AVG Vragen en Antwoorden

Vanuit kerken bereiken ons veel concrete vragen over de nieuwe privacywet AVG. Hieronder treft u de gestelde vragen met antwoorden aan. Staat uw vraag er niet bij? Stel uw vraag aan ons met behulp van dit formulier.

Regelmatig zullen gestelde nieuwe vragen en antwoorden aan deze lijst worden toegevoegd.

VRAGEN EN ANTWOORDEN:

Vraag 12: Mogen we op de website en in ons maandelijks papieren parochieblad de naam, adres, telefoon en emailadres vermelden van de verschillende contactpersonen? De buitenstaanders moeten toch kunnen raadplegen met wie ze contact kunnen opnemen? Er komt een digitale versie van het parochieblad op de site.

Antwoord van Mr. Sander van de Molen, Smart Mirrors:

De contactpersonen die vanuit de kerkelijke organisatie moeten kunnen worden benaderd door de (gemeente)leden/parochianen, kunnen onder vermelding van de contactgegevens worden vermeld in het blad en de website. Deze verwerking is gebaseerd op het gerechtvaardigd belang om de gemeenschap van de kerk goed te laten functioneren. Het is wel aan te bevelen liever mailadressen van de gemeente/parochie te gebruiken, dan privé adressen, etc.

Aanvullend antwoord van Drs. Marisca Lulofs-van Rijnberk, econoom Bisdom Groningen Leeuwarden:

Wij adviseren om, zeker waar het om openbare kanalen gaat (website, breed en ongericht verspreid parochieblad) of toestemming te vragen aan de betrokken personen of te verwijzen naar een algemeen adres/e-mailadres/telefoonnummer waar men voor informatie terecht kan.

---------------

Vraag 11: Wat doe je nu met verjaardagen, vermelding van zieken enz. in het maandblad die onder de leden wordt verspreidt meer die ook door niet leden meegenomen kunnen worden?

Antwoord van Mr. Sander van de Molen, Smart Mirrors:

Voor het vermelden van deze gegevens geldt dat hiervoor de schriftelijke toestemming van de betrokkene moet worden verkregen. Dit kan via een daartoe opgestelde toestemmingsverklaring worden geregeld. Hierbij is mogelijk voor een langere periode de toestemming te verkrijgen. 

--------------

Vraag 10: Bij wijkbezoeken/huisbezoeken kan het zijn dat er notities van het gesprek gemaakt worden in het ledenadministratie systeem. Gezien het feit dat elk lid recht heeft op inzage in zijn of haar gegevens is het belangrijk om hier ook zorgvuldig mee om te gaan. Hebben jullie daar bepaalde richtlijnen voor?

Antwoord van Mr. Sander van de Molen, Smart Mirrors:

De betrokkenen hebben o.a. recht op inzage. Dit moet geregeld worden in een procedure 'rechten van betrokkenen'. Daarnaast is de volgende informatie nog van belang: Deze taken mogen slechts plaatsvinden door speciaal daartoe aangewezen functionarissen. Hiervoor geldt dat de notities moeten passen binnen de doelstellingen van de organisatie, degenen die hiertoe toegang hebben daartoe geautoriseerd moeten zijn en deze verwerkingen afgeschermd moeten zijn van andere verwerkingsactiviteiten. 

Aanvullend antwoord van Drs. Marisca Lulofs-van Rijnberk, econoom Bisdom Groningen Leeuwarden:

Voor het RK Kerkgenootschap geldt dat er twee soorten aantekeningen zijn: algemene en geheime. De geheime kunnen enkel door de pastoor/priester worden gemaakt, gewijzigd en ingezien. Deze kunnen derhalve ook niet zomaar beschikbaar worden gesteld bij opvraag van de geregistreerde gegevens. De vraag is ook of het herleidbare persoonsgegevens zijn, zeker wanneer er geen namen genoemd worden.

----------------

Vraag 9: Wij maken gebruik van LRP (ledenadministratie). Daarin wordt ook de bijdrage administratie gedaan, zoals actie Kerkbalans en de Solidariteitskas. Na zo'n actie maak ik vaak een export van degenen die een brief hebben gekregen en van degenen die ook daadwerkelijk gegeven hebben. Hiermee kan ik overzichten maken op basis van bijv. leeftijdsgroepen. Hoe moeten we hiermee omgaan met de nieuwe privacywetgeving? Exports maken en lokaal bewaren op je laptop/PC, daar is in mijn ogen niet onderuit te komen.

Antwoord van Mr. Sander van de Molen:

Het is goed om deze werkzaamheden (verwerkingen) in het privacybeleid/reglement op te nemen. De in de vraag omschreven werkzaamheden passen in de doelstelling om 'de gemeenschap van de kerk goed te laten functioneren'). Wel moet deze taak zijn toebedeeld aan een functionaris, die onder een geheimhoudingsplicht valt. Het is verstandig deze functionaris een geheimhoudingsverklaring te laten ondertekenen. Daarnaast moet de laptop/PC/bestand goed beveiligd zijn.

