Ja, de AVG is een verordening van de EU, waaraan alle kerkelijke organisaties moeten voldoen. Mogelijk is er sprake van een overgangsregime. Dit is aan de orde indien uw organisatie in mei 2016 al uitgebreide (interne) regels had op het gebied van de bescherming van persoonsgegevens. Uw organisatie krijgt dat de tijd deze op niveau van de AVG te brengen. Het CIO is hierover in overleg met de Autoriteit Persoonsgegevens. Op basis van het normenkader van EasyPrivacy® kunt u eenvoudig zien wat op uw organisatie van toepassing is. Daarnaast leidt de aard van de persoonsgegevens die kerkelijke organisaties verwerken tot specifieke aandachtspunten, bijvoorbeeld i.r.t. tot het uitzenden van kerkdiensten en de verschillende registers (ledenadministratie, doopregister, etc).

De EasyPrivacy® tool ontzorgt kerkelijke organisaties om op eenvoudige manier en tegen lage kosten te voldoen aan de AVG verplichtingen. In de bibliotheek vindt u al de documenten die u nodig heeft zonder dat u het wiel zelf hoeft uit te vinden. De hele AVG is vertaald naar acties, die u vanuit de tool kunt aansturen en beheren. Met uw dashboard ziet u altijd of u aantoonbaar in control bent, danwel waar nog acties nodig zijn.

Dit hangt deels af tot welke ‘stroming’ u behoort. Bij de RKK is een groot aantal zaken centraal bepaald. Binnen bijvoorbeeld de PKN zult u decentraal het meeste moeten regelen. Wat voor de meeste kerkelijke organisaties minimaal van toepassing is, betreft: 1. privacy bewustzijn creëren, 2. het beschikbaar hebben van een privacy verklaring, 3. beveiligingsbeleid, 4. geheimhoudings- en toestemmingsverklaringen, 5. inrichten van een procedure voor datalekken, 6. Regels omtrent het publiceren van foto’s, 7. uitzenden kerkdiensten, 8. inrichten van het (kunnen) voldoen aan de rechten van betrokkenen. Deze plus andere benodigde documenten vindt u in de EasyPrivacy® bibliotheek.

Bij constatering van een overtreding kan de Autoriteit Persoonsgegevens (AP) overgaan tot een waarschuwing of een berisping, dan wel een aanwijzing geven om de verwerking van persoonsgegevens geheel of gedeeltelijk te stoppen. Ook kan er een boete worden opgelegd die bij grote commerciële bedrijven tot in de miljoenen kan oplopen. De hoogte van boete hangt af van een veelheid aan factoren, waaronder de mate van verwijtbaarheid en de ernst en aard van de overtreding.

Dat is lastig te zeggen, maar één ding is helder: Als u als kerkelijke organisatie geen invulling geeft aan de privacy verplichtingen van de AVG en er gaat iets fout met de persoonsgegevens die u verwerkt dan is er een kans op een boete, maar misschien primair wilt u het toch gewoon goed regelen voor uw eigen leden. Het eerste half jaar heeft de regering aan de Autoriteit Persoonsgegevens gevraagd terughoudend te zijn met handhaving en meer te doen aan voorlichting.

Iedereen mag aan een organisatie vragen of, en zo ja, welke gegevens deze organisatie van deze persoon heeft. Er mag alleen gevraagd worden naar gegevens van iemand zelf, niet naar gegevens van iemand anders. Het is van belang dat u de mogelijkheid om van dit recht gebruik te maken duidelijk en helder uitlegt, zodat er geen drempel wordt opgeworpen om er gebruik van te maken. Wat u moet doen en hoe een dergelijk inzageverzoek werkt, leest u op de website van de Autoriteit Persoonsgegevens. Zie de link hieronder. https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacyrechten/recht-op-inzage. Vanzelfsprekend bevat EasyPrivacy® ook de noodzakelijke documenten hiervoor, zodat u snel voldoet aan de wettelijke eisen.

