Veelgestelde vragen

Op www.protestantsekerk.nl/privacy vindt u veel informatie en ook een rubriek met veelgestelde vragen.

Rond het online zetten van kerkdiensten spelen niet alleen vragen van privacy, maar ook bijvoorbeeld van auteursrecht. In de brochure Auteursrecht en naburige rechten in de kerk staat hier informatie over.

In een gemeente is het delen met elkaar en het omzien naar elkaar een belangrijke pijler in de gemeenschap. Vaak worden daarom (in kerkdiensten en kerkbladen) mededelingen gedaan over het wel en wee van gemeenteleden: jubilea, geboorten en ziekten worden vermeld met het oog om er voor elkaar te zijn, elkaar op te dragen in gebed en met elkaar mee te leven. Kerken en gemeenten mogen een gemeenschap vormen die naar elkaar omziet en met elkaar meeleeft. Dat zijn immers ‘gerechtvaardigde activiteiten’ van een kerk. Ook als het gaat om zieke gemeenteleden. Daar moet wel zorgvuldig mee worden omgegaan.

Allereerst vanuit een eigen kerkelijke verantwoordelijkheid: hoe staat de persoon van wie de gegevens gedeeld worden erin, en hoe wordt vormgegeven aan de plaatselijke gemeenschap en het omzien naar elkaar? Maar ook vanuit de privacywetgeving: natuurlijk mag in een kerk voor elkaar worden gebeden (dat zijn immers de gerechtvaardigde activiteiten van de kerk), maar het is goed te denken aan de privacybelangen van iemand die ziek is. Als de kerkdienst niet online te volgen is, blijft het gebed binnen de gemeente. Gaat de kerkdienst wel online, dan kan iedereen horen wie er ziek is. De gemeente doet er dan goed aan bijvoorbeeld alleen voornamen te noemen of het geluid van de opname even op stil te zetten. Hetzelfde geldt voor het kerkblad. Als deze alleen naar gemeenteleden gaat, valt deze onder de gerechtvaardigde activiteiten van de gemeente. Als iedereen op internet het kerkblad kan downloaden, valt te overwegen om toestemming te vragen aan de persoon die ziek is.

In het kerkblad staat naast openbare stukken over de kerkdiensten en andere activiteiten van de kerk, vaak ook erg persoonlijke informatie over gemeenteleden. Dat kan een verjaardagslijstje met adressen (voor het verzenden van een verjaardagskaartje) of een lijstje met zieken in de gemeente zijn. Zorg ervoor dat dergelijke informatie alleen beschikbaar is voor leden van de gemeente. Zet uw kerkblad dus niet op een website als er dergelijke informatie in voorkomt, maar selecteer de geschikte kopij die op de website kan worden geplaatst. Let er ook op dat bijvoorbeeld lokale journalisten geabonneerd kunnen zijn op het kerkblad: denk na of deze groep ook echt toegang moet kunnen krijgen tot alle informatie in het kerkblad.

De gemeente is een gemeenschap die (onder andere) op zondag samenkomt in een viering. Vaak wordt er bij een viering ook een zondagsbrief uitgedeeld met informatie over de viering, informatie over zieken of jarigen in de gemeente en informatie over aankomende activiteiten met (e-mail)adressen van de organisatoren. Het delen van deze informatie kan een belangrijk onderdeel zijn van uw kerkelijke gemeente: aandacht voor elkaar is in de kerk belangrijk! Indien u deze gegevens in een zondagsbrief wilt opnemen, zorg er dan voor dat er zorgvuldig wordt omgegaan met de informatie die openbaar wordt gemaakt. Als u toestemming vraagt aan mensen om hun gegevens in de zondagsbrief neer te zetten, zorg er dan voor dat u dit schriftelijk (bijvoorbeeld via de e-mail) doet en dat mensen zich vrij voelen om ‘nee’ te zeggen.

