Op 25 mei 2018 moet iedere organisatie AVG-proof zijn. Want dan is in de in 2016 aangenomen EU-verordening rond privacywetgeving van kracht. Wat betekent deze nieuwe privacywetgeving voor kerken (en mensen die naar de kerk komen)? In dit artikel zet ik de belangrijkste zaken rond privacy en dataverwerking op een rij. Plus een rij actiepunten.

Samenvatting Privacy en de kerk en de nieuwe privacywetgeving (AVG)

Dit is een lang artikel. Heb je nu weinig tijd, kom dan op een later moment terug om je verder te verdiepen. Zet deze pagina dan in de favorieten van je browser.

Dit is het in het kort:

Privacybescherming gaat over deze dingen:

  • Persoonsgegevens worden volgens de wet behoorlijk en zorgvuldig verwerkt
  • Alleen voor het uitdrukkelijke doel waarvoor de gegevens zijn verzameld
  • Niet langer dan nodig worden bewaard
  • Gegevens worden alleen toereikend en niet bovenmatig verwerkt.

Dat is nu al zo, en dat wordt nog belangrijker met de nieuwe privacywetgeving AVG. Dat gaat kerken ook aan. Vanaf mei 2018 moeten ook kerken zich houden aan de nieuwe AVG-richtlijnen.

Laatste update: 14 februari 2018

Privacy wordt steeds belangrijker

Mensen vinden de bescherming van hun eigen gegevens steeds belangrijker worden. Doordat we veel online actief zijn – van een e-mailtje versturen tot bankzaken – laten we overal een steeds grotere digitale voetafdruk achter.

Privacy in kerken ook

Dat geeft steeds meer vragen van mensen hoe organisaties met persoonlijke gegevens omgaat. In de kerk zijn dat bijvoorbeeld vragen als:

  • Wie hebben er in de kerk toegang tot mijn gegevens?
  • Mogen er foto’s van de uitvaart van mijn oma wel op de kerkwebsite worden gezet?
  • Mag een kerk wel een kerkdienst livestreamen?
  • Wie heeft mijn portretfoto op de kerkwebsite gezet?
  • Mogen we zieken en overleden parochianen of gemeenteleden in het kerkblad vermelden?
  • Mogen kerken adresbestanden van derden gebruiken? Of mogen ze adresbestanden delen met andere organisaties, zoals Kerk in Actie?
  • Is het toegestaan namen aan een geestelijk verzorger door te geven, bijvoorbeeld als iemand in het ziekenhuis is opgenomen?
  • Hoe lang worden mijn gegevens in de parochie of gemeente bewaard?
  • Hoe veilig is de kerkwebsite, e-mail of (online) ledenadministraties?

Dit soort vragen krijg ik geregeld bij trainingen of adviestrajecten die ik geef. Ik hoor ze van pastores, parochiebestuurders en kerkrentmeesters, bijvoorbeeld.

Centrale begrippen bij privacybescherming

Privacybescherming is vastgelegd in de AVG. Centrale begrippen:

  • Verwerking persoonsgegevens
    Dat is iedere handeling rond persoonsgegevens: verzamelen, vastleggen, ordenen, bewaren, uitwerken, wijzigen, opvragen, gebruiken, verstrekken, afschermen, uitwissen en vernietigen
  • Betrokkene
    Dit is de eigenaar van zijn/haar persoonsgegevens
  • Verantwoordelijke voor gegevensverwerking
    Dit is in dit artikel de kerk (die heeft zeggenschap, en bepaalt doel, middelen en kanalen)
  • Bewerker
    Dit is de ‘derde’ die in opdracht van de kerk persoonsgegevens verwerkt. Bijv. de leverancier van een CRM-pakket.
  • Recht van verzet
    De betrokkene mag inzien, wijzigen, klagen en (laten) verwijderen.

GDPR of AVG?

De General Data Protection Regulation (GDPR) heet in het Nederlands Algemene Verordening Gegevensbescherming (AVG). AVG en GDPR is dus hetzelfde: de Europese verordening die organisaties verplicht organisatorische en technische maatregelen te nemen om de privacy rond de verwerking van persoonsgegevens te waarborgen.