Zodra personen herkenbaar in beeld zijn worden zij beschermd door de privacywetgeving. Dit geldt voor plaatsing op de website van de kerk (openbaar gedeelte), maar ook als u foto’s van een leuk uitje of een activiteit in uw kerkdienst laat projecteren. Een kerkdienst is immers een publiek toegankelijke bijeenkomst. Vraag de personen die herkenbaar in beeld komen uitdrukkelijk om (schriftelijke) toestemming. Foto’s waar mensen niet herkenbaar in beeld zijn (bijvoorbeeld op de rug) mogen wel.

Iedere vorm van verlies, misbruik, diefstal of ongeautoriseerde toegang tot persoonsgegevens kan een datalek zijn. Het gaat hierbij om een inbreuk op de beveiliging van gegevens. Dit noemt men een beveiligingsincident. Echter: niet elk beveiligingsincident is een datalek. Het is alleen een datalek indien er sprake is van nadeel voor de betrokkene(n).

Nee, uitsluitend indien het beveiligingsincident leidt tot verlies of onrechtmatige verwerking van persoonsgegevens. Tevens moet er sprake van zijn dat de inbreuk tot een ‘aanmerkelijke kans’ op ‘nadelige gevolgen’ leidt. Wat dat is, is per situatie anders, maar hierbij moet u denken aan verlies van persoonsgegevens waarmee identiteitsfraude kan worden gepleegd (BSN, creditcardgegevens, rijbewijs, paspoort, financiële gegevens), dan wel bijzondere persoonsgegevens, waaronder medische en religieuze gegevens.

Met je ‘eigen’ parochianen en gemeenteleden kunt u digitaal contact onderhouden. Dat is een gerechtvaardigd belang. Voor niet parochianen/leden, is wel toestemming vereist. Daarbij moet altijd kenbaar worden gemaakt dat deze categorie zich kan uitschrijven voor de nieuwsbrief.

Dit is voor veel organisaties nog heel lastig, want hoe toon je nu aan dat alles wat je op papier hebt gezet ook daadwerkelijk wordt uitgevoerd. Met EasyPrivacy® is aantonen heel makkelijk omdat alle uit te voeren acties vanuit de tool worden aangestuurd en de uitkomsten zichtbaar zijn in het dashboard.

Twee dingen zijn van belang om in het oog te houden. Wat wordt verstaan onder een ‘openbaarmaking’ en wat kan vallen onder gedeelte geheimhouding ten behoeve van het functioneren als kerk. Het is logisch dat de wijkouderlingen of pastorale bezoekers in een gemeente beschikken over ledengegevens, of toegang ertoe hebben. Maar zij zijn – als het goed is – zich bewust van het feit dat ze daar zorgvuldig mee hebben om te gaan, en niet kunnen delen met anderen buiten de kring van de ouderlingen en bezoekwerkers van de kerk. Wanneer nu een ‘gemeentegids’ of een zogeheten ‘gezichtenboek’ van heel de gemeente wordt gemaakt en als print door de gehele gemeente wordt verspreid, kun je zeggen: dat is in onze gemeenschap nodig om elkaar te kunnen vinden, maar tegelijk wordt het dan erg moeilijk om iedereen er aan te houden dat dit alleen intern gedeeld kan worden. Het begint dan wel heel erg op een openbaarmaking te lijken, een voor ieder toegankelijke uitgave. Al heel snel is dan ook sprake van een ‘datalek’ als zo’n boekje ergens onbeheerd rondslingert. Al heel snel zal het dan in de richting moeten gaan dat u aan allen die in dat boekje of in het ‘smoelenboek’ vermeld zullen worden expliciet toestemming vraagt. (Bron: PKN)

Dit geldt ook voor zondagsbrieven en voor een publiek toegankelijk kerkblad. Het hoort bij samen kerk-zijn om met elkaar mee te leven. Dat kan niet zonder ook gebeurtenissen te delen. Maar een kerkdienst is openbaar. Dus aan alle kerkgangers een zondagsbrief uitreiken met informatie, maar ook met persoonlijke informatie over wel en wee van traceerbare mensen, is daarmee publiek. Is uw kerkblad alleen beschikbaar voor geregistreerde leden of vrienden van de gemeente ? Of is het voor ieder beschikbaar? Er zijn (gezamenlijke) kerkbladen, waar ieder die dat wil zich op kan abonneren. Zo komen er op het VKB-bureau gezamenlijke kerkbladen binnen, waarin de berichten van meerdere wijkgemeenten zijn opgenomen. In één blad kun je soms wel 30 à 40 persoonlijke berichten, met naam en toenaam, vinden. En ieder kan zich er op abonneren. Dit is dus een openbaarmaking met persoonsgegevens. Feitelijk dient hier dan door betrokkenen toestemming voor te zijn gegeven. (Bron: PKN)