---------------

Vraag 8: Is het verstandig om oude foto's, waarop gemeenteleden herkenbaar staan afgebeeld, van de website te verwijderen ?

Antwoord van Mr. Sander van de Molen:

Dit lijkt verstandig, indien de betrokkenen geen toestemming daarvoor hebben gegeven, en de website publiekelijk toegankelijk is. Als het gaat om foto's van functionarissen van de kerkelijke organisatie, dan is er geen toestemming noodzakelijk. 

--------------

Vraag 7: Binnen de gemeente wordt per kwartaal een nieuwsbrief uitgegeven. Op verzoek wordt deze nieuwsbrief per mail aan gemeenteleden toegezonden in de vorm van een link waarop door te klikken de nieuwsbrief verschijnt. Gemeenteleden die om welke reden dan ook de nieuwsbrief niet op deze wijze willen ontvangen, ontvangen de nieuwsbrief thuis in papieren vorm. Aangezien de nieuwsbrief persoonsgegevens bevat, willen wij de nieuwsbrief nu op de website plaatsen: het gemeentelid dat zich aanmeldt, ontvangt een inlogcode om de nieuwsbrief te kunnen lezen. De mogelijkheid om de nieuwsbrief thuis bezorgd te krijgen, blijft gehandhaafd. Is het verstandig om deze wijziging in te voeren of kunnen wij beter de huidige praktijk handhaven onder de verwijzing “we hebben het altijd zo gedaan”, hoewel dit geen beleid is dat op papier staat. Of kunnen we de huidige praktijk onder gerechtvaardigd belang schuiven en is geen toestemming nodig van degenen die in de nieuwsbrief worden genoemd en is de huidige praktijk derhalve niet in strijd met de AVG?

Antwoord van Mr. Sander van de Molen:

Wanneer u een website gaat gebruiken, met een mogelijkheid voor leden om in te loggen, dan is dit deel van de website afgescheiden van het algemene en publiek toegankelijke gedeelte van de website. Alle verwerkingen van persoonsgegevens die te maken hebben met de doelstellingen van de kerkelijke organisatie kunnen in het kader van het gerechtvaardigd belang worden uitgevoerd. Daarnaast is het belangrijk in het kader van de verantwoordingsplicht om beleid en procedures te hanteren voor het doel en de rechtsgrond voor het verwerken van persoonsgegevens. 

---------------

Vraag 6: Bij ons zijn College van kerkrentmeesters en Diaconie belast met de implementatie van de AVG. Er wordt echter in stukken die ik over de AVG lees gesproken over het opstellen van o.a. een privacy-statment en het opstellen van een procedureregeling datalekken. Welk orgaan stelt het privacystatement en de regeling procedureregeling datalekken vast. Is dat het CvK voor zover het de gemeente betreft en de Diaconie voor zover het diaconale aangelegenheden betreft? Immers het CvK kan toch niet beslissen over diaconale zaken en andersom. Of is het de kerkenraad als overkoepelend orgaan over gemeente en Diaconie?

Antwoord van Mr. Sander van de Molen:

Uiteindelijk is er één (hoofd)verantwoordelijke van een organisatie. Dat is het bestuur. Vervolgens kunnen er verschillende soorten van verwerkingen plaatsvinden. Het is verstandig om deze verwerkingen in een register van verwerkingsactiviteiten te beschrijven. De PKN heeft inmiddels een 'Model Privacyverklaring' uitgebracht. www.protestantsekerk.nl/privacy

Aanvullend antwoord van Drs. Marisca Lulofs-van Rijnberk, econoom Bisdom Groningen Leeuwarden:

Binnen het RK Kerkgenootschap zal door de parochies en PCI-en (en ook door de bisdommen) een privacy-statement moeten worden opgesteld en gepubliceerd naar voorbeeld zoals landelijk voorgesteld. De verantwoordelijkheid hiervoor ligt bij het bestuur van de betreffende eenheid.

---------------

Vraag 5: Er is bij kerken nog niet duidelijk of er een functionaris moet komen. De Doopsgezinde Gemeenten zijn allen autonoom. Wanneer is het duidelijk of deze er moet komen?

Antwoord van Mr. Sander van de Molen:

Een kleine kerkelijke organisatie is, op basis van de bepalingen van de AVG en uitleg daarover van de WP29 niet verplicht is om een Functionaris Gegevensbescherming aan te stellen. Immers: er worden vanuit de doelstelling (‘kerntaken’) niet op grote schaal persoonsgegevens verwerkt van een bijzondere categorie. Het is wel raadzaam om een 'coördinator privacy' aan te stellen, om ervoor te zorgen dat de organisatie zich aan de privacyverplichtingen houdt. 

Voor bijvoorbeeld de RK Kerk ligt dit anders. Deze verwerkt wel op grote schaal persoonsgegevens en zal derhalve een FG moeten aanstellen.

Antwoord van Drs. Marisca Lulofs-van Rijnberk, econoom Bisdom Groningen Leeuwarden:

Wij zijn vooralsnog van mening dat een FG wel aangesteld moet worden, immers met 4 miljoen leden en meerdere duizenden mutaties alleen al via SILA op jaarbasis zal de verwerking vermoedelijk door de AP als grootschalig worden aangemerkt. Hoe dat voor anderen kerken ligt, zeker gezien de minder gestructureerde opbouw van de kerkgenootschappen kan ik slecht inschatten. 

