AVG Vragen en Antwoorden

Vanuit kerken bereiken ons veel concrete vragen over de nieuwe privacywet AVG. Hieronder treft u de gestelde vragen met antwoorden aan. Staat uw vraag er niet bij? Stel uw vraag aan ons met behulp van dit formulier.

Regelmatig zullen gestelde nieuwe vragen en antwoorden aan deze lijst worden toegevoegd.

VRAGEN EN ANTWOORDEN:

Vraag 30: Binnen onze gemeente wordt jaarlijks een VakantieBijbelKlub (VBK) georganiseerd. Hieraan doen kinderen vanuit onze gemeente en kinderen van daarbuiten mee. Er wordt een lijstje van deelnemers ten behoeve van de organisatie opgesteld. Moet een onderscheid worden gemaakt tussen deelnemers afkomstig uit onze gemeente (gerechtvaardigd belang) en deelnemers van buiten onze gemeente (toestemming). Of kan alles onder toestemming worden gebracht omdat de (ouders van de) deelnemers de opgave doen en dus ook toestemming geven.

Antwoord van Mr. Sander van de Molen, Smart Mirrors:

Het organiseren van een VakantieBijbelKlub (VBK) past binnen het gerechtvaardigde belang van de kerkelijke organisatie. Het uitnodigen/aanschrijven van leden is dan ook vanzelfsprekend. Het naar buiten kenbaar maken van het organiseren van een VBK is uiteraard ook geen probleem. Als deelnemers van buiten de organisatie willen meedoen en zich hiervoor opgeven, dan is het in het kader van de privacywetgeving van belang dat duidelijk wordt gemaakt welke persoonsgegevens door de organisatie hiervoor worden verwerkt. Dit moet kenbaar worden gemaakt bij de inschrijving. De deelnemer gaat dan akkoord bij het inschrijven. 
 
Tevens kun je een 'event reglement' opstellen waarin je beschrijft wat de spelregels zijn bij deelname en of er bijvoorbeeld foto's mogen worden gemaakt. Het advies is om voor kinderen onder de 16 jaar altijd toestemming te vragen aan de ouders. Dat geldt zowel voor leden als niet leden. 

--------------

Vraag 29: Binnen onze gemeente is er een Verjaardagsfonds. Er wordt vanuit LRP een lijstje geëxporteerd met gegevens van gemeenteleden, zodat de leden van het Verjaardagsfonds de jarige op of rondom zijn of haar verjaardag kunnen feliciteren (kaartje). Moeten de gemeenteleden hiervoor toestemming geven of valt dit onder het gerechtvaardigd belang?

Antwoord van Mr. Sander van de Molen, Smart Mirrors:

De vraag is of het vieren van verjaardagen, of het delen van deze informatie past binnen de doelstellingen van de kerkelijke organisatie. Blijkbaar is er binnen de organisatie ervoor gekozen om een verjaardagsfonds in te stellen (doel: attentie sturen bij verjaardag) en hebben alleen de leden van het verjaardagsfonds toegang tot deze informatie. Als dit is beschreven in het privacybeleid en de toegang tot deze gegevens goed is geregeld, zodanig dat alleen bepaalde medewerkers met een gerichte taak (namelijk het uitvoeren van de felicitatie) bij deze gegevens kunnen, lijkt mij dit geen probleem. Ik zou adviseren hierover wel transparant te zijn in de vorm van het opnemen van deze informatie in een privacyverklaring.

--------------

Vraag 28: Wat is de termijn wanneer historische foto's met personen mogen worden gebruikt op website of parochieblad. Moeten nabestaanden daarvoor toestemming geven?

Antwoord van Mr. Sander van de Molen, Smart Mirrors:

Onder de bepalingen van de AVG vallen niet de persoonsgegevens van overledenen. Deze zijn vanuit de AVG niet beschermd, omdat het geen persoonsgegevens zijn. Nabestaanden hoeven ook geen toestemming te verlenen. 

--------------

Vraag 27: Wanneer we n.a.w.- gegevens willen gebruiken welke in openbare bronnen (b.v. gemeentegids of krant) beschikbaar zijn, moeten we dan ook toestemming aan betrokkenen vragen?

Antwoord van Mr. Sander van de Molen, Smart Mirrors:

In deze situatie wordt er informatoe over en vanuit de kerkelijke organisatie buiten de geloofsgemeenschap verspreid. In deze situatie is het raadzaam om altijd (schriftelijke) toestemming te vragen.

--------------

Vraag 26: Op onze website hebben wij de parochiebladen van de afgelopen jaren staan. In de parochiebladen staan namen en telefoonnummers van mensen die in het verleden een functie hadden in de parochie. Ook staan er foto's in van parochiële evenementen. Tevens necrologieën zonder adresgegevens. Moet dit allemaal worden verwijderd?