Moeten ook kerken AVG-proof zijn?

Alle organisaties die persoonsgegevens verwerken moeten voldoen aan de AVG. Dus ook kerken. Maar de verordening gaat verder. Ook organisaties die in opdracht van de kerk gegevens verwerken krijgen met de AVG te maken.

Ergens is er niet veel nieuws onder de zon. De kerkorde in de protestantse kerk is bijvoorbeeld helder. Iedereen die met gegevens werkt heeft geheimhouding. Dat geldt voor iedereen in de kerk. Gegevens die je binnen de kerk deelt, mogen dus niet zomaar worden verspreid.  De AVG maakt dat algemeen.

Over welke gegevens hebben we het?

Er zijn heel veel persoonsgegevens. De meest bekende zijn: naam, adres en woonplaats. Daarnaast telefoonnummers en postcodes met huisnummers.
Maar ook: iemands IQ, e-mailadres, burgerservicenummer, pincode, bankrekeningnummer, IP-adres, vingerafdruk, iris, pasfoto, medische gegevens, kenteken, DNA, stem, geboortedatum, -plaats, doopdatum.

Gegevens als iemands ras, godsdienst, levensovertuiging, politieke voorkeur, gezondheid, seksuele leven, lidmaatschap van een vakbond of strafrechtelijk verleden worden ‘bijzondere persoonsgegevens’ genoemd.  Deze gegevens zijn door de wetgever extra beschermd. Daarom is de AVG zo relevant voor kerken.

Persoonsgegevens kunnen geschreven tekst zijn, maar ook beelden of geluiden.

Kortom, alle informatie over een identificeerbare natuurlijke persoon verstaan. De informatie dient direct of herleid te kunnen leiden tot identificatie van iemand. (Wil je het precies weten, lees dan deze wettekst over de definitie van persoonsgegevens)

Dit is natuurlijk wel afgebakend. Want de politie of de Belastingdienst kan een persoon altijd wel identificeren. De wetgever heeft de definitie zo bedoeld dat de verantwoordelijke de aanvullende gegevens tot zijn beschikking moet kunnen hebben zonder al te veel moeite.
Persoonsgegevens zijn bijvoorbeeld niet de cijfers van postcodes in een database want die zijn niet herleidbaar tot een persoon. En dus geen persoonsgegevens. Zakelijke gegevens (KvK-nummer) zijn ook geen persoonsgegevens.

Wanneer mag een kerk persoonsgegevens verzamelen?

Een kerk mag persoonsgegevens verzamelen:

  • Als de gebruiker daarvoor toestemming geeft
  • Als er een wettelijke verplichting is
  • Als er vitale belangen zijn
  • Als er een overeenkomst is gesloten
  • Als er een algemeen of gerechtvaardigd belang is.

Hoe moeten kerken met persoonsgegevens omgaan?

Zorgvuldig en met oog voor de ‘eigenaar’ van de persoonsgegevens. Het verwerken van persoonsgegevens:

  • moet op behoorlijke, rechtmatige en transparante manier worden verwerkt
  • mag alleen voor een bepaald, uitdrukkelijk omschreven doel worden verwerkt
  • mogen alleen die gegevens betreffen, noodzakelijk voor het doel waarvoor ze worden verwerkt
  • moet correct en actueel gebeuren
  • moet worden gestopt (of geanonimiseerd) als identificatie niet meer noodzakelijk is voor het doel
  • moet worden beveiligd met technische en organisatorische maatregelen.

Je moet ook transparant zijn in wat je als kerk met persoonsgegevens doet.

TO DO: Schrijf een privacy statement of pas deze aan om de rechten van betrokkenen te waarborgen.
TO DO: Schrijf een social media protocol
TO DO: Check het redactiestatuut van het kerkenblad rondom persoonsgegevens
TO DO: Publiceer deze documenten
TO DO: Denk aan een cookie statement

Alleen verzamelen waar je gegevens voor nodig hebt

Dit wordt Privacy by design genoemd. Het houdt in dat vanaf het begin dat je persoonsgegevens denkt nodig te hebben, je deze goed beschermd. Bijvoorbeeld vanaf het idee dat je een nieuwe website start, online donaties wilt ontvangen of nieuwe mailings opzet denk je na over de persoonsgegevens.

