Selecteer een pagina
Generic selectors
Alleen exacte overeenkomsten
Zoeken in de titel
Inhoudelijk zoeken
Zoeken in posts
Zoeken op pagina's
Generic selectors
Alleen exacte overeenkomsten
Zoeken in de titel
Inhoudelijk zoeken
Zoeken in posts
Zoeken op pagina's

privacy (AVG)

priva­cy­wet­geving

Vanaf 25 mei 2018 moet iedere organi­satie binnen de Europese Unie voldoen aan de nieuwe priva­cy­wet­geving, die is opgenomen in de Algemene Veror­dening Gegevens­be­scherming. In Nederland is de Autoriteit Persoons­ge­gevens belast met de handhaving van de wet.

Let op updates: aan deze pagina wordt steeds meer infor­matie toege­voegd. De pagina is voor het laatst aangepast op 20 augustus 2018

gelden deze regels ook voor kerken?

Ook kerkge­noot­schappen vallen onder de Algemene Veror­dening Gegevens­be­scherming (AVG). De Chris­te­lijke Gerefor­meerde Kerken in Nederland willen bewust en zorgvuldig omgaan met persoons­ge­gevens en de privacy van de leden en bezoekers. Daarom is het belangrijk dat ieder die binnen de kerk met persoons­ge­gevens te maken heeft, zorgt dat hij of zij zich aan de geldende regel­geving houdt.

wanneer zijn deze regels van toepassing?

Van het verwerken van persoons­ge­gevens is sprake wanneer je een handeling pleegt die betrekking heeft op een (te identi­fi­ceren) persoon of personen. Niet alleen betrekking op namen en adressen, maar ook bijvoor­beeld op foto’s op de website waarop mensen herkenbaar in beeld zijn. De AVG heeft dus niet alleen maar te maken met het verstrekken van gegevens aan derden, het gaat ook om uw eigen handelen. Denk bijvoor­beeld aan:

  • het sturen van een e-mail naar de gemeen­te­leden;
  • het plaatsen van een foto van de predikant op de website;
  • het sturen van een rekening voor collec­te­bonnen;
  • het expor­teren van gegevens uit de leden­ad­mi­ni­stratie;
  • het maken van aante­ke­ningen tijdens een gesprek die bedoeld zijn om in een dossier te worden opgenomen;
  • het opnemen van verjaar­dagen in het kerkblad;
  • publi­catie van het kerkblad op de website;
  • uitzending van kerkdiensten (via radio of met camera’s);
  • eventuele bewakingscamera’s op het kerkterrein;
  • het noemen van de zieken in de gemeente in een zondags­brief;
  • het lezen en bewaren van solli­ci­ta­tie­brieven;
  • het hebben van perso­neels­ge­gevens;
  • en alle andere hande­lingen die met gegevens te maken hebben die tot een persoon te herleiden zijn.

stappenplan

Wat moeten gemeenten (en andere kerke­lijke instel­lingen) doen onder de nieuwe wetgeving?

stap 1: maak beleid en spreek erover

Privacy is van belang. Juist ook in de kerk waar mensen soms op hun kwets­baarst zijn. Een goed priva­cy­beleid zorgt ervoor dat de persoons­ge­gevens van iedereen gewaar­borgd zijn, dat gegevens beveiligd worden en alleen worden gebruikt als dat in de kerk nodig is. De AVG laat alle ruimte voor kerken en organi­saties om haar taak te vervullen en gebruik te maken van persoons­ge­gevens, zolang de waarborgen maar op zijn plaats zijn.

Spreek er dus over in uw gemeente (of classis, of deputaat­schap, etc.). Omschrijf uw plaat­se­lijke situatie zo duidelijk en concreet mogelijk.

stap 2: informeer de mensen, model privacy-statement

Iedereen die met de kerk te maken heeft, moet weten wat er met zijn of haar gegevens gebeurt. Als mensen online of op papier gebruik maken van formu­lieren waarop zij hun gegevens achter­laten moeten zij geïnfor­meerd worden over hoe er met hun privacy om wordt gegaan.

Het Diensten­bureau stelt een model privacy-statement ter beschikking dat u kunt gebruiken, aangepast aan uw plaat­se­lijke situatie. Zodra het verschijnt, maken we er ook melding van op de website.

stap 3: maak bevei­liging standaard en weet wat er gebeurt

Bevei­liging moet standaard zijn. U moet weten wie welke gegevens heeft en waarom deze persoon de gegevens gebruikt. U moet er ook voor zorgen dat de infor­matie niet zomaar voor iedereen toegan­kelijk is: zorg voor een af te sluiten kast, zorg voor een afgesloten gedeelte op de website en maak geen gebruik van inlogcodes die meerdere mensen hebben. Gratis diensten als google drive of dropbox kunnen gebruikt worden, zolang maar helder is wie er toegang hebben tot de gegevens en de gegevens niet zomaar op straat komen te liggen.