Antwoord van Mr. Sander van de Molen, Smart Mirrors:

De regels omtrent het publiceren van persoonlijke informatie zoals gemeld in de vraag is onder de AVG ten opzichte van de Wbp niet gewijzigd. Voor het antwoord op de vraag hangt het er vanaf of de informatie (het lijkt meer op een soort historisch archief) voor het publiek toegankelijk is, dan wel of de informatie achter een inlog staat en alleen voor leden beschikbaar is. Indien dit laatste het geval is, hoeft er naar mijn mening geen actie te worden ondernomen. Deze activiteiten passen in het gerechtvaardigd belang. Indien de informatie voor het publiek toegankelijk is, is mijn advies deze te verwijderen en een (intern) archief te maken, waarin de parochiebladen zijn opgenomen. 

--------------

Vraag 25: Ons kerkblad wordt 4-wekelijks op papier verspreid onder kerkleden. Traditioneel bevat het, naast nieuws en wetenswaardigheden, ook informatie over het wel en wee (pastoraat) van gemeenteleden. Deze worden dan ook met naam (adres) en toenaam (omstandigheden, bijv. ziekte en behandeling) genoemd. Dit kerkblad wordt ook integraal als PDF onbeveiligd per e-mail verspreid aan gemeenteleden en oud-gemeenteleden die daarom hebben gevraagd. Kan dit eigenlijk wel? De kans dat het kerkblad ook buiten de gemeente wordt verspreid is groot. Bovendien lezen Google, Microsoft, KPN en consorten ook mee. Is het niet beter de PDF te beveiligen of de informatie online aan te bieden op een beveiligde website?

Antwoord van Drs. Marisca Lulofs-van Rijnberk, econoom Bisdom Groningen Leeuwarden:

Wij hanteren de stelregel dat, wanneer een parochieblad waarin zich privacygevoelige gegevens bevinden, wordt verspreid dit zonder problemen mag zolang het gericht verspreid worden aan leden. Oud-leden wordt alweer wat ingewikkelder, zij maken formeel immers geen deel meer uit van de gemeenschap. Wanneer u een disclaimer onder uw mail opneemt, ben ik geneigd te zeggen dat u voldoende op de vertrouwelijkheid van de informatie hebt gewezen. Maar wanneer het eenvoudig te beveiligen is, is dat natuurlijk altijd een goed alternatief. Het enige is dat u daarmee wellicht wel afvangt dat het niet door providers gelezen wordt, maar eenmaal geopend kan een ontvanger het bestand altijd nog verder verspreiden zonder uw medeweten.

Aanvullend antwoord van Mr. Sander van de Molen, Smart Mirrors:

Het opmaken en verspreiden van een kerkblad met persoonlijke informatie, is toegestaan mits een aantal uitgangspunten in acht worden genomen:
1. Er moet een doel zijn voor de verwerking van de persoonsgegevens: dat zal kunnen zijn informatie uit de geloofsgemeenschap en deze delen met de leden. Het delen van deze informatie moet beschreven zijn (doelbinding).  
2. Er moet sprake zijn van een wettelijke grondslag voor de verwerking. Deze kan worden gevonden in het 'gerechtvaardigd belang', wanneer het gaat om de leden van de gemeente die met elkaar een geloofsgemeenschap (religie) vormen. 
3. Er moet sprake zijn van passende waarborgen voor de bescherming van de privacy: dus verspreiding alleen aan (actieve) leden, waarmee regelmatig contact is.
 
Indien de gids ook extern gaat (openbare website, of verspreiding ook aan niet-leden, of 'door iedereen mee te nemen') dan is er sprake van verwerking 'buiten de instantie' en is (schriftelijke) toestemming nodig.
 
Het is inderdaad veiliger om persoonlijke informatie niet te verspreiden via e-mail. Dit is een van de minst veilige media. Het aanbieden van de informatie, waarbij de leden deze actief moeten ophalen en achter een inlog zit, is velen malen veiliger.

--------------

Vraag 24: Is er t.a.v. de personeelsleden een onderscheid te maken tussen personeelsleden in dienst van de parochie en in dienst van het Bisdom (pseudowerknemers)? Worden deze pseudowerknemers door de Bisdommen op uniforme wijze geïnformeerd over de gevolgen van de AVG voor hun functie (of verandert er niets voor hen)?

Antwoord van Drs. Marisca Lulofs-van Rijnberk, econoom Bisdom Groningen Leeuwarden:

De priesters binnen het RK Kerkgenootschap vormen de zgn. pseudowerknemers waar u naar verwijst. Zij hebben noch met de parochie, noch met het bisdom een arbeidsverhouding/dienstverband. Maar zij worden wel verloond door - afhankelijk van het bisdom - het bisdom of de parochie. Ten aanzien van de zaken die met de loonadminsitratie samenhangen gelden voor hen uiteraard dezelfde zaken als voor andere, daadwerkelijk in loondienst zijnde werknemers. De werkgever is verplicht om de informatie te verzorgen. Op dit moment is er geen aparte communicatielijn vanuit landelijk en/of de bisdommen gezamenlijk naar deze groep.

