Algemene Verordening Gegevensverwerking

Op deze pagina zullen wij u op de hoogte houden van de Algemene Verordening Gegevensverwerking (AVG) die per 25 mei 2018 van kracht gaat. Het gaat om een verordening die rechtstreekse werking heeft op alle lidstaten van de Europese Unie. Ook kerkgenootschappen, koepels en lokale kerken, vallen onder deze wetgeving. Hierbij respecteert de AVG in beginsel de bestaande wettelijke afspraken tussen kerken en de overheid in de nationale lidstaten. Momenteel vinden er gesprekken plaats tussen het CIO en de Autoriteit Persoonsgegevens in hoeverre de AVG van toepassing is op het kerkelijk leven, gezien Artikel 91 van de AVG.

Wat houdt de AVG in?
In Nederland wordt privacy beschermd door de Wet bescherming persoonsgegevens (Wbp). Vanaf 25 mei 2018 moet iedere organisatie binnen de Europese Unie voldoen aan de nieuwe privacywetgeving, die is opgenomen in de Algemene Verordening Gegevensbescherming (AVG). In Nederland is de Autoriteit Persoonsgegevens belast met de handhaving van deze wet. De AVG verschilt op een aantal punten van Wbp, en gaat strenger om met privacy. Zo worden de rechten van de personen over wiens privacy het gaat, versterkt en uitgebreid. De AVG is, anders dan de Wbp, van toepassing in heel Europa en op alle Europese burgers. Ook kerkgenootschappen vallen onder de AVG. Daarom is het belangrijk dat een ieder die binnen de kerk met persoonsgegevens te maken heeft zorgt dat hij/zij zich aan de geldende regelgeving houdt.

De regelgeving is van toepassing op het verwerken van alles wat met persoonsgegevens te maken heeft, zoals namen en adressen, maar ook bijvoorbeeld foto’s op de website waarop mensen herkenbaar in beeld zijn. Het gaat naast het verstrekken van gegevens aan derden, ook om uw eigen handelen. Denk bijvoorbeeld aan:

  • Het sturen van een e-mail naar de gemeenteleden.
  • Het nemen van een foto van het leiderschapsteam op de website.
  • Het exporteren van gegevens uit de ledenadministratie
  • Publicatie van het gemeentenieuws op de website
  • Uitzending van kerkdiensten (via radio of met camera’s)
  • Eventuele bewakingscamera’s op het kerkterrein.
  • Het lezen en bewaren van sollicitatiebrieven.
  • Het hebben van personeelsgegevens.
  • En alle andere handelingen die met gegevens te maken hebben die tot een persoon te herleiden zijn.

Belangrijkste veranderingen op gebied van privacyregelgeving betreffen in ieder geval de volgende punten:

  • Er is een nieuw principe van verantwoording bij het opslaan van persoonsgegevens: het is noodzakelijk dat door de kerk kan worden aangetoond op welke wijze men denkt aan de regels te voldoen.
  • Verder is het noodzakelijk om een beleid te voeren voor de verwerking van de persoonsgegevens. Dit beleid dient op papier te staan en uitgevoerd te worden.

Omgaan met persoonsgegevens van gemeenteleden
In artikel 6 en 9 van de AVG vindt u welke gegevens u onder welke voorwaarden mag verzamelen als kerk.

Artikel 6 van de AVG betreft verwerking van persoonsgegevens over leden en niet-leden voor zover deze niet valt onder de scope van artikel 9 AVG. Persoonsgegevens mogen verwerkt worden op het moment dat er voldaan wordt aan een van de verwerkingsgronden van artikel 6 van de AVG. Een daarvan is het geven van toestemming door de betrokkenen. Een andere verwerkingsgrond is dat de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke. Ook mogen gegevens verwerkt worden wanneer dit nodig is voor de uitvoering van een overeenkomst.
Artikel 9 Betreft de bijzondere categorieen persoonsgegevens waarvoor de verwerkingseisen strikter zijn. Een van die bijzondere persoonsgegevens is waaruit de religieuze overtuigingen (kunnen) blijken. Verwerking van bijzondere persoonsgegevens is verboden, maar voor kerken is er een uitzonderingsregeling, zie hiervoor lid 9 van artikel 9 van de AVG:
d) de verwerking wordt verricht door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrekt;

De specifieke regeling van artikel 9 AVG gaat over het delen van persoonsgegevens binnen het landelijk kerkgenootschap (dat betekent binnen een kerkelijke gemeente, maar ook tussen kerkelijke gemeenten onderling). Dergelijke uitwisseling van persoonsgegevens behoeft geen toestemming. Denk hierbij aan informatie over doopregistratie, overlijden, maar ook verhuizingen. Wanneer er sprake is van een gerechtvaardigd belang, heeft u als kerk de vrijheid om deze persoonsgegevens te verwerken. Extra aandacht behoeft wel publicatie van gegevens op internet.