Bevei­liging betekent ook het verwij­deren van oude bestanden. Als u bijvoor­beeld gegevens uit het leden­re­gi­stra­tie­systeem haalt en op uw computer downloadt, moet u die na gebruik weer verwij­deren. Maar het gaat ook om het verwij­deren van oud-leden die zijn verhuisd, vertrokken of overleden. Meer infor­matie over wanneer u gegevens dient te verwij­deren kunt u bij de Autoriteit Persoons­ge­gevens vinden.

stap 4: deel gegevens alleen als het nodig is

De kerkorde (bijlage 43 (art. 79 en 80)) is helder: predi­kanten en andere kerke­lijke werkers zijn gehouden tot geheim­houding. Iedereen die met gegevens werkt van de kerk is gehouden tot geheim­houding. Gegevens die u binnen de kerk deelt, mogen dus niet (zomaar) doorge­geven worden. Alleen als het valt binnen de taak van de kerk en het nodig is, mag u de gegevens delen. De regels wanneer het delen van gegevens valt binnen de taak van de kerk staan in uw privacy-statement.

Als u de gegevens ergens anders voor wilt gebruiken dan binnen de taak van de kerk valt en in uw privacy-statement is te lezen, moet u expliciet toestemming vragen aan degene van wie u de gegevens wilt gebruiken.

stap 5: meld het als het fout gaat / meld datalekken

Soms gaat het mis. Misschien heeft u per ongeluk een deel van de leden­lijst naar een verkeerd e-mailadres gestuurd. Of is de zondags­brief met de namen van zieke gemeen­te­leden toch op de website terecht gekomen. In zo’n geval moet u nagaan of u een melding moet maken. Lees meer over het melden van datalekken hier: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/richtsnoeren_meldplicht_datalekken_0.pdf

of neem voor nadere infor­matie contact op met het Diensten­bureau als een derge­lijke situatie zich voordoet.

veelge­stelde vragen

Rondom privacy en de kerk en de aanko­mende wetgeving zijn veel vragen. Hieronder staan de antwoorden op een aantal ervan. Deze lijst wordt in de loop van de tijd aangevuld. Heeft u andere vragen, dan kunt u contact opnemen met het Diensten­bureau (info@cgk.nl; 0318 582350). Onze medewerkers helpen u verder op weg of verwijzen door.

wie is er verant­woor­delijk voor de privacy in de kerk?

Iedereen heeft in de kerk een gedeelde verant­woor­de­lijkheid voor de privacy. Het moet deel zijn van de bewust­wording van een ieder die met persoons­ge­gevens uit de kerk werkt.

wat zijn persoons­ge­gevens?

Alles wat te herleiden is direct of indirect tot een of meer personen, dus ook telefoon­nummers, postcodes, of bepaalde persoons­ken­merken.

gegevens rondom geloofs­over­tuiging zijn bijzondere persoons­ge­gevens, mogen wij die wel gebruiken?

Kerken mogen gegevens rondom geloofs­over­tuiging van hun leden registreren. Dit is expliciet in de wetgeving voorzien.

hoe zit het met de leden­ad­mi­ni­stratie?

U bent als plaat­se­lijke gemeente zelf verant­woor­delijk voor de leden­ad­mi­ni­stratie, waaronder het actueel houden van de gegevens, en het verlenen van toegang aan de juiste personen. Uit de leden­ad­mi­ni­stratie kunt u diverse data expor­teren (bijvoor­beeld naar Excel). Een derge­lijke export mag alleen als dit in overeen­stemming met de wetgeving is. Wees hierin dus zeer terug­houdend.

hoe zit het met de website van de kerk?

De website van de kerk is een uitge­lezen kans om iedereen te infor­meren over de gemeente. Echter, alle infor­matie die u op de website zet is openbaar. Let daarom goed op de privacy en zorg dat namen van mensen die geen functie hebben in de kerk niet op de website staan. Zorg er ook voor dat bijzondere persoons­ge­gevens zoals ziekte- en pastorale infor­matie niet op een openbaar gedeelte van de website staan. Gebruik zoveel mogelijk e-mailadressen die gebonden zijn aan een functie (bijvoor­beeld scriba@gemeentenaam.nl) in plaats van persoon­lijke e-mailadressen. Let ook op foto’s op de website: zodra personen herkenbaar in beeld zijn worden zij beschermd door de privacy-wetgeving. Vraag de personen die herkenbaar in beeld zijn op het openbare deel van de website uitdruk­kelijk om (schrif­te­lijke) toestemming. Foto’s waar mensen niet herkenbaar in beeld zijn (bijvoor­beeld op de rug) mogen wel.

hoe zit het met het kerkblad?

In het kerkblad staat naast openbare stukken over de kerkdiensten en andere activi­teiten van de kerk, vaak ook erg persoon­lijke infor­matie over gemeen­te­leden. Dat kan een verjaar­dags­lijstje met adressen (voor het verzenden van een verjaar­dags­kaartje) of een lijstje met zieken in de gemeente zijn. Zorg ervoor dat derge­lijke infor­matie alleen beschikbaar is voor leden van de gemeente. Zet uw kerkblad dus niet op een website als er derge­lijke infor­matie in voorkomt, maar selecteer de betref­fende kopij die op de website kan worden geplaatst. Let er ook op dat bijvoor­beeld lokale journa­listen geabon­neerd kunnen zijn op het kerkblad: denk na of deze groep ook echt toegang moet kunnen krijgen tot alle infor­matie in het kerkblad.

hoe zit het met de zondags­brief?

