Ook kerkgenootschappen vallen onder de Algemene Verordening Gegevensbescherming (AVG), de Europese privacywetgeving die door de Nederlandse overheid wordt gehandhaafd. De Protestantse Kerk in Nederland wil bewust en zorgvuldig omgaan met persoonsgegevens en de privacy van haar leden en bezoekers.
Om gemeenten te helpen bij het naleven van deze wettelijke verplichting, biedt de dienstenorganisatie van de Protestantse Kerk in Nederland praktische ondersteuning en hulpmiddelen. Het is belangrijk dat iedereen die binnen de kerk met persoonsgegevens te maken heeft, zorgt dat hij/zij zich aan de geldende overheidsregelgeving houdt.
Gesprek in de kerkenraad
De eerste stap is het voeren van een gesprek in de kerkenraad over beleid en privacy. De gesprekshandleiding voor dit gesprek is bedoeld als intern document en bevat een checklist met acties die de gemeente/kerkenraad ten minste moet doen. Eén van de belangrijkste acties is het publiceren van het privacy-statement.
Het privacystatement opstellen
Door het invullen van het model-privacystatement kunnen kerkenraden nagaan op welke grondslagen zij gegevens verwerken en of er nog nadere acties nodig zijn. Het privacystatement is bedoeld om kerkleden en externen te informeren hoe de gemeente met de gegevens omgaat en is een extern document dat gepubliceerd wordt.
Het model privacystatement is een belangrijk middel voor een kerkenraad om na te gaan welke gegevens zij op welke manier verwerken en wat daar de wettelijke en kerkordelijke grondslagen voor zijn. De kerkenraad dient de groene vlakken uit het model-privacystatement in te vullen voordat het gepubliceerd wordt. Dit kan door het privacystatement online aan te passen, maar ook door het uit te printen, in te vullen en vervolgens in te scannen. Het privacystatement moet gepubliceerd worden op de website van de gemeente, gedeeld worden met gemeenteleden en er moet een kopie in de kerkelijke gebouwen worden gelegd.
Omgaan met datalekken
Als de gemeente onverhoopt persoonsgegevens kwijtraakt, of als er niet uitgesloten kan worden dat een onbevoegd persoon gebruik heeft gemaakt van persoonsgegevens, kan het zijn dat de gemeente een datalekmelding moet doen bij de Autoriteit Persoonsgegevens en eventueel de betrokken personen. Het stappenplan datalekken beschrijft in welke gevallen een melding gedaan moet worden.
Rechten van gemeenteleden
Personen van wie een gemeente persoonsgegevens verwerkt hebben diverse rechten onder de nieuwe wetgeving. Het overzicht van rechten van gemeenteleden en anderen beschrijft wat hun rechten zijn en wat de gemeente moet doen als zij een verzoek krijgen. Zo mag iedereen aan een organisatie vragen of en zo ja, welke gegevens deze organisatie van deze persoon heeft. Er mag alleen gevraagd worden naar gegevens van iemand zelf, niet naar gegevens van iemand anders. Wat je moet doen en hoe een dergelijk inzageverzoek werkt, kun je lezen op de website van de Autoriteit Persoonsgegevens.
Bewaartermijnen
Onder de nieuwe privacywetgeving mag men gegevens niet langer bewaren dan nodig is. Soms is het nodig documenten te bewaren vanwege een wettelijke verplichting, soms zijn er algemene richtlijnen over termijnen te geven. Het document bewaartermijnen bevat diverse bewaartermijnen. Lokaal kan een gemeente termijnen aanvullen als dat nodig is.
Verwerkersovereenkomsten
Als de gemeente gebruik maakt van bedrijven die de gemeente helpen bij de uitvoering van een taak en daardoor persoonsgegevens gedeeld worden (bijvoorbeeld bij Scipio voor de administratie of de KKA voor de salarissen) moet de gemeente een verwerkersovereenkomst sluiten. Hierin wordt geregeld wie de contactpersonen zijn en wie er bijvoorbeeld verantwoordelijk is voor het melden van een datalek. Vaak zal een gemeente van deze professionele partijen een verwerkersovereenkomst krijgen ter ondertekening. Deelt de gemeente gegevens met een bedrijf, maar is er geen verwerkersovereenkomst? Dan is het mogelijk gebruik te maken van het model-verwerkersovereenkomst en die ter ondertekening aan het bedrijf aanbieden.
Privacy bij online kerkdiensten
In het kader van de privacywetgeving zijn bij het uitzenden van een kerkdienst specifieke punten van belang. Bezoekers van de kerkdienst moeten toestemming geven om in beeld te worden gebracht bij het opnemen van een dienst. Men moet in ieder geval weten dat de dienst opgenomen wordt.
Daarnaast geldt dat wanneer u namen en adressen (of andere gegevens die herleidbaar zijn tot een bepaald persoon) noemt tijdens de dienst (bijvoorbeeld in of bij de voorbede), u daarvoor toestemming moet hebben als de dienst openbaar toegankelijk is via internet. Is uw internetkerkdienst enkel beschikbaar voor leden van de gemeenschap (leden, vrienden, etc.)? Dan is het voldoende als uw gemeenteleden weten dat u op deze manier de dienst/voorbede vormgeeft.
Het kerkblad en privacy
In het kerkblad staat naast openbare stukken over de kerkdiensten en andere activiteiten van de kerk, vaak ook erg persoonlijke informatie over gemeenteleden. Dat kan een verjaardagslijstje met adressen (voor het verzenden van een verjaardagskaartje) of een lijstje met zieken in de gemeente zijn.
Het is belangrijk om ervoor te zorgen dat dergelijke informatie alleen beschikbaar is voor leden van de gemeente. Zet uw kerkblad daarom niet op een website als er persoonlijke informatie in voorkomt, maar selecteer de geschikte kopij die op de website kan worden geplaatst. Let er ook op dat bijvoorbeeld lokale journalisten geabonneerd kunnen zijn op het kerkblad: denk na of deze groep ook echt toegang moet kunnen krijgen tot alle informatie in het kerkblad.