Toepassing van privacyregels een worsteling?
Een juridische verhandeling over de privacyregels is interessant, maar houdt het onderwerp op afstand. Zorgvuldige omgang met gegevens draait niet om regels, maar om de praktische toepassing daarvan.
De teneur van het artikel van mr. P. J. den Boef (RD 8-1) kan moedeloos maken. Of er zo veel met de Algemene verordening gegevensbescherming (AVG) geworsteld wordt, is de vraag. Kerkelijke gemeenten hebben van landelijke organisaties richtlijnen ontvangen voor toepassing van de AVG. Naleving van de AVG is goed mogelijk.
Wij pleiten voor een pragmatische omgang met de AVG. Daarvoor moet een hardnekkige opvatting rechtgezet worden: dat er door de AVG minder mag. De AVG schrijft voor dat de verwerking zorgvúldig moet gebeuren. Zolang er goede redenen bestaan om gegevens te verwerken, staat de AVG dat toe. Ze verbiedt een kerk niet haar activiteiten te ontplooien. Ze vraagt alleen dat zorgvuldig met gegevens wordt omgegaan, er goede redenen voor de gegevensverwerking bestaan en bovendien dat de betrokkene geïnformeerd is. Kortom, dat over de verwerking is nagedacht.
Handvatten naleving AVG
Voor naleving van de AVG moet een aantal zaken op orde zijn. Daarvoor is onze eerste suggestie om een portefeuillehouder privacy te benoemen, bijvoorbeeld de scriba. De AVG naleven is niet eenmalig, maar vraagt permanent bewustzijn en bewustwording.
Vervolgens is van belang dat er privacybeleid bestaat. Om te beginnen is nodig dat de kerkenraad een overzicht heeft van alle gegevensverwerkingen. Een centrale opslag en een gestandaardiseerde werkwijze dragen daaraan bij. Voorbeelden van verwerkingen zijn: ledenadministratie, nieuwsbrieven, kerkbode, verslaglegging van vergaderingen en besluitvorming. Het overzicht geeft antwoord op vragen als: Welke gegevens worden verwerkt? Voor welke doelen? Met wie worden ze uitgewisseld? Welke wettelijke grondslag bestaat daarvoor? Hoe zijn ze beveiligd? Alle verwerkingen worden opgenomen in een register, dat bij nieuwe verwerkingen of wijzigingen wordt aangevuld of aangepast.
Privacybeleid houdt ook in dat bewaartermijnen worden vastgesteld. De AVG noemt geen concrete termijnen; de kerkenraad moet die in redelijkheid vaststellen. Die moet kunnen motiveren waarom een termijn gekozen is. Die termijn kan overigens ook ”voor onbepaalde tijd” zijn. Bijvoorbeeld bij feitelijke gegevens over doop, belijdenis en huwelijk. Voor het bijhouden van een archief kan ook een gerechtvaardigd belang bestaan, getuige het artikel van dr. C. M. van Driel (RD 12-1).
Het privacybeleid bestaat daarnaast uit het duidelijk en toegankelijk informeren van alle betrokkenen. Een praktisch uitvloeisel is een privacyverklaring in de gemeentegids en/of op de website. Daarin wordt uitgelegd welke soorten gegevens worden verwerkt, waarom dat gebeurt en dat dit zorgvuldig wordt gedaan. Ook worden de rechten van betrokkenen benoemd, zoals het inzagerecht.
De waarborging van de rechten van betrokkenen wordt eenvoudig met een deugdelijk privacybeleid. Den Boef stelt dat bij afwijzing van een inzageverzoek binnen een maand gemotiveerd gereageerd moet worden. De AVG is ruimhartiger: ieder verzoek moet worden beantwoord binnen een maand, zowel bij toewijzing als bij afwijzing. Alleen bij ingewikkelde of veel verzoeken kan de termijn met twee maanden worden verlengd, onder tijdige kennisgeving daarvan.
Privacybeleid kan verder nog regelingen bevatten voor het melden van datalekken, het afhandelen van verzoeken en afspraken met derden. Voor kerkenraden zijn diverse bronnen voor naleving van de AVG beschikbaar. Van Balen wijst al op informatie van landelijke kerkverbanden. Wij wijzen nog op het ”Handboek Gereformeerd Kerkrecht” en de Apeldoornse studie ”Kerk en recht in balans”. Beide bevatten behulpzame richtlijnen met praktische voorbeelden. Tot slot bevat de website van de Autoriteit Persoonsgegevens een nuttige pagina over ”Vereniging en kerk”.
Beveiliging
Bovenal gaat privacy over een veilige omgang met de gegevens. Een datalek wordt voorkomen als veilig wordt gewerkt met beveiligde systemen. De AVG vergt dat de beveiliging is afgestemd op de aard van de gegevens en de context van de verwerkingen. Kortom, met een dosis gezond verstand en passende maatregelen. Op ICT-gebied bestaat een scala aan mogelijkheden. Denk aan een afgeschermde ledenomgeving, beveiligde verzending van gegevens en opslag van administratie en gegevens op een centrale, beveiligde plek. Daarnaast is er ook een softe kant van beveiliging van informatie. Zoals geheimhoudingsafspraken met vrijwilligers, toegangsbeleid en training.
Gegevens naar derden
Een actueel vraagstuk is ten slotte de verstrekking van gegevens aan derden buiten de kerkelijke gemeente. Daarvoor is toestemming nodig, zoals mr. C. van Balen (RD 15-1) opmerkt. Het is de vraag of dat ook het geval is als het gaat om verstrekking binnen het (landelijke) kerkverband. Op genoemde website van de Autoriteit Persoonsgegevens staat dat de kerk persoonsgegevens mag doorgeven aan personen die tot het kerkgenootschap behoren. In onze opinie wordt daarmee het landelijke kerkverband bedoeld. Anders zou voor de behandeling van een tuchtzaak bij de classis de toestemming nodig zijn van de betrokkene? Dat zou onwerkbaar zijn, die toestemming zou dan immers niet worden verstrekt. Ook daarin geldt: er mag meer dan vaak wordt gedacht. De AVG vergt zeker doordenking en inzet, maar met gezond verstand en heldere richtlijnen is naleving goed mogelijk. Daarnaast kunnen de landelijke organisaties en diverse adviseurs een kerkenraad van advies voorzien.
De auteurs zijn advocaat bij Wille Donker advocaten in Alphen aan den Rijn.