Privacywetgeving ook voor kerken
Let op: deze pagina is voor het laatst aangepast op 16 april 2019.
Ook kerkgenootschappen vallen onder de Algemene Verordening Gegevensbescherming (AVG). De Christelijke Gereformeerde Kerken in Nederland willen bewust en zorgvuldig omgaan met persoonsgegevens en de privacy van leden en bezoekers. Daarom is het belangrijk dat ieder die binnen de kerk met persoonsgegevens te maken heeft, zorgt dat hij of zij zich aan de geldende regelgeving houdt.
Verwerken van persoonsgegevens
Van het verwerken van persoonsgegevens is – in juridische termen – sprake wanneer je een handeling pleegt die betrekking heeft op een (te identificeren) persoon of personen.
Het gaat om namen en adressen, maar bijvoorbeeld ook om foto’s op de website, waarop mensen herkenbaar in beeld zijn. De AVG heeft niet alleen te maken met het verstrekken van gegevens aan derden, het gaat ook om uw eigen handelen. Bijvoorbeeld:
- het sturen van een e-mail naar gemeenteleden;
- het plaatsen van een foto van de predikant op de website;
- het sturen van een rekening voor collectebonnen;
- het exporteren van gegevens uit de ledenadministratie;
- het maken van aantekeningen tijdens een gesprek, die bedoeld zijn om in een dossier te worden opgenomen;
- het opnemen van verjaardagen in het kerkblad;
- publicatie van het kerkblad op de website;
- uitzending van kerkdiensten (via radio of met camera’s);
- eventuele bewakingscamera’s op het kerkterrein;
- het noemen van de zieken in de gemeente in een zondagsbrief;
- het lezen en bewaren van sollicitatiebrieven;
- het bezit van personeelsgegevens;
- en alles wat u verder doet met gegevens die tot een persoon te herleiden zijn.
Stappenplan kerk en privacywet
Wat moeten gemeenten (en andere kerkelijke instellingen) doen onder de Algemene Verordening Gegevensbescherming (AVG)?
Stap 1: maak beleid en spreek erover
Privacy is van belang. Juist ook in de kerk waar mensen soms op hun kwetsbaarst zijn. Een goed privacybeleid zorgt ervoor dat de persoonsgegevens van iedereen gewaarborgd zijn, dat gegevens beveiligd worden en alleen worden gebruikt als dat in de kerk nodig is. De AVG laat alle ruimte voor kerken en organisaties om haar taak te vervullen en gebruik te maken van persoonsgegevens, zolang de waarborgen maar op zijn plaats zijn.
Spreek er dus over in uw gemeente (of classis, of deputaatschap, etc.). Omschrijf uw plaatselijke situatie zo duidelijk en concreet mogelijk.
Stap 2: informeer de mensen, model privacystatement
Iedereen die met de kerk te maken heeft, moet weten wat er met zijn of haar gegevens gebeurt. Als mensen online of op papier gebruik maken van formulieren waarop zij hun gegevens achterlaten, moeten zij geïnformeerd worden over hoe er met hun privacy om wordt gegaan.
Het Dienstenbureau heeft een model privacyverklaring ter beschikking gesteld. Dat kunt u gebruiken, aangepast aan uw plaatselijke situatie. U vindt het model hieronder bij de veelgestelde vragen.
Stap 3: maak beveiliging standaard en weet wat er gebeurt
Beveiliging moet standaard zijn. U moet weten wie welke gegevens heeft en waarom deze persoon de gegevens gebruikt. U moet er ook voor zorgen dat de informatie niet zomaar voor iedereen toegankelijk is: zorg voor een af te sluiten kast, zorg voor een afgesloten gedeelte op de website en maak geen gebruik van inlogcodes die meerdere mensen hebben. Gratis diensten als google drive of dropbox kunnen gebruikt worden, zolang maar helder is wie er toegang hebben tot de gegevens en de gegevens niet zomaar op straat komen te liggen.
Beveiliging betekent ook het verwijderen van oude bestanden. Als u bijvoorbeeld gegevens uit het ledenregistratiesysteem haalt en op uw computer downloadt, moet u die na gebruik weer verwijderen. Maar het gaat ook om het verwijderen van oud-leden die zijn verhuisd, vertrokken of overleden. Meer informatie over wanneer u gegevens dient te verwijderen vindt u bij de Autoriteit Persoonsgegevens.
