Kerk en AVG

Vanaf 25 mei 2018 geldt de nieuwe privacywetgeving, ook wel bekend als de Algemene Verordening Gegevensbescherming (AVG). Ook voor kerken en diaconieën heeft dit gevolgen.

Laatste update: 1-5-2018

Kerk en AVG

Kerken vallen ook onder de AVG. Dat betekent dat kerken bewust en zorgvuldig zullen moeten omgaan met persoonsgegevens en de privacy van haar leden en bezoekers. Het is daarom belangrijk dat iedereen die in de kerk met persoonsgegevens te maken heeft, op de hoogte is van de nieuwe regelgeving.

Waar gaan de regels over

De AVG gaat over het verwerken van persoonsgegevens. Dit zijn die gegevens die direct of indirect te herleiden zijn tot een of meer personen. Denk dan aan namen, adressen, foto’s op websites, maar ook aan bepaalde persoonskenmerken. En die gegevens spelen in allerlei situaties een rol, zoals bijvoorbeeld bij:

  • het sturen van een rekening voor collectebonnen.
  • het sturen van e-mails naar een kring of de gemeente.
  • het maken van aantekeningen tijdens een bezoek, bedoeld om in een dossier op te nemen.
  • het noemen van verjaardagen of zieken in het kerkblad of tijdens de dienst.
  • het delen van het kerkblad via de website.
  • het uitzenden van kerkdiensten via het internet.

Het gaat dus om al die handelingen met gegevens die tot een persoon te herleiden zijn. Dergelijke persoonsgegevens mogen worden doorgegeven aan leden binnen de eigen kerkelijke gemeente. Maar voor het verstrekken van persoonsgegevens buiten eigen kerk is echter vooraf toestemming nodig. Dit betekent bijvoorbeeld ook dat NAW-gegevens niet zomaar op de website van de kerk mogen staan.

Wat moet je als kerk doen?

Een goed privacybeleid zorgt ervoor dat de persoonsgegevens van iedereen gewaarborgd zijn, dat gegevens beveiligd worden en alleen worden gebruikt als dat in de kerk nodig is. Zorg er ook voor dat dit beleid bekend is bij gemeenteleden.

In de kerk moet iedereen weten wat er met zijn of haar gegevens gebeurt. Wanneer je gebruik maakt van formulieren (zowel online als op papier) waar mensen hun gegevens achterlaten, informeer mensen dan over hoe er met hun gegevens en privacy om wordt gegaan.

Vanuit de verschillende kerkelijke ondersteuningsorganisaties wordt gekeken naar de mogelijkheid om een model privacy-statement ter beschikking stellen dat lokaal kan worden gebruikt.

Update

De landelijke Protestantse Kerk heeft een model privacyverklaring gepubliceerd op haar website. Daarmee kom je tegemoet aan de eisen van de nieuwe privacywet AVG. Het modeldocument staat op de website van de PKN (dit is de rechtstreekse link (Word-bestand). Ook kun je als kerk aan de slag met het privacy statement van de IZB.

Het bewaren van gegevens

Ga zorgvuldig om met persoonlijke gegevens. Zorg dat je weet wie welke gegevens heeft en waarvoor deze worden gebruikt. Zorg er verder voor dat informatie niet zomaar voor anderen toegankelijk is. Dat kan bijvoorbeeld door een af te sluiten kast en een afgesloten gedeelte op de website.

Online diensten en mail

Gratis diensten als Google drive of Dropbox kunnen gebruikt worden, zolang maar helder is wie er toegang hebben tot de gegevens en de gegevens niet zomaar op straat komen te liggen. Maak daarom geen gebruik van algemene en gemeenschappelijke, maar van persoonsgebonden gebruikersnamen en wachtwoorden.

Gebruik als diaken een email adres dat niet door anderen gelezen kan worden. Het email-adres van je gezin komt hiervoor dus niet in aanmerking! Maak in plaats daarvan een apart mailadres aan, speciaal bestemd voor jou als diaken.

AVG

Kijk ook op www.steunpuntkerkenwerk.nl/avg/ voor meer praktische informatie over de AVG.

Veelgestelde vragen

Hoe zit het met de website van onze kerk?

Alle informatie op die website is openbaar. Let daarom goed op de privacy en zorg ervoor dat persoonsgegevens van mensen die geen functie hebben in de kerk niet op de website staan. Zorg er ook voor dat bijzondere persoonsgegevens zoals ziekte-, pastorale en diaconale informatie niet op het openbare gedeelte van de website staan.

Gebruik daarnaast zoveel mogelijk e-mailadressen die gebonden zijn aan een functie (bijvoorbeeld scriba@gemeentenaam.nl) in plaats van persoonlijke e-mailadressen. Let verder ook op het gebruik van foto’s: zodra personen herkenbaar in beeld zijn is uitdrukkelijke (schriftelijke) toestemming nodig. Dat geldt niet voor foto’s waar mensen niet herkenbaar in beeld zijn (bijvoorbeeld op de rug).

Hoe zit het met ons kerkblad?

In het kerkblad staat, naast openbare informatie over kerkdiensten en andere activiteiten van de kerk, vaak ook erg persoonlijke informatie over broers en zussen in de gemeente. Dat kan een overzicht van verjaardagen of een lijstje met zieken in de gemeente zijn, inclusief adressen voor het verzenden van een kaartje. Zorg ervoor dat dit soort informatie alleen beschikbaar is voor leden van de gemeente. Zet het kerkblad niet een op een op een website als er dergelijke informatie in voorkomt, maar selecteer die gedeelten die rustig op de website kunnen worden overgenomen.

Wie mogen we mailen of onze nieuwsbrief sturen?

Voor gemeenteleden hoeft hiervoor geen toestemming te worden gevraagd. Dergelijke communicatie valt binnen de activiteiten van de kerk en die heeft een gerechtvaardigd belang om haar leden via mail of nieuwsbrief te informeren. Wel moeten leden zich hiervoor kunnen uitschrijven.

Voor het mailen van niet-gemeenteleden moet je vooraf toestemming vragen. Laat iemand zich daarom actief aanmelden voor de nieuwsbrief. Bewaar deze aanmeldingen ook. Vraag bij de aanmelding niet meer gegevens dan nodig. Deze gegevens mag je ook niet voor een ander doel gebruiken.

Hoe zit het met uitzenden van diensten via internet?

Het moet duidelijk kenbaar gemaakt worden wanneer er op een bepaalde locatie gebruik gemaakt wordt van camera’s. Geef daarnaast duidelijk aan waarom je het belangrijk vindt om de diensten op deze manier uit te zenden. Meer informatie hierover vind je op https://www.steunpuntkerkenwerk.nl/avg/

Wat als het toch fout gaat?

Soms gaat het toch mis. Je computer is gehackt of je bent je USB stick verloren. Misschien heb je per ongeluk een deel van de ledenlijst naar een verkeerd e-mailadres gestuurd. Check of je in zo’n geval een melding moet maken. De wet meldplicht datalekken bepaalt namelijk dat er binnen 24 uur melding gemaakt moet worden bij inbreuk op persoonsgegevens van gevoelige aard met mogelijk ernstige gevolgen. Persoonsgegevens van gevoelige aard gaan bijvoorbeeld over betalingsgegevens, verslavingen, werk- of relatieproblemen. Meer informatie over deze meldplicht vindt je bij de autoriteit persoonsgegevens.

Wat wordt er landelijk georganiseerd voor de kerken?

Op dit moment wordt er verkend wat de protestantse (gereformeerde) kerken gezamenlijk kunnen organiseren. Zodra hier meer over bekend is vind je dat op deze website.