Tien vragen over de nieuwe privacywet en de kerken

beeld RD, Jos Ansink

Nieuwe privacywetgeving die deze maand ingaat dwingt bedrijven, organisaties, kerken en scholen zorgvuldiger met persoonsgegevens om te gaan. Tien vragen en antwoorden voor kerkelijke gemeenten.

Wat is de Algemene verordening gegevensbescherming?

De AVG is een Europese privacywet die op 25 mei binnen de gehele Europese Unie in werking treedt. Vanaf dat moment geldt in alle 28 lidstaten dezelfde privacywetgeving. Nu hebben de lidstaten nog hun eigen nationale wetten, gebaseerd op de Europese privacyrichtlijn uit 1995. Door de snelle technologische ontwikkelingen was deze richtlijn verouderd. De Nederlandse Wet bescherming persoonsgegevens (WBP) komt op 25 mei te vervallen.

Geldt de AVG ook voor kerken?

De AVG geldt voor alle bedrijven, overheden en organisaties die persoonsgegevens verwerken. Daar vallen kerken ook onder. Wel nemen kerken en religieuze organisaties in de EU-lidstaten een aparte plaats in. Zo moet de vrijheid van inrichting die kerken hebben door de staat worden gerespecteerd. Dat roept de vraag op of de AVG op alle punten onverkort geldt binnen kerken.

Het Interkerkelijk Contact in Overheidszaken (CIO), de belangrijkste vertegenwoordiger van 31 christelijke en joodse kerkgenootschappen in Nederland, is hierover in gesprek met de Autoriteit Persoonsgegevens en houdt hierover op 15 juni een expertmeeting met de aangesloten kerken (zie 'Vragen van het CIO').

De verscherpte privacyregels brengen veel geregel met zich mee. Moeten we niet zeggen: wat een gedoe allemaal?

Er is inderdaad werk aan de winkel, wat zeker als „gedoe” ervaren kan worden. Tegelijk vormen de privacyregels uiting van een dieper liggend probleem in de moderne samenleving. Het is een samenleving waarin alles en iedereen traceerbaar is en ‘gevolgd’ kan worden door bedrijven en overheden, en waarin persoonsgegevens het risico lopen zomaar ‘op straat’ te belanden.

Juist kerken dienen voorop te lopen in het zorgvuldig omgaan met de persoonlijke levenssfeer van mensen. Zeker omdat het vaak gaat om bijzonder gevoelige gegevens, zoals gegevens over de godsdienst, of medische gegevens.

Wie binnen de gemeente krijgen met de AVG te maken?

Privacy is niet alleen een verantwoordelijkheid van kerkenraadsleden, maar van iedereen in de gemeente die met persoonsgegevens werkt. En dat is algauw het geval. Het gaat in feite om elk handelen dat betrekking heeft op een persoon of een groep personen. Te denken valt aan het sturen van een e-mail naar andere gemeenteleden (welke e-mailadressen zet je allemaal in de cc, of is het beter voor bcc te kiezen?), het nemen van een portretfoto voor de website, het opnemen van verjaardagen in het kerkblad, de uitzending van kerkdiensten via internet, de bewakingscamera’s op het kerkplein enzovoorts.

Mogen foto’s van kerkleden op de website worden geplaatst?

Als er mensen op de foto staan die herkend kunnen worden, moet aan deze personen schriftelijke toestemming worden gevraagd. Dit geldt zeker als het om kinderen gaat.

Foto’s kunnen wel zonder toestemming worden gepubliceerd als mensen er niet herkenbaar op staan, bijvoorbeeld als ze op de rug worden gezien, of als mensen ‘wegvallen’ in een grotere groep.

Ben ik met het vragen van toestemming wel ingedekt?

Het vragen van toestemming kan in een aantal gevallen een passende maatregel zijn, bijvoorbeeld bij het publiceren van foto’s op de website waarop betrokkenen herkenbaar zijn.

Maar toestemming is zeker niet de oplossing voor alle problemen: ook het toestemming vragen aan de betrokkene is aan regels gebonden. Zo moet toestemming vrij en expliciet zijn gegeven, moet de gemeente kunnen bewijzen dat de toestemming gegeven is en kan het kerklid de toestemming altijd weer intrekken. Vraag daarom alleen toestemming als het echt nodig is en niet anders kan.

Als er toestemming is gevraagd en gegeven, dient de gemeente er ook rekening mee te houden dat de toestemming weer kan worden ingetrokken. Men dient de geplaatste informatie dan te (kunnen) verwijderen.

Kan het kerkblad online worden gepubliceerd?

In het kerkblad staat soms heel persoonlijke informatie over kerkleden. Het kan gaan om bepaalde medische gegevens over een ziek lid, of een lijstje met adressen voor het versturen van een verjaardagskaartje. Dergelijke informatie mag alleen beschikbaar zijn voor leden van de gemeente. Een kerkblad met deze persoonsgegevens mag niet online worden gepubliceerd, of het moet zijn in een beveiligd en afgesloten gedeelte. Selecteer de kopij die zonder problemen op de website kan worden geplaatst.