Stap 4: deel gegevens alleen als het nodig is
De kerkorde (bijlage 43 (art. 79 en 80)) is helder: predikanten en andere kerkelijk werkers zijn gehouden tot geheimhouding. Iedereen die met gegevens werkt van de kerk is gehouden tot geheimhouding. Gegevens die u binnen de kerk deelt, mogen dus niet (zomaar) doorgegeven worden. Alleen als het valt binnen de taak van de kerk en het nodig is, mag u de gegevens delen. De regels over wanneer het delen van gegevens valt binnen de taak van de kerk staan in uw privacy-statement.
Als u de gegevens ergens anders voor wilt gebruiken dan binnen de taak van de kerk valt en in uw privacy-statement is te lezen, moet u expliciet toestemming vragen aan degene van wie u de gegevens wilt gebruiken.
Stap 5: meld het als het fout gaat, meld datalekken
Soms gaat het mis. Misschien heeft u per ongeluk een deel van de ledenlijst naar een verkeerd e-mailadres gestuurd. Of is de zondagsbrief met de namen van zieke gemeenteleden toch op de website terecht gekomen. In zo’n geval moet u nagaan of u een melding moet maken. Lees meer over het melden van datalekken op: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/beveiliging/acties-bij-datalekken?qa=datalek
of neem voor nadere informatie contact op met het Dienstenbureau als een dergelijke situatie zich voordoet.
Veelgestelde vragen over de AVG
Alles wat te herleiden is – direct of indirect – tot een of meer personen, dus ook telefoonnummers, postcodes, of bepaalde persoonskenmerken.
Iedereen heeft in de kerk een gedeelde verantwoordelijkheid voor de privacy. Ieder die met persoonsgegevens uit de kerk werkt moet zich daarvan bewust zijn.
Een functionaris gegevensbescherming (FG) moet u aanstellen als het voor de verwerker een kernbezigheid is om regelmatig, stelselmatig en grootschalig persoonsgegevens te verwerken. Of deze richtlijn voor uw kerk geldt, is afhankelijk van uw inschatting van deze drie voorwaarden. Voor kleine kerken geldt dit waarschijnlijk niet.
In ieder geval is het goed om de redenering te documenteren waarom u besluit (nog) niet een functionaris gegevensbescherming aan te stellen, mocht de Autoriteit Persoonsgegevens aankloppen.
Kerken mogen gegevens rondom geloofsovertuiging van hun leden registreren. Dit is expliciet in de wetgeving voorzien.
De website van de kerk is een uitgelezen kans om iedereen te informeren over de gemeente. Echter, alle informatie op de website is openbaar. Let daarom goed op de privacy en zorg dat namen van mensen die geen functie hebben in de kerk niet op de website staan. Zorg er ook voor dat bijzondere persoonsgegevens, zoals ziekte en pastorale informatie, niet op een openbaar gedeelte van de website staan. Gebruik zoveel mogelijk e-mailadressen die gebonden zijn aan een functie (bijvoorbeeld scriba@gemeentenaam.nl) in plaats van persoonlijke e-mailadressen. Let ook op foto’s op de website: zodra personen herkenbaar in beeld zijn worden zij beschermd door de privacywetgeving. Vraag de personen die herkenbaar in beeld zijn op het openbare deel van de website uitdrukkelijk om (schriftelijke) toestemming. Foto’s waar mensen niet herkenbaar in beeld zijn (bijvoorbeeld op de rug) mogen wel.
Als u op het openbare deel van de website foto’s plaatst en de mensen daarop herkend kunnen worden, moet u vooraf toestemming vragen. Die toestemming moet u uitdrukkelijk vragen en iemand moet zich vrij voelen om nee te zeggen. Let op: vragen of u foto’s mag maken is iets anders dan vragen of u ze op de website mag zetten. U zult dus (zeker als het gaat om foto’s die niet afgeschermd staan) selectief moeten zijn in welke u plaatst. Vraag aan de mensen die herkenbaar op de foto staan schriftelijke toestemming. Dat moet zeker als het om kinderen gaat. Als u het verzoek krijgt een foto te verwijderen, moet u daaraan meewerken. U mag zonder toestemming foto’s publiceren waar mensen niet herkenbaar op staan, bijvoorbeeld als alleen ruggen van mensen te zien zijn of mensen ‘wegvallen’ in een groep.
In het kerkblad staat naast openbare stukken over de kerkdiensten en andere activiteiten van de kerk, vaak ook persoonlijke informatie over gemeenteleden. Dat kan een verjaardagslijstje met adressen zijn (voor het verzenden van een verjaardagskaartje), of een lijstje met zieken in de gemeente. Zorg ervoor dat dergelijke informatie alleen beschikbaar is voor leden van de gemeente. Zet uw kerkblad dus niet op een website als er dergelijke informatie in voorkomt, maar selecteer de kopij die wel op de website kan worden geplaatst. Let er ook op dat bijvoorbeeld lokale journalisten geabonneerd kunnen zijn op het kerkblad: denk na of deze groep ook echt toegang moet hebben tot alle informatie in het kerkblad.