De AVG schrijft voor dat je gegevens alleen mag verzamelen voor het doel dat je nastreeft. Je mag de gegevens niet langer bewaren dan nodig.

Je mag dus ook geen overbodige gegevens verwerken. Denk aan:

  • De locatie in een app registreren terwijl dat niet nodig is voor het doel
  • Op de website het vakje ‘ja, ik wil de nieuwsbrief ontvangen’ niet vooraf aanvinken
  • Voor nieuwe abonnees op de digitale nieuwsbrief alleen gegevens vragen die je daarvoor nodig hebt (naam en e-mailadres, maar geen geboortedatum of woonplaats). Nieuwsbriefabonnees een folder toesturen (dat mag dus niet)

TO DO: Controleer je bestaande publicaties en databanken

Moet ik daarvoor iemand aannemen?

De AVG gaat een puist werk geven. Want je moet als kerk kunnen aantonen dat je voldoet aan de verordening. Denk aan: toestemming, gegevens, rechten, beveiliging, afspraken met derden, minimalisatie van verwerkingen.

Zorgvuldigheid en transparantie zijn essentieel. Daarom is er een functionaris – betaald of niet betaald, dat maakt niet uit – die de bescherming van gegevens in de gaten houdt. Deze ‘Functionaris voor de gegevensbescherming’ (FG) houdt toezicht op de toepassing en naleving van de AVG. Een FG is verplicht voor kerken, omdat zij bijzondere gegevens verzamelt over iemand geloofsovertuiging (denk aan doopbewijzen, inschrijvingen) (art 37 AVG) Zie deze functiebeschrijving op de website van de Autoriteit Persoonsgegevens.

TO DO: Stel in je bestuur een functieprofiel op en werf een functionaris.
LET OP: Het is nog onduidelijk hoe dit voor kerken uitpakt, en op welk niveau er een FG nodig is. Kerkjuristen van bijv. de landelijke Protestantse Kerk buigen zich hier nog over.

TIP: Navraag bij het landelijk dienstencentrum van de PKN leert, dat in januari 2018 meer informatie beschikbaar komt, bijv. over de rol en noodzaak van een lokale ‘privacyfunctionaris’ (FG). Wil je dat als eerste weten, geef je dan op voor hun wekelijkse nieuwsbrief.

Kunnen kerken uitstel krijgen na mei 2018?

De Europese verordening is aangenomen op 14 april 2016. Partijen die persoonsgegevens verwerken krijgen twee jaar om aan de (nieuwe) regels uit de AVG te voldoen. Dat betekent dat je kerk op 25 mei 2018 AVG-proof moet zijn.

Ach, kerken worden toch niet aangepakt…

Bij iedere verordening ligt de vraag voor: hoe kan dit worden gehandhaaft? Zeker een verordening zoals deze. De verantwoordelijkheid is tweeledig: er is een wettelijke basis, en je hebt een morele verantwoordelijkheid naar de mensen voor en met wie je werkt. Als je denkt dat kerken niet worden aangepakt, zit er iets niet goed met je privacyverantwoordelijkheid.

Wat zijn de verschillen met de Wet bescherming persoonsgegevens (Wbp)?

De Wbp verdwijnt vanaf mei 2018, en de AVG is stricter dan de huidige wetgeving. Bijvoorbeeld:

  • Je bent verplicht om bij te houden welke persoonsgegevens worden verwerkt, welke verwerkingen hebben plaatsgevonden, waarom (wettelijke basis) je die gegevens hebt
  • Je bent verplicht duidelijk te kunnen maken welke beveiligingsmaatregelen je hebt genomen om diefstal, datalekken of ongeautoriseerde toegang en dergelijke te voorkomen.
  • Met externe leveranciers moet je een verwerkersovereenkomst afsluiten waarin je afspraken maakt over de gegevensverwerking. Denk aan software, websites, mailsystemen, ledenadministraties.
  • Als de kerk gebruik maak van profilering (geautomatiseerde besluitvorming) dan moet je je leden informeren
  • Er moet in bepaalde gevallen een functionaris gegevensbescherming zijn.