--------------

Vraag 23: Komen of zijn er passende disclaimers beschikbaar voor e-mailverkeer, zodat wij zelf geen disclaimer hoeven te ontwikkelen?

Antwoord van Drs. Marisca Lulofs-van Rijnberk, econoom Bisdom Groningen Leeuwarden:

Wij adviseren onze achterban een disclaimer op te nemen en de volgende tekst is daarvoor opgesteld: “De informatie verzonden met dit e-mail bericht is uitsluitend bestemd voor de geadresseerde(n). Gebruik van deze informatie door anderen dan de geadresseerde(n) is verboden. Openbaarmaking, vermenigvuldiging, verspreiding en/of verstrekking van deze informatie aan derden is niet toegestaan.” Hiermee benadrukt u de vertrouwelijkheid van de mail.

--------------

Vraag 22: Er bestaat toch nog enige verwarring over het plaatsen van toestemming. Op de bijeenkomst in Gouda werd door het bisdom Groningen-Leeuwarden geadviseerd zo weinig mogelijk schriftelijke toestemming te vragen. Bij ons wordt juist geadviseerd, voor heel veel schriftelijke toestemming te vragen; impliciete  toestemming mag niet meer.  Voorbeeld: op 1e Pinksterdag hebben wij nieuwe vrienden verwelkomd en na afloop een foto gemaakt, met de expliciete vraag om toestemming deze op FB te zetten. Er kwam een opmerking van buiten, dat dat niet mag zonder schriftelijke toestemming. Mondelinge toestemming is ook rechtsgeldig en het is ieder afzonderlijk gevraagd, dus volgens mij en vele anderen mag het. Maar: wat is nu écht goed? 

Antwoord van Drs. Marisca Lulofs-van Rijnberk, econoom Bisdom Groningen Leeuwarden:

De nuance zit m.i. in het feit dat wij adviseren om zoveel mogelijk uit de sfeer van het vragen van toestemming te blijven. Wij adviseren om, daar waar mogelijk, zoveel mogelijk het gerechtvaardigd belang te laten gelden. Maar als u toestemming moet vragen dan is het vanzelfsprekend altijd de veiligste manier om dat schriftelijk te doen. Zeker bij personen jonger dan 16 jaar is dat ook verplicht, daar wilt u ook geen discussie over.

Aanvullend antwoord van Mr. Sander van de Molen, Smart Mirrors:

Toestemming vragen is een soort 'last resort'. Indien een andere rechtsgrond (gerechtvaardigd belang) kan worden gekozen, maakt u het uzelf een stuk gemakkelijker. Indien toestemming nodig is, is het antwoord te vinden in artikel 7 AVG. Lid 1 van dit artikel geeft aan dat de verantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft gegeven. Als u mondeling toestemming vraagt, kan achteraf blijken dat er onduidelijkheden waren en is bewijs namens u lastig te leveren. U zult dan bij wijze van spreken getuigen moeten hebben. Lid 2 geeft aan dat in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft (bijvoorbeeld een algemene toestemming voor publiceren van foto's) de toestemming in een begrijpelijke en gemakkelijke toegankelijke vorm en in duidelijke taal wordt gepresenteerd. 
Mijn advies is om altijd schriftelijke toestemming te vragen, indien toestemming noodzakelijk is. U maakt het dan voor uzelf gemakkelijk in het kader van mogelijk toekomstig bewijsrechtelijke problemen. 

--------------

Artikel van Daniëlle Woestenberg van CIO: "Over AVG en kerk kunnen zijn in de hedendaagse samenleving", mei 2018.

---------------

Vraag 21: 'Live' uitzenden van kerkdienst via 'kerkdienstgemist'. Gezien de privacy, wordt zo min mogelijk namen van aanwezige kerkleden of gasten genoemd. Evenwel worden gasten wel verwelkomd in de dienst met naam en land of plaats waar zij vandaan komen. Is dit geen inbreuk op hun privacy?

Antwoord van Mr. Sander van de Molen, Smart Mirrors:

Het is hierbij van belang of de dienst per openbaar internet wordt uitgezonden, of achter een login (besloten). In het laatste geval lijkt mij dit geen probleem. Indien openbaar, zou ik terughoudendheid betrachten. Houd er rekening mee dat indien een dienst via het openbare internet (zonder login) wordt uitgezonden, er zorgvuldig moet worden afgewogen welke persoonlijke informatie wel of niet kan worden medegedeeld.

