Privacy en de kerk: Veelgestelde vragen over de nieuwe privacywetgeving AVG

Vanaf 25 mei 2018 moet iedere organisatie AVG-proof zijn. Want dan is in de in 2016 aangenomen EU-verordening rond privacywetgeving van kracht. Wat betekent deze nieuwe privacywetgeving voor kerken (en mensen die naar de kerk komen)? In dit artikel zet ik de belangrijkste zaken rond privacy en  de kerk op een rij. Plus een rij actiepunten.

 

Samenvatting Privacy en de kerk en de nieuwe privacywetgeving (AVG)

Dit is een lang artikel. Heb je nu weinig tijd, kom dan op een later moment terug om je verder te verdiepen. Zet deze pagina dan in de favorieten van je browser.

Dit is het in het kort. Kerk en privacybescherming gaat over:

• Persoonsgegevens verwerk je volgens de wet behoorlijk en zorgvuldig
• Alleen voor het uitdrukkelijke doel waarvoor de gegevens zijn verzameld
• Niet langer dan nodig worden bewaard
• Gegevens worden alleen toereikend en niet bovenmatig verwerkt.

Dat is nu al zo, en dat wordt nog belangrijker met de nieuwe privacywetgeving AVG. Dat gaat kerken ook aan. Vanaf 25 mei 2018 zijn de regels over privacy en kerken ingegaan.

Privacy wordt steeds belangrijker

Mensen vinden de bescherming van hun eigen gegevens steeds belangrijker worden. Doordat we veel online actief zijn – van een e-mailtje versturen tot bankzaken – laten we overal een steeds grotere digitale voetafdruk achter. Of er ontstaan lekken of diefstal van persoonsgegevens.

Privacy in de kerk ook

Dat geeft steeds meer vragen van mensen hoe organisaties met persoonlijke gegevens omgaat. In de kerk zijn dat bijvoorbeeld privacyvragen als:

• Wie hebben er in de kerk toegang tot mijn gegevens?
• Mogen er foto’s van de uitvaart van mijn oma wel op de kerkwebsite worden gezet?
• Mag een kerk wel een kerkdienst livestreamen?
• Wie heeft mijn portretfoto op de kerkwebsite gezet?
• Mogen we zieken en overleden parochianen of gemeenteleden in het kerkblad vermelden?
• Mogen kerken adresbestanden van derden gebruiken? Of mogen ze adresbestanden delen met andere organisaties, zoals Kerk in Actie?
• Is het toegestaan namen aan een geestelijk verzorger door te geven, bijvoorbeeld als iemand in het ziekenhuis is opgenomen?
• Hoe lang worden mijn gegevens in de parochie of gemeente bewaard?
• Hoe veilig is de kerkwebsite, e-mail of (online) ledenadministraties?

Dit soort vragen krijg ik geregeld bij trainingen of adviestrajecten die ik geef. Ik hoor ze van pastores, parochiebestuurders en kerkrentmeesters, bijvoorbeeld.

Centrale begrippen bij privacybescherming

Privacybescherming is vastgelegd in de AVG. Centrale begrippen:

• Verwerking persoonsgegevens
  Dat is iedere handeling rond persoonsgegevens: verzamelen, vastleggen, ordenen, bewaren, uitwerken, wijzigen, opvragen, gebruiken, verstrekken, afschermen, uitwissen en vernietigen
• Betrokkene
  Dit is de eigenaar van zijn/haar persoonsgegevens
• Verantwoordelijke voor gegevensverwerking
  Dit is in dit artikel de kerk (die heeft zeggenschap, en bepaalt doel, middelen en kanalen)
• Bewerker
  Dit is de ‘derde’ die in opdracht van de kerk persoonsgegevens verwerkt. Bijv. de leverancier van een CRM-pakket.
• Recht van verzet
  De betrokkene mag inzien, wijzigen, klagen en (laten) verwijderen.

GDPR of AVG?

De General Data Protection Regulation (GDPR) heet in het Nederlands Algemene Verordening Gegevensbescherming (AVG). AVG en GDPR is dus hetzelfde: de Europese verordening die organisaties verplicht organisatorische en technische maatregelen te nemen om de privacy rond de verwerking van persoonsgegevens te waarborgen.

