Privacy in de kerk
Vanaf 25 mei 2018 moet iedere organisatie binnen de Europese Unie voldoen aan de nieuwe privacywetgeving, die is opgenomen in de Algemene Verordening Gegevensbescherming. In Nederland is de Autoriteit Persoonsgegevens belast met de handhaving van de wet.
Let op updates: aan deze pagina zal steeds meer informatie worden toegevoegd. Als u zich aanmeldt voor de nieuwsbrief van de Protestantse Kerk wordt u van updates van deze pagina op de hoogte gehouden. De pagina is voor het laatst aangepast op 16 april 2018.
Gelden deze regels ook voor kerken?
Ook kerkgenootschappen vallen onder de Algemene Verordening Gegevensbescherming (AVG). De Protestantse Kerk in Nederland wil bewust en zorgvuldig omgaan met persoonsgegevens en de privacy van haar leden en bezoekers. Daarom is het belangrijk dat eenieder die binnen de kerk met persoonsgegevens te maken heeft zorgt dat hij/zij zich aan de geldende regelgeving houdt.
Wanneer zijn deze regels van toepassing?
Van het verwerken van persoonsgegevens is sprake wanneer je een handeling pleegt die betrekking heeft op een (te identificeren) persoon of personen. Het heeft dus niet alleen betrekking op namen en adressen, maar ook bijvoorbeeld op foto’s op de website waarop mensen herkenbaar in beeld zijn. Het heeft dus niet alleen maar te maken met het verstrekken van gegevens aan derden, het gaat ook om uw eigen handelen. Denk bijvoorbeeld aan:
…het sturen van een e-mail naar de gemeenteleden.
…het nemen van een foto van de predikant voor op de website.
…het sturen van een rekening voor de collectebonnen.
…het exporteren van gegevens uit de ledenadministratie.
…het maken van aantekeningen tijdens een gesprek die bedoeld zijn om in een dossier te worden opgenomen.
…het opnemen van verjaardagen in het kerkblad.
… publicatie van het kerkblad op de website
…uitzending van kerkdiensten (via radio of met camera’s)
…eventuele bewakingscamera’s op het kerkterrein
…het noemen van de zieken in de gemeente op een zondagsbrief.
…het lezen en bewaren van sollicitatiebrieven.
…het hebben van personeelsgegevens.
…en alle andere handelingen die met gegevens te maken hebben die tot een persoon te herleiden zijn.
Wat moeten gemeenten (en andere kerkelijke instellingen) doen onder de nieuwe wetgeving?
Stap 1: maak beleid en spreek erover
Privacy is van belang. Juist ook in de kerk waar mensen soms op hun kwetsbaarst zijn. Een goed privacybeleid zorgt ervoor dat de persoonsgegevens van iedereen gewaarborgd zijn, dat gegevens beveiligd worden en alleen worden gebruikt als dat in de kerk nodig is. De AVG laat alle ruimte voor kerken en organisaties om haar taak te vervullen en gebruik te maken van persoonsgegevens, zolang de waarborgen maar op zijn plaats zijn.
Spreek er dus over in uw gemeente (of classis, of stichting, etc). Omschrijf uw plaatselijke situatie zo duidelijk en concreet mogelijk.
Stap 2: het informeren van mensen en het privacy-statement
Iedereen die met de kerk te maken heeft moet weten wat er met zijn of haar gegevens gebeurt. Als u gebruik maakt van formulieren (zowel online als op papier) waar mensen hun gegevens achterlaten moeten mensen geïnformeerd worden over hoe er met hun privacy om wordt gegaan.
De dienstenorganisatie zal een model privacy-statement ter beschikking stellen dat u kunt gebruiken en aan dient te passen naar uw plaatselijke situatie. Het model zal op 1 mei voor u beschikbaar zijn (eerst was dit model voor medio maart voorzien, maar dit is vanwege omstandigheden niet haalbaar gebleken).