Aanvullend antwoord van Drs. Marisca Lulofs-van Rijnberk, econoom Bisdom Groningen Leeuwarden:

Het verdient altijd aanbeveling om zorgvuldig af te wegen wat je wel en niet aan persoonsgegevens kenbaar maakt. Maar openbare uitzending maakt dit belang nog groter. Bij openbare uitzending (dus niet afgeschermd voor enkel leden etc.) zou feitelijk toestemming gevraagd moeten worden voor het noemen van namen.

---------------

Vraag 20: Overigens is onze informatie en correspondentie uitsluitend in het Engels. Ons privacy statement zal dan waarschijnlijk ook alleen in het Engels zijn. Is dat bezwaarlijk?

Antwoord van Mr. Sander van de Molen, Smart Mirrors:

De AVG gaat er vanuit dat alle communicatie in het kader van transparantie en informatie in een begrijpelijke en toegankelijke vorm en in duidelijke en eenvoudige taal wordt verricht. Indien Engels bij uw doelgroep past, is dat geen enkel probleem. 

Aanvullend antwoord van Drs. Marisca Lulofs-van Rijnberk, econoom Bisdom Groningen Leeuwarden:

Het hebben van een privacy statement in een andere taal is geen enkel probleem, het gaat er om dat er een privacy statement is opgesteld. Het verdient wellicht aanbeveling om deze zowel in het Engels als in het Nederlands te hebben. De Nederlandse versie kan dan de basis vormen en als naslag dienen. Maar bezwaar tegen het niet hebben er van is er niet.

---------------

Vraag 19: De weekbrief, ook wel zondagsbrief genoemd, bevat een lijst met namen van hen die een taak hebben. Deze wordt donderdags in bcc toegezonden aan hen die een taak hebben op zondag en wordt dan ook op de website geplaatst, zonder vermelding van bedoelde namen. De weekbrief met namen wordt afgedrukt en is voor eenieder in de kerk beschikbaar. Is dit een acceptabele procedure?

Antwoord van Mr. Sander van de Molen, Smart Mirrors:

Indien het gaat om vermelding van functionarissen/vrijwilligers die een 'taak' hebben, lijkt mij geen probleem. De contactpersonen die vanuit de kerkelijke organisatie moeten kunnen worden benaderd door de (gemeente)leden/parochianen, kunnen onder vermelding van de contactgegevens worden vermeld in het blad en de website. Deze verwerking is gebaseerd op het gerechtvaardigd belang om de gemeenschap van de kerk goed te laten functioneren. Het is wel aan te bevelen liefst mailadressen van de gemeente/parochie te gebruiken, dan privé adressen, etc.

Aanvullend antwoord van Drs. Marisca Lulofs-van Rijnberk, econoom Bisdom Groningen Leeuwarden:

Zie antwoord bij 13 en 18, in een dergelijke situatie is al snel sprake van het voor gaan van gerechtvaardigd belang. Door het gebruik van parochie e-mailadressen (al dan niet het algemene adres) kan e.e.a. ondervangen worden.

---------------

Vraag 18: Gebruik van Hotmail en live.com. Naast het officiele mail adres en website gebruiken wij een live.com adres voor het versturen van een weekbrief en tweemaandelijkse nieuwsbrief, naar een aangemelde groep van kerkleden. De tweemaadelijkse staat ook op de website ter inzage van eenieder.Verzending in de bcc. Mogen hier ook verjaardagen genoemd worden als dit in feite het plaatsen van persoonlijke details (naam en datum verjaardag) in het public domein betreft. Reden voor het gebruik van editor-herald@live.com is omdat hierin het gemakkelijker is om lijsten van groepen bij te houden i.p.v. in onze mail provider 'yourname.nl'. Het is onvermijdelijk dat veel correspondentie tussen kerk functionarissen en kerkleden via privé email adressen plaats vindt. Zijn hier risico's aan verbonden?

Antwoord van Mr. Sander van de Molen, Smart Mirrors:

Zie antwoord onder 13. Indien deze persoonsgegevens buiten de kring van leden worden verspreid (openbare website) dan is er sprake van verwerking 'buiten de instantie' en is (schriftelijke) toestemming nodig.

---------------

Vraag 17: Nu plaatsen wij een verjaardagslijst in het kerkblad (wat iedere twee weken uitkomt) van gemeenteleden die in die periode jarig zijn. In deze lijst staan alleen de namen van de gemeenteleden en op welke datum ze jarig zijn (geboortejaar is niet vermeld). Mag zo'n lijst vanuit het gerechtvaardigd belang van met elkaar meeleven als gemeente in het kerkblad worden opgenomen? Per slot van rekening staan deze gegevens ook al in het jaarboekje of moeten we dit geheel los van elkaar zien?

Antwoord van Mr. Sander van de Molen, Smart Mirrors:

Zie antwoord onder 13. Indien de verjaardagslijst buiten de kring van leden zou kunnen worden verspreid (openbare website, of verspreiding ook aan niet-leden, of 'door iedereen mee te nemen') dan is er sprake van verwerking 'buiten de instantie' en is (schriftelijke) toestemming nodig.

