Ook kerkgenootschappen vallen onder de Algemene Verordening Gegevensbescherming (AVG), de Europese privacywetgeving die door de Nederlandse overheid wordt gehandhaafd. De Protestantse Kerk in Nederland wil bewust en zorgvuldig omgaan met persoonsgegevens en de privacy van haar leden en bezoekers.
Om gemeenten te helpen bij het naleven van deze wettelijke verplichting, biedt de dienstenorganisatie van de Protestantse Kerk in Nederland praktische ondersteuning en hulpmiddelen. Het is belangrijk dat iedereen die binnen de kerk met persoonsgegevens te maken heeft, ervoor zorgt dat men zich aan de geldende overheidsregelgeving houdt.
De onderwerpen op deze pagina:
- Gesprek in de kerkenraad
- Het privacystatement opstellen
- Omgaan met datalekken
- Rechten van gemeenteleden
- Bewaartermijnen
- Verwerkersovereenkomsten
- Livestream en privacy
- Het kerkblad en privacy
- Nieuwsbrief en AVG
- Gegevens zieke noemen
Gesprek in de kerkenraad
De eerste stap is het voeren van een gesprek in de kerkenraad over beleid en privacy. De gesprekshandleiding voor dit gesprek is bedoeld als intern document en bevat een checklist met acties die de gemeente/kerkenraad ten minste moet doen. Eén van de belangrijkste acties is het publiceren van het privacy-statement.
Het privacystatement opstellen
Door het invullen van het model-privacystatement kunnen kerkenraden nagaan op welke grondslagen zij gegevens verwerken en of er nog nadere acties nodig zijn. Het privacystatement is bedoeld om kerkleden en externen te informeren hoe de gemeente met de gegevens omgaat en is een extern document dat gepubliceerd wordt.
Het model privacystatement is een belangrijk middel voor een kerkenraad om na te gaan welke gegevens op welke manier worden verwerkt en wat daar de wettelijke en kerkordelijke grondslagen voor zijn. De kerkenraad dient de groene vlakken uit het model-privacystatement in te vullen voordat het gepubliceerd wordt. Dit kan door het privacystatement online aan te passen, maar ook door het uit te printen, in te vullen en vervolgens in te scannen. Het privacystatement moet gepubliceerd worden op de website van de gemeente, gedeeld worden met gemeenteleden en er moet een kopie in de kerkelijke gebouwen worden gelegd.
Omgaan met datalekken
Als de gemeente onverhoopt persoonsgegevens kwijtraakt, of als er niet uitgesloten kan worden dat een onbevoegd persoon gebruik heeft gemaakt van persoonsgegevens, kan het zijn dat de gemeente een datalekmelding moet doen bij de Autoriteit Persoonsgegevens en eventueel de betrokken personen. Het stappenplan datalekken beschrijft in welke gevallen een melding gedaan moet worden.
Rechten van gemeenteleden
Personen van wie een gemeente persoonsgegevens verwerkt hebben diverse rechten onder de nieuwe wetgeving. Het overzicht van rechten van gemeenteleden en anderen beschrijft wat hun rechten zijn en wat de gemeente moet doen als er een verzoek wordt ontvangen. Zo mag iedereen aan een organisatie vragen of en zo ja, welke gegevens deze organisatie van deze persoon heeft. Er mag alleen gevraagd worden naar gegevens van iemand zelf, niet naar gegevens van iemand anders. Wat men moet doen en hoe een dergelijk inzageverzoek werkt, kan men lezen op de website van de Autoriteit Persoonsgegevens.
Bewaartermijnen
Onder de nieuwe privacywetgeving mag men gegevens niet langer bewaren dan nodig is. Soms is het nodig documenten te bewaren vanwege een wettelijke verplichting, soms zijn er algemene richtlijnen over termijnen te geven. Het document bewaartermijnen bevat diverse bewaartermijnen. Lokaal kan een gemeente termijnen aanvullen als dat nodig is.
Verwerkersovereenkomsten
Als de gemeente gebruik maakt van bedrijven die de gemeente helpen bij de uitvoering van een taak en daardoor persoonsgegevens gedeeld worden (bijvoorbeeld bij Scipio voor de administratie of de KKA voor de salarissen) moet de gemeente een verwerkersovereenkomst sluiten. Hierin wordt geregeld wie de contactpersonen zijn en wie er bijvoorbeeld verantwoordelijk is voor het melden van een datalek. Vaak zal een gemeente van deze professionele partijen een verwerkersovereenkomst ontvangen ter ondertekening. Deelt de gemeente gegevens met een bedrijf, maar is er geen verwerkersovereenkomst? Dan is het mogelijk gebruik te maken van het model-verwerkersovereenkomst en die ter ondertekening aan het bedrijf aan te bieden.
