Ook kerken moeten voldoen aan de Algemene Verordening Gegevensbescherming (AVG). In deze Europese wet zijn de regels voor de omgang met persoonsgegevens opgenomen. De Autoriteit Persoonsgegevens is In Nederland belast met de handhaving van de wet. Het is van belang dat iedereen die binnen de kerk met persoonsgegevens te maken heeft, zorgt dat hij/zij zich aan de regels houdt.
Om u van dienst te zijn, hebben wij een aantal documenten opgesteld:
- Checklist inclusief een voorbeeld register verwerkingsactiviteiten
- Stappenplan datalek
- Voorbeeld privacy statement
- Voorbeeld verwerkersovereenkomst
Hieronder worden de belangrijkste aandachtspunten voor kerkelijke gemeenten beschreven aan de hand van vragen en antwoorden. Let op: aan deze pagina en de documenten waarnaar wordt verwezen kunnen geen rechten worden ontleend!
Een persoonsgegeven is informatie die iets zegt over een specifiek persoon. De AVG kent een heel brede definitie. Het gaat om élke informatie over een geïdentificeerde of identificeerbare persoon. Voorbeelden zijn iemands geboortedatum, voor- en achternaam, geslacht, adres, pasfoto, telefoonnummer, e-mailadres, Burgerservicenummer (BSN) of bankrekeningnummer. Maar ook de WOZ-waarde van iemands huis, het kenteken van de auto, de winst van een eenmanszaak of het IP-adres van een computer kunnen persoonsgegevens zijn.
Artikel 6 AVG geeft daarvoor de voorwaarden. Een verwerking van persoonsgegevens mag alleen in een van de volgende zes situaties:
- De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doelen.
- De verwerking is nodig voor de uitvoering van een overeenkomst.
- De verwerking is nodig om aan een wettelijke verplichting te kunnen voldoen.
- De verwerking is nodig om vitale belangen van de betrokkene te beschermen.
- De verwerking is nodig om een taak van algemeen belang te kunnen verrichten, of om openbaar gezag te kunnen uitoefenen.
- De verwerking is nodig voor de behartiging van gerechtvaardigde belangen van de verwerkingsverantwoordelijke.
U moet zelf beoordelen welke grondslag van toepassing is. Een toelichting van de zes grondslagen en de betekenis is te vinden op de website van de Autoriteit Persoonsgegevens.
Persoonsgegevens die naar hun aard bijzonder gevoelig zijn, worden bijzondere persoonsgegevens genoemd. Het gaat bijvoorbeeld om gegevens waaruit ras of etnische afkomst blijkt, politieke opvattingen, biometrische gegevens of gegevens over iemands gezondheid of seksuele geaardheid.
Ook gegevens over iemands godsdienstige overtuiging of levensovertuiging vallen in deze categorie bijzondere persoonsgegevens.
Ja, want in de kerk wordt gewerkt met bijzondere persoonsgegevens. Uit persoonsgegevens die in de kerk worden gebruikt blijkt namelijk iemands godsdienstige overtuiging. Voor bijzondere persoonsgegevens gelden strengere regels dan voor ‘gewone’ persoonsgegevens. Ze mogen niet worden verwerkt, tenzij een wettelijke uitzondering van toepassing is.
Het verbod op verwerking van bijzondere persoonsgegevens geldt niet in een aantal situaties. Wat kerken betreft is artikel 9 lid 2 onder d van toepassing: het verbod geldt niet als de verwerking wordt verricht door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrekt.
Het hangt ervan af wie die ‘anderen’ zijn. Gaat het om personen die lid zijn van de gemeente, dan is dit toegestaan als het nodig is voor de interne activiteiten van de gemeente. Denk bijvoorbeeld aan uitwisseling van adressen of relevantie informatie voor organisatoren van activiteiten en verenigingen.