---------------

Vraag 16: Volstaat het als wij gemeenteleden de mogelijkheid geven bezwaar te maken tegen plaatsing van hun gegevens in het kerkboekje wat wij ieder jaar uitbrengen?

Antwoord van Mr. Sander van de Molen, Smart Mirrors:

Zie antwoord onder 13. Indien het kerkboekje alleen de gegevens van leden bevat, kan deze op grond van en gerechtvaardigd belang worden samengesteld en worden verspreid. Er is dus geen voorafgaande (schriftelijke) toestemming noodzakelijk. 2. Dan is het goed om de mogelijkheid te bieden eventueel bezwaar te maken tegen opname. Dat volstaat. 

Aanvullend antwoord van Drs. Marisca Lulofs-van Rijnberk, econoom Bisdom Groningen Leeuwarden:

Alleen bij gerichte verspreiding wordt geen toestemming gevraagd. In die gevallen waar iemand dan bezwaar heeft tegen publicatie moet de afweging gemaakt worden wat zwaarder weegt: het individuele belang van betrokkene of het belang van de organisatie in het kader van het gerechtvaardigd belang. Bezwaar moet wel te allen tijde serieus genomen worden. Dat is niet impliciet hetzelfde als het honoreren er van. 

---------------

Vraag 15: Is er ook een soort template beschikbaar voor het privacybeleid?

Antwoord van Mr. Sander van de Molen, Smart Mirrors:

Zeker zijn deze er:

1. De RK Kerk heeft een versie uit 2006. Het reglement en afgeleid daarvan de privacyverklaring zijn aangepast en zijn te vinden op www.rkkerk.nl.
2. De PKN heeft onlangs een model gemaakt: zie: https://www.protestantsekerk.nl/actief-in-de-kerk/besturen/privacy/docum....
3. Via PrivacyTeam (www.privacyteam.nl) is een hele bibliotheek van documenten aanwezig.

---------------

Vraag 14: Mag je in het kerkblad en bij de afkondigingen aangeven waar iemand verpleegd wordt/ is opgenomen ?

Antwoord van Mr. Sander van de Molen, Smart Mirrors:

Mijn advies is hierbij erg terughoudend te zijn. Indien deze persoonsgegevens buiten de kring van leden kan worden opgemerkt zou ik dit niet doen zonder (schriftelijke)toestemming. Je kunt altijd aangeven dat als iemand informatie wil hebben dat via een contactpersoon van de gemeent kan worden gevraagd. Deze kan dan steeds een afweging maken om gegevens wel/niet te verstrekken.

Aanvullend antwoord van Drs. Marisca Lulofs-van Rijnberk, econoom Bisdom Groningen Leeuwarden:

Wij adviseren om dit niet te doen. Enkel wanneer iemand hier specifiek om vraagt (en dus toestemming geeft) is het toegstaan.

---------------

Vraag 13: Wij hebben een jaarboekje met daarin opgenomen een lijst van wijken met daarin de namen en adressen van de personen die in die wijken zitten. Mag dat op deze manier nog? Het boekje wordt verspreid onder alle belijdende leden-doopleden en blijkgevers.

Antwoord van Mr. Sander van de Molen, Smart Mirrors:

Het uitbrengen van een jaarboekje met een lijst van wijken en daar weer de namen en adressen van personen die in die wijk wonen, is toegestaan mits een aantal uitgangspunten in acht worden genomen:

1. Er moet een doel zijn voor de verwerking van de persoonsgegevens: dat zal kunnen zijn het makkelijk vindbaar zijn van leden onderling, kortom: contact en vindbaarheid. De gids moet voorzien in een behoefte van de leden.
2. Er moet sprake zijn van een wettelijke grondslag voor de verwerking. Deze kan worden gevonden in het 'gerechtvaardigd belang', wanneer het gaat om de leden van de gemeente die met elkaar een geloofsgemeenschap (religie) vormen.
3. Er moet sprake zijn van passende waarborgen voor de bescherming van de privacy: dus verspreiding alleen aan (actieve) leden, waarmee regelmatig contact is.

---------------

 

Indien de gids ook extern gaat (openbare website, of verspreiding ook aan niet-leden, of 'door iedereen mee te nemen') dan is er sprake van verwerking 'buiten de instantie' en is (schriftelijke) toestemming nodig.

Vraag 12: Mogen we op de website en in ons maandelijks papieren parochieblad de naam, adres, telefoon en emailadres vermelden van de verschillende contactpersonen? De buitenstaanders moeten toch kunnen raadplegen met wie ze contact kunnen opnemen? Er komt een digitale versie van het parochieblad op de site.