De gemeente is een gemeen­schap die (onder andere) op zondag samenkomt in een kerkdienst. Vaak wordt bij een kerkdienst ook een zondags­brief uitge­deeld met infor­matie over de dienst, infor­matie over zieken of jarigen in de gemeente en infor­matie over aanko­mende activi­teiten met (e-mail)adressen van de organi­sa­toren. Het delen van deze infor­matie kan een belangrijk onderdeel zijn van uw kerke­lijke gemeente: aandacht voor elkaar is in de kerk belangrijk! Indien u deze gegevens in een zondags­brief wilt opnemen, zorg er dan voor dat er zorgvuldig wordt omgegaan met de infor­matie die openbaar wordt gemaakt. Als u toestemming vraagt aan mensen om hun gegevens in de zondags­brief neer te zetten, zorg er dan voor dat u dit schrif­telijk (bijvoor­beeld via de e-mail) doet en dat mensen zich vrij voelen om ‘nee’ te zeggen.

hoe zit het met het online zetten van kerkdiensten (kerkomroep en via video)?

Rondom het online zetten van kerkdiensten spelen niet alleen vragen van privacy, maar ook bijvoor­beeld van auteurs­recht. In de brochure Auteurs­recht en naburige rechten in de kerk van de PKN vindt u infor­matie over dit onderwerp. www.protestantsekerk.nl/download/CAwdEAwUUkNKXg==&inline=0

hoe zit het met recht op inzage, correctie en verwij­dering?

Iedereen mag aan een organi­satie vragen of, en zo ja, welke gegevens deze organi­satie van deze persoon heeft. Er mag alleen gevraagd worden naar gegevens van iemand zelf, niet naar gegevens van iemand anders. Wat u moet doen en hoe een dergelijk inzage­verzoek werkt, leest u op de website van de Autoriteit Persoons­ge­gevens www.autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacyrechten/recht-op-inzage

moeten wij een Functi­o­naris Gegevens­be­scherming aanstellen?

Een Functi­o­naris Gegevens­be­scherming (FG) moet u aanstellen als het bij de verwerker tot de kernbe­zig­heden hoort om regel­matig, stelsel­matig en groot­schalig persoons­ge­gevens te verwerken. Of deze richtlijn voor uw kerk geldt is afhan­kelijk van uw inschatting van deze drie genoemde voorwaarden. Voor kleine kerken geldt dit waarschijnlijk niet.

In ieder geval is het goed om de redenering te documen­teren waarom u besluit (nog) niet een FG aan te stellen, mocht de Autoriteit Persoons­ge­gevens aankloppen.

mogen wij foto's van gemeen­te­leden enz. op onze website plaatsen?

Als u op het openbare deel van de website foto’s plaatst en de mensen die op de foto staan herkend kunnen worden, moet u vooraf toestemming vragen. Die toestemming moet u uitdruk­kelijk vragen en iemand moet vrij zijn om nee te zeggen. Let op: vragen of u foto’s mag maken is iets anders dan vragen of u ze op de website mag zetten. U zult dus (zeker als het gaat om foto’s die niet afgeschermd staan) selectief moeten zijn in welke foto’s u plaatst. Vraag aan de mensen die herkenbaar op de foto staan schrif­te­lijke toestemming. Dat moet zeker als het om kinderen gaat. Als u het verzoek krijgt een foto te verwij­deren, moet u daaraan meewerken. U mag zonder toestemming foto’s publi­ceren waar mensen niet herkenbaar op staan, bijvoor­beeld als alleen ruggen van mensen te zien zijn of mensen ‘wegvallen’ in een groep van mensen.

let op: vraag alleen om toestemming als dat moet

U kunt voor het gebruiken en verwerken van persoons­ge­gevens gebruik maken van toestemming als grondslag. Onder de AVG zijn er aan toestemming echter strengere regels verbonden dan voorheen: de toestemming moet vrij en expliciet zijn gegeven en u moet kunnen bewijzen dat de toestemming gegeven is (en dat u de gegevens hebt gebruikt voor het vooraf - specifiek - afgesproken doel waarvoor de toestemming is gegeven). Daarnaast mag iemand altijd zijn toestemming weer intrekken. En als u eenmaal heeft gekozen om ‘toestemming’ als grondslag te gebruiken, dan kunt u niet meer terug­vallen op een andere grondslag (zoals bijvoor­beeld ‘gerecht­vaardigd belang’). Wees dus terug­houdend in het vragen van toestemming en doe dat alleen als het niet anders kan (bijvoor­beeld bij het publi­ceren van foto’s op de openbare website van de kerk).

is er een voorbeeld privacy statement voor onze lokale kerk?

Zeker! Dat kunt u hier downloaden (Word-bestand) en verder aanvullen.

Print Friendly, PDF & Email