Bijna vijf jaar geleden werd de Algemene verordening gegevensbescherming (AVG) ingevoerd. Een wet die ook voor het kerkelijk leven grote gevolgen heeft gehad. Hoe kijken diverse betrokkenen terug op vijf jaar AVG?
Namen noemen in voorbede mag alleen met toestemming
AVG, waar staat dat ook alweer voor?
De Algemene Verordening Gegevensbescherming is een Europese privacywet die op 25 mei 2018 binnen de Europese Unie in werking trad. Organisaties moesten (nog) duidelijk(er) maken waarom ze persoonsgegevens verzamelen, waarvoor ze die gebruiken en hoe lang de data wordt bewaard. Ook moesten ze burgers desgevraagd inzage geven in de opgeslagen data.
Waarom geldt de privacywet AVG ook voor kerkgenootschappen?
Kerkgenootschappen verwerken veel persoonsgegevens van hun leden. Dat zijn per definitie bijzondere persoonsgegevens, omdat het gegevens zijn over iemands religie. Soms verwerken kerkgenootschappen ook gegevens over gezondheid, bijvoorbeeld als er voorbede wordt gedaan voor zieke gemeenteleden.
Mag een kerkelijke gemeente persoonsgegevens van leden verstrekken aan derden?
Een vereniging of kerk mag bepaalde gegevens van leden (zoals naam, adres en woonplaats) binnen de eigen organisatie doorgeven. Dit is nodig om de vereniging of kerk draaiende te houden.
Een penningmeester van een vereniging bijvoorbeeld heeft gegevens van de leden nodig om de contributie te innen.
Om gegevens van leden te mogen verstrekken aan derden (personen of organisaties buiten de vereniging of kerk) is vaak toestemming nodig van de leden. Zo verwerken kerkgenootschappen per definitie bijzondere persoonsgegevens, omdat het gegevens zijn over iemands religie. Deze gegevens mogen alleen met uitdrukkelijke toestemming van betrokkenen worden verstrekt.
Mag een kerkelijke gemeente een nieuwsbrief in de kerk uitdelen?
Staan er namen van gemeenteleden in de nieuwsbrief? En wordt de nieuwsbrief zowel uitgedeeld aan gemeenteleden als aan gasten bij binnenkomst in de kerk? Dan mag dit alleen als de mensen die genoemd worden in de nieuwsbrief hiervoor toestemming hebben gegeven.
Het verstrekken van die informatie aan gasten komt neer op het verstrekken van persoonsgegevens aan derden. En dat mag alleen als de betrokkenen (de mensen die worden genoemd in de nieuwsbrief) hiervoor toestemming hebben gegeven.
De kerkelijke gemeente kan er ook voor kiezen om in de nieuwsbrief niet langer namen van gemeenteleden te vermelden.
Om toch met elkaar te kunnen meeleven, bijvoorbeeld bij zieke gemeenteleden, kan de kerkelijke gemeente intern onder de leden een afzonderlijke nieuwsbrief verspreiden die niet aan gasten wordt uitgedeeld.
Mag een kerkelijke gemeente de eredienst (live) uitzenden via internet?
Tijdens de eredienst worden vaak namen van leden genoemd, bijvoorbeeld bij de voorbede. Als derden (niet-gemeenteleden) ook kunnen meeluisteren via internet, dan horen zij dus de namen van die gemeenteleden. Dat komt neer op het verstrekken van persoonsgegevens aan derden. Dat mag alleen als de betrokkenen (de gemeenteleden die worden genoemd) hiervoor toestemming hebben gegeven.
De kerkelijke gemeente kan het volgende doen:
1. Toestemming van de betrokkene(n) vragen en die schriftelijk vastleggen. Bijvoorbeeld als er voor iemand voorbede wordt gedaan tijdens de eredienst.
2. De live-weergave van de eredienst alleen ter beschikking stellen aan leden van de kerkelijke gemeente. Dat kan bijvoorbeeld door de live-dienst alleen toegankelijk te maken met een log-in voor gemeenteleden.
3. Het gedeelte van de kerkdienst waarbij veel persoonsgegevens voorkomen, zoals de voorbeden, afschermen op internet.
Bron: Autoriteit Persoonsgegevens
De jurist: werk aan de winkel voor kerken
Naam: Mr. P.J. den Boef
Functie: advocaat bij Janssens Den Boef Advocaten in Houten met specialisme kerkrecht en bouwrecht
„De meeste kerkgenootschappen hebben de privacywetgeving (AVG) best goed uitgerold. Er zijn prachtige websites opgezet waarop kerkenraden en leden antwoorden kunnen vinden op de meestgestelde vragen. Ik heb niet overal zicht op, maar mijn indruk is dat kerkenraden door de invoering van de AVG veel bewuster en zorgvuldiger omgaan met persoonsgegevens en de privacy van hun leden en bezoekers dan voorheen. Veel kerkdiensten zijn alleen te beluisteren met een inlogcode. Kerkbladen en nieuwsbrieven worden doorgaans niet meer zomaar op internet gezet.