Antwoord van Mr. Sander van de Molen, Smart Mirrors:

De contactpersonen die vanuit de kerkelijke organisatie moeten kunnen worden benaderd door de (gemeente)leden/parochianen, kunnen onder vermelding van de contactgegevens worden vermeld in het blad en de website. Deze verwerking is gebaseerd op het gerechtvaardigd belang om de gemeenschap van de kerk goed te laten functioneren. Het is wel aan te bevelen liever mailadressen van de gemeente/parochie te gebruiken, dan privé adressen, etc.

Aanvullend antwoord van Drs. Marisca Lulofs-van Rijnberk, econoom Bisdom Groningen Leeuwarden:

Wij adviseren om, zeker waar het om openbare kanalen gaat (website, breed en ongericht verspreid parochieblad) of toestemming te vragen aan de betrokken personen of te verwijzen naar een algemeen adres/e-mailadres/telefoonnummer waar men voor informatie terecht kan.

---------------

Vraag 11: Wat doe je nu met verjaardagen, vermelding van zieken enz. in het maandblad die onder de leden wordt verspreidt meer die ook door niet leden meegenomen kunnen worden?

Antwoord van Mr. Sander van de Molen, Smart Mirrors:

Voor het vermelden van deze gegevens geldt dat hiervoor de schriftelijke toestemming van de betrokkene moet worden verkregen. Dit kan via een daartoe opgestelde toestemmingsverklaring worden geregeld. Hierbij is mogelijk voor een langere periode de toestemming te verkrijgen. 

--------------

Vraag 10: Bij wijkbezoeken/huisbezoeken kan het zijn dat er notities van het gesprek gemaakt worden in het ledenadministratie systeem. Gezien het feit dat elk lid recht heeft op inzage in zijn of haar gegevens is het belangrijk om hier ook zorgvuldig mee om te gaan. Hebben jullie daar bepaalde richtlijnen voor?

Antwoord van Mr. Sander van de Molen, Smart Mirrors:

De betrokkenen hebben o.a. recht op inzage. Dit moet geregeld worden in een procedure 'rechten van betrokkenen'. Daarnaast is de volgende informatie nog van belang: Deze taken mogen slechts plaatsvinden door speciaal daartoe aangewezen functionarissen. Hiervoor geldt dat de notities moeten passen binnen de doelstellingen van de organisatie, degenen die hiertoe toegang hebben daartoe geautoriseerd moeten zijn en deze verwerkingen afgeschermd moeten zijn van andere verwerkingsactiviteiten. 

Aanvullend antwoord van Drs. Marisca Lulofs-van Rijnberk, econoom Bisdom Groningen Leeuwarden:

Voor het RK Kerkgenootschap geldt dat er twee soorten aantekeningen zijn: algemene en geheime. De geheime kunnen enkel door de pastoor/priester worden gemaakt, gewijzigd en ingezien. Deze kunnen derhalve ook niet zomaar beschikbaar worden gesteld bij opvraag van de geregistreerde gegevens. De vraag is ook of het herleidbare persoonsgegevens zijn, zeker wanneer er geen namen genoemd worden.

----------------

Vraag 9: Wij maken gebruik van LRP (ledenadministratie). Daarin wordt ook de bijdrage administratie gedaan, zoals actie Kerkbalans en de Solidariteitskas. Na zo'n actie maak ik vaak een export van degenen die een brief hebben gekregen en van degenen die ook daadwerkelijk gegeven hebben. Hiermee kan ik overzichten maken op basis van bijv. leeftijdsgroepen. Hoe moeten we hiermee omgaan met de nieuwe privacywetgeving? Exports maken en lokaal bewaren op je laptop/PC, daar is in mijn ogen niet onderuit te komen.

Antwoord van Mr. Sander van de Molen:

Het is goed om deze werkzaamheden (verwerkingen) in het privacybeleid/reglement op te nemen. De in de vraag omschreven werkzaamheden passen in de doelstelling om 'de gemeenschap van de kerk goed te laten functioneren'). Wel moet deze taak zijn toebedeeld aan een functionaris, die onder een geheimhoudingsplicht valt. Het is verstandig deze functionaris een geheimhoudingsverklaring te laten ondertekenen. Daarnaast moet de laptop/PC/bestand goed beveiligd zijn.

---------------

Vraag 8: Is het verstandig om oude foto's, waarop gemeenteleden herkenbaar staan afgebeeld, van de website te verwijderen ?

Antwoord van Mr. Sander van de Molen:

Dit lijkt verstandig, indien de betrokkenen geen toestemming daarvoor hebben gegeven, en de website publiekelijk toegankelijk is. Als het gaat om foto's van functionarissen van de kerkelijke organisatie, dan is er geen toestemming noodzakelijk. 

