+ Meer informatie

De Algemene Verordering Gegevensbescherming (AVG)

11 minuten leestijd

Op 25 mei was het zover. De AVG trad in werking. Lang niet iedereen was hier klaar voor en binnen de kerken ontstond discussie hoe hiermee moest worden omgegaan. In sommige kerken werden alle voorbeden en andere mededelingen in het kader van meeleven met elkaar uit de opname van de kerkdienst en de zondagsbrief gehaald. In andere kerken bleef het beperkt tot de oproep om vooral voorzichtig met elkaars persoonlijke gegevens om te gaan. Publicatie van privacygevoelige gegevens gaat dan door totdat iemand hierover een klacht indient. Als die klacht gehonoreerd wordt betekent dat voor de betreffende kerk, en wellicht ook andere, een probleem.

De AVG is een vervolg op de WBP (Wet Bescherming Persoonsgegevens). Deze wet was minder verstrekkend dan de AVG. Sommige kerken hadden hun privacybeleid al overeenkomstig de WBP ingericht en hoefden voor de implementatie van de AVG niet veel extra te doen. Binnen het bedrijfsleven en de overheid werd al rekening gehouden met deze wet. Binnen de gezondheidszorg tot in het extreme toe. Menig ouder kreeg, waar een van de kinderen dreigde te ontsporen, te maken met het niet willen verstrekken van gegevens door de betreffende zorginstelling; overigens gedreven door wettelijke bepalingen en de dreiging tot intrekking van bevoegdheden.

De balans tussen meeleven en (onbedoeld) de mogelijkheid geven tot misbruik van gegevens is een lastige exercitie. Waar dit in de ene gemeente de potentiële inbreker in de kaart speelt zal in de andere gemeente een alleenstaande geïrriteerd reageren omdat de voorbede in verband met een ziekenhuisopname met nogal wat waarborgen wordt omkleed.

Inmiddels is het stof wat opgetrokken. We zijn er ook wat aan gewend geraakt. Een kerk is immers geen bedrijf waar veel strengere eisen gelden. Maar ook als kerkelijke organisatie mag er best aandacht gegeven worden aan de bescherming van de privacy en de veiligheid van onze broeders en zusters.

Alles wat vertrouwelijk te uwer kennis wordt gebracht

Ook in dit seizoen gaan we als ambtsdragers de gemeente in, doen pastorale bezoeken en nemen kennis van mooie, maar ook van probleemsituaties. Als we thuiskomen gebeurt het vaak dat daarvan een (beperkt) aantal notities worden gemaakt zodat we die voorafgaand aan een volgend bezoek kunnen raadplegen. Persoonlijke notities vallen gelukkig niet onder de beperkingen van de AVG maar zorg er dan wel voor dat ze alleen voor u toegankelijk zijn.

Soms zie je e-mailadressen als fam.hupsakee@provider.nl en rijst de vraag of de e-mails door alleen de ambtsdrager of door meerdere gezinsleden gelezen kan worden. Of dat er gelezen wordt op een PC die op een centrale plaats in de huiskamer staat en wellicht voor het hele gezin is bestemd. Het versturen van e-mail met bijzondere persoonsgegevens naar een gedeeld e-mailadres, dat bijvoorbeeld door een lid van de kerkenraad en zijn vrouw gebruikt wordt, zal terecht gezien worden als een datalek. Het betreft hier namelijk vertrouwelijke informatie die voor één ontvanger bedoeld is en nu door meerderen gelezen kan worden. Datalekken moeten gemeld worden aan de Autoriteit Persoonsgegevens (AP) en zo niet, dan kan er een boete volgen. Al wordt, in de beleving van de meesten, de soep niet zo heet gegeten als ze wordt opgediend: Laat het vertrouwen van hen die aan onze pastorale zorgen zijn toevertrouwd ons dierbaar zijn.

Wanneer op een kwade dag onze laptop gestolen zou worden, zijn de gegevens die we hadden dan goed beschermd? Is de harde schijf door middel van encryptie en een wachtwoord beveiligd? Dit geldt ook bij inruil ook al hebben we de disk ‘gewist’. Een ‘slimme jongen’ is immers in staat om al onze gevoelige gegevens feilloos boven tafel te halen. Er zijn gereedschappen beschikbaar om ook van een gewiste disk de gegevens weer te herstellen.