De GDPR is een Europese verordening. Een verordening heeft een algemene strekking en is rechtstreeks toepasselijk in elke lidstaat van de Europese Unie. Er wordt dus geen aparte Nederlandse wet van gemaakt, zoals bij een Europese richtlijn.

Oude wijn in nieuwe zakken?

De essentie van bestaande privacyregels blijven eigenlijk hetzelfde. We kennen immers grondrechten rond de persoonlijke levenssfeer. Er komen twee nieuwe rechten bij: het recht om je gegevens mee te nemen en het recht op vergetelheid.

Moeten ook kerken AVG-proof zijn?

Alle organisaties die persoonsgegevens verwerken moeten voldoen aan de AVG. Dus ook kerken. Maar de verordening gaat verder. Ook organisaties die in opdracht van de kerk gegevens verwerken krijgen met de AVG te maken.

Ergens is er niet veel nieuws onder de zon. De kerkorde in de protestantse kerk is bijvoorbeeld helder. Iedereen die met gegevens werkt heeft geheimhouding. Dat geldt voor iedereen in de kerk. Gegevens die je binnen de kerk deelt, mogen dus niet zomaar worden verspreid.  De AVG maakt dat algemeen.

De rooms-katholieke kerk heeft op 17 mei 2018 haar algemeen reglement aangepast aan de nieuwe AVG. Je vindt een linkje onderaan dit artikel.

Over welke gegevens hebben we het?

Er zijn heel veel persoonsgegevens. De meest bekende zijn: naam, adres en woonplaats. Daarnaast telefoonnummers en postcodes met huisnummers.
Maar ook: iemands IQ, e-mailadres, burgerservicenummer, pincode, bankrekeningnummer, IP-adres, vingerafdruk, iris, pasfoto, medische gegevens, kenteken, DNA, stem, geboortedatum, -plaats, doopdatum.

Gegevens als iemands ras, godsdienst, levensovertuiging, politieke voorkeur, gezondheid, seksuele leven, lidmaatschap van een vakbond of strafrechtelijk verleden worden ‘bijzondere persoonsgegevens’ genoemd.  Deze gegevens zijn door de wetgever extra beschermd. Daarom is de AVG zo relevant voor kerken.

Persoonsgegevens kunnen geschreven tekst zijn, maar ook in beeld of geluid zijn vastgelegd.

Kortom, alle informatie over een identificeerbare natuurlijke persoon. De informatie dient direct of indirect te kunnen leiden tot identificatie van iemand. (Wil je het precies weten, lees dan deze wettekst over de definitie van persoonsgegevens)

Dit is natuurlijk wel afgebakend. Want de politie of de Belastingdienst kan een persoon altijd wel identificeren. De wetgever heeft de definitie zo bedoeld dat de verantwoordelijke de aanvullende gegevens tot zijn beschikking moet kunnen hebben zonder al te veel moeite.

Persoonsgegevens zijn bijvoorbeeld niet de cijfers van postcodes in een database want die zijn niet herleidbaar tot een persoon. En dus geen persoonsgegevens. Zakelijke gegevens (KvK-nummer) zijn ook geen persoonsgegevens.

Wanneer mag een kerk persoonsgegevens verzamelen?

Er zijn 6 grondslagen om persoonsgegevens te verzamelen. Een kerk mag persoonsgegevens verzamelen:

• Als de gebruiker daarvoor toestemming geeft
• Als er een wettelijke verplichting is
• Als er vitale belangen zijn
• Als er een overeenkomst is gesloten
• Als er een algemeen
• Als er een gerechtvaardigd belang is.

 

Hoe moeten kerken met privacy en persoonsgegevens omgaan?

Zorgvuldig met oog voor de ‘eigenaar’ van de persoonsgegevens. Het verwerken van persoonsgegevens:

• moet op behoorlijke, rechtmatige en transparante manier worden verwerkt
• mag alleen voor een bepaald, uitdrukkelijk omschreven doel worden verwerkt
• mogen alleen die gegevens betreffen, noodzakelijk voor het doel waarvoor ze worden verwerkt
• moet correct en actueel gebeuren
• moet worden gestopt (of geanonimiseerd) als identificatie niet meer noodzakelijk is voor het doel
• moet worden beveiligd met technische en organisatorische maatregelen.