Bij verwerking van persoonsgegevens binnen een kerk is het van belang om onderscheid te maken tussen twee soorten persoonsgegevens:

  • Binnenkerkelijke verwerking van persoonsgegevens over leden en niet-leden
    Verwerking van persoonsgegevens over leden en niet-leden voor zover het niet valt onder de scope van artikel 9 AVG. Persoonsgegevens mogen doorgegeven worden aan leden van de eigen gemeente. Denk bijvoorbeeld aan uitwisseling van adressen of relevantie informatie voor organisatoren van
    activiteiten in de kerk. Een afgeschermde ledenpagina op het internet is een veilige en praktische optie voor het registeren en verzamelen van persoonsgegevens. Afgeschermd betekent dat de kerk ervoor moet zorgen dat niet zomaar iedereen deze gegevens op internet kan inzien. Alleen leden mogen toegang hebben. Bijvoorbeeld door een verplicht wachtwoord en door de pagina’s met ledengegevens af te schermen voor zoekmachines. Als gemeente mag u gegevens van uw gemeenteleden registeren. Niemand mag zomaar persoonsgegevens van een ander op internet publiceren. Dit mag in principe alleen als hiervoor een wettelijke grondslag is, waarvan een van de belangrijkste toestemming is. Mensen hebben ook het recht om hun toestemming later in te trekken.
  • Verstrekken persoonsgegevens buiten de eigen gemeente of de kerk
    Voor het verstrekken van gegevens van leden aan personen of organisaties buiten de kerk is een wettelijke basis nodig. In de AVG artikel 6 staat op welke gronden een organisatie, zoals uw kerk, persoonsgegevens mag verstrekken aan de buitenwereld. De meest voorkomende grondslag is toestemming of noodzaak voor uitvoering van een overeenkomst. Toestemming betekent dat persoonsgegevens van gemeenteleden alleen buiten de kerk gepubliceerd mogen worden als daarvoor expliciet toestemming is gegeven. Naast toestemming blijft de kerk verantwoordelijk voor persoonsgegevens die zij geeft aan “verwerkers” of derden. Een verwerker is een persoon of organisatie aan wie de verantwoordelijke, in dit geval de kerk, gegevensverwerking heeft uitbesteed. Bijvoorbeeld het personeelsadministratiekantoor of softwarebedrijf.

Wat wordt er van u verwacht?

1. Spreek erover.
Het is van belang dat u er in de gemeente over spreekt. Informeer gemeenteleden over persoonsgegevens en privacy en leg daarbij uit waarom de kerkelijke gemeente persoonsgegevens verwerkt. Geef duidelijk aan waar gemeenteleden terecht kunnen op het moment dat zij persoonsgegevens willen laten wijzigen, verwijderen of wanneer zij bezwaar hebben tegen verspreiding van hun gegevens. Realiseer je dat als je als kerk overweegt om persoonsgegevens van gemeenteleden door te sturen aan derden (zoals bijvoorbeeld een stichting) je daarvoor eerst nadrukkelijk toestemming nodig hebt van de betrokkenen.
2. Tref voorbereidingen.
Klik hier voor een checklist met voorbereidingen op de AVG.
3. Stel de inventarisatie n.a.v. checklist op schrift en maak protocollen. Zie voorbeelden hieronder.
4. Wijs een verantwoordelijke aan.
Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensverwerking (FG) aan te stellen. Voor kerken is het de vraag of zo’n officiële functionaris verplicht is. Dat moet nog blijken. Ook is nog niet duidelijk wat de verhouding is tussen de plaatselijke kerkelijke gemeenten en de overkoepelende landelijke kerk. Het is daarom verstandig om iemand uit de oudstenraad of bestuur de taak te geven om erop toe te zien dat de kerkelijke gemeente haar verplichtingen op het gebied van gegevensbescherming nakomt. Deze is dan het eerste aanspreekpunt bij vragen over privacy en adviseert over de toepassing van de regelgeving. Ook de bewustwording op het gebied van privacy, gegevensbescherming behoort tot haar/zijn taak.

Relevante websites voor meer informatie:

NB1: de VPE is aangesloten bij het CIO (Interkerkelijk Contact in Overheidszaken) die haar adviseert bij deze informatieverstrekking. Mocht u specifieke vragen en casussen hebben waar u tegen aan loopt, dan vernemen we dat graag van u, zodat we deze onder de aandacht kunnen brengen binnen het CIO. U kunt daarvoor het contactformulier gebruiken.

NB2: Ook maken u erop attent dat de bij steeds meer gemeenten gebruikte weboplossing voor gemeenteadministratie kerkSPOT reeds AVG gecertificeerd is. KerkSPOT biedt een totaaloplossing voor uw gemeente voor uw website en ledenadministratie en nog veel meer.

NB3: Zoals u hebt kunnen lezen in onze nieuwsbrief van 12 april 2018, bevelen wij u van harte de expertise van Assuron aan. Zij bieden u een acceptabel vast tarief aan om u te ondersteunen bij het AVG proof worden en blijven. Het is nieuwe wetgeving, die nog wel enige tijd in beweging zal blijven.