De website van de kerk is een uitgelezen kans om iedereen te informeren over de gemeente. Alle informatie is daarmee openbaar. Let daarom goed op de privacy en zorg ervoor dat namen van mensen die geen functie hebben in de kerk niet op de website staan. Zorg er ook voor dat bijzondere persoonsgegevens, zoals pastorale informatie, niet op een openbaar gedeelte van de website staan. Gebruik zoveel mogelijk e-mailadressen die gebonden zijn aan een functie (bijvoorbeeld scriba@gemeentenaam.nl) in plaats van persoonlijke e-mailadressen.

Let ook op foto’s op de website: zodra personen herkenbaar in beeld zijn, worden zij beschermd door de privacywetgeving. Vraag de personen die herkenbaar in beeld zijn uitdrukkelijk om (schriftelijke) toestemming. Foto’s waar mensen niet herkenbaar in beeld zijn (bijvoorbeeld op de rug) mogen wel. Lees ook de brochure Auteursrecht en naburige rechten in de kerk.

Voor leden van de gemeente geldt dat er geen toestemming hoeft te worden gevraagd: het valt binnen de gerechtvaardigde activiteiten en de gemeente heeft een gerechtvaardigd belang om hen via een nieuwsbrief op de hoogte te stellen van de activiteiten van hun kerkelijke gemeente. Wel moeten leden zich kunnen uitschrijven voor de nieuwsbrieven.

Voor anderen moet u toestemming vragen. Toestemming moet expliciet en vrij worden gegeven. Zorg er dus voor dat iemand zich actief moet aanmelden (bijvoorbeeld via e-mail) voor het ontvangen van de nieuwsbrief. Het beste kunt u deze aanmeldingen (het liefst veilig en digitaal) bewaren. Bij aanmelding mogen niet meer gegevens worden gevraagd dan nodig zijn en de gegevens die u heeft ontvangen voor de aanmelding voor de nieuwsbrief mag u niet voor een ander doel gebruiken.

Een gemeentegids kent verschillende verschijningsvormen: sommige gemeenten hebben een gemeentegids die bestaat uit een lijst van alle gemeenteleden, anderen hebben een gemeentegids waarin bijvoorbeeld alle activiteiten voor het komend jaar staan (incl. de contactpersonen). Op beide verschijningsvormen is de AVG van toepassing. Dat betekent dat op beide van toepassing is dat de gegevens goed beschermd moeten zijn, dat de gegevens zijn verzameld (mede) met het oog op de verspreiding van de gemeentegids en dat er een grondslag moet zijn om de gegevens te verwerken.

Er zijn in de AVG een zestal grondslagen voor verwerkingen van persoonsgegevens. Wanneer er sprake is van gegevens rondom religie (hetgeen het geval is indien de gemeentegids een ledenlijst van de kerk behelst) is de aangewezen grondslag 'gerechtvaardigd belang/gerechtvaardigde activiteiten'.

Van belang is dat als er een gemeentegids in de vorm van een ledenlijst wordt uitgegeven dat: 1) deze uitgave van de gids daadwerkelijk past in de gerechtvaardigde activiteiten van de gemeente ('we hebben dit altijd gedaan' is onvoldoende argument, er moet worden aangetoond en beschreven dat de uitgifte daadwerkelijk tot het gemeenteleven behoort); 2) er passende waarborgen zijn rond gegevensbescherming; 3) de gegevens in de gids alleen leden (doopleden en belijdende leden) van de gemeente betreffen; 4) er regelmatig contact is met die leden (men mag dus niet gegevens van gemeenteleden die nooit in de kerk komen zomaar in de gemeentegids publiceren); en 5) de gids alleen binnen de gemeente wordt uitgegeven (als u de gids bijvoorbeeld ook aan niet-leden wilt geven of openbaar op de website van de gemeente wilt zetten heeft u expliciete toestemming van alle leden in het boekje nodig).