Je moet ook transparant zijn in wat je als kerk met persoonsgegevens doet.

TO DO: Schrijf een privacy statement of pas deze aan om de rechten van betrokkenen te waarborgen. 
TO DO: Schrijf een social media protocol
TO DO: Check het redactiestatuut van het kerkenblad rondom persoonsgegevens
TO DO: Publiceer deze documenten
TO DO: Denk aan een cookie statement

Alleen verzamelen waar je gegevens voor nodig hebt

Dit wordt Privacy by design genoemd. Het houdt in dat vanaf het begin dat je persoonsgegevens denkt nodig te hebben, je afvraagt of je ze nodig hebt, hoe je ze gebruikt en hoe je deze goed beschermd. Bijvoorbeeld vanaf het idee dat je een nieuwe website start, online donaties wilt ontvangen of nieuwe mailings opzet denk je na over de persoonsgegevens.

De AVG schrijft voor dat je gegevens alleen mag verzamelen voor het doel dat je nastreeft. Je mag de gegevens niet langer bewaren dan nodig.

Je mag dus ook geen overbodige gegevens verwerken. Denk aan:

• De locatie in een app registreren terwijl dat niet nodig is voor het doel
• Op de website het vakje ‘ja, ik wil de nieuwsbrief ontvangen’ niet vooraf aanvinken
• Voor nieuwe abonnees op de digitale nieuwsbrief alleen gegevens vragen die je daarvoor nodig hebt (naam en e-mailadres, maar geen geboortedatum of woonplaats). Nieuwsbriefabonnees een folder toesturen (dat mag dus niet)

TO DO: Controleer je bestaande werksystemen, publicaties en databanken

Moet ik daarvoor iemand aannemen?

De AVG gaat een puist werk geven. Want je moet als kerk kunnen aantonen dat je voldoet aan de verordening. Denk aan: toestemming, gegevens, rechten, beveiliging, afspraken met derden, minimalisatie van verwerkingen.

Zorgvuldigheid en transparantie zijn essentieel. Daarom is er een functionaris – betaald of niet betaald, dat maakt niet uit – die de bescherming van gegevens in de gaten houdt. Deze ‘Functionaris voor de gegevensbescherming’ (FG) houdt toezicht op de toepassing en naleving van de AVG. Een FG lijkt ook verplicht te zijn voor kerken, omdat zij bijzondere gegevens verzamelt over iemand geloofsovertuiging (denk aan doopbewijzen, inschrijvingen) (art 37 AVG) Zie deze functiebeschrijving op de website van de Autoriteit Persoonsgegevens.

Voor een lokale kerkgemeenschap is een FG voorhands niet verplicht. Je kunt bepleiten dat een lokale kerk niet op grote schaal persoonsgegevens verzamelt, beheert en verspreidt. Anders wordt het op classicaal of synodaal niveau (protestants) of op diocees niveau (katholiek). Daar kan wel gelden dat er sprake is van grootschalige verwerking van bijzondere persoonsgegevens.

De landelijke PKN laat via haar website weten:
“Gemeenten van de Protestantse Kerk in Nederland verwerken niet op grote schaal gegevens en hoeven daarom als gemeente geen functionaris gegevensbescherming aan te stellen. Als een gemeente besluit vrijwillig een functionaris gegevensbescherming (DPO’er) aan te stellen moet zij zich goed realiseren dat alle wettelijke regels rondom die aanstelling moeten worden gevolgd: het feit dat het gaat om een vrijwillige aanstelling of een vrijwilliger maakt niet uit. Het aanstellen van een functionaris privacy betekent trouwens ook niet dat deze functionaris verantwoordelijk is voor alle privacy-zaken in de gemeente: privacy is een verantwoordelijkheid van iedereen. Het is natuurlijk wel handig als iemand de zaken coördineert of de informatie naar iedereen doorstuurt. In dat kader is het goed denkbaar dat een persoon als coördinator rondom privacy-zaken optreedt.”

TO DO: Bepaal in je bestuur wat je doet met de functie van DPO, stel een functieprofiel op en werf een functionaris als je dat vrijwillig wil.

Kunnen kerken uitstel krijgen na mei 2018?

Nee.