Stap 3: het bewaren van gegevens: maak beveiliging standaard en weet wat er gebeurt
Beveiliging moet standaard zijn. U moet weten wie welke gegevens heeft en waarom deze persoon de gegevens gebruikt. U moet er ook voor zorgen dat de informatie niet zomaar voor iedereen toegankelijk is: zorg voor een af te sluiten kast, zorg voor een afgesloten gedeelte op de website en maak geen gebruik van inlogcodes die meerdere mensen hebben. Gratis diensten als google drive of dropbox kunnen gebruikt worden, zolang maar helder is wie er toegang hebben tot de gegevens en de gegevens niet zomaar op straat komen te liggen.
Beveiliging betekent ook het verwijderen van oude bestanden. Als u bijvoorbeeld gegevens uit het ledenregistratiesysteem haalt en op uw computer downloadt, moet u die na gebruik weer verwijderen. Maar het gaat ook om het verwijderen van oud-leden die zijn verhuisd, vertrokken of overleden. Meer informatie over wanneer u gegevens dient te verwijderen kunt u bij de Autoriteit Persoonsgegevens vinden.
Stap 4: het delen van gegevens: alleen als het nodig is
De kerkorde is helder: iedereen die met gegevens werkt van de kerk is gehouden tot geheimhouding. Niemand hoeft daarvoor een formulier te ondertekenen, die regel is op iedereen van toepassing. Gegevens die u binnen de kerk deelt mogen dus niet (zomaar) doorgegeven worden. Alleen als het valt binnen de taak van de kerk en het nodig is, mag u de gegevens delen. De regels wanneer het delen van gegevens valt binnen de taak van de kerk staan in uw privacy-statement.
Als u de gegevens ergens anders voor wilt gebruiken dan binnen de taak van de kerk valt en in uw privacy-statement is te lezen, dan moet u expliciet toestemming vragen aan degene wiens gegevens u wilt gebruiken.
Stap 5: meld het als het fout gaat/meld datalekken
Soms gaat het mis. Misschien heeft u per ongeluk een deel van de ledenlijst naar een verkeerd e-mailadres gestuurd. Of is de zondagsbrief met de namen van zieke gemeenteleden toch op de website terecht gekomen. In zo’n geval moet u nagaan of u een melding moet maken. Lees meer over het melden van datalekken hier of neem contact op met de dienstenorganisatie als een situatie als deze zich voordoet voor nadere informatie.
Veelgestelde vragen
Rondom privacy en de kerk en de aankomende wetgeving zijn veel vragen. Hieronder staan de antwoorden op veelgestelde vragen. Deze lijst zal in de loop van de tijd worden aangevuld. Heeft u zelf vragen dan kunt u altijd contact opnemen met het landelijk dienstencentrum, via het team van ondersteuning gemeenten (info@protestantsekerk.nl; (030) 880 1880). Zij zullen u verder op weg helpen of doorverwijzen.
-
Wie is er verantwoordelijk voor de privacy in de kerk?
Iedereen heeft in de kerk een gedeelde verantwoordelijkheid voor de privacy. Het moet deel zijn van de bewustwording van eenieder die met persoonsgegevens uit de kerk werkt.
-
Wie is uiteindelijk aanspreekbaar/eindverantwoordelijk voor het privacybeleid? Stel: de scriba van de AK doet zelf niets op dit gebied, is dan de ledenadministrateur erop aanspreekbaar?
Privacy is een verantwoordelijkheid van iedereen. In principe is de gemeente of diaconie als rechtspersoon aanspreekbaar. Iedereen die vanuit een functie in de kerk persoonsgegevens verwerkt, moet dat veilig en vertrouwelijk doen. Als er toch iets fout gaat en er sprake is van een datalek, moet er melding worden gemaakt aan de Autoriteit Persoonsgegevens. Over hoe zo’n melding gaat en wanneer die nodig is zal vanuit de dienstenorganisatie nog meer informatie komen, maar ook op de website van de Autoriteit Persoonsgegevens staat rond dat onderwerp al veel informatie.
-
Wat zijn persoonsgegevens?
Alles wat te herleiden is direct of indirect tot een of meer personen, dus ook telefoonnummers, postcodes, of bepaalde persoonskenmerken.
-
Gegevens rondom geloofsovertuiging zijn bijzondere persoonsgegevens, mogen wij die wel gebruiken?