---------------

Vraag 4: Mag ik de contactpersoon van onze werkgroep zieken, ouderen en bejaarden jaarlijks een exceloverzicht aanreiken van parochianen die > 65 jaar zijn. Dit tbv de ziekendag en/of attenties bij verjaardagen en kerst. En voor kaartjes bij verjaardagen.

Antwoord van Mr. Sander van de Molen:

De contactpersoon van de werkgroep 'zieken, ouderen en bejaarden' zal als taak hebben om binnenkerkelijk deze taken uit te voeren. Deze persoon zal een geheimhoudingsverklaring moeten ondertekenen. Vanuit een gerechtvaardigd belang lijkt dit geen probleem. Indien de lijst verder verspreid wordt dan degene die dit als taak heeft vanuit de doelstellingen van de gemeente/parochie, zal er voorgaande schriftelijke toestemming moeten zijn.

----------------

Vraag 3: Het is tot nu toe vooral over kerkbesturen gegaan en wat die moeten regelen. Maar hoe moeten onderafdelingen bijv. zangkoor, jongerenclubs enz met de nieuwe AVG omgaan?

Antwoord van Mr. Sander van de Molen:

Voor onderafdelingen, zoals genoemd, gelden ook de wettelijke verplichtingen ingevolge de AVG. 

----------------

Vraag 2: Mogen ledenlijsten, belangstellenden lijsten, het kerkenblad en de jaarverslagen via de mail verzonden worden? (BCC)

Antwoord van Mr. Sander van de Molen:

Dit is toegestaan vanuit het gerechtvaardigd belang om de gemeenschap van de kerk goed te laten functioneren. Bedacht moet worden dat het verzenden per openbare mail een zeer onveilig medium is. Steeds vaker wordt gekozen voor het verzenden van vertrouwelijke informatie 'beveiligde email', zoals bijvoorbeeld Zivver. Voor particulieren is deze dienst overigens gratis. Zie www.zivver.nl. 

Aanvullend antwoord van Drs. Marisca Lulofs-van Rijnberk, econoom Bisdom Groningen Leeuwarden:

Bij e-mail aan meerdere personen tegelijk: gebruik de BCC om iedereen te benaderen. Via e-mail verspreide documenten vallen onder de verantwoordelijkheid van degene die het verzend. Binnen bijvoorbeeld het notariaat wordt geadviseerd een portal in te richten waar mensen informatie kunnen ophalen. Op dat moment is het verkeer van het document/bestand de verantwoordelijkheid van degene die het ophaalt. 

---------------

Vraag 1: Wij publiceren tot nu toe de adressen van de nieuwe parochianen en de adreswijzigingen van de bestaande parochianen in ons parochieblad. (als informatie tbv de lokale gemeenschap). Op de website staat een digitale versie van dit parochieblad.  Kunnen we dat na 25 mei blijven doen?

Antwoord van Mr. Sander van de Molen:

Kort antwoord: blad verspreiden naar leden: ja; op website openbaar: nee; achter login: ja.

Toelichting: De rechtsgrond voor het verwerken van persoonsgegevens binnen de kerk (interkerkelijke uitwisseling) is primair het 'gerechtvaardigd belang'. Voor het verwerken van persoonsgegevens die binnen de doelstelling ('met elkaar belijden van het geloof' en 'de gemeenschap van de kerk goed te laten functioneren') vallen is geen toestemming nodig. Wel moet men zich afvragen of het delen van alle persoonsgegevens met alle leden hierbij noodzakelijk is. Hierbij is van belang dat alleen díe gegevens die noodzakelijk zijn voor iemand om een 'taak' te kunnen uitoefenen beschikbaar mogen komen. Dit geldt voor bijvoorbeeld medewerkers die een administratieve taak hebben, of ouderlingen of pastoraal werkers. Het delen van alle adresgegevens met iedereen is handig, maar lijkt niet direct noodzakelijk. Advies is derhalve hierin terughoudend in te zijn en dit niet zonder toestemming van de betrokkene te publiceren.

Het delen van deze informatie op een (openbare) website is af te raden. Deze is namelijk publiek en kan ook buiten de kring van de leden worden geraadpleegd. Hiervoor is het advies altijd de toestemming te vragen (schriftelijk). Indien deze website afgeschermd is door middel van een inlogsysteem, dan is er meer mogelijk, en wordt het weer 'interkerkelijk'. Hiervoor geldt dan wel weer hetgeen in het eerste deel staat vermeld.


Ondanks de zorgvuldige samenstelling van de inhoud van deze vraag en antwoord pagina kan Helderblauw geen enkele aansprakelijkheid aanvaarden voor schade, direct dan wel indirect, ten gevolge van eventuele fouten of vergissingen. Dit geldt zowel ten aanzien van de eigen content als ten aanzien van de door Helderblauw aangeboden content die afkomstig is van derden.