De Europese verordening is aangenomen op 14 april 2016. Partijen die persoonsgegevens verwerken hebben twee jaar gekregen om aan de (nieuwe) regels uit de AVG te voldoen. Dat betekent dat je kerk op 25 mei 2018 AVG-compliant moet zijn.

Ach, kerken worden toch niet aangepakt…

Bij iedere verordening ligt de vraag voor: hoe kan dit worden gehandhaafd? Zeker een verordening zoals deze vele duizenden organisaties raakt. De verantwoordelijkheid is tweeledig: er is een wettelijke basis, en je hebt een morele verantwoordelijkheid naar de mensen voor en met wie je werkt. Als je denkt dat kerken niet worden aangepakt, zit er iets niet goed met je privacyverantwoordelijkheid. En er is uiteraard een bijbelse notie om zorgvuldig met elkaars gegevens om te gaan ;-).

Wat zijn de verschillen met de Wet bescherming persoonsgegevens (Wbp)?

De Wbp verdwijnt vanaf mei 2018, en de AVG is stricter dan de huidige wetgeving. Bijvoorbeeld:

• Je bent verplicht om bij te houden welke persoonsgegevens worden verwerkt, welke verwerkingen hebben plaatsgevonden, waarom (wettelijke basis) je die gegevens hebt
• Je bent verplicht duidelijk te kunnen maken welke beveiligingsmaatregelen je hebt genomen om diefstal, datalekken of ongeautoriseerde toegang en dergelijke te voorkomen.
• Met externe leveranciers moet je een verwerkersovereenkomst afsluiten waarin je afspraken maakt over de gegevensverwerking. Denk aan software, websites, mailsystemen, ledenadministraties.
• Als de kerk gebruik maak van profilering (geautomatiseerde besluitvorming) dan moet je je leden informeren
• Er moet in bepaalde gevallen een functionaris gegevensbescherming zijn.

Wat moeten we met onze leveranciers afspreken?

Hetzelfde als onder de Wbp.

Onder de Wbp was er de bewerkersovereenkomst. Onder de AVG is de letter b veranderd in een v: een verwerkersovereenkomst.

De kerk blijft verantwoordelijk voor het delen van persoonsgegevens die zij geeft aan bewerkers. Dit is een persoon of organisatie aan wie de verantwoordelijke, in dit geval de kerk, gegevensverwerking heeft uitbesteed. Bijvoorbeeld het personeelsadministratiekantoor of softwarebedrijf.

TO DO: Als je een softwarepakket gebruikt, check dan of de leverancier ISO 27001 gecertificeerd is. Dit certificaat garandeert een onafhankelijke controle op de naleving van de nieuwe privacywetgeving

Er zijn enkele verplichte onderdelen bijgekomen in de AVG die nog niet in de Wbp stonden. Je moet overeenkomen:

• Wat het doel van de verwerking is
• Het soort persoonsgegevens dat wordt verwerkt
• Welke beveiligingsmaatregelen worden genomen
• Dat de leverancier meewerkt aan audits
• Dat gegevens worden vernietigt na afloop van de verwerking.

Heb je nog geen verwerkersovereenkomsten? Dan is de komst van de AVG een mooie aanleiding dit wel te (gaan) doen.

TO DO: Controleer je overeenkomsten met derden die persoonsgegevens van jouw kerk (mede)beheren of monitoren.

 

Certificering?

ISO-norm? Certificering?

De AVG stimuleert in zekere zin certificering. Er is geen expliciete verwijzing naar de NEN-ISO richtlijnen, maar de AVG geeft nadrukkelijk aan dat certificering een belangrijk hulpmiddel kan zijn voor het aantoonbaar maken van de eisen en voorschriften. Ik noemde al de ISO-norm voor managementsystemen.

AVG-gecertificeerd bestaat overigens niet. Maar het zou mij niet verbazen als bedrijven dit als marketingmiddel gebruiken.

TIP: Vraag bij je toeleveranciers of zij ISO-gecertificeerd zijn, in lijn met de AVG.

Wat is een datalek?