--------------

Vraag 7: Binnen de gemeente wordt per kwartaal een nieuwsbrief uitgegeven. Op verzoek wordt deze nieuwsbrief per mail aan gemeenteleden toegezonden in de vorm van een link waarop door te klikken de nieuwsbrief verschijnt. Gemeenteleden die om welke reden dan ook de nieuwsbrief niet op deze wijze willen ontvangen, ontvangen de nieuwsbrief thuis in papieren vorm. Aangezien de nieuwsbrief persoonsgegevens bevat, willen wij de nieuwsbrief nu op de website plaatsen: het gemeentelid dat zich aanmeldt, ontvangt een inlogcode om de nieuwsbrief te kunnen lezen. De mogelijkheid om de nieuwsbrief thuis bezorgd te krijgen, blijft gehandhaafd. Is het verstandig om deze wijziging in te voeren of kunnen wij beter de huidige praktijk handhaven onder de verwijzing “we hebben het altijd zo gedaan”, hoewel dit geen beleid is dat op papier staat. Of kunnen we de huidige praktijk onder gerechtvaardigd belang schuiven en is geen toestemming nodig van degenen die in de nieuwsbrief worden genoemd en is de huidige praktijk derhalve niet in strijd met de AVG?

Antwoord van Mr. Sander van de Molen:

Wanneer u een website gaat gebruiken, met een mogelijkheid voor leden om in te loggen, dan is dit deel van de website afgescheiden van het algemene en publiek toegankelijke gedeelte van de website. Alle verwerkingen van persoonsgegevens die te maken hebben met de doelstellingen van de kerkelijke organisatie kunnen in het kader van het gerechtvaardigd belang worden uitgevoerd. Daarnaast is het belangrijk in het kader van de verantwoordingsplicht om beleid en procedures te hanteren voor het doel en de rechtsgrond voor het verwerken van persoonsgegevens. 

---------------

Vraag 6: Bij ons zijn College van kerkrentmeesters en Diaconie belast met de implementatie van de AVG. Er wordt echter in stukken die ik over de AVG lees gesproken over het opstellen van o.a. een privacy-statment en het opstellen van een procedureregeling datalekken. Welk orgaan stelt het privacystatement en de regeling procedureregeling datalekken vast. Is dat het CvK voor zover het de gemeente betreft en de Diaconie voor zover het diaconale aangelegenheden betreft? Immers het CvK kan toch niet beslissen over diaconale zaken en andersom. Of is het de kerkenraad als overkoepelend orgaan over gemeente en Diaconie?

Antwoord van Mr. Sander van de Molen:

Uiteindelijk is er één (hoofd)verantwoordelijke van een organisatie. Dat is het bestuur. Vervolgens kunnen er verschillende soorten van verwerkingen plaatsvinden. Het is verstandig om deze verwerkingen in een register van verwerkingsactiviteiten te beschrijven. De PKN heeft inmiddels een 'Model Privacyverklaring' uitgebracht. www.protestantsekerk.nl/privacy

Aanvullend antwoord van Drs. Marisca Lulofs-van Rijnberk, econoom Bisdom Groningen Leeuwarden:

Binnen het RK Kerkgenootschap zal door de parochies en PCI-en (en ook door de bisdommen) een privacy-statement moeten worden opgesteld en gepubliceerd naar voorbeeld zoals landelijk voorgesteld. De verantwoordelijkheid hiervoor ligt bij het bestuur van de betreffende eenheid.

---------------

Vraag 5: Er is bij kerken nog niet duidelijk of er een functionaris moet komen. De Doopsgezinde Gemeenten zijn allen autonoom. Wanneer is het duidelijk of deze er moet komen?

Antwoord van Mr. Sander van de Molen:

Een kleine kerkelijke organisatie is, op basis van de bepalingen van de AVG en uitleg daarover van de WP29 niet verplicht is om een Functionaris Gegevensbescherming aan te stellen. Immers: er worden vanuit de doelstelling (‘kerntaken’) niet op grote schaal persoonsgegevens verwerkt van een bijzondere categorie. Het is wel raadzaam om een 'coördinator privacy' aan te stellen, om ervoor te zorgen dat de organisatie zich aan de privacyverplichtingen houdt. 

Voor bijvoorbeeld de RK Kerk ligt dit anders. Deze verwerkt wel op grote schaal persoonsgegevens en zal derhalve een FG moeten aanstellen.

Antwoord van Drs. Marisca Lulofs-van Rijnberk, econoom Bisdom Groningen Leeuwarden:

Wij zijn vooralsnog van mening dat een FG wel aangesteld moet worden, immers met 4 miljoen leden en meerdere duizenden mutaties alleen al via SILA op jaarbasis zal de verwerking vermoedelijk door de AP als grootschalig worden aangemerkt. Hoe dat voor anderen kerken ligt, zeker gezien de minder gestructureerde opbouw van de kerkgenootschappen kan ik slecht inschatten. 