Een website van de kerk is een uitgelezen kans om iedereen te informeren over de gemeente. Echter, alle informatie die u op de website zet is openbaar. Daar komt bij dat wat eenmaal op internet verschijnt ook heel lang vindbaar blijft. Een geprint kerkblad is ook openbaar, maar het meeste promoveert na een bepaalde tijd tot de categorie ‘oud papier’. Dat geldt niet voor alles wat op internet wordt geplaatst. Let daarom goed op de privacy en zorg ervoor dat namen van mensen die geen functie hebben in de kerk niet op de website staan. Zorg er ook voor dat bijzondere persoonsgegevens zoals ziekte- en pastorale informatie niet op een openbaar gedeelte van de website komen te staan. Het is dan wel weer van belang dat u goed in uw privacy beleid vastlegt wie er in aanmerking 2 kan komen voor een inlogcode. Ook dient u de toegankelijkheid goed te beveiligen (wachtwoordbeleid). Gebruik zoveel mogelijk e-mailadressen die gebonden zijn aan een functie (bijvoorbeeld scriba@gemeentenaam.nl) in plaats van persoonlijke e-mailadressen. (Bron: PKN)

Let ook op foto’s of beeldmateriaal: zodra personen herkenbaar in beeld zijn worden zij beschermd door de privacywetgeving. Dit geldt voor plaatsing op de website van de kerk (openbaar gedeelte), maar ook als u foto’s van een leuk uitje of een activiteit in uw kerkdienst laat projecteren. Een kerkdienst is immers een publiek toegankelijke bijeenkomst. Vraag de personen die herkenbaar in beeld zijn uitdrukkelijk om (schriftelijke) toestemming. Foto’s waar mensen niet herkenbaar in beeld zijn (bijvoorbeeld op de rug) mogen wel. Zie ook de informatie in de kennisbank van de VKB over ‘kerk-TV’ . Zie: hier. Interessant is ook de themapagina over communicatie in de kerk op de website van de Protestantse Kerk. Zie de link hieronder. https://www.protestantsekerk.nl/themas/gemeenteopbouw/communicatie/pers (Bron: PKN)

Het is zinvol om regelmatig al uw gemeenteleden en bij u geregistreerde meelevenden te informeren over een aantal zaken in uw gemeente, zoals ook het privacybeleid. Dat kan eventueel gekoppeld worden aan een reeds bestaande actie. Zo worden in veel gemeenten bijvoorbeeld bij de Actie Kerkbalans alle leden reeds benaderd. Daar kunt u het aan koppelen. Maar het heeft meer attentiewaarde als u het apart doet. U kunt daarin uitleggen hoe er in de gemeente omgegaan wordt met persoonsgegevens. U kunt mensen wijzen op hun wettelijke rechten (tot inzage, wijziging, verwijdering etc.). Ook kunt u daar vragen stellen tot toestemming, bijvoorbeeld tot opname van gegevens in een gemeentegids die voor alle leden beschikbaar wordt gesteld, of voor vermelding van persoonlijke gegevens in kerkblad, of het kunnen gebruiken van foto’s waarop gemeenteleden herkenbaar zijn voor PR doeleinden. Toestemming dient echter individueel en schriftelijk te worden gegeven (en dus worden bijgehouden). Dus toestemming van een ‘gezinshoofd’ voor een hele familie is niet mogelijk. Tegelijk moet duidelijk worden gemaakt dat ieder op elk tijdstip makkelijk het recht moet hebben tot intrekking van die toestemming. Al met al is dit nog tamelijk bewerkelijk, en vraagt administratie. Niet iedereen zal het antwoordformulier insturen of terugmailen. Dan vraagt het eventueel navraagacties, als compleetheid wordt nagestreefd. Daarnaast kan er bij bepaalde gebeurtenissen apart toestemming worden gevraagd, al kan het in pastorale situaties wel weer belastend zijn om dan ook nog eens met een formuliertje aan te komen om te tekenen voor toestemming voor vermelding van jouw ziekenhuisopname in de zondagsbrief van de gemeente. Kortom: het is afwegen en kijken wat het beste bij de situatie en de mogelijkheden van uw gemeente past (voortaan achterwege laten, in een beveiligde omgeving informeren (achter een inlog), of toch het toestemmingssysteem introduceren). Men kan er ook voor kiezen om de veelal gebruikelijke gang van zaken te handhaven, maar dan wordt het risico gelopen op de vingers getikt te worden. Dat zal in de praktijk meestal zijn op grond van een klacht. Maar besef wel, dat men dan geheel in zijn wettelijke recht staat. (Bron: PKN)