Wanneer er sprake is van een gemeentegids waarin de activiteiten genoemd staan met contactpersonen is de kring van betrokken personen kleiner. De grondslag van verwerking zal wederom liggen in gerechtvaardigd belang/gerechtvaardigde activiteiten. Ook in deze verschijningsvorm van de gemeentegids is het van belang dat de uitgave van de gids daadwerkelijk past in de gerechtvaardigde activiteiten van de gemeente ('we hebben dit altijd gedaan' is onvoldoende argument, er moet worden aangetoond en beschreven dat de uitgifte daadwerkelijk tot het gemeenteleven behoort). Voorts is van belang dat u in deze gemeentegids niet zomaar gegevens van contactpersonen uit uw ledenadministratie haalt. Immers, die gegevens zijn verzameld met het oog op de ledenadministratie, niet met het oog op het publiceren van contactgegevens in een gemeentegids. Misschien heeft een contactpersoon immers wel een speciaal e-mailadres aangemaakt of gekregen voor een specifieke activiteit (bijvoorbeeld zomerkamp@pgplaatsnaam.nl): vraag dus welke contactgegevens gebruikt moeten worden aan de contactpersoon. Het ligt in het kader van een gemeentegids dat een programmaboekje is eerder voor de hand deze breder te verspreiden dan enkel onder de leden van de gemeente. Dit kan alleen als u het gerechtvaardigd belang van het uitbrengen van deze gemeentegids als programmaboekje kunt plaatsen en beschrijven op zo'n manier dat verspreiding breder dan de gemeenteleden dit rechtvaardigt (als er alleen maar activiteiten in staan die interessant of toegankelijk zijn voor gemeenteleden, kunt u het boekje dus niet zomaar buiten de kring van gemeenteleden uitbrengen).

Privacy is een verantwoordelijkheid van iedereen. In principe is de gemeente of diaconie als rechtspersoon aanspreekbaar. Iedereen die vanuit een functie in de kerk persoonsgegevens verwerkt, moet dat veilig en vertrouwelijk doen. Als er toch iets fout gaat en er sprake is van een datalek, moet daarvan melding worden gemaakt bij de Autoriteit Persoonsgegevens.

Het model privacystatement is een belangrijk middel voor een kerkenraad om na te gaan welke gegevens hij op welke manier verwerkt en wat daar de (wettelijke en kerkordelijke) grondslagen voor zijn. Door het invullen van het model privacystatement kunnen kerkenraden nagaan op welke grondslagen zij gegevens verwerken en of er nog nadere acties nodig zijn voor het verwerken van de gegevens. Het model privacystatement kan vervolgens worden gepubliceerd, zodat belanghebbenden kunnen weten hoe de gemeente omgaat met persoonsgegevens.

De ledenregistratie (LRP) voldoet aan de huidige eisen van de Wet Bescherming Persoonsgegevens. Wat betreft de techniek, de inhoud en de toegang van de gegevens kunt u ervan op aan dat het systeem veilig is en u niet meer gegevens kan invullen dan onder de wetgeving is toegestaan. U bent als plaatselijke gemeente zelf verantwoordelijk voor de ledenadministratie, waaronder het actueel houden van de gegevens, en het verlenen van toegang aan de juiste personen. Uit LRP kunt u diverse data exporteren (bijvoorbeeld naar Excel). Een dergelijke export is een volledige eigen plaatselijke verantwoordelijkheid en mag alleen als dit in overeenstemming met de wetgeving is. Wees hierin dus zeer terughoudend.

Iedereen mag aan een organisatie vragen of en zo ja, welke gegevens deze organisatie van deze persoon heeft. Er mag alleen gevraagd worden naar gegevens van iemand zelf, niet naar gegevens van iemand anders. Wat je moet doen en hoe een dergelijk inzageverzoek werkt, lees je op de website van de Autoriteit Persoonsgegevens.

In ordinantie 4-2 staat dat eenieder die vanuit een functie gegevens uit de kerk krijgt, gebonden is aan geheimhouding. Dat wil zeggen dat iemand in welke hoedanigheid ook - bijvoorbeeld als vrijwilliger, medewerker of kerkenraadslid - een geheimhoudingsplicht heeft. De geheimhoudingsplicht is ook van toepassing zonder dat iemand hiervoor getekend heeft. En ook als iemand slechts eenmalig gegevens heeft ontvangen.