Aandachtspunt bij een kerkblad zijn ook de niet-leden (lokale journalisten?) die een abonnement kunnen hebben. Nagedacht moet worden over de vraag of het gewenst is dat deze groep kennisneemt van alle informatie in het kerkblad.

Mag een gemeentegids met de persoonsgegevens van leden worden rondgestuurd in de gemeente?

Een gemeentegids kent allerlei verschijningsvormen. Sommige gidsen bevatten alleen een lijst van alle gemeenteleden, in andere staan bijvoorbeeld ook alle activiteiten voor het komend jaar.

Op de website van de Protestantse Kerk in Nederland (zie kader) staat bij de veelgestelde vragen een uitvoerige toelichting van de eisen waaraan een gids moet voldoen. Een zo’n eis is dat de gids alleen binnen de gemeente mag worden uitgegeven voor de „gerechtvaardigde activiteiten” van de eigen gemeente. Zodra er slordig met deze gidsen wordt omgegaan kan er al sprake zijn van een datalek.

Een vraag voor de toekomst zou kunnen zijn of een geprinte gemeentegids überhaupt wel verstandig is, omdat de kans op lekken heel groot is. Verdedigd kan immers worden dat de publicatie van een gemeentegids een vorm van openbaarmaking is.

Om in alles aan de AVG te voldoen is een hele klus. Waar kunnen kerkelijke gemeenten het best beginnen?

Een eerste stap is in kaart te brengen op welke plekken in de gemeente persoonsgegevens zich bevinden, wie deze beheren en met welk doel. Belangrijk is ook na te gaan op welke plekken het ‘lekken’ van persoonsgegevens het grootst is, en daar maatregelen tegen te nemen. Zo zijn kerkelijke websites nogal eens slecht beveiligd. Maakt uw website bijvoorbeeld al gebruik van https, of nog van het verouderde http?

In de derde plaats is het van belang duidelijk intern en extern te communiceren dat men met de AVG bezig is, en welke acties daartoe worden ondernomen. Dat dient in elk geval aangegeven te worden op een duidelijke plek op de website.

Er zijn nog veel meer vragen. Waar kan een gemeente het best terecht?

Als het goed is verschaft het kerkelijk bureau van het kerkverband passende informatie over hoe te handelen in het licht van de AVG. Verder is het voor de hand liggend om uit te kijken naar deskundigen in eigen gemeente. Als deze twee routes niets opleveren, komt het inhuren van deskundigen in beeld.

Wat is een persoonsgegeven?

De wet geeft aan dat een persoonsgegeven élk gegeven is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dat betekent dat de informatie direct over de persoon gaat, dan wel tot de persoon valt te herleiden.

Voorbeelden van persoonsgegevens zijn naam, adres, woonplaats, telefoonnummer en postcode met huisnummer. Gevoelige gegevens zoals iemands godsdienst, ras of gezondheid worden ook wel bijzondere persoonsgegevens genoemd. Deze zijn door de wetgever extra beschermd.

Nuttige websites

De website van de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl) bevat uitvoerige informatie over de bescherming van privacy en over de AVG. Er is een dossier AVG te vinden waarin de diverse begrippen worden uitgelegd. Op de website staat een aantal voorbeeldbrieven die burgers helpen bij het uitoefenen van hun privacyrechten, zoals voorbeeldbrief inzage en voorbeeldbrief correctie.

De Protestantse Kerk in Nederland behandelt op haar website veelgestelde vragen (protestantsekerk.nl/privacy) en heeft een model privacystatement voor kerkelijke gemeenten beschikbaar gesteld.

Vragen van het CIO

Het Interkerkelijk Contact in Overheidszaken (CIO) houdt op 15 juni een expertmeeting met de aangesloten kerkverbanden. In de aanloop naar deze bijeenkomst heeft het CIO aan zijn lidkerken diverse vragen voorgelegd, die met de Autoriteit Persoonsgegevens besproken gaan worden. Welke activiteiten zijn kenmerkend voor de desbetreffende kerk? Op welke manier neemt de kerk maatregelen om de privacybelangen van het individuele kerklid te waarborgen? Welke zaken worden ten aanzien van leden en oud-leden geregistreerd en wie heeft toegang tot deze gegevens? Met welke andere organisaties worden persoonsgegevens gedeeld?

Onbekendheid met AVG

Van de bedrijven geeft 33 procent aan nog nooit van de AVG te hebben gehoord. Dat blijkt uit onderzoek van bureau Conclusr in februari en maart dit jaar. Voor het onderzoek werd gesproken met 350 IT-verantwoordelijken in bedrijven en organisaties.

Op de vraag in hoeverre men bekend is met de AVG gaf 17 procent van de respondenten aan „goed” met de AVG bekend te zijn; 23 procent zei er „meer over gehoord of gelezen te hebben”, en 27 procent gaf aan er wel van gehoord te hebben, maar niet te kunnen aangeven wat het is of waar het over gaat.