Voor gegevens ‘in the cloud’ geldt hetzelfde als bij het introduceren van een beveiligde toegang tot een vorm van intranet. Het gaat erom dat goed vastligt en gedocumenteerd wordt wie er tot welke gegevens toegang heeft. Vervolgens is van belang dat u de gegevens via providers laat opslaan die dit in zogenaamde ‘veilige landen’ doen. Daarbij geldt dat de opslag van data binnen de Europese Unie te prefereren is in verband met de daar geldende wetgeving (of landen die zich daaraan conformeren, zoals bv. Noorwegen en Zwitserland). 8. Hoe zit het met de uitwisseling en vastlegging van pastorale gegevens tussen ambtsdragers, bezoekvrijwilligers etc. in verband met geheimhouding en privacy? In de kerkorde van onze Protestantse Kerk staat dat ieder die vanuit een functie gegevens uit de kerk krijgt gehouden is tot geheimhouding. Dat vind je in Ordinantie 4- 2. Dus dat geldt niet alleen voor hen die er bij een aanstelling of bevestiging in een ambt uitdrukkelijk een belofte over doen. Dat geldt ook voor de jeugdclubleiding die een lijstje met gegevens van jongeren ontvangt, of voor de bezoekdame die verjaardagslijstje van ouderen uit haar wijk ontvangt. Dat wil zeggen dat iemand in welke hoedanigheid ook - bijvoorbeeld als vrijwilliger, medewerker of kerkenraadslid - een geheimhoudingsplicht heeft. De geheimhoudingsplicht is ook van toepassing zonder dat iemand hiervoor getekend heeft. En ook als iemand slechts eenmalig gegevens heeft ontvangen. Het betekent ook dat deze plicht blijft nadat men gestopt is met een bepaalde functie of een bepaald ambt. Betekent deze geheimhouding nu dat er nooit iets gedeeld kan worden? Nee, dat betekent het niet. Dat zou onwerkbaar zijn. Er wordt in pastoraat en diakonaat of in jeugdwerk samengewerkt. Dat kan niet zonder overleg. Er moet echter een goede reden zijn om persoonlijke gegevens te delen. Het kan er om gaan de predikant op te hoogte te brengen van een situatie. Het kan gaan om intervisie of gezamenlijk overleg. Het kan gaan om overdracht van werkzaamheden. Het kan om opzicht in een gemeente. Het is van belang dat zorgvuldigheid en terughoudendheid daarbij van belang zijn. Persoonlijke pastorale aantekeningen vallen niet zo gemakkelijk onder het recht tot inzage, maar vallen wel onder bescherming van de privacywetgeving (zorg dat ze niet toegankelijk zijn voor derden). Zodra gebruik gemaakt wordt van digitale dossiervorming waarin meerdere deelnemers meedoen (predikant, wijkouderling, pastoraal werker), valt het al gauw onder de gehele regelgeving (inclusief recht op inzage door betrokkene). Wees u er daarom van bewust wat u wel en niet daarin opneemt. Ook als er besprekingen over pastorale situaties moeten worden vastgelegd, dient dit te gebeuren in aparte niet openbare notulen. (Bron: PKN)

In de bibliotheek van EasyPrivacy kunt u alle modellen vinden die u nodig heeft, inclusief het model zoals het door PKN ontworpen is. Deze laatste is ook beschikbaar via https://www.protestantsekerk.nl/actief-in-de-kerk/besturen/kerkenraad/privacy (Bron: PKN)