Bedrijven, overheden, scholen, kerken: vrijwel elke organisatie krijgt met de Algemene verordening gegevensbescherming (AVG) te maken. De AVG versterkt de privacyrechten van burgers. En organisaties krijgen te maken met nieuwe verplichtingen. De Europese verordening wordt vanaf 25 mei in alle Europese lidstaten gehandhaafd en vervangt in Nederland de Wet bescherming persoonsgegevens (WBP). Ter voorbereiding heeft de Protestantse Kerk in Nederland (PKN) een werkgroep ingesteld. Kerkenraden en gemeenteleden kunnen terecht op de website protestantsekerk.nl/privacy.

Thomas Hoekstra, lid van de werkgroep: „De AVG verplicht ertoe de interne bedrijfsvoering op orde te hebben. Ook moet de beveiliging standaard zijn. Nauw hiermee samen hangt de verplichting tot meer transparantie: gemeenteleden moeten begrijpen wat er met hun gegevens gebeurt. Dat moet ze worden uitgelegd in begrijpelijke taal. Wat doet de kerk met mijn persoonsgegevens? Met welke partijen worden ze gedeeld? Stuur je een kerkblad naar de drukker, dan moet je eigenlijk met zo’n drukker een overeenkomst sluiten hoe de drukker met de namen en adressen omgaat.”

Eerste stap

Hoekstra adviseert kerkenraden als eerste stap te inventariseren welke persoonsgegevens er in de gemeente worden gebruikt, met welk doel en door wie. „Maak lijsten: een lijst met namen voor het kerkblad, een lijst met namen voor de verjaardagskaarten enzovoort. Als je deze overzichten hebt, ga je vervolgens nadenken over de vraag hoe je een open gemeente wilt zijn en tegelijk voldoende veiligheid kunt bieden aan de leden. Staat er informatie over zieke mensen in het kerkblad, zet dit kerkblad dan niet online of zet het in een afgesloten gedeelte.”

De PKN-jurist onderstreept dat privacy een verantwoordelijkheid is van iedereen: de kerkenraad, de webmaster, elk gemeentelid. „Iedereen moet zich afvragen: ik heb deze gegevens van een persoon, wat doe ik daarmee? Wel is het handig als iemand binnen de gemeente privacy als aandachtsgebied heeft en het beleid kan aanjagen.” En Hoekstra heeft nog een tip: „Let ook op bedrijven die geld willen verdienen aan privacy, en goed weten wat er allemaal moet veranderen. Dan kan het verhaal overtrokken zijn, omdat men een opdracht binnen wil halen.”

Bart Drost, directeur van het Bureau voor Kerkelijke Dienstverlening van de Gereformeerde Gemeenten, is juist bezig met het maken van een risico-inventarisatie. „Met enkele collega’s volg ik trainingen over de AVG. De kennis die we opdoen delen we hier intern. Zo hebben we een document opgesteld met praktische handvatten. Zoals: papieren met persoonsgegevens gooi je in de papierversnipperaar, niet in de prullenbak. En je vergrendelt het beeldscherm van je computer als je wegloopt.”

Hoe kerkelijke gemeenten zich op de AVG kunnen voorbereiden is „een verhaal apart”, zegt Drost. „We krijgen wekelijks vragen: Wat heeft de AVG voor gevolgen voor onze gemeente? Hebben jullie een richtlijn?”

Prullenbak

De Gereformeerde Gemeenten zijn, evenals de PKN, bij het Interkerkelijk Contact Overheidszaken (CIO) aangesloten. Het CIO voert namens de dertig lidkerken overleg met de Autoriteit Persoonsgegevens (AP), de toezichthouder in Nederland. Drost: „De AVG laat een aantal vragen van kerken nog onbeantwoord. Zo kan iemand vragen om zijn persoonsgegevens uit het ledenregistratiesysteem te laten schrappen. Maar kan iemand eisen dat zijn naam uit het doopregister wordt geschrapt? Iemand is gedoopt – dat kun je natuurlijk niet ongedaan maken. Ook over de vraag of je voor het opnemen van adressen in de ledengids toestemming aan de leden moet vragen, bestaat nog geen duidelijkheid. Zelfs juristen zijn het hier niet over eens. Het CIO stelt in overleg met de AP een richtlijn op over dit soort vragen. Wij adviseren kerkenraden op dit moment deze richtlijn af te wachten.”