-
Hoe zit het met de ledenregistratie?
De ledenregistratie (LRP) voldoet aan de huidige eisen van de Wet Bescherming Persoonsgegevens. Wat betreft de techniek, de inhoud en de toegang van de gegevens kunt u ervan op aan dat het systeem veilig is en u niet meer gegevens kan invullen dan onder de wetgeving is toegestaan. U bent als plaatselijke gemeente zelf verantwoordelijk voor de ledenadministratie, waaronder het actueel houden van de gegevens, en het verlenen van toegang aan de juiste personen. Uit LRP kunt u diverse data exporteren (bijvoorbeeld naar Excel). Een dergelijke export is een volledige eigen plaatselijke verantwoordelijkheid en mag alleen als dit in overeenstemming met de wetgeving is. Wees hierin dus zeer terughoudend.
-
Hoe zit het met de website van de kerk?
De website van de kerk is een uitgelezen kans om iedereen te informeren over de gemeente. Echter, alle informatie die u op de website zet is openbaar. Let daarom goed op de privacy en zorg ervoor dat namen van mensen die geen functie hebben in de kerk niet op de website staan. Zorg er ook voor dat bijzondere persoonsgegevens zoals ziekte- en pastorale informatie niet op een openbaar gedeelte van de website staan. Gebruik zoveel mogelijk e-mailadressen die gebonden zijn aan een functie (bijvoorbeeld scriba@gemeentenaam.nl) in plaats van persoonlijke e-mailadressen. Let ook op foto’s op de website: zodra personen herkenbaar in beeld zijn worden zij beschermd door de privacy-wetgeving. Vraag de personen die herkenbaar in beeld zijn uitdrukkelijk om (schriftelijke) toestemming. Foto’s waar mensen niet herkenbaar in beeld zijn (bijvoorbeeld op de rug) mogen wel. Lees meer over een website voor de gemeente op deze pagina en lees ook de brochure Auteursrecht en naburige rechten in de kerk.
-
Mogen wij foto’s van gemeenteleden enz. op onze website plaatsen?
-
Hoe zit het met het kerkblad?
-
Hoe zit het met de zondagsbrief?
De gemeente is een gemeenschap die (onder andere) op zondag samenkomt in een viering. Vaak wordt er bij een viering ook een zondagsbrief uitgedeeld met informatie over de viering, informatie over zieken of jarigen in de gemeente en informatie over aankomende activiteiten met (e-mail)adressen van de organisatoren. Het delen van deze informatie kan een belangrijk onderdeel zijn van uw kerkelijke gemeente: aandacht voor elkaar is in de kerk belangrijk! Indien u deze gegevens in een zondagsbrief wilt opnemen, zorg er dan voor dat er zorgvuldig wordt omgegaan met de informatie die openbaar wordt gemaakt. Als u toestemming vraagt aan mensen om hun gegevens in de zondagsbrief neer te zetten, zorg er dan voor dat u dit schriftelijk (bijvoorbeeld via de e-mail) doet en dat mensen zich vrij voelen om ‘nee’ te zeggen.
-
Aan wie mogen we in de toekomst onze nieuwsbrief nog verzenden?
-
Hoe zit het met het online zetten van kerkdiensten (kerkomroep en via video)?
-
Wat moeten we doen als iemand zich bij ons meldt voor inzage?
-
Wie heeft binnen de kerk een geheimhoudingsplicht?
-
Mogen we nog een ledenlijst of gemeentegids met ledengegevens rondsturen aan gemeenteleden? (ook: moeten wij eerst toestemming vragen aan de leden voor het opnemen van hun gegevens in een lijst?)
-
Hoe moeten we omgaan met onze huidige adreslijst voor de nieuwsbrief?
-
Moet een gemeente een functionaris persoonsgegevens aanstellen?
-
Welke ondersteuning komt er vanuit de dienstenorganisatie, bijvoorbeeld qua modellen?
-
Waarom is het model privacy-statement nog niet beschikbaar?
-
Ik heb meer/andere vragen.
-
Tip: alleen om toestemming vragen als dat moet