In een verwerkersovereenkomst worden de afspraken vastgelegd die zijn gemaakt tussen een gemeente (of andere kerkelijke instelling) als “verwerkersverantwoordelijke” en de “verwerker”. Volgens de AVG moeten met name de volgende onderwerpen duidelijk opgenomen worden in de verwerkersovereenkomst:

- Het onderwerp van de verwerking (bijvoorbeeld: salarisadministratie)
- Het doel van de verwerking 
- De soorten persoonsgegevens die worden verwerkt
- De verwerker handelt in opdracht van de verwerkingsverantwoordelijke en mag niet op eigen initiatief persoonsgegevens verwerken voor een ander doel
- Een opsomming van de beveiligingsmaatregelen die de verwerker heeft genomen
- Het recht van de verwerkingsverantwoordelijke om audits uit te voeren
- De verwerker mag niet zonder toestemming van de verwerkingsverantwoordelijke derden inschakelen voor de verwerking van de persoonsgegevens en mag deze niet zonder toestemming van de verwerkingsverantwoordelijke aan derden buiten de Europese Economische Ruimte doorsturen 
- Hoe om te gaan met datalekken

Nee, de visitatoren leveren hun visitatieverslag in bij het college voor de visitatie. Dit college deelt het verslag met de betrokken kerkenraad (ord. 10-5-10).

De kerkenraad kan vervolgens besluiten dat de gemeente ook op de hoogte moet zijn van de inhoud van het visitatieverslag. 

Gaat de kerkenraad de bevindingen van het college delen met de gemeente en hoe?
Soms betreft de visitatie alleen de kerkenraad inclusief predikant en weet de gemeente er niet van, vaker betreft zij de gehele gemeente. In het laatste geval is in principe informatie aan de gemeente geboden, in het eerste geval kan de kerkenraad besluiten dit niet te doen.

Delen met de gemeente kan in de vorm van een samenvatting of een mondelinge toelichting. Verstrekken van het gehele rapport is meestal niet wijs en is ook niet verplicht. Het visitatierapport is geen openbaar stuk. Het dient zeker niet buiten de kring van de gemeente te worden verspreid (dus ook geen plaatsing op de openbare website of in het kerkblad als de ook bij de bibliotheek ligt). Steeds moet de kerkenraad rekening houden met de privacy van alle betrokkenen. 

Lees over het visitatieverslag en privacy meer in de vraag:

Hoe zit het met het visitatieverslag en privacy?

Ja, als iemand genoemd wordt in het visitatieverslag (bij naam of door middel van andere gegevens) heeft iemand in principe recht op inzage in het visitatieverslag door middel van een afschrift. Dit is geen kerkordelijke regel, maar een regel uit de algemene verordening gegevensbescherming (AVG).

Beperken van de inzage

Als rechten van anderen worden geschaad door het geven van een afschrift van het verslag aan een betrokkene, mag het inzagerecht worden beperkt. Bijvoorbeeld omdat er ook andere persoonsgegevens in de stukken staan.

Het doel van het inzagerecht is dat iemand kan weten welke informatie er over hem/haar bij een bepaalde instantie bekend is. Het is niet bedoeld om inzage te krijgen in het (verdere) verslag. Men zou dus het inzagerecht kunnen beperken door gedeelten van het visitatieverslag onleesbaar te maken of door een zakelijke weergave van de in het stuk voorkomende passages betreffende de persoon in kwestie. In het uiterste geval kan inzage helemaal worden afgewezen op grond van de rechten van anderen.

Wilt u inzage? Dan kunt u de kerkenraad of het college van visitatie hierom vragen.

Vraagt iemand om inzage? Dan kunt u aan de hand van bovenstaande informatie handelen. Als u nog vragen heeft kunt u contact opnemen met de dienstenorganisatie.