Iedere vorm van verlies, misbruik of diefstal van persoonsgegevens kan een datalek zijn. Voorbeelden:

• Een e-mail verzonden naar verkeerde adressen
• Een zakelijke smartphone met foto’s en adressen die je hebt verloren (de privetelefoon, bedoeld voor uitsluitend persoonlijke doeleinden weer niet)
• Een oude computer die je met niet gewiste harde schijf wegdoet
• Illegaal verkregen adresbestanden
• Een USB-stick die je hebt verloren
• Een inbraak op je website waar persoonsgegevens te vinden
• Geslaagde cyberaanvallen
• Een gestolen uitgeprinte lijst met adressen
• Uitgelekte computerbestanden
• Het stelen van een laptop uit een afgesloten kluisje

Dit is dus al praktijk en verandert niet met de komst van de AVG.

Als je als kerk een datalek constateert, dan hoef je dat alleen te melden als het om een ‘ernstig’ datalek gaat. Dat moet dus gemeld worden aan de AP en snel ook: binnen 72 uur. Op de site van de AP is een standaardformulier te vinden waarmee dat kan. Die vind je ook verderop in dit artikel.

Onder omstandigheden moet je het ook melden aan de mensen van wie persoonsgegevens gelekt zijn. Het begrip ‘ernstig’ is niet afgebakend. Gaat het om een ‘kwalitatief’ ernstig lek: er is echt gevoelige informatie kwijt? Of gaat het om een ‘kwantitatief’ ernstig lek: is er veel tegelijk op straat komen te liggen?

Wat moet ik doen als de privacy van kerkleden op straat ligt?

Daarover gaat de Datalekkenwet. Die is er al sinds 1 januari 2016. Als er inbreuk op de beveiliging is, dan moet een kerk dan melden. Denk aan diefstal, misbruik of verlies van persoonsgegevens. Een datalek dus.

De meldplicht is bedoeld om persoonsgegevens beter te kunnen beschermen. Een kerk is verplicht om zorgvuldig en specifiek om te gaan met de gegevens met wie zij in contact staat.

Als er een datalek is, moet je dat in bepaalde gevallen melden aan de betrokkene en aan de Autoriteit Persoonsgegevens.

Als het waarschijnlijk is dat het lek ongunstige gevolgen heeft voor de betrokkenen, moet je hen ook informeren. Je laat dan weten:

• de aard van de inbreuk
• de organisaties waar meer informatie over de inbreuk kan worden verkregen
• de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken.

Moet ik alles melden bij de AP?

Nee.

Uitsluitend lekken ten gevolge van inbreuken op de beveiliging meld je. Ook bij gebrekkige beveiliging. En als de inbreuk tot een ‘aanmerkelijke kans’ op ‘nadelige gevolgen’ leidt. Wat dat is, is per situatie anders.

De melding aan de toezichthouder omvat in elk geval:

• de aard van de inbreuk
• de instanties waar meer informatie over de inbreuk kan worden verkregen
• de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken
• een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens
• de maatregelen die de kerk heeft genomen of voorstelt te nemen om deze gevolgen te verhelpen.

Waar moet ik een datalek melden?

Dat doe je rechtstreeks hier bij het meldloket.

Note:
Vrij opmerkelijk stelt de RK Kerk dat een lek eerst binnen 24 uur moet worden voorgelegd aan de Bisschop en pas daarna aan de Autoriteit Persoonsgegevens. Artikel 19 van het nieuwe Algemeen Reglement Bescherming Persoonsgegevens parochies kun je lezen:

1. Indien er een incident in de beveiliging van Persoonsgegevens heeft plaatsgevonden, meldt de
   Parochie dit incident binnen 24 uur aan de Bisschop teneinde de ernst van het incident vast te stellen.
2. Als sprake is van een incident waarvan door de Bisschop is vastgesteld dat er een aanzienlijke
   kans op ernstige nadelige gevolgen voor de bescherming van Persoonsgegevens is, vindt binnen 72
   uur door de Parochie een melding van het incident bij de Autoriteit Persoonsgegevens plaats, zoals
   bedoeld in artikel 33, lid 1 Algemene Verordening Gegevensbescherming.

Mijn inziens is de volgorde van het melden discutabel. Een parochie is verwerkingsverantwoordelijke, de bisschop niet. Dat een parochie een datalek meldt aan het bisdom kan gerechtvaardigd zijn, maar niet per se in deze volgorde.

TO DO: Stel een protocol datalekken op.

Krijg ik een boete (van 20 miljoen)?