Wat moeten we met onze leveranciers afspreken?

Hetzelfde als onder de Wbp. De kerk blijft verantwoordelijk voor het delen van persoonsgegevens die zij geeft aan bewerkers. Dit is een persoon of organisatie aan wie de verantwoordelijke, in dit geval de kerk, gegevensverwerking heeft uitbesteed. Bijvoorbeeld het personeelsadministratiekantoor of softwarebedrijf.

TO DO: Als je een softwarepakket gebruikt, check dan of de leverancier ISO 27001 gecertificeerd is. Dit certificaat garandeert een onafhankelijke controle op de naleving van de nieuwe privacywetgeving

Er zijn enkele verplichte onderdelen bijgekomen in de AVG die nog niet in de Wbp stonden. Je moet overeenkomen:

  • Wat het doel van de verwerking is
  • Het soort persoonsgegevens dat wordt verwerkt
  • Welke beveiligingsmaatregelen worden genomen
  • Dat de leverancier meewerkt aan audits
  • Dat gegevens worden vernietigt na afloop van de verwerking.

TO DO: Controleer je overeenkomsten met derden die persoonsgegevens van jouw kerk (mede)beheren of monitoren.

Wat is een datalek?

Iedere vorm van verlies, misbruik of diefstal van persoonsgegevens kan een datalek zijn. Voorbeelden:

  • Een e-mail verzonden naar verkeerde adressen
  • Een zakelijke smartphone met foto’s en adressen die je hebt verloren (de privetelefoon, bedoeld voor uitsluitend persoonlijke doeleinden weer niet)
  • Een oude computer die je met niet gewiste harde schijf wegdoet
  • Illegaal verkregen adresbestanden
  • Een USB-stick die je hebt verloren
  • Een inbraak op je website waar persoonsgegevens te vinden
  • Geslaagde cyberaanvallen
  • Een gestolen uitgeprinte lijst met adressen
  • Uitgelekte computerbestanden
  • Het stelen van een laptop uit een afgesloten kluisje

Dit is dus al praktijk en verandert niet met de komst van de AVG.

Als je als kerk een datalek constateert, dan hoef je dat alleen te melden als het om een ‘ernstig’ datalek gaat. Dat moet dus gemeld worden aan de AP. Op de site van de AP is een standaardformulier te vinden waarmee dat kan. Die vind je ook verderop in dit artikel.

Onder omstandigheden moet je het ook melden aan de mensen van wie persoonsgegevens gelekt zijn. Het begrip ‘ernstig’ is niet  afgebakend. Gaat het om een ‘kwalitatief’ ernstig lek: er is echt gevoelige informatie kwijt? Of gaat het om een ‘kwantitatief’ ernstig lek: is er veel tegelijk op straat komen te liggen?

Wat moet ik doen als er persoonsgegevens van kerkleden op straat liggen?

Daarover gaat de Datalekkenwet. Die is er al sinds 1 januari 2016. Als er inbreuk op de beveiliging is, dan moet een kerk dan melden. Denk aan diefstal, misbruik of verlies van persoonsgegevens. Een datalek dus.

De meldplicht is bedoeld om persoonsgegevens beter te kunnen beschermen. Een kerk is verplicht om zorgvuldig en specifiek om te gaan met de gegevens met wie zij in contact staat.

Als er een datalek is, moet je dat in bepaalde gevallen melden aan de betrokkene en aan de Autoriteit Persoonsgegevens.

Als het waarschijnlijk is dat het lek ongunstige gevolgen heeft voor de betrokkenen, moet je hen ook informeren. Je laat dan weten:

  • de aard van de inbreuk
  • de organisaties waar meer informatie over de inbreuk kan worden verkregen
  • de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken.