Als het gaat om het inzagerecht, daar blijven nogal wat gemeenten mee worstelen. In mijn praktijk krijg ik regelmatig te maken met cliënten die bij hun kerkenraad willen inzien welke informatie er van hen is verwerkt. Er zijn nog steeds kerkenraden die zich door zo’n verzoek overrompeld voelen en het verzoek afwijzen met de enkele mededeling dat alleen NAW-gegevens (naam, adres, woonplaats) worden verwerkt. Bij verder doorvragen blijkt dat er wel degelijk andere gegevens in het systeem staan.
Het zou mooi zijn als kerkenraden minder krampachtig met zo’n verzoek zouden omgaan. Ze zijn die inzage immers wettelijk verplicht. Als ze geen geldige reden hebben om te weigeren, kan een lid of ex-lid direct naar de burgerlijke rechter stappen en inzage afdwingen op straffe van een boete. Zo ver komt het gelukkig bijna nooit. De meeste kerkenraden zwichten als hun wordt uitgelegd hoe de AVG in elkaar steekt en het begrip persoonsgegevens ruim moet worden uitgelegd.
Wat ik weleens tegenkom, is dat kerkenraden als tegenreactie geneigd zijn om privacygevoelige zaken heel summier te beschrijven. Iemand heeft bijvoorbeeld op huisbezoek zijn zorgen uitgesproken over bepaalde ontwikkelingen in de gemeente en in de prediking. Daar blijkt soms niets of slechts summier wat van vastgelegd in de notulen van de kerkenraad. Relevante informatie komt niet goed door. De AVG leidt er dan toe dat kerkenraden vanuit een soort kramp handelen. Dat is onnodig en onterecht.
Aan kerkenraden adviseer ik om regelmatig te controleren hoe rechtmatig het is om bepaalde gegevens te bewaren en de archieven op te schonen. Het komt voor dat kerkenraden gegevens van leden die allang als lid hebben bedankt, bewaren en in een archief aanhouden. Vooral bij afgehandelde tuchtzaken kom ik dat tegen. Bepaalde persoonsgegevens mogen worden bewaard in een archief, maar leg dan wel het doel hiervan vast. Leg ook vast wie toegang tot dat archief heeft. De Protestantse Kerk heeft een handig document op haar site over nut en noodzaak van bewaren van bepaalde gegevens en bewaartermijnen.
Voor kerken is er als het gaat om de implementatie van de AVG best nog wat werk aan de winkel. Neem alleen al de vraag: wat neemt een ambtsdrager die stopt mee aan persoonsgegevens? Ik ken ambtsdragers die er privéarchieven op nahouden. Wettelijk zou het moeten zijn dat persoonsgegevens alleen worden verwerkt door diegene die hiervoor is aangesteld. Als die persoon stopt moeten de gegevens worden overgedragen aan een opvolger. Maar ik vrees dat weinig kerken daar iets over op papier hebben staan.
Kerkenraden die mij benaderen, adviseer ik: publiceer op de website een privacystatement en wees open en transparant over welke gegevens waar en door wie worden verwerkt, hoe de gemeente hierover wordt geïnformeerd en welke rechten (ex-)leden hebben om de eigen persoonsgegevens te kunnen opvragen, te controleren en/of te verwijderen. Maar ook wie verantwoordelijk is voor het verwerken van gegevens, het juiste gebruik van de systemen en het archief en het instellen van een jaarlijkse evaluatie. Daarmee voldoe je aan de wet en weten de leden waar ze aan toe zijn. Ook hier geldt: „Laat alles eerlijk en met orde geschieden.””
Het CIO: implementatie AVG soepel verlopen
Naam: Arthur Miedema MSc, BA
Functie: secretaris Interkerkelijk Contact in Overheidszaken (CIO)
„Het CIO is een samenwerkingsverband van 29 kerken en 2 joodse gemeenschappen en behartigt hun belangen bij de rijksoverheid. Rondom de invoering van de Algemene verordening gegevensbescherming is er overleg geweest tussen de overheid en het CIO, maar daar ben ik niet bij betrokken geweest. Ik ben pas sinds anderhalf secretaris van het CIO.
Wat ik heb gehoord, is dat kerken in eerste instantie huiverig waren voor de AVG-wet. Zij vreesden dat ze nauwelijks persoonlijke gegevens meer mochten delen. Die angst bleek niet gegrond. Als kerkenraden een goed AVG-beleidsdocument hebben en beargumenteren waar en waarom ze bepaalde privacygevoelige informatie vermelden, kan er nog best veel.
De implementatie van de AVG is in de meeste kerken soepel verlopen, is mijn indruk. De wet heeft ervoor gezorgd dat kerken veel bewuster omgaan met privacygevoelige informatie. Sommige genootschappen hebben tot in detail hun beleid rondom dit thema op papier gezet.