De gemeente is een gemeenschap die (onder andere) op zondag samenkomt in een kerkdienst. Vaak wordt bij een kerkdienst ook een zondagsbrief uitgedeeld met informatie over de dienst, informatie over zieken of jarigen in de gemeente en informatie over aankomende activiteiten met (e-mail)adressen van de organisatoren. Het delen van deze informatie kan een belangrijk onderdeel zijn van uw kerkelijke gemeente: aandacht voor elkaar is in de kerk belangrijk! Indien u deze gegevens in een zondagsbrief wilt opnemen, zorg er dan voor dat er zorgvuldig wordt omgegaan met de informatie die openbaar wordt gemaakt. Als u toestemming vraagt aan mensen om hun gegevens in de zondagsbrief neer te zetten, zorg er dan voor dat u dit schriftelijk (bijvoorbeeld via de e-mail) doet en dat mensen zich vrij voelen om ‘nee’ te zeggen.
U bent als plaatselijke gemeente zelf verantwoordelijk voor de ledenadministratie, waaronder het actueel houden van de gegevens, en het verlenen van toegang aan de juiste personen. Uit de ledenadministratie kunt u diverse gegevens exporteren (bijvoorbeeld naar Excel). Een dergelijke export mag alleen als dit in overeenstemming met de wetgeving is. Wees hierin dus zeer terughoudend.
Rond het online zetten van kerkdiensten spelen niet alleen vragen van privacy, maar ook bijvoorbeeld van auteursrecht. In de brochure Auteursrecht en naburige rechten in de kerk van de PKN vindt u informatie over dit onderwerp.
Als een kerkdienst wordt uitgezonden, zal men aandacht aan de privacy van betrokkenen moeten geven.
Download hier de pdf met werkbare oplossingen voor preken en online uitzenden en streamen van kerkdiensten.
Voor iedere uitgave is in beginsel toestemming van het lid nodig. Bij de beschrijving van functies met contactgegevens (bijvoorbeeld dominee te Barneveld met de contactgegevens) kan de verspreiding worden gezien als onderdeel van de werkzaamheden.
Aanbevolen wordt om het jaarboek enkel in de eigen kring, bij voorkeur digitaal, uit te geven. In dat geval zijn er namelijk directe aanpassingen mogelijk als men geen toestemming wenst te geven of de toestemming intrekt. Ook dient in overweging genomen te worden dat er commercie is ontstaan rondom diverse doelgroepen én we met persoonsgegevens waarvan de religieuze overtuiging valt af te leiden, extra voorzichtig moeten omgaan.
Samengevat: een kerkelijk jaarboek met persoonlijke informatie in de boekhandel is niet toegestaan en onwenselijk. Hierbij speelt ook mee, dat toestemming ingetrokken moet kunnen worden én dat als het boek in de handel is verschenen, de regie ook uit handen van de kerk is.
Iedereen mag aan een organisatie vragen of – en zo ja, welke – deze organisatie van hem of haar gegevens heeft. Er mag alleen gevraagd worden naar gegevens van iemand zelf, niet naar gegevens van iemand anders. Wat u moet doen en hoe een dergelijk inzageverzoek werkt, leest u op de website van de Autoriteit Persoonsgegevens
Zeker! U kunt hier een voorbeeld van een privacyverklaring downloaden. Dit Word-document kunt u zelf verder aanvullen.
Richtlijnen voor archiefbeheer en privacy staan op de website van deputaten kerkelijke archieven.
U kunt voor het gebruiken en verwerken van persoonsgegevens gebruik maken van toestemming als grondslag. Onder de AVG zijn aan toestemming echter strengere regels verbonden dan voorheen: de toestemming moet vrij en expliciet zijn gegeven en u moet kunnen bewijzen dat de toestemming gegeven is (en dat u de gegevens hebt gebruikt voor het vooraf – specifiek – afgesproken doel waarvoor de toestemming is gegeven). Daarnaast mag iemand altijd zijn toestemming weer intrekken. En als u eenmaal heeft gekozen om ‘toestemming’ als grondslag te gebruiken, dan kunt u niet meer terugvallen op een andere grondslag (zoals bijvoorbeeld ‘gerechtvaardigd belang’). Wees dus terughoudend in het vragen van toestemming en doe dat alleen als het niet anders kan (bijvoorbeeld bij het publiceren van foto’s op de openbare website van de kerk).