De Autoriteit Persoonsgegevens (AP) is de privacywaakhond in Nederland. Zij houdt toezicht op de naleving van de datalekkenwet en de AVG.

Je riskeert een boete van 500.000 euro per overtreding bij een datalek die je niet meldt. Als je het datalek niet meldt aan de AP én aan de betrokkenen dan kan je ook twee overtredingen krijgen. Daarbovenop kun je een boete krijgen voor slechte beveiliging of een gebrekkige administratie.

Als je niet voldoet aan de AVG, kun je ook een boete krijgen. Dat kan fors oplopen tot maximaal 4 procent van de wereldwijde jaaromzet van de organisatie, of 20 miljoen euro. Dat is de hoogste categorie boetes.

Is de overtreding geen boete waard, dan kun je een vermaning of berisping krijgen.

Dit zijn dreigende en enorme bedragen. Let op dat de AVG risicogebaseerd is, en dat de genoemde bedragen maximaal zijn. Er zijn dus ook kleinere boetes denkbaar.

In de Guideline Administratieve Boetes is uitgewerkt hoe de toezichthouders omgaan met administratieve boetes. Leidraad is dat een boete doeltreffend, evenredig en afschrikwekkend is:

“De aard van de inbreuk, maar ook “de omvang, het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade”, zijn indicatief voor de ernst van de inbreuk. Indien verscheidene inbreuken samen in een bepaald geval zijn gepleegd, kan de toezichthoudende autoriteit de administratieve geldboeten toepassen op een
niveau dat doeltreffend, evenredig en afschrikkend is binnen de grenzen van de zwaarste inbreuk.”

Een boete van 10/20 miljoen wordt dus niet zomaar uitgedeeld. Dat moet er bijv. herhaaldelijk een bevel van de toezichthouder niet zijn opgevolgd. En het moet een zeer ernstige kwestie zijn.

 

Hoe komt een kerk eigenlijk aan persoonsgegevens?

De Stichting Interkerkelijke Ledenadministratie (SILA) regelt dat. SILA krijgt gegevens van de burgerlijke gemeente en geeft die vaak geautomatiseerd door aan de kerk.
Dat mogen ze niet als iemand geen lid (meer) bent van de kerk of als iemand bezwaar hebt gemaakt tegen registratie.

In het regeerakkoord 2017-2021 is opgenomen dat er een overgangsregeling komt voor het delen van je persoonsgegevens uit de BRP aan SILA. Wie nu geregistreerd staat, kan kiezen voor een opt-out.

Mag de kerk persoonsgegevens aan iedereen verstrekken?

Nee. De kerk mag wel persoonsgegevens doorgeven aan anderen die tot de kerk behoren. Voorbeelden:

• een lijst met namen en telefoonnummers van deelnemers aan een bijbelcursus
• doopgegevens aan het bisdom
• persoonsgegevens aan vrijwilligers die kerkelijke activiteiten organiseren
• de kerk mag persoonsgegevens aan mensen of organisaties buiten de kerk alleen verstrekken als er een wettelijke basis is. Of als iemand daarvoor toestemming heeft gegeven.

Mag een kerk persoonsgegevens op de kerkwebsite plaatsen?

Dat mag met de juiste grondslag, bijvoorbeeld met toestemming of gerechtvaardigd belang. Je kunt vervolgens kijken hoe je het op een website zet: openbaar of afgeschermd. Zoals achter een inlog of afgeschermd voor zoekmachines. Niet iedereen kan dan deze gegevens zien: alleen leden met toegang voor een bepaalde periode.

Je bent verplicht persoonsgegevens (van de kerkwebsite) te corrigeren of te verwijderen als iemand dat kenbaar maakt. Iedereen heeft het recht persoonsgegevens in te zien, te corrigeren of te (laten) verwijderen. (Maak contact hierover makkelijk).

Dit betekent dat je moet opletten als:

• bij herkenbare of herleidbare foto’s van mensen bij vieringen of andere bijeenkomsten
• bij herkenbare of herleidbare video’s van mensen bij van vieringen of andere bijeenkomsten
• van welke aard ook

Als je voor de grondslag toestemming kiest, kun je deze reguleren door:

• vooraf aan te kondigen dat er foto’s/video’s worden gemaakt (en als mensen dat niet willen, dit kenbaar maken aan de foto/videograaf)
• toestemming te vragen, door kerkleden algemene formulieren in te laten vullen wanneer ze wel of geen foto’s/video’s toestaan (dit is gebruikelijk in het primair onderwijs bij foto’s van kinderen als kwetsbare groep)
• een correctiemogelijkheid aan te bieden in kerkblad, website en andere publicaties.

