Zorgvuldig rond privacy

In heel de Europese Unie gaat vanaf 25 mei 2018 één regeling gelden voor de omgang met persoonsgegevens. Deze nieuwe wet wordt ook wel de AVG (Algemene Verordening Gegevensbescherming) genoemd. Verschillende kerken besteden op hun website aandacht aan de regels. Facebook heeft met het misbruik van persoonlijke gegevens laten zien hoe belangrijk het is zorgvuldig met persoonlijke data om te springen.

Wie op internet zoekt, vindt bij de Protestantse Kerk de meest uitvoerige analyse van de nieuwe AVG. Ook de Rooms-Katholieke Kerk en de Gereformeerde Kerken vrijgemaakt besteden op makkelijk vindbare plaatsen aandacht aan de thematiek. Koepelorganisaties als het CIO en MissieNederland hebben het thema ook aangekaart.

Als Raad van Kerken wijzen we in de e-flits mensen onderaan de tekst expliciet op de AVG, zodat men van de strekking kennis kan nemen en zich bewust is van het feit dat ze de flits maandelijks ontvangen vanuit een opgebouwd mailbestand. Ook in andere publicaties, zoals hier op de website, wordt aandacht gegeven aan de problematiek. De Raad maakt veel gebruik van foto’s. Deze zullen nog meer dan in het verleden gekozen moeten worden op ‘niet-herkenbaarheid’ van personen. Daar waar er sprake is van mensen die direct met de organisatie zijn verbonden wordt in vergaderingen expliciet aangegeven dat de Raad met regelmaat foto’s gebruikt vanuit bijeenkomsten die door de Raad zelf zijn georganiseerd, inclusief beeldmateriaal dat daar geschoten wordt. Indien bezoekers expliciet aangeven niet in beeld te willen komen, wordt daar rekening mee gehouden. Daar waar mensen achteraf vragen om verwijdering van een foto, waarop zij (enigszins) zichtbaar zijn, wordt dat zonder verdere discussie gehonoreerd.

De Protestantse Kerk wijst er via de website op dat de regels ook voor de kerken consequenties hebben. ‘De Protestantse Kerk in Nederland wil bewust en zorgvuldig omgaan met persoonsgegevens en de privacy van haar leden en bezoekers’. De kerk doet daarom een oproep zorgvuldig met gegevens om te springen. Je mag niet maar zo persoonsgegevens doorsluizen. Van het verwerken van persoonsgegevens is sprake wanneer je een handeling pleegt die betrekking heeft op een (te identificeren) persoon of personen. Het heeft dus niet alleen betrekking op namen en adressen, maar ook bijvoorbeeld op foto’s op de website waarop mensen herkenbaar in beeld zijn, aldus de PKN.

Het heeft dus niet alleen maar te maken met het verstrekken van gegevens aan derden, het gaat ook om uw eigen handelen. Denk bijvoorbeeld aan:
…het sturen van een e-mail naar de gemeenteleden.
…het nemen van een foto van de predikant voor op de website.
…het sturen van een rekening voor de collectebonnen.
…het exporteren van gegevens uit de ledenadministratie.
…het maken van aantekeningen tijdens een gesprek die bedoeld zijn om in een dossier te worden opgenomen.
…het opnemen van verjaardagen in het kerkblad.
… publicatie van het kerkblad op de website
…uitzending van kerkdiensten (via radio of met camera’s)
…eventuele bewakingscamera’s op het kerkterrein
…het noemen van de zieken in de gemeente op een zondagsbrief.
…het lezen en bewaren van sollicitatiebrieven.
…het hebben van personeelsgegevens.
…en alle andere handelingen die met gegevens te maken hebben die tot een persoon te herleiden zijn.

Stappen

De Protestantse Kerk noemt vijf stappen om tot een verantwoord beleid inzake de AVG te komen.

Stap 1: maak beleid en spreek erover

De AVG laat alle ruimte voor kerken en organisaties om haar taak te vervullen en gebruik te maken van persoonsgegevens, zolang de waarborgen maar op zijn plaats zijn. Spreek er over. Omschrijf uw plaatselijke situatie zo duidelijk en concreet mogelijk.

Stap 2: informeer mensen

Iedereen die met de kerk te maken heeft moet weten wat er met zijn of haar gegevens gebeurt. Als u gebruik maakt van formulieren (zowel online als op papier) waar mensen hun gegevens achterlaten moeten mensen geïnformeerd worden over hoe er met hun privacy om wordt gegaan.

