Ook kerken moeten straks voldoen aan de nieuwe privacywet

Maar zijn ze er wel klaar voor?

Van evangelisch tot gereformeerd, en van baptist tot remonstrants: over een paar dagen moeten alle kerken voldoen aan de nieuwe privacywet, de AVG. Maar hoe staat het eigenlijk met de voorbereidingen daarvoor? En wat zijn de consequenties als een kerk de boel niet op orde heeft? Eén ding is zeker: “‘We kennen elkaar toch’ is geen argument om niet aan de wet te voldoen.”

Het rooster van de kinderoppas, een lijst met alle namen van tieners die op de club zitten, of de adresgegevens van een nieuw gemeentelid dat in de nieuwsbrief van de kerk wordt voorgesteld. Het valt allemaal onder de vernieuwde wet Algemene verordening gegevensbescherming (AVG), die vanaf 25 mei gehandhaafd wordt. Wie zich er niet aan houdt, riskeert een boete die kan oplopen tot wel 20 miljoen euro. Maar een deel van kerkelijk Nederland lijkt zich er nog niet echt druk om te maken.

Transparant

“Juist kerken zouden transparant moeten zijn over welke gegevens ze in huis hebben en wat ze daar mee doen,” vindt Adri Veldwijk van Missie Nederland. De organisatie belegde het afgelopen half jaar tweemaal een bijeenkomst om kerken en andere christelijke organisaties te informeren over welke gevolgen de AVG voor hen heeft. Hij herkent het beeld dat kerken nog niet voldoen aan de regels. “De AVG is complex. Maar vaak heerst er ook het idee dat de kerk een vertrouwde omgeving is, waar al die regels niet nodig zouden moeten zijn. Die redenatie klopt niet.”

Tekst loopt door onder kader

De AVG in het kort

De Algemene verordening gegevensbescherming (AVG) is de vervanger van de huidige Wet bescherming persoonsgegevens. Met de vernieuwde wet AVG krijgen mensen enerzijds meer rechten, die hun privacy beschermen. Zo kunnen bedrijven persoonlijke gegevens niet zonder meer opslaan of doorverkopen. Aan de andere kant krijgen organisaties, waaronder kerken, meer plichten om de gegevens van hun klanten of leden beter te beschermen om datalekken of onjuist gebruik van gegevens te voorkomen.

Per 25 mei 2018 wordt de AVG gehandhaafd door de Autoriteit Persoonsgegevens (AP). Vanaf dat moment wordt de boetebevoegdheid van de AP uitgebreid om, volgens de Europese richtlijnen, boetes te kunnen opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet.

De AVG geldt in alle landen van de Europese Unie en is ook bekend onder de Engelse naam General Data Protection Regulation (GDPR) of Europese Privacyverordening. In de Nederlandse media worden de termen AVG en GDPR door elkaar gebruikt, maar het gaat om hetzelfde.

Data inventariseren

“Volgens mij valt het wel mee voor de kerken,” reageert Henk Veninga, scriba van de Christelijke Gereformeerde Kerk in het Groningse Mussel. “Ik ben administrateur van beroep en heb het idee dat het voor de kerk niet zo heel ingewikkeld is. We hebben immers alleen een ledenadministratie.”
Maar vaak zijn er meer lijstjes met persoonsgegevens in omloop dan je in eerste instantie denkt. Zoals roosters, overzichten en ledenlijsten van kringen en clubs. Voor de AVG moet al dit soort data worden geïnventariseerd, geregistreerd en goed beschermd tegen onjuist gebruik of datalekken. Wie gegevens gebruikt voor een doel waarvoor ze niet zijn verzameld of een datalek heeft, loopt risico op een boete.

De plaatselijke kerk is verantwoordelijk voor de persoonsgegevens van haar leden.

Fotoboek op de website

“Veel dingen doen we denk ik al wel goed,” meent Petra Blijdorp, scriba van de PKN Middenmeer. “Omdat onze diensten via internet te bekijken zijn, kiezen we er bewust voor geen adressen te noemen tijdens de mededelingen. Onze vorige website was één groot fotoboek. Nu staan er bijna geen foto’s meer op en mensen moeten toestemming geven voor ze gebruikt kunnen worden.”
In de kerk waar ze scriba is, is de AVG op de agenda gezet. “We zijn bezig met het beleid. Onze ledenadministratie verloopt via het landelijke systeem van de PKN. De gemeente heeft één administrateur die in het systeem kan, de rest kan er niet bij. Zelfs ik als scriba niet. Vanuit de PKN zijn er wel richtlijnen hoe we het moeten aanpakken. Er wordt aan gewerkt, maar of het volgende week klaar is, betwijfel ik.”

Plaatselijke kerk is verantwoordelijk

“Of de gegevens nu alleen bij de scriba op de computer staan, of in het landelijke systeem: de plaatselijke kerk is verantwoordelijk. Aan die kerk zijn de gegevens toevertrouwd,” legt Adri Veldwijk van Missie Nederland uit. “Je hebt als kerk de verplichting om de gegevens van je leden te beschermen. Formeel heb je als lokale kerk een zogenaamde verwerkersovereenkomst met het landelijke systeem nodig.”

