de beschrijving van functies met contactgegevens (bijvoorbeeld Dominee te Barneveld met de contactgegevens) kan de verspreiding worden gezien als onderdeel van de werkzaamheden.

Aanbevolen wordt ook om het jaarboek enkel in de eigen kring, bij voorkeur digitaal, uit te geven. In dat geval zijn er namelijk directe aanpassingen mogelijk als men geen toestemming wenst te geven of de toestemming intrekt. Ook dient in overweging genomen te worden dat er commercie is ontstaan rondom diverse doelgroepen én nu juist bij persoonsgegevens waarvan de religieuze overtuiging valt af te leiden, hier extra omzichtig mee omgegaan moet worden.

Kort samengevat: een kerkelijk jaarboek met persoonlijke informatie erin, in de boekhandel, is niet toegestaan en onwenselijk. Hierbij speelt ook mee, dat toestemming ingetrokken moet kunnen worden én als het in de handel is verschenen, de regie ook uit handen van de kerk is.”

2. Wat betekent de nieuwe privacy wetgeving (AVG) voor kerken?
De Algemene Verordening Gegevensbescherming (AVG), die ingaat per mei 2018, heeft als hoofddoel het beschermen van persoonsgegevens. Aanzienlijkste verandering is dat deze wetgeving een grotere verantwoordelijkheid legt bij de verwerkers van persoonsgegevens.

Kerken zijn verantwoordelijk voor en verwerkers van persoonsgegevens. Met name vanwege NAW gegevens voor kerklidmaatschappen. Daarbij werken zij ook met bijzondere persoonsgegevens, denk aan het opslaan van bij welke kerkgenootschap men hoort. Ook is er veel data van minderjarigen.

Omdat de AVG zich in eerste instantie richt op organisaties bracht het Centraal Interkerkelijk Overleg een notitie uit over de kerk-staat relatie. Meer informatie over de wettelijke kaders die voor kerken gelden vindt u hierin:

CIO Notitie AVG

3. Lopen wij als kerk risico wanneer we niks doen met de AVG?
Om in te schatten welke acties u dient te ondernemen is het ten eerste van belang dat u een risico inschatting maakt. Met welke binnenkerkelijke gegevens werkt u? Welke gegevens deelt u buiten de kerk en/of beveiligde web/cloud omgeving? Voor welke gegevens vraagt u wel/niet toestemming?

Verantwoordelijkheid voor de bescherming van persoonsgegevens ligt bij de kerkenraad. Het is hun taak stappen in gang te zetten om straks te voldoen aan de nieuwe wetgeving.

Er zijn hiervoor verschillende stappenplannen gepubliceerd. Deze zijn matig toegespitst op beleid en risico voor kerken. In de loop van dit voorjaar volgen toegespitstere publicaties.

Zie hierboven voor een overzicht van de meest recente stappenplannen en documenten.

4. Moeten wij een Functionaris Gegevensbescherming aanstellen?
Een Functionaris Gegevensbescherming (FG) moet u aanstellen als het bij de verwerker tot de kernbezigheden hoort om regelmatig, stelselmatig en grootschalig persoonsgegevens te verwerken. (Bron: Grip op de AVG, 2017)

Of deze richtlijn voor uw kerk geldt is afhankelijk van uw inschatting van deze drie genoemde voorwaarden. Voor kleine kerken geldt waarschijnlijk van niet. In ieder geval is de kerkenraad altijd verantwoordelijk voor de bescherming van persoonsgegevens. Deze zal dus een bewuste keuze moeten maken hoe u als gemeente omgaan met de verwerking en bescherming van persoonsgegevens van uw gemeenteleden.

In ieder geval is het goed om de redenering te documenteren waarom u besluit (nog) niet een FG aan te stellen, mocht de Autoriteit Persoonsgegevens aankloppen.

5. Wat wordt er landelijk georganiseerd voor de kerken?
Op dit moment wordt er vooral informatie en advies gegeven voor kerken hoe zij kunnen omgaan met de nieuwe privacywetgeving. Er wordt echter geen landelijk beleid gevormd of een landelijke functionaris gegevensbescherming aangesteld. Dit omdat de situatie per kerk verschillend is, en iedere kerk zelf keuzes moet maken hoe zij willen omgaan met de bescherming van persoonsgegevens. Wel kunt u gebruik maken van een model privacyverklaring dat is opgesteld door de Protestantse Kerk in Nederland. Deze kunt u aanpassen naar uw eigen situatie. Uiteraard betekent dit wel dat u alles wat u vastlegt in deze verklaring ook in de praktijk vorm moet geven in uw gemeente.

6. Gaat Steunpunt Kerkenwerk (SKW) een informatieavond organiseren over dit onderwerp?
Nee. Omdat dit onderwerp niet alleen gevolgen heeft voor de kerken die lid zijn van SKW zoeken wij de samenwerking met vergelijkbare instanties van andere denominaties om u van informatie te voorzien.

7. Mogen we zieken vermelden in de dienst of kerkblad? Is daar toestemming voor nodig?

In veel kerken is het gebruikelijk dat er in het kerkblad vermelding is van een zieke. En dat voorbede wordt gedaan in de dienst. Dit valt onder de gerechtvaardigde activiteiten van kerk-zijn. De gemeente doet er altijd goed aan om persoonlijke betrokkenheid te tonen door de zieke ervan op de hoogte te brengen of hij/zij in het kerkblad of in de voorbede genoemd wil worden.

Wat betreft toestemming, volgens de privacywetgeving valt vermelding van ziekte onder de bijzondere persoonsgegevens. En daar is in principe toestemming voor nodig. Omdat het meeleven echter een van de gerechtvaardigde activiteiten is van kerk-zijn, is er een onderscheid tussen binnen en buiten de gemeente. Vermelding binnen de gemeente mag. Voor het kerkblad is het van belang dat de gemeente kan garanderen dat het kerkblad alleen naar gemeenteleden gaat. Voor vermelding buiten de gemeente is altijd toestemming nodig. Dat betekent dat de zieke niet online, openbaar, op een website, openbare facebookpagina of via een online kerkdienst met naam genoemd mag worden.  Als iedereen op internet het kerkblad kan downloaden kunt u overwegen om toestemming te vragen.