Menu top

Privacywetgeving (AVG) kerken

Wat gaat de AVG betekenen voor de kerken? De waarborging van privacy is een belangrijk onderwerp. Per 25 mei 2018 zal de Algemene verordening gegevensbescherming (AVGingaan.  Als kerken is het goed zorgvuldig om te gaan met persoonsgegevens van kerkleden en waar nodig uw privacybeleid aan te scherpen. SKW heeft de belangrijkste informatie voor u verzameld. 

Het is bijna 25 mei… Is uw kerk klaar voor de AVG?

Stap 1: Inventariseer waar en welke persoonsgegevens u verzamelt. Noteer deze in een verwerkingsregister: Voorbeeld verwerkingsregister
Stap 2: Publiceer een privacy statement op uw website. Communiceer over recht op inzage en recht op verwijdering. Gebruik hiervoor: Model privacyverklaring voor kerken
Stap 3: Vraag toestemming voor gebruik van foto’s.
Stap 4: Check de beveiliging van uw (online) systemen. Verwijder oude bestanden.
Stap 5: Evalueer als kerkenraad jaarlijks uw privacy beleid / statement.
Stap 6: Blijf op de hoogte. Lees onderstaande informatie en houd onze website in de gaten.

INFORMATIE
Binnen eigen kerk

Uw kerkelijk bureau verzamelt de persoonsgegevens. Meestal  in een softwaresysteem. Kerkleden kunnen individueel bezwaar aantekenen tegen registratie van persoonsgegevens binnen de eigen kerk.

Persoonsgegevens mogen doorgegeven worden aan leden binnen de eigen kerk. Denk bijvoorbeeld aan uitwisseling van adressen of relevantie informatie voor organisatoren van activiteiten in de kerk. Een afgeschermde ledenpagina op het internet is een veilige en praktische optie voor het registeren en verzamelen van persoonsgegevens.

Buiten eigen kerk

Voor het verstrekken van persoonsgegevens buiten eigen kerk is een wettelijke basis nodig.  In de AVG staat op welke gronden. De meest voorkomende grondslag is toestemming. Dat betekent dat uw persoonsgegevens (denk aan NAW gegevens) alleen buiten de kerk gepubliceerd mogen worden als daarvoor expliciet toestemming is gegeven. Dit betekent dus ook dat NAW gegevens niet zomaar op websites mogen. Eenmaal gestart met de grondslag “toestemming” kan u zich niet meer wenden tot een andere grondslag.

Gegevens aan derden

Naast toestemming blijft de kerk verantwoordelijk voor persoonsgegevens die zij geeft aan “verwerkers” of derden. Een verwerker is een persoon of organisatie aan wie de verantwoordelijke, in dit geval de kerk, gegevensverwerking heeft uitbesteed. Bijvoorbeeld het personeelsadministratiekantoor of softwarebedrijf.

Wanneer u gebruik maakt van een softwarepakket controleer dan of het bedrijf ISO 27001 gecertificeerd is. Dit certificaat garandeert een onafhankelijke controle op de naleving van de nieuwe privacywetgeving. Is er geen ISO 27001 sluit dan een verwerkersovereenkomst.

Model verwerkersovereenkomst voor kerken

 

Wet Meldplicht Datalekken

De wet meldplicht datalekken bepaalt dat er binnen 24 uur melding gemaakt moet worden bij inbreuk op persoonsgegevens van gevoelige aard met mogelijk ernstige gevolgen. Een inbreuk is een hack, technisch falen,  verlies of diefstal van een laptop waarop persoonsgegevens van de kerk zijn opgeslagen. Persoonsgegevens van gevoelige aard gaan o.a. over betalingsgegevens, verslavingen, werk- of relatieproblemen of gegevens die kunnen worden misbruikt voor (identiteits)fraude. Een andere reden voor melding is wanneer persoonsgegevens uitlekken die media gevoelig zijn.

Meer informatie over deze meldplicht vindt u bij de autoriteit persoonsgegevens.

KERKTV / Uitzendingen van kerkdiensten via het internet

  1. Zorg voor (schriftelijke) onderbouwing waarin het belang van het uitzenden van kerkdiensten beargumenteerd is. Bijvoorbeeld in een privacy regelement. Leg uit waarom dit belang zwaarder weegt dan de privacy van individuele bezoekers van uw kerkdiensten.
  2. Verklaar waarom het doel, bijvoorbeeld het vergroten van de betrokkenheid van gemeenteleden die niet meer zelf aanwezig kunnen zijn, niet op een andere manier kan worden gerealiseerd.
  3. Uitzenden van kerkdiensten moet op integere wijze uitgevoerd worden. Kies de uit te zenden gebeurtenissen met zorg en gebruik de mogelijkheden om het kijken naar een uitzending te beperken door middel van een toegangscode.
  4. U kan besluiten om alleen mensen op het liturgisch centrum herkenbaar in beeld te brengen. Een bepaald deel van de kerkzaal kan daarbij bewust buiten de reikwijdte van de camera’s vallen. Hou hiermee rekening bij de keuze van de camera positie(s).
  5. Het moet duidelijk kenbaar gemaakt worden wanneer er op een bepaalde locatie gebruik gemaakt wordt van camera’s. Heimelijk cameratoezicht is bijvoorbeeld strafbaar gesteld in winkels en horecagelegenheden. Geef in dat kader met bordjes aan dat er gefilmd wordt.

Voor meer informatie over het uitzenden van kerkdiensten en privacywetgeving raden wij u contact op te nemen met uw provider.