Moet ik alles melden bij de AP?

Nee.

Uitsluitend lekken ten gevolge van inbreuken op de beveiliging meld je. Ook bij gebrekkige beveiliging. En als de inbreuk tot een ‘aanmerkelijke kans’ op nadelige gevolgen leidt.

De melding aan de toezichthouder omvat in elk geval:

  • de aard van de inbreuk
  • de instanties waar meer informatie over de inbreuk kan worden verkregen
  • de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken
  • een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens
  • de maatregelen die de kerk heeft genomen of voorstelt te nemen om deze gevolgen te verhelpen.

Waar moet ik een datalek melden?

Dat kan hier bij het meldloket.

TO DO: Stel een protocol datalekken op.

Krijg ik een boete?

De Autoriteit Persoonsgegevens (AP) is de privacywaakhond in Nederland. Zij houdt toezicht op de naleving van de datalekkenwet en de AVG.

Je riskeert een boete van 500.000 euro per overtreding bij een datalek die je niet meldt. Als je het datalek niet meldt aan de AP én aan de betrokkenen dan kan je ook twee overtredingen krijgen. Daarbovenop kun je een boete krijgen voor slechte beveiliging of een gebrekkige administratie.

Als je niet voldoet aan de AVG, kun je ook een boete krijgen. Dat kan fors oplopen tot maximaal 4 procent van de wereldwijde jaaromzet van de organisatie. Ook worden bedragen oplopend tot 20 miljoen euro genoemd.

Hoe komt een kerk eigenlijk aan persoonsgegevens?

De Stichting Interkerkelijke Ledenadministratie (SILA) regelt dat. SILA krijgt gegevens van de burgerlijke gemeente en geeft die vaak geautomatiseerd door aan de kerk.
Dat mogen ze niet als iemand geen lid (meer) bent van de kerk of als iemand bezwaar hebt gemaakt tegen registratie.

In het regeerakkoord 2017-2021 is opgenomen dat er een overgangsregeling komt voor het delen van je persoonsgegevens uit de BRP aan SILA. Wie nu geregistreerd staat, kan kiezen voor een opt-out.

Mag de kerk persoonsgegevens aan iedereen verstrekken?

Nee. De kerk mag wel persoonsgegevens doorgeven aan anderen die tot de kerk behoren. Voorbeelden:

  • een lijst met namen en telefoonnummers van deelnemers aan een bijbelcursus
  • doopgegevens aan het bisdom
  • persoonsgegevens aan vrijwilligers die kerkelijke activiteiten organiseren
  • de kerk mag persoonsgegevens aan mensen of organisaties buiten de kerk alleen verstrekken als er een wettelijke basis is. Of als iemand daarvoor toestemming heeft gegeven.

Mag een kerk persoonsgegevens op de kerkwebsite plaatsen?

Dat mag met toestemming, of als je het afschermt. Dus achter een inlog en afgeschermd voor zoekmachines. En als het is opgenomen in de doelstellingen van de kerk.
Niet iedereen kan dan deze gegevens zien: alleen leden met toegang.

Je bent verplicht persoonsgegevens van de kerkwebsite te corrigeren of te verwijderen als iemand dat kenbaar maakt. Iedereen heeft het recht persoonsgegevens in te zien, te corrigeren of te (laten) verwijderen.

Dit betekent dat je moet opletten als:

  • bij herkenbare foto’s van vieringen of andere bijeenkomsten
  • bij herkenbare video’s van vieringen of andere bijeenkomsten
  • van welke aard ook

Je kunt toestemming reguleren door:

  • vooraf aan te kondigen dat er foto’s/video’s worden gemaakt (en als mensen dat niet willen, dit kenbaar maken aan de maker)
  • toestemming te vragen, door kerkleden algemene formulieren in te laten vullen wanneer ze wel of geen foto’s/video’s toestaan (is gebruikelijk in het onderwijs)
  • een correctiemogelijkheid aan te bieden in kerkblad, website en andere publicaties.

En mailings zoals nieuwsbrieven? Mogen we die nog wel versturen?