Livestream en privacy
In het kader van de privacywetgeving zijn bij het uitzenden van een kerkdienst specifieke punten van belang. Bezoekers van de kerkdienst moeten toestemming geven om in beeld te worden gebracht bij het opnemen van een dienst. Men moet in ieder geval weten dat de dienst opgenomen wordt.
Daarnaast geldt dat wanneer namen en adressen (of andere gegevens die herleidbaar zijn tot een bepaald persoon) worden genoemd tijdens de dienst (bijvoorbeeld in of bij de voorbede), hiervoor toestemming nodig is als de dienst openbaar toegankelijk is via internet. Is de internetkerkdienst enkel beschikbaar voor leden van de gemeenschap (leden, vrienden, etc.)? Dan is het voldoende als gemeenteleden weten dat op deze manier de dienst/voorbede wordt vormgegeven.
Het kerkblad en privacy
In het kerkblad staat naast openbare stukken over de kerkdiensten en andere activiteiten van de kerk, vaak ook erg persoonlijke informatie over gemeenteleden. Dat kan een verjaardagslijstje met adressen (voor het verzenden van een verjaardagskaartje) of een lijstje met zieken in de gemeente zijn.
Het is belangrijk om ervoor te zorgen dat dergelijke informatie alleen beschikbaar is voor leden van de gemeente. Het kerkblad moet daarom niet op een website worden geplaatst als er persoonlijke informatie in voorkomt, maar er moet worden geselecteerd welke kopij geschikt is om op de website te plaatsen. Er moet ook op worden gelet dat bijvoorbeeld lokale journalisten geabonneerd kunnen zijn op het kerkblad: er moet worden nagedacht of deze groep ook echt toegang moet kunnen krijgen tot alle informatie in het kerkblad.
Nieuwsbrief en AVG
Voor leden van de gemeente geldt dat er geen toestemming hoeft te worden gevraagd: het valt binnen de gerechtvaardigde activiteiten en de gemeente heeft een gerechtvaardigd belang om hen via een nieuwsbrief op de hoogte te stellen van de activiteiten van hun kerkelijke gemeente. Wel moeten leden zich kunnen uitschrijven voor de nieuwsbrieven.
Voor anderen moet toestemming worden gevraagd. Toestemming moet expliciet en vrij worden gegeven. Er moet dus voor worden gezorgd dat iemand zich actief moet aanmelden (bijvoorbeeld via e-mail) voor het ontvangen van de nieuwsbrief. Het beste kunnen deze aanmeldingen (het liefst veilig en digitaal) worden bewaard. Bij aanmelding mogen niet meer gegevens worden gevraagd dan nodig zijn en de gegevens die zijn ontvangen voor de aanmelding voor de nieuwsbrief mogen niet voor een ander doel worden gebruikt.
Gegevens zieke noemen
In een gemeente is het delen met elkaar en het omzien naar elkaar een belangrijke pijler in de gemeenschap. Vaak worden daarom (in kerkdiensten en kerkbladen) mededelingen gedaan over het wel en wee van gemeenteleden: jubilea, geboorten en ziekten worden vermeld met het oog om er voor elkaar te zijn, elkaar op te dragen in gebed en met elkaar mee te leven. Kerken en gemeenten mogen een gemeenschap vormen die naar elkaar omziet en met elkaar meeleeft. Dat zijn immers 'gerechtvaardigde activiteiten' van een kerk. Ook als het gaat om zieke gemeenteleden. Daar moet wel zorgvuldig mee worden omgegaan.
Allereerst vanuit een eigen kerkelijke verantwoordelijkheid: hoe staat de persoon van wie de gegevens gedeeld worden erin, en hoe wordt vormgegeven aan de plaatselijke gemeenschap en het omzien naar elkaar? Maar ook vanuit de privacywetgeving: natuurlijk mag in een kerk voor elkaar worden gebeden (dat zijn immers de gerechtvaardigde activiteiten van de kerk), maar het is goed te denken aan de privacybelangen van iemand die ziek is. Als de kerkdienst niet online te volgen is, blijft het gebed binnen de gemeente. Gaat de kerkdienst wel online, dan kan iedereen horen wie er ziek is. De gemeente doet er dan goed aan bijvoorbeeld alleen voornamen te noemen of het geluid van de opname even op stil te zetten. Hetzelfde geldt voor het kerkblad. Als deze alleen naar gemeenteleden gaat, valt deze onder de gerechtvaardigde activiteiten van de gemeente. Als iedereen op internet het kerkblad kan downloaden, valt te overwegen om toestemming te vragen aan de persoon die ziek is.