Belangrijk is dat we ons bewust zijn van de risico’s. Dit artikel is echter niet de plaats om advies te geven over het merk antivirusprogramma of andere veiligheidsmiddelen voor de PC. Gezien het belang van de privacy van gemeenteleden hebben we wel de morele plicht om ons ook hierin goed te laten adviseren en alert te zijn.

De maatschappij verandert! Cyberoorlog?

Onlangs werd een aantal spionnen opgepakt en het land uitgezet. De hack waarmee ze bezig waren was voornamelijk politiek. Ook als kerken moeten we ermee rekening houden dat misbruik zich vaker afspeelt. Dat betekent voor kerkenraad, commissie van beheer en penningmeester het opnemen van een aantal extra controlestappen. Is bijvoorbeeld het financiële administratiepakket ondergebracht bij een organisatie die op basis van (onder andere) een ISO 27001 certificaat kan aantonen de nodige veiligheidsmaatregelen in acht te nemen? Wordt met regelmaat een goede back-up gemaakt en is men daarop aanspreekbaar? Worden er digitale back-ups gemaakt van de ‘papieren’ administratie? Hoe is er beveiligd? Het is geen overbodige luxe om bij de jaarlijkse controle van de financiën hierbij een IT-er mee te laten lopen met kennis van zaken op dit gebied en dit ook in de (kas)controleprocedure op te nemen. De aanwijzingen op dit punt binnen de kerkorde zijn goed maar toch erg summier. Vertrouwen is goed, maar … controle is beter.

Zijn onze websites https://(HyperText Transfer Protocol Secured). De beveiligde verbinding door middel van SSL zorgt ervoor dat gevoelige informatie versleuteld wordt. Het zal de hackers niet buiten de deur houden maar het helpt wel, uiteraard afhankelijk van welke informatie er wordt opgeslagen. Ondanks dat het risico bij een niet https://site wellicht laag wordt ingeschat, het zijn toch uw en mijn (privacygevoelige) gegevens. Zorg in ieder geval voor een goede wachtwoordpolicy. Belangrijk is dat gemeenteleden, hun e-mailadressen en wellicht foto’s voldoende beschermd zijn. Het blijkt dat veel gemeenteleden het inloggen op de beveiligde website lastig vinden en als gevolg daarvan niet goed geïnformeerd (kunnen) worden. Dat mag geen concessies aan de beveiliging tot gevolg hebben. Wel kunt u bij de website maatregelen nemen om het inloggen te vergemakkelijken.

Wie is verwerkingsverantwoordelijke?

Binnen de AVG bestaat de functie van verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke bepaalt hoe en waarom er persoonsgegevens worden verwerkt. Deze is ook verantwoordelijk voor het naleven van de verordening. Binnen onze kerken is de kerkenraad als besluitvormend orgaan in zijn geheel verantwoordelijk voor wat er in de gemeente gebeurt en daarmee ook verantwoordelijk voor het waarborgen van de privacy van haar gemeenteleden. Dat betekent dat wanneer er iets misgaat en er bijvoorbeeld gegevens ‘op straat’ komen te liggen, dit gemeld wordt bij de kerkenraad die het op zijn beurt weer meldt bij de AP. Ook onrechtmatige verwerking van gegevens of verlies van toegang tot die gegevens valt onder een datalek. De term ‘datalek’ kom je in de AVG overigens niet tegen. Daar wordt gesproken over een ‘inbreuk in verband met persoonsgegevens’. Dat begrip is juridisch ruim genoeg om vermeende misstanden aan te pakken.