Stap 3: beveilig informatie

Beveiliging moet standaard zijn. U moet weten wie welke gegevens heeft en waarom deze persoon de gegevens gebruikt. U moet er ook voor zorgen dat de informatie niet zomaar voor iedereen toegankelijk is: zorg voor een af te sluiten kast, zorg voor een afgesloten gedeelte op de website en maak geen gebruik van inlogcodes die meerdere mensen hebben.

Stap 4: deel informatie alleen als het nodig is

Iedereen die met gegevens werkt van de kerk is gehouden tot geheimhouding. Je mag dus informatie binnen de kerk ontvangen over personen, niet maar zo elders aanreiken.

Stap 5: meld fouten

Soms gaat het mis. In zo’n geval moet u nagaan of u een melding moet maken.

Veelvoorkomende vragen

De kerk geeft een eenvoudig antwoord op enkele veel voorkomende vragen.

Wie is er verantwoordelijk voor de privacy in de kerk?

Iedereen heeft in de kerk een gedeelde verantwoordelijkheid voor de privacy. Het moet deel zijn van de bewustwording van een ieder die met persoonsgegevens uit de kerk werkt.

Wat zijn persoonsgegevens?

Alles wat te herleiden is direct of indirect tot een of meer personen, dus ook telefoonnummers, postcodes, of bepaalde persoonskenmerken.

Gegevens rondom geloofsovertuiging zijn bijzondere persoonsgegegevens, mogen wij die wel gebruiken?
Kerken mogen gegevens rondom geloofsovertuiging van hun leden registreren. Dit is expliciet in de wetgeving voorzien.

Hoe zit het met de website van de kerk?

De website van de kerk is een uitgelezen kans om iedereen te informeren over de gemeente. Echter, alle informatie die u op de website zet is openbaar. Let daarom goed op de privacy en zorg ervoor dat namen van mensen die geen functie hebben in de kerk niet op de website staan. Zorg er ook voor dat bijzondere persoonsgegevens zoals ziekte- en pastorale informatie niet op een openbaar gedeelte van de website staan. Gebruik zoveel mogelijk e-mailadressen die gebonden zijn aan een functie (bijvoorbeeld scriba@gemeentenaam.nl) in plaats van persoonlijke e-mailadressen. Let ook op foto’s op de website: zodra personen herkenbaar in beeld zijn worden zij beschermd door de privacy-wetgeving. Vraag de personen die herkenbaar in beeld zijn uitdrukkelijk om (schriftelijke) toestemming. Foto’s waar mensen niet herkenbaar in beeld zijn (bijvoorbeeld op de rug) mogen wel.

Hoe zit het met het kerkblad?

n het kerkblad staat naast openbare stukken over de kerkdiensten en andere activiteiten van de kerk, vaak ook erg persoonlijke informatie over gemeenteleden. Dat kan een verjaardagslijstje met adressen (voor het verzenden van een verjaardagskaartje) of een lijstje met zieken in de gemeente zijn. Zorg ervoor dat dergelijke informatie alleen beschikbaar is voor leden van de gemeente. Zet uw kerkblad dus niet op een website als er dergelijke informatie in voorkomt, maar selecteer de betreffende kopij die op de website kan worden geplaatst. Let er ook op dat bijvoorbeeld lokale journalisten geabonneerd kunnen zijn op het kerkblad: denk na of deze groep ook echt toegang moet kunnen krijgen tot alle informatie in het kerkblad.

RKK

De Rooms-Katholieke Kerk verwijst naar ‘Reglement Bescherming Persoonsgegevens Parochies’ uit 2006. Ook daarin wordt gewaarschuwd voor oneigenlijk gebruik van gegevens. Artikel 10.1 zegt onder meer: ‘De te verwerken persoonsgegevens worden slechts verder verwerkt op een wijze die niet onverenigbaar is met het doel waarvoor ze zijn verkregen. Daarbij wordt ten minste rekening gehouden met de verwantschap van de doelen, de aard van de gegevens, de gevolgen van de verdere verwerking voor de betrokkene, de wijze waarop de gegevens zijn verkregen en de waarborgen ter bescherming van de persoonlijke levenssfeer’. Men werkt verder aan een update, passend bij wat er aanvullend vanuit Europa wordt gevraagd.

Het CIO (Contactorgaan inzake Overheidsaangelegenheden) heeft al in een vroeg stadium over de AVG gesproken. In een uitleg wijst men onder meer op art.6 van de AVG, waar staat:

‘De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:
a) de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is’.

CIO wijst er op dat de toestemming moet kunnen worden aangetoond en dat de toestemming ten allen tijde kan worden ingetrokken.

Foto’s: archief Raad van Kerken