Dit is anders als een gemeentelid op eigen houtje of met een organisatie die niet met de kerk verbonden is een avond over een bepaald thema organiseert. Het gaat dan niet meer om uitsluitend interne kerkelijke activiteiten.
De regeling van de bijzondere persoonsgegevens voor kerken (artikel 9 lid 2 onder d) geldt voor de eigen lokale gemeente, en ook voor noodzakelijke doorgifte van persoonsgegevens binnen het landelijk kerkgenootschap in het kader van het samen kerk-zijn. Voor de doorgifte binnen het kerkverband zijn de bepalingen van de kerkorde leidend. Zo vallen verwerking in het kader van doopregistratie, overlijden en verhuizingen onder de ‘’gerechtvaardigde activiteiten’’ van de gemeente en behoeven geen toestemming van de leden.
Het doorgeven van persoonsgegevens van leden aan personen of organisaties buiten de kerk mag alleen als hiervoor een wettelijke basis is. Bijvoorbeeld als de leden hiervoor zelf toestemming hebben gegeven.
De kerk mag voor uitoefening van de werkzaamheden gegevens doorgeven aan eigen leden en hun gezinsleden. Bijvoorbeeld aan mensen die de activiteiten van de kerk organiseren. Dat betekent dat de gemeente een papieren gemeentegids kan uitgeven waarin gegevens van gemeenteleden worden opgenomen. Wel is het raadzaam om hier zorgvuldig mee om te gaan en vooraf mogelijke risico’s in kaart te brengen. Leg een gemeentegids bijvoorbeeld niet achterin de kerk zodat gasten en bezoekers deze kunnen meenemen.
Als de kerk een andere organisatie inschakelt die persoonsgegevens van de kerkleden verwerkt, moet nagegaan worden of er een verwerkersovereenkomst nodig is. De AVG maakt onderscheid tussen de verwerkingsverantwoordelijke en de verwerker. Voordat een overeenkomst gesloten kan worden, moet helder zijn wie de verantwoordelijke en wie verwerker is. Een uitleg van deze begrippen en hoe er in de praktijk mee om moet worden gegaan is te vinden op de website van de AP. Raadpleeg het kerkelijk bureau als er concrete vragen overblijven.
Zorg voor transparantie door een privacy statement op te stellen, waarbij u tevens aandacht besteed aan hoe u omgaat met deze onderwerpen.
Een belangrijk verschil is of een dienst wordt uitgezonden via internet of niet. Als een dienst niet wordt uitgezonden, blijven gebed en mededelingen binnen de gemeente. Het is goed om dan zorgvuldig te zijn met formuleringen, maar het behoort tot de gerechtvaardigde activiteiten van een kerk om zaken over jubilea, ziekte, geboorte e.d. te delen.
Wordt een kerkdienst echter online gezet, dan kan iedereen deze persoonlijke gegevens vernemen, ook mensen die geen lid zijn van de gemeente. Het is raadzaam om in deze uitzending bepaalde persoonlijke informatie weg te laten en terughoudend te zijn met persoonlijke details.
Informeer gemeenteleden altijd over uw werkwijze, zodat zij de mogelijkheid hebben om bezwaar aan te tekenen en niet ongewild persoonsgegevens worden gedeeld.
Als gemeente mag u gegevens delen voor intern gebruik en met het oog op het gemeente-zijn. Vraag alleen schriftelijke toestemming als dit nodig is en een beroep op het gerechtvaardigd belang niet volstaat. Denk bijvoorbeeld aan het plaatsen van foto’s met personen die herkenbaar in beeld gebracht worden op het openbare gedeelte van een gemeentewebsite.
De Hersteld Hervormde Kerk is lid van Het Interkerkelijk Contact in Overheidszaken (CIO). Vanuit het CIO is er overleg met de Autoriteit Persoonsgegevens.
Heeft u een vraag die niet beantwoord is of ervaringen die u wilt delen? Neem dan contact op met het kerkelijk bureau via avg@hhk.nl of tel. 0318-505541.