Persoonsgegevens

De AVG draait om de bescherming van persoonsgegevens. Dit zijn gegevens die herleidbaar zijn tot een persoon, zoals naam, adres of een persoonlijk e-mailadres. Een algemeen e-mailadres, zoals scriba@naamvandekerk.nl is geen persoonlijke informatie. Naast algemene persoonsgegevens zijn er bijzondere persoonsgegevens, bijvoorbeeld over religie, ras of gezondheid.

Protocollen

Bij de Baptistengemeente Hoogezand wordt er al wel vergaderd over de nieuwe wetgeving, laat secretaris Wiebe Boekema weten. “We zijn aan het kijken hoe we kunnen voldoen aan de regels. We hebben bijvoorbeeld een mooie site met veel foto’s en delen de diensten online. We gaan ervan uit dat we, tegen de tijd dat de wet ingaat, alle protocollen gemaakt hebben en kunnen waarborgen dat de privacy van onze gemeenteleden beschermd is.”

Kerkdiensten streamen

Door de AVG worden kerken ook gedwongen kritisch te kijken naar wat ze uitzenden via internet. De streams van kerkdiensten zijn immers meestal openbaar, zodat iedereen zonder belemmering kan meekijken. Een mooie kans voor evangelisatie, maar lastig in het kader van privacy. Want tijdens de mededelingen en voorbede worden vaak persoonlijke dingen gedeeld, soms niet alleen met naam en toenaam, maar ook met het adres erbij.
Een pasklare oplossing hiervoor is er nog niet en kerken zullen een afweging moeten maken. “Bijvoorbeeld door tijdens de mededelingen en voorbeden het geluid te dempen, zodat de kijker of luisteraar thuis niet hoort wat er gezegd wordt,” tipt Veldwijk. “En maak de aanvrager van de voorbede erop attent als een dienst uitgezonden wordt.”

Niet op tijd klaar

Maar wat gebeurt er als een gemeente de boel niet tijdig op de rit heeft? Volgens Veldwijk is het niet erg als kerken op 25 mei nog niet volledig klaar zijn voor de AVG. “Door een inventarisatie te doen van welke persoonsgegevens je bezit en waar deze in omloop zijn, doe je aan bewustwording. Je hebt maatregelen genomen om in kaart te brengen welke gegevens verwerkt worden door de kerkelijke gemeente. Zet het in gang, dan toon je initiatief. Dat je op 25 mei 2018 nog niet helemaal klaar bent, is niet erg. Pas als je helemaal niets doet, kun je een probleem krijgen.”

Pas als je helemaal niets doet, kun je een probleem krijgen

Handhaven

Dat onderstreept ook Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens die de wet gaat handhaven. In een interview met BNR op 22 maart van dit jaar zei hij: “De boetes zijn geen doel op zich. Als er een klacht komt, kijken we hoe groot de groep is die het raakt en of het gevoelige gegevens zijn. Is er sprake van opzet? Wordt de wet bewust overtreden of niet? Dat wegen we allemaal mee. We moeten streng zijn tegen overtredingen; de digitalisering van privacygegevens is zo serieus, dat moet je krachtig beschermen. En als er bewust niets gedaan is, kost dat geld.”

Draagkracht

Wel wordt er bij het opleggen van de boete rekening gehouden met de draagkracht van een organisatie. Een plaatselijke kerk hoeft dus niet te vrezen voor die maximale boete van 20 miljoen, maar de boete moet wel een flinke prikkel zijn om de interne protocollen op orde te krijgen. Ook lijkt de AP zich eerst te gaan richten op de grote bedrijven. “We gaan niet gelijk achter de bakkers en slagers en kleine bedrijven aan. Maar er is wel een bewustwordingscampagne bezig, zodat je na 25 mei niet kunt zeggen: ‘Dat is me helemaal ontgaan,’” vult Wolfsen aan.

Verkeerde houding

“Als kerken hebben we de neiging misstanden met de mantel der liefde te bedekken en fouten intern op te lossen,” zegt Adri Veldwijk. “Dat is een verkeerde houding. Misstanden moet je altijd melden. ‘We kennen elkaar toch’ is geen argument om niet aan de wet te voldoen. Ook als het gaat om de AVG, staan kerken niet boven de wet."

Functionaris Gegevensbescherming

Nieuw ten opzichte van de bestaande wetgeving is de Functionaris Gegevensbescherming (FG). Dit is iemand die op de hoogte is van de wetgeving en beoordeelt of het toegestaan is om gegevens te verwerken. Moet elke kerk een FG aanstellen? Het lijkt erop van niet, al is hier nog geen definitieve uitspraak over gedaan door de Autoriteit Persoonsgegevens. De PKN adviseert op haar website in elk geval een coördinator aan te stellen. Adri Veldwijk onderschrijft dit. “Stel iemand aan om de AVG te doen. Die persoon kan dan ook de inventarisatie doen van welke gegevens er allemaal in de kerk zijn.

Aan de slag met de AVG

Waar moet je beginnen om te voldoen aan de AVG?

Geschreven door:

Joëlle Post

Tip voor de redactie?

Of heb je een foutje gezien? Mail ons