En mailings zoals nieuwsbrieven? Mogen we die nog wel versturen?

Ja hoor. Dat mag.

Vanzelfsprekend mag je met je ‘eigen’ parochianen en gemeenteleden digitaal contact onderhouden. Dat lijkt mij een gerechtvaardigd belang. Het verwerven van e-mailadressen met het doel mensen te informeren mag. Maar let op bij meerdere nieuwsbrieven. Als iemand zich voor de ene lijst heeft opgegeven, dan is het niet zonder meer toegestaan voor een andere mailing nieuwsbrieven te versturen. Let op als je e-mailadressen van derden hebt gekregen. Check of zij wel toestemming hebben gekregen om de gegevens te delen met jou zodat jij ze gaat e-mailen.

Let ook met welke software je mailings verstuurd. Doe je dat via een mailprogramma zoals Outlook, let dan op dat geen enkele ontvanger alle mailadressen te zien krijgt (dat is een datalek). Als je mailings verstuurd via clouddiensten (zoals Gmail, Mailchimp, La Posta dan is het nodig een verwerkersovereenkomst te sluiten met die leverancier(s)).

Deze checklist kan je helpen:

• Zorg ervoor dat iemand bewust een actie moet uitvoeren om akkoord te gaan met het opslaan en verwerken van data. Bijvoorbeeld een ja-vinkje.
• Zorg ervoor dat er een privacyverklaring is waarin je in Jip en Janneke taal uitleg welke data je opslaat en waarom
• Zorg ervoor dat afmelden voor een nieuwsbrief of mailing heel makkelijk gaat
• Zorg ervoor dat je inzage kunt geven in de gegevens die je van iemand hebt geregistreerd
• Zorg ervoor dat iemand eenvoudig zijn/haar voorkeuren kan wijzigen.

 

En ons lokale kerk- of parochieblad. Of de zondagsbrief? Moet dat door Europa nu op de schop?

Op de schop? Nee. Als je ervan bewust bent wat persoonsgegevens zijn, screen dan je lijfblad. Zorg ervoor dat voor zondagsbrieven, kerkenbladen of parochiebladen de juiste grondslag toepast. Erger je niet als mensen nee zeggen.

Denk aan:

• verjaardagen met adressen
• overlijden met adressen
• bloemengroeten of lijstjes met namen en telefoonnummers van zieken en hulpbehoevigen
• lijsten van mensen die financiële of andere steun krijge

TIP: Let op dat journalisten een abonnement kunnen hebben op je kerkblad. Mogen zij deze informatie krijgen? (bron: PKN)

Mogen we online kerkdiensten vanwege de privacy uitzenden?

De AVG verbiedt streaming diensten niet.

Als je toestemming hebt van de kerkleden om kerkdiensten uit te zenden dan is er niets aan de hand. Ook als een predikant/voorganger ermee instemt (denk aan het auteursrecht op preken!) kan je gewoon uitzenden. Niet veel nieuws onder de zon.

Let echter wel op waar, hoe en hoe lang je de kerkdienst uitzendt, en met welke rechten je nog meer te maken hebt (denk aan auteursrechten en naburige rechten).

Onder de oude Wet bescherming persoonsgegevens was dit al en dat blijft zo. Het is goed met deze nieuwe wet te herijken hoe je omgaat met online kerkdiensten en privacy. Het gaat om gerechtvaardigd belangen en duidelijke communicatie. De nieuwe AVG biedt een goed moment om de balans tussen gemeenschap-zijn, pastorale aandacht enerzijds en privacy anderszijds te herijken.