Ja hoor. Dat mag. Vanzelfsprekend mag je met parochianen en gemeenteleden digitaal contact onderhouden. Het verwerven van e-mailadressen met het doel mensen te informeren mag. Maar let op: heb je meerdere nieuwsbrieven, dan is voor iedere nieuwsbrief afzonderlijk toestemming nodig. Let op als je e-mailadressen van derden hebt gekregen. Check of zij wel toestemming hebben gekregen om de gegevens te delen met jou zodat jij ze gaat e-mailen.

Deze checklist kan je helpen:

  • Zorg ervoor dat iemand bewust een actie moet uitvoeren om akkoord te gaan met het opslaan en verwerken van data. Bijvoorbeeld een ja-vinkje.
  • Zorg ervoor dat er een privacy statement is waarin je in Jip en Janneke taal uitleg welke data je opslaat en waarom
  • Zorg ervoor dat afmelden voor een nieuwsbrief of mailing heel makkelijk gaat
  • Zorg ervoor dat je inzage kunt geven in de gegevens die je van iemand hebt geregistreerd
  • Zorg ervoor dat iemand eenvoudig zijn/haar voorkeuren kan wijzigen.

Pffff. Dat is een hoop. Kun je het even samenvatten?

Denk bij privacybescherming aan:

  • Welke data wil ik hebben?
  • Voor welk doel gebruik ik het?
  • Waar en hoe sla ik het op?
  • Is dat veilig?
  • Kan iemand makkelijk zijn/haar persoonsgegevens opvragen, wijzigen en verwijderen?
  • Is iedereen op de hoogte?

Neem het serieus.

Wat moeten we nu doen?

In dit artikel heb ik een kleine, niet uitputtende, to do lijst opgesomd. Die herhaal ik voor het gemak (dan hoef je niet weer omhoog te scrollen):

  • Schrijf een privacy statement of pas deze aan om de rechten van betrokkenen te waarborgen
  • Schrijf een social media protocol
  • Check het redactiestatuut van het kerkenblad rondom persoonsgegevens
  • Publiceer deze documenten
  • Denk aan een cookie statement
  • Controleer je bestaande publicaties en databanken
  • Stel in je bestuur een functieprofiel op en werf een functionaris
  • Als je een softwarepakket gebruikt, check dan of de leverancier ISO 27001 gecertificeerd is. Dit certificaat garandeert een onafhankelijke controle op de naleving van de nieuwe privacywetgeving
  • Stel een protocol datalekken op

Wil je meer weten?

  • Als je meer wilt weten over persoonsgegevens op websites en het beveiligen ervan, of het omgaan met persoonsgegevens bij mailings, dan kun je mij benaderen. Ik kan je waarschijnlijk adviseren, en anders doorverwijzen)
  • Als je meer wilt weten over privacybescherming in databanken, neem dan contact op met de Autoriteit Persoonsgegevens.
  • Vanaf januari 2018 gaat de Autoriteit Persoonsgegevens een bewustwordingscampagne starten.
  • Download deze handige checklist van de Church of England (PDF)

 

Filmpje!

Wat veel tekst. Ik wil nu wel eens wat zien.

In dit filmpje (13 minuten, Engels) spreekt de Europese toezichthouder voor gegevensbescherming Giovanni Buttarelli de aanwezigen toe op een conferentie die werd onder meer kardinaal Stefan Wyszyński in Warschau met betrekking tot de bescherming van gegevens die afkomstig zijn van kerken en andere religieuze groepen. Zijn toespraak beantwoord een groot aantal vragen.

 

Bronnen en disclaimer

In dit artikel heb ik gebruik gemaakt van diverse bronnen, waaronder mijn juridische oud-docent en vermaarde privacyjurist Alexander Singewald, de websites Privacy.nl, Autoriteit Persoonsgegevens, Communicatierijk.nl, Eur-Lex, Wikipedia. Fouten nadrukkelijk voorbehouden. Aanpassingen en uitbreidingen mogelijk later. Reageer gerust als je iets mist.

Geef je stem:
(Gemiddeld: 4.8)