Verder vindt u hieronder een verzameling van de tot nu toe gepubliceerde documenten en veelgestelde vragen over de AVG:

 

  Recente Publicaties
AVG wettekst uitzondering kerken

AVG artikel 9, lid 2d

april 2018
Verwerkingsregister voor kerken (CPBL)

Voorbeeld verwerkingsregister

mei 2018
Protestantse Kerk Nederland:

Model privacyverklaring voor kerken Model verwerkersovereenkomst voor kerken

 

PKN Informatiepagina voor kerken over privacy en veelgestelde vragen : klik hier

mei 2018
Kerkrentmeesters (PKN):

Communicatie & nieuwe privacywetgeving

In het februari nummer van het blad ‘Kerkbeheer’ van kerkrentmeesters is er uitvoerig aandacht aan dit onderwerp besteed.

Vernieuwde privacywetgeving en de plaatselijke kerk
Vernieuwde privacywetgeving en de landelijke kerk
Veel Gestelde Vragen AVG
Checklist AVG

Selectie van de beantwoorde vragen in
bovenstaande documenten:

februari 2018
Veelgestelde AVG vragen

 

Centraal Interkerkelijk Overleg:

AVG Praktische handleiding

december 2017
Missie Nederland: november 2017

CPB Stroomschema Publicatie van persoonsgegevens op het internet

Actiepuntenlijst Databeveiliging

IZB Privacy statement

IZB Voorbeeld verwerkersovereenkomst

PKN:Privacy beleid Kerkbalans website december 2016

Veelgestelde vragen

Wat betekent de nieuwe privacy wetgeving (AVG) voor kerken?

De Algemene Verordening Gegevensbescherming (AVG), die ingaat per mei 2018, heeft als hoofddoel het beschermen van persoonsgegevens. Aanzienlijkste verandering is dat deze wetgeving een grotere verantwoordelijkheid legt bij de verwerkers van persoonsgegevens.

Kerken zijn verantwoordelijk voor en verwerkers van persoonsgegevens. Met name vanwege NAW gegevens voor kerklidmaatschappen. Daarbij werken zij ook met bijzondere persoonsgegevens, denk aan het opslaan van bij welke kerkgenootschap men hoort. Ook is er veel data van minderjarigen.

Omdat de AVG zich in eerste instantie richt op organisaties bracht het Centraal Interkerkelijk Overleg een notitie uit over de kerk-staat relatie. Meer informatie over de wettelijke kaders die voor kerken gelden vindt u hierin:

CIO Notitie AVG
Back to Index

Lopen wij als kerk risico wanneer we niks doen met de AVG?

Om in te schatten welke acties u dient te ondernemen is het ten eerste van belang dat u een risico inschatting maakt. Met welke binnenkerkelijke gegevens werkt u? Welke gegevens deelt u buiten de kerk en/of beveiligde web/cloud omgeving? Voor welke gegevens vraagt u wel/niet toestemming?

Verantwoordelijkheid voor de bescherming van persoonsgegevens ligt bij de kerkenraad. Het is hun taak stappen in gang te zetten om straks te voldoen aan de nieuwe wetgeving.

Er zijn hiervoor verschillende stappenplannen gepubliceerd. Deze zijn matig toegespitst op beleid en risico voor kerken. In de loop van dit voorjaar volgen toegespitstere publicaties.

Zie hierboven voor een overzicht van de meest recente stappenplannen en documenten.

Back to Index

Moeten wij een Functionaris Gegevensbescherming aanstellen?

Een Functionaris Gegevensbescherming (FG) moet u aanstellen als het bij de verwerker tot de kernbezigheden hoort om regelmatig, stelselmatig en grootschalig persoonsgegevens te verwerken. (Bron: Grip op de AVG, 2017)

Of deze richtlijn voor uw kerk geldt is afhankelijk van uw inschatting van deze drie genoemde voorwaarden. Voor kleine kerken geldt waarschijnlijk van niet. In ieder geval is de kerkenraad altijd verantwoordelijk voor de bescherming van persoonsgegevens. Deze zal dus een bewuste keuze moeten maken hoe u als gemeente omgaan met de verwerking en bescherming van persoonsgegevens van uw gemeenteleden.

In ieder geval is het goed om de redenering te documenteren waarom u besluit (nog) niet een FG aan te stellen, mocht de Autoriteit Persoonsgegevens aankloppen.

Back to Index

Wat wordt er landelijk georganiseerd voor de kerken?

Op dit moment wordt er vooral informatie en advies gegeven voor kerken hoe zij kunnen omgaan met de nieuwe privacywetgeving. Er wordt echter geen landelijk beleid gevormd of een landelijke functionaris gegevensbescherming aangesteld. Dit omdat de situatie per kerk verschillend is, en iedere kerk zelf keuzes moet maken hoe zij willen omgaan met de bescherming van persoonsgegevens. Wel kunt u gebruik maken van een model privacyverklaring dat is opgesteld door de Protestantse Kerk in Nederland. Deze kunt u aanpassen naar uw eigen situatie. Uiteraard betekent dit wel dat u alles wat u vastlegt in deze verklaring ook in de praktijk vorm moet geven in uw gemeente.

Back to Index

Gaat Steunpunt Kerkenwerk (SKW) een informatieavond organiseren over dit onderwerp?

Nee. Omdat dit onderwerp niet alleen gevolgen heeft voor de kerken die lid zijn van SKW zoeken wij de samenwerking met vergelijkbare instanties van andere denominaties om u van informatie te voorzien.

Back to Index

© copyright Steunpunt Kerkenwerk