Overweeg wel onder meer de volgende zaken:

• Worden er persoonsgegevens gedeeld (noemen van overledenen, bijvoorbeeld)?
• Hoe lang wil je de online kerkdienst beschikbaar houden?
• Als je een streaming kerkdienst opslaat, hoe wordt deze verspreid?
• Hoe publiek beschikbaar is de kerkdienst? Voor de hele wereld, of achter een slotje voor alleen de kerkleden?
  Publiekelijk betekent beperkingen in wat je uitzendt, achter een slotje vraagt ook de nodige aandacht.
• Is er een verwerkersovereenkomst met de streaming leverancier?
• Betrek andere rechten (denk aan auteurs- en naburige rechten, bijv. over het uitzenden van muziek)
• Let erop wanneer camera’s aan en uit staan (denk aan cameratoezicht omwille van de veiligheid)
• Denk na over je cameraposities. Een ronddraaiende camera die mensen individueel herkenbaar in beeld brengt, vraagt een andere benadering dan vaste camera’s die het kerkgebouw of alleen de voorganger in beeld brengt. Markeer eventueel de ruimte die je in beeld brengt (bijvoorbeeld alleen de eerste rij kerkbanken).
• Communiceer dat er opnames worden gemaakt en bij welke cameraposities mensen herkenbaar in beeld zijn. (bijv. camera’s alleen op het priesterkoor richten)

TIP: Zet de microfoon uit tijdens afkondigingen
TIP: Als er privacybezwaren zijn, bewaar de uitzending dan niet (maar verwijder de stream na bijv. 1 uur)
TIP: Overleg met je leverancier om te horen wat hun ervaringen met andere kerken zijn
TIP: Zend al je kerkdiensten achter een slotje uit, en componeer een aantal voorbeelddiensten voor buitenstaanders, en zet die op je website.
TIP: Plak een duidelijke sticker en instructie op je kerkdeuren dat je geluids- of beeldopnamen maakt van diensten.
TIP:  Neem rouw- en trouwdiensten alleen op verzoek op, en zendt ze niet uit.

Pffff. Dat is een hoop. Kun je het even samenvatten?

Denk bij privacy in de kerk aan:

• Welke data wil ik hebben?
• Voor welk doel gebruik ik het?
• Waar en hoe sla ik het op?
• Is dat veilig?
• Kan iemand makkelijk zijn/haar persoonsgegevens opvragen, wijzigen en verwijderen?
• Is iedereen op de hoogte?

Neem het serieus.

Wat moeten we nu doen?

In dit artikel heb ik een kleine, niet uitputtende, to do lijst opgesomd. Die herhaal ik voor het gemak (dan hoef je niet weer omhoog te scrollen):

• Controleer je bestaande publicaties en databanken (een privacy audit)
• Schrijf een privacyverklaring die AVG-proof is (daar is deze handige gratis tool voor).
• Schrijf een social media protocol (vraag ons om je te helpen)
• Check het redactiestatuut van het kerkenblad rondom persoonsgegevens (vraag ons om je te helpen)
• Publiceer deze documenten (online)
• Denk aan een cookie statement (als onderdeel van je privacyverklaring)
• Stel in je bestuur een functieprofiel op en werf een functionaris als je dat nodig acht
• Als je een softwarepakket gebruikt, check dan of de leverancier ISO 27001 gecertificeerd is. Dit certificaat garandeert een onafhankelijke controle op de naleving van de nieuwe privacywetgeving
• Stel een protocol datalekken op
• Zorg dat je privacybeleid en je protocollen bekend worden en blijven in je gemeenschap: communiceer!

Verwijzingen

Er komt steeds meer informatie online beschikbaar. Enkele verwijzingen:

• Als je de checklist uit dit artikel onvoldoende vindt, download deze checklist op Kerkrentmeester.nl
• Kijk hier om een privacyverklaring te maken
• Datenschutz und Melderecht der katholischen Kirche 2006
• Download deze handige checklist van de Church of England (PDF)
• Data protection requirements for churches and christian organisations (Partnership UK)
• Website van de PKN met info over privacy informatie
• Algemeen Reglement Bescherming Persoonsgegevens Parochies (versie 2018)

 

Bronnen en disclaimer

In dit artikel heb ik gebruik gemaakt van diverse bronnen, waaronder mijn juridische oud-docent en vermaarde privacyjurist Alexander Singewald, de websites Privacy.nl, Autoriteit Persoonsgegevens, Communicatierijk.nl, Eur-Lex, Wikipedia. Fouten nadrukkelijk voorbehouden. Aanpassingen en uitbreidingen mogelijk later. Reageer gerust als je iets mist.