Een verwerking is volgens de AVG onder andere het verzamelen, vastleggen, opslaan, wijzigen, opvragen, raadplegen, gebruiken, verstrekken, wissen en vernietigen van gegevens. Degene op wie de gegevens betrekking hebben wordt betrokkene genoemd: een geïdentificeerde of identificeerbare natuurlijke persoon. Daarbij is dan onderscheid te maken tussen algemene of bijzondere gegevens. Van het laatste is binnen onze kerken sprake. Tegelijkertijd zie je dat in de wetgeving, zoals bijvoorbeeld in de ‘Handleiding Algemene Verordening Gegevensbescherming’, onder 4.5.2 uitzonderingen gemaakt worden voor instanties op onder andere levensbeschouwelijk gebied. Kerken mogen dus gegevens die betrekking hebben op de geloofsovertuiging van haar leden registreren. Echter, er is vaak nog onduidelijkheid hoe de wetgeving voor kerken moet worden geïnterpreteerd. Toestemming is niet nodig voor het registreren van de gegevens van gemeenteleden. Grondslag is daarbij het ‘gerechtvaardigd belang’. Voor het plaatsen van een foto op de website, het noemen van namen in het kerkblad, website, weekbrief, of het verstrekken van gegevens voor bijvoorbeeld het kerkblad / een door de kerkenraad gratis aangeboden abonnement zal wel toestemming nodig zijn.

Gegevens in kerkelijke archieven zijn van een andere orde. Hiervoor geldt bijvoorbeeld het recht op vergetelheid niet. Ook kan iemand niet eisen dat comité-notulen of andere gegevens waarin zijn naam voorkomt uit de notulenboeken worden verwijderd.

De verwerkersovereenkomst.

Stelt de verwerkingsverantwoordelijke privacygevoelige gegevens die hij onder zijn beheer heeft ter beschikking aan anderen, bijvoorbeeld de drukkerij die een periodiek verspreidt, dan is dat de verwerker. De verwerkingsverantwoordelijke maakt met de verwerker afspraken zodat deze net zo vertrouwelijk en zorgvuldig met de gegevens omgaat als de verwerkersverantwoordelijke verplicht is. Dit wordt vastgelegd in de verwerkersovereenkomst. De kerkenraad is verantwoordelijk voor de verwerking van privacygevoelige (bijzondere) gegevens. Met de dienstverlener aan wie deze gegevens worden verstrekt, moet een verwerkersovereenkomst worden gemaakt.

Het is nodig en verplicht om een verwerkingsregister bij te houden. Hierin wordt vastgelegd welke gegevens er met welk doel worden verwerkt. Dit valt onder de zogenaamde registerplicht van de AVG. Daarmee kan dan aangetoond worden dat de verwerkingen onder het gerechtvaardigd belang vallen en dat aan de wettelijke eisen wordt voldaan.

Belangrijk is dat elk jaar gecontroleerd wordt of de betreffende verwerkers vertrouwelijk met de aan hen verstrekte gegevens omgaan en of dit goed beveiligd is. Doet u dat niet dan bent u als kerkenraad (verwerkingsverantwoordelijke) zelf nog steeds verantwoordelijk en kan er geen beroep worden gedaan op de overeenkomst met de verwerker. Overigens is ook hier een ISO 27001 certificaat van de verwerker erg handig omdat dit een garantie geeft dat deze goed met privacygevoelige gegevens omgaat.

De kruitdampen wat opgetrokken?

Bij de aankondiging van de AVG was er begrijpelijk nogal wat paniek en discussie. Veel zaken in het kader van meeleven en voorbede kunnen niet meer zo gemakkelijk worden gedaan. De AP heeft begrip voor de kerken maar tegelijkertijd zal er ook bij ons het besef moeten groeien dat er juist op gebied van veiligheid veel aan de hand is. Een eenvoudige enquête via e-mail waarmee je iets kan winnen levert bijvoorbeeld een bombardement van reclame e-mails op. Even een verkeerde link aangeklikt en alle bestanden zijn versleuteld door een stuk ransomware of er zit Trojan virus in de PC waardoor anderen mee kunnen kijken en wachtwoorden achterhalen, met alle (mogelijke) datalekken van dien.

Een aantal kerken heeft nog weinig actie ondernomen voor de handhaving van de AVG. Dat is enerzijds te begrijpen want als gemeente vorm je een gemeenschap die onderling op elkaar betrokken is en daar ook praktisch mee bezig is. Ieder kerklid weet en begrijpt dat. Echter heeft ieder kerklid ook zijn ervaring en kennis van de huidige maatschappelijke ontwikkelingen en is er daarom tevens beducht voor dat zijn privacygevoelige gegevens niet op straat komen te liggen.