---------------

Vraag 4: Mag ik de contactpersoon van onze werkgroep zieken, ouderen en bejaarden jaarlijks een exceloverzicht aanreiken van parochianen die > 65 jaar zijn. Dit tbv de ziekendag en/of attenties bij verjaardagen en kerst. En voor kaartjes bij verjaardagen.

Antwoord van Mr. Sander van de Molen:

De contactpersoon van de werkgroep 'zieken, ouderen en bejaarden' zal als taak hebben om binnenkerkelijk deze taken uit te voeren. Deze persoon zal een geheimhoudingsverklaring moeten ondertekenen. Vanuit een gerechtvaardigd belang lijkt dit geen probleem. Indien de lijst verder verspreid wordt dan degene die dit als taak heeft vanuit de doelstellingen van de gemeente/parochie, zal er voorgaande schriftelijke toestemming moeten zijn.

----------------

Vraag 3: Het is tot nu toe vooral over kerkbesturen gegaan en wat die moeten regelen. Maar hoe moeten onderafdelingen bijv. zangkoor, jongerenclubs enz met de nieuwe AVG omgaan?

Antwoord van Mr. Sander van de Molen:

Voor onderafdelingen, zoals genoemd, gelden ook de wettelijke verplichtingen ingevolge de AVG. 

----------------

Vraag 2: Mogen ledenlijsten, belangstellenden lijsten, het kerkenblad en de jaarverslagen via de mail verzonden worden? (BCC)

Antwoord van Mr. Sander van de Molen:

Dit is toegestaan vanuit het gerechtvaardigd belang om de gemeenschap van de kerk goed te laten functioneren. Bedacht moet worden dat het verzenden per openbare mail een zeer onveilig medium is. Steeds vaker wordt gekozen voor het verzenden van vertrouwelijke informatie 'beveiligde email', zoals bijvoorbeeld Zivver. Voor particulieren is deze dienst overigens gratis. Zie www.zivver.nl. 

Aanvullend antwoord van Drs. Marisca Lulofs-van Rijnberk, econoom Bisdom Groningen Leeuwarden:

Bij e-mail aan meerdere personen tegelijk: gebruik de BCC om iedereen te benaderen. Via e-mail verspreide documenten vallen onder de verantwoordelijkheid van degene die het verzend. Binnen bijvoorbeeld het notariaat wordt geadviseerd een portal in te richten waar mensen informatie kunnen ophalen. Op dat moment is het verkeer van het document/bestand de verantwoordelijkheid van degene die het ophaalt. 

---------------

Vraag 1: Wij publiceren tot nu toe de adressen van de nieuwe parochianen en de adreswijzigingen van de bestaande parochianen in ons parochieblad. (als informatie tbv de lokale gemeenschap). Op de website staat een digitale versie van dit parochieblad.  Kunnen we dat na 25 mei blijven doen?

Antwoord van Mr. Sander van de Molen:

Kort antwoord: blad verspreiden naar leden: ja; op website openbaar: nee; achter login: ja.

Toelichting: De rechtsgrond voor het verwerken van persoonsgegevens binnen de kerk (interkerkelijke uitwisseling) is primair het 'gerechtvaardigd belang'. Voor het verwerken van persoonsgegevens die binnen de doelstelling ('met elkaar belijden van het geloof' en 'de gemeenschap van de kerk goed te laten functioneren') vallen is geen toestemming nodig. Wel moet men zich afvragen of het delen van alle persoonsgegevens met alle leden hierbij noodzakelijk is. Hierbij is van belang dat alleen díe gegevens die noodzakelijk zijn voor iemand om een 'taak' te kunnen uitoefenen beschikbaar mogen komen. Dit geldt voor bijvoorbeeld medewerkers die een administratieve taak hebben, of ouderlingen of pastoraal werkers. Het delen van alle adresgegevens met iedereen is handig, maar lijkt niet direct noodzakelijk. Advies is derhalve hierin terughoudend in te zijn en dit niet zonder toestemming van de betrokkene te publiceren.

Het delen van deze informatie op een (openbare) website is af te raden. Deze is namelijk publiek en kan ook buiten de kring van de leden worden geraadpleegd. Hiervoor is het advies altijd de toestemming te vragen (schriftelijk). Indien deze website afgeschermd is door middel van een inlogsysteem, dan is er meer mogelijk, en wordt het weer 'interkerkelijk'. Hiervoor geldt dan wel weer hetgeen in het eerste deel staat vermeld.


Ondanks de zorgvuldige samenstelling van de inhoud van deze vraag en antwoord pagina kan Helderblauw geen enkele aansprakelijkheid aanvaarden voor schade, direct dan wel indirect, ten gevolge van eventuele fouten of vergissingen. Dit geldt zowel ten aanzien van de eigen content als ten aanzien van de door Helderblauw aangeboden content die afkomstig is van derden.