Sommige lokale kerken interpreteren de AVG-wet strenger dan nodig is. Ze delen dan bepaalde persoonlijke informatie niet in verband met de privacy, waardoor de aandacht voor elkaar in de gemeente onder druk komt te staan. Kerken doen er goed aan om zich grondig te laten informeren over de juridische mogelijkheden en onmogelijkheden. Vanuit een gerechtvaardigd belang is het delen van persoonsgegevens binnen de eigen gemeente geoorloofd.”
De scriba: angst voor privacywet was ongegrond
Naam: Dik de Joode
Functie: scriba van de hervormde gemeente Herwijnen
„Toen we als kerkenraad ruim vijf jaar geleden voor het eerst hoorden over de AVG dachten wij, net als veel anderen, dat wij niet veel ruimte meer zouden hebben om privacygevoelige informatie van onze leden te delen. Maar nadat wij ons in de wet en de artikelen die de Protestantse Kerk in Nederland (PKN) daarover op haar website had gezet, hadden verdiept, bleek onze vrees ongegrond. Als je goed vastlegt als gemeente welke gegevens je deelt en waarom, dan mag er best veel.
Wij hebben vijf jaar geleden een commissie ingesteld die zich in de AVG heeft verdiept en aan de hand van een model van de PKN een privacyprotocol heeft geschreven. Die hebben we op een gemeenteavond gepresenteerd en staat nu op onze website. Het viel mij op dat op een enkeling na onze leden het prima vonden als wij hun gegevens vermelden.
Als er gemeenteleden in het ziekenhuis zijn opgenomen, dan is er voor ons een gerechtvaardigd belang om dat aan de gemeente mee te delen. Zo geven wij mensen gelegenheid om met elkaar mee te leven. Maar we doen dit wel zorgvuldig. Op zondag noemen we in de gebedspunten voor de voorbede alleen iemands naam en adres zonder huisnummer, zodat mensen niet volledig traceerbaar zijn.
Als we foto’s maken van gemeenteactiviteiten vragen we vooraf toestemming of we nemen wat meer afstand. Ik heb nog nooit meegemaakt dat iemand vroeg om een foto waarop hij of zij stond van de website te halen.
In tegenstelling tot veel andere gemeenten zetten we ons kerkblad online op onze website. De reden daarvan is dat we onze leden zo breed mogelijk willen informeren. Wel zetten we ook daar geen huisnummers van mensen in.
Bij online uitzendingen van kerkdiensten zorgen we ervoor dat mensen niet herkenbaar in beeld worden gebracht. Alleen de ruggen van de mensen van de voorste twee rijen zijn zichtbaar. Dit heeft nog nooit problemen opgeleverd. Nabestaanden vragen bij een begrafenis juist om een beelduitzending, net als ouders bij een doopdienst.
Een verzoek tot inzage van kerkenraadsstukken hebben wij nog nooit gehad. Veel gemeenteleden weten niet eens dat zij dat recht hebben. Mocht dat ooit gebeuren, dan zal het best lastig zijn om te beoordelen wat iemand precies wel of niet kan inzien.
De AVG heeft als gevolg gehad dat wij bewuster omgaan met de privacy van gemeenteleden en dat vind ik goed. Wel heb ik de indruk dat sommige instanties en kerken uit angst de wet strikter invullen dan nodig is. Ik merk bij gemeenten dat openbare informatie ten onrechte wordt weggelakt.”
Het kerkelijk bureau: geen vragen meer over AVG
Naam: Hans ten Klooster
Functie: directeur kerkelijk bureau Hersteld Hervormde Kerk
„De AVG heeft ons veel werk gekost. We hebben er destijds een medewerker voor vrijgemaakt, die alle vragen die daarover bij ons binnenkwamen, heeft uitgezocht en beantwoord. Kerken moesten zich opeens bezinnen op welke persoonsgegevens ze publiceren met welk doel en dat vastleggen in een privacystatement. Informatie die niet bedoeld was voor buitenstaanders moest worden versleuteld.
De implementatie van de wet in de gemeenten is goed verlopen. Veel gemeenten hebben er serieus werk van gemaakt en gaan zorgvuldig om met de privacy van hun leden. Persoonsgegevens worden niet zomaar op internet gezet, maar staan achter een slotje. Ik heb niet de indruk dat het meeleven in kerken onder druk is komen te staan door de AVG. Zolang gemeenten helder zijn over welke informatie ze delen met welk doel, werpt de AVG geen belemmering op.
Van het inzagerecht, dat nu meer is verankerd in de AVG, wordt, voor zover wij weten, weinig gebruik gemaakt. Of kerkenraden, zoals advocaat Den Boef noemt, hun verslaglegging en archivering onvoldoende op orde hebben, weet ik niet. Plaatselijke gemeenten opereren autonoom. Wij ondersteunen hen bij het uitvoeren van hun taken met advies en hulp, maar hebben daar geen zicht op.
Vorig jaar hebben we een webinar georganiseerd over de AVG. Daarin bespraken we de belangrijkste vragen en knelpunten van gemeenten. Dit jaar is nog geen enkele vraag over de AVG bij ons binnengekomen. Dit laat zien dat gemeenten geen problemen ervaren met de wet en hun zaken goed op orde hebben.”