Dus voorbede voor een alleenstaande zuster die voor drie weken opgenomen wordt in het ziekenhuis moet je dan niet willen. Maar wat nu als zij zelf eist dat dit ‘gewoon’ uitgezonden wordt opdat anderen kunnen meeluisteren en meebidden? Of hoe gaan we ermee om als een broeder de verwoording in de voorbede toch graag anders had gehad? Mijns inziens zijn dat zaken die indirect onder de AVG vallen. Alleen staat in het geval van de alleenstaande zuster niets op papier. En in het geval van de broeder is het belangrijk om goed af te stemmen wat zijn situatie is en of degene die de voorbede doet daar voldoende weet van heeft. Veel hangt af van de informatie die een predikant vooraf tot zijn beschikking heeft. Een ‘eigen’ predikant weet in de regel wat er aan de hand is en kent het gemeentelid. Bij een gastpredikant moet vooraf achtergrondinformatie gegeven worden en niet 10 minuten voor de dienst in de consistorie. Belangrijk om dan na de dienst de geprinte e-mail met voorbeden niet in de consistorie of op de kansel te laten liggen of erger: in de prullenbak die eens in de maand wordt geleegd. Zo zou het ook goed zijn als in de kerk naast de printer of kopieermachine een papierversnipperaar (minimaal DIN P-3) staat.

Knippen we de voorbeden uit de opname van de kerkdienst of gaan ze rechtstreeks op een website? Als ze er niet uitgeknipt worden is het verstandiger om de dienst op een afgeschermd gedeelte van de eigen website te zetten. Niet alle kerken maken hier gebruik van. Aan te bevelen is het wel, tenzij je van alle gemeenteleden expliciet toestemming hebt om dit wel uit te zenden. Dit zal met de organisaties die het uitzenden verzorgen moeten worden geregeld. Voor het knippen zijn diverse editing programma’s beschikbaar.

Tot slot.

Op de website van onze (en andere) kerken staat waar we rekening mee moeten houden: https://cgk.nl/project/privacy/.

Zie ook de website voor kerkelijke archieven: http://cgk-kerkelijkearchieven.nl/wp/richtlijnen-digitaal-archiveren/). Als kerken hebben we het recht en de plicht informatie te bewaren. De wetgeving is bedoeld om ons en anderen te beschermen en een kader te bieden hoe we met elkaar omgaan. Angst en onterechte opruimdrang hebben meer dan eens geleid tot het verdwijnen of niet beschikbaar stellen van waardevolle historische informatie.

Ik ben me ervan bewust in dit artikel niet altijd volledig te zijn geweest. De implementatie van deze wetgeving is nog bezig. Wel is de AP begonnen met het controleren van een aantal instellingen. Met name in het onderwijs geeft dit de nodige hoofdbrekens. Over de kerken is het laatste woord ook nog niet gesproken. Iedere kerk zal hier blijvend over moeten nadenken. Terecht geeft ons kerkelijk bureau in dezen het volgende advies: “De AVG laat alle ruimte voor kerken om haar taak te vervullen en gebruik te maken van persoonsgegevens, zolang de waarborgen maar op zijn plaats zijn. Omschrijf uw plaatselijke situatie (zo-zijn-onze-manieren) zo duidelijk en concreet mogelijk. En kijk of dezelfde doelen bereikt kunnen worden door minder persoonsgegevens te delen. Spreek erover in uw gemeente; leg uit wat u doet en wees bereid te leren van de reacties van gemeenteleden.” Op de website staat tevens een voorbeeld privacy-statement dat u zelf kunt aanvullen. Tevens houden zij u op de hoogte van recente ontwikkelingen.

De auteur is projectmanager ICT, functionaris Gegevensbescherming aan de TUA en scriba van de CGK Harderwijk.

Deze tekst is geautomatiseerd gemaakt en kan nog fouten bevatten. Digibron werkt voortdurend aan correctie. Klik voor het origineel door naar de pdf. Voor opmerkingen, vragen, informatie: contact.

Op Digibron -en alle daarin opgenomen content- is het databankrecht van toepassing. Gebruiksvoorwaarden. Data protection law applies to Digibron and the content of this database. Terms of use.