Privacywet (AVG)

Gelden deze regels ook voor kerken?

Ook kerkgenootschappen vallen onder de Algemene Verordening Gegevensbescherming (AVG). De Protestantse Kerk in Nederland wil bewust en zorgvuldig omgaan met persoonsgegevens en de privacy van haar leden en bezoekers. Daarom is het belangrijk dat eenieder die binnen de kerk met persoonsgegevens te maken heeft zorgt dat hij/zij zich aan de geldende regelgeving houdt.

Wanneer zijn deze regels van toepassing?

Van het verwerken van persoonsgegevens is sprake wanneer je een handeling pleegt die betrekking heeft op een (te identificeren) persoon of personen. Het heeft dus niet alleen betrekking op namen en adressen, maar ook bijvoorbeeld op foto-s op de website waarop mensen herkenbaar in beeld zijn. Het heeft dus niet alleen maar te maken met het verstrekken van gegevens aan derden, het gaat ook om uw eigen handelen. Denk bijvoorbeeld aan: …het sturen van een e-mail naar de gemeenteleden. …het nemen van een foto van de predikant voor op de website. …het sturen van een rekening voor de collectebonnen. …het exporteren van gegevens uit de ledenadministratie. …het maken van aantekeningen tijdens een gesprek die bedoeld zijn om in een dossier te worden opgenomen. …het opnemen van verjaardagen in het kerkblad. … publicatie van het kerkblad op de website …uitzending van kerkdiensten (via radio of met camera-s) …eventuele bewakingscamera-s op het kerkterrein …het noemen van de zieken in de gemeente op een zondagsbrief. …het lezen en bewaren van sollicitatiebrieven. …het hebben van personeelsgegevens. …en alle andere handelingen die met gegevens te maken hebben die tot een persoon te herleiden zijn.

Wat moeten gemeenten (en andere kerkelijke instellingen) doen onder de nieuwe wetgeving?

Stap 1: maak beleid en spreek erover Privacy is van belang. Juist ook in de kerk waar mensen soms op hun kwetsbaarst zijn. Een goed privacybeleid zorgt ervoor dat de persoonsgegevens van iedereen gewaarborgd zijn, dat gegevens beveiligd worden en alleen worden gebruikt als dat in de kerk nodig is. De AVG laat alle ruimte voor kerken en organisaties om haar taak te vervullen en gebruik te maken van persoonsgegevens, zolang de waarborgen maar op zijn plaats zijn.
Spreek er dus over in uw gemeente (of classis, of stichting, etc). Omschrijf uw plaatselijke situatie zo duidelijk en concreet mogelijk.

Stap 2: het informeren van mensen en het privacystatement Iedereen die met de kerk te maken heeft moet weten wat er met zijn of haar gegevens gebeurt. Als u gebruik maakt van formulieren (zowel online als op papier) waar mensen hun gegevens achterlaten moeten mensen geïnformeerd worden over hoe er met hun privacy om wordt gegaan.
De dienstenorganisatie heeft een model-privacystatement ter beschikking gesteld dat u kunt gebruiken en aan dient te passen naar uw plaatselijke situatie. U vindt dit model onder “documenten”.

Stap 3: het bewaren van gegevens: maak beveiliging standaard en weet wat er gebeurt Beveiliging moet standaard zijn. U moet weten wie welke gegevens heeft en waarom deze persoon de gegevens gebruikt. U moet er ook voor zorgen dat de informatie niet zomaar voor iedereen toegankelijk is: zorg voor een af te sluiten kast, zorg voor een afgesloten gedeelte op de website en maak geen gebruik van inlogcodes die meerdere mensen hebben. Gratis diensten als google drive of dropbox kunnen gebruikt worden, zolang maar helder is wie er toegang hebben tot de gegevens en de gegevens niet zomaar op straat komen te liggen.
Beveiliging betekent ook het verwijderen van oude bestanden. Als u bijvoorbeeld gegevens uit het ledenregistratiesysteem haalt en op uw computer downloadt, moet u die na gebruik weer verwijderen. Maar het gaat ook om het verwijderen van oud-leden die zijn verhuisd, vertrokken of overleden. Meer informatie over wanneer u gegevens dient te verwijderen kunt u bij de Autoriteit Persoonsgegevens vinden.

Stap 4: het delen van gegevens: alleen als het nodig is De kerkorde is helder: iedereen die met gegevens werkt van de kerk is gehouden tot geheimhouding. Niemand hoeft daarvoor een formulier te ondertekenen, die regel is op iedereen van toepassing. Gegevens die u binnen de kerk deelt mogen dus niet (zomaar) doorgegeven worden. Alleen als het valt binnen de taak van de kerk en het nodig is, mag u de gegevens delen. De regels wanneer het delen van gegevens valt binnen de taak van de kerk staan in uw privacystatement.
Als u de gegevens ergens anders voor wilt gebruiken dan binnen de taak van de kerk valt en in uw privacystatement is te lezen, dan moet u expliciet toestemming vragen aan degene wiens gegevens u wilt gebruiken.

Stap 5: meld het als het fout gaat/meld datalekken Soms gaat het mis. Misschien heeft u per ongeluk een deel van de ledenlijst naar een verkeerd e-mailadres gestuurd. Of is de zondagsbrief met de namen van zieke gemeenteleden toch op de website terecht gekomen. In een dergelijk geval moet u nagaan of u een melding moet maken. Lees meer over het melden van datalekken hier of neem contact op met de dienstenorganisatie als een situatie als deze zich voordoet voor nadere informatie.