De AVG in de kerk

De AVG in het algemeen

De AVG

Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. Deze wet geldt in de hele Europese Unie en vervangt de oude Wet Bescherming Persoonsgegevens (Wbp). Het doel van de AVG is om de privacy van iedereen te versterken. Voor kerken heeft dit natuurlijk ook betekenis, en ook voor kerkelijke archieven. Hieronder volgt een overzicht van enkele belangrijke zaken om rekening mee te houden.

Persoonsgegevens en bijzondere persoonsgegevens

De wet gaat over het beperken van het verzamelen en verspreiden van persoonsgegevens. Dit zijn alle gegevens over een individu, bijvoorbeeld zijn naam, BSN, foto’s, emailadres, bankgegevens, etc. Door de AVG wordt onderscheid gemaakt tussen persoonsgegevens en bijzondere persoonsgegevens. Daarover verderop meer. In principe mogen bijzondere persoonsgegevens niet verwerkt worden, tenzij de partij voldoet aan een van de uitzonderingen.

Verwerken

Het verwerken, dus verzamelen en gebruiken, van persoonsgegevens is mogelijk als de partij die de gegevens verwerkt aantoonbaar kan maken dat hij/zij voldoet aan één van de volgende criteria:

  1. Toestemming van de betrokken persoon.

Bij toestemming moet de informatie vrijelijk gegeven zijn, dus niet onder druk. Er moet ook aan te tonen zijn dat er daadwerkelijk toestemming is gegeven. Het moet de mensen die de gegevens verstrekken dan ook duidelijk zijn wie de organisatie is, waarom er persoonsgegevens verwerkt worden, welke gegevens verzameld worden en het moet duidelijk zijn dat zij het recht hebben om hun toestemming weer in te trekken.

  1. De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.

Dit punt is van belang bij het uitvoeren van een overeenkomst. Wanneer bijvoorbeeld een klant online iets koopt, heeft de verkoper adres en naam nodig om het product te kunnen versturen. Hij mag dan niet de gegevens gebruiken voor data-analyse.

  1. De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.

Soms is het noodzakelijk voor de uitvoering van de wet om persoonsgegevens te verzamelen. De politie mag bijvoorbeeld naar een identiteitsbewijs vragen.

  1. De gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen.

Dit punt is van toepassing als het essentieel is voor iemands gezondheid of leven om persoonsgegevens te hebben. Indien er acuut medische gegevens nodig zijn, is het soms niet mogelijk om de betrokkenen eerst om toestemming te vragen.

  1. De gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.

Een voorbeeld van gegevens verwerken op basis van openbaar gezag is bijvoorbeeld het registreren van beelden door beveiligingscamera’s.

  1. De gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

Ten slotte is er het gerechtvaardigd belang; daarbij is het noodzakelijk dat de volgende zaken worden aangetoond: 1) De gerechtvaardigdheid van het belang; 2) De noodzakelijkheid (de inbreuk op de privacy mag niet groter zijn dan het doel van de verwerking), en 3) afweging van de belangen: welke belangen zijn groter, die van de gegevensverstrekker of van de gegevensverzamelaar?

Rechten van de gegevensverstrekker

De persoon die u gegevens heeft verstrekt, heeft uiteraard ook rechten. Ten eerste heeft hij of zij het recht van inzage: hij mag op ieder moment de gegevens die hij heeft verstrekt kunnen inzien. Ook moet hij ze mogen wijzigen en verwijderen. Ten slotte heeft hij ook recht op dataportabiliteit: als hij wil dat zijn gegevens worden doorgegeven aan een andere organisatie, moet dat kunnen.

Bijzondere persoonsgegevens

Onder bijzondere persoonsgegevens wordt informatie over de volgende zaken verstaan: ras of etnische afkomst, politieke opvattingen, religieuze/levensbeschouwelijke overtuigingen, lidmaatschap van een vakvereniging, gegevens over gezondheid, gegevens over iemands seksueel gedrag of seksuele gerichtheid, genetische gegevens en biometrische gegevens. Deze gegevens mogen in principe niet verwerkt worden, tenzij:

  1. iemand uitdrukkelijk toestemming heeft gegeven voor de verwerking van zijn/haar persoonsgegevens;
  2. de verwerking noodzakelijk is met het oog op de uitvoering van verplichtingen en de uitoefening van specifieke rechten van u of de betrokken persoon. Dit geldt op het gebied van het arbeidsrecht en het sociale zekerheids- en sociale beschermingsrecht;
  3. de verwerking noodzakelijk is ter bescherming van de vitale belangen van de betrokken persoon of van een andere natuurlijke persoon. Dit geldt alleen wanneer diegene fysiek of juridisch niet in staat is om zijn toestemming te geven;
  4. de verwerking wordt gedaan door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is. En die organisatie gegevens verwerkt in het kader van gerechtvaardigde activiteiten en met passende waarborgen;
  5. de verwerking betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt;
  6. de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering, of wanneer gerechten handelen in het kader van hun rechtsbevoegdheid;
  7. de verwerking noodzakelijk is vanwege een zwaarwegend algemeen belang;
  8. de verwerking noodzakelijk is voor doeleinden van preventieve of (arbeids)geneeskunde aard, zoals het beoordelen van arbeidsgeschiktheid en/of het verstrekken van gezondheidszorg;
  9. de verwerking noodzakelijk is om redenen van algemeen belang op het gebied van de volksgezondheid; en
  10. de verwerking noodzakelijk is met het oog op de archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statische doeleinden.

Let op: u kunt de grondslagen 2, 7,8,9 en 10 alleen inroepen als daarvoor in de nationale wet een rechtsbasis is gecreëerd. De overige grondslagen zijn rechtstreeks toepasselijk en hoeven niet te worden omgezet in nationaal recht. Dat geldt niet voor de andere grondslagen.

Overleden personen

De AVG geldt alleen voor nog levende personen. Gegevens van overleden personen zijn volgens de AVG geen persoonsgegevens. Als de gegevens over een overleden persoon iets zeggen over een levende persoon, valt die informatie wel onder de AVG. Voor overleden personen geldt de nationale wetgeving.

De AVG in de kerk

Ook in de kerk worden veel gegevens verzameld en verstrekt. Het ledenbestand wordt door een gemeente intern bijgehouden, er worden audio- of videoregistraties gemaakt van de kerkdiensten, waarbij soms misschien ook wel in de mededelingen namen en informatie over gezondheid worden genoemd, er wordt informatie over mensen en hun gesteldheid gepubliceerd in het kerkblad, etc.

Binnen de kerk gaat het vaak over min of meer vertrouwelijke informatie; het is namelijk een plaats waar mensen elkaar ontmoeten en zich thuis voelen. Daarom is het belangrijk om de informatieverwerking goed te regelen. Het is belangrijk dat er toestemming wordt gevraagd voor het verzamelen van gegevens en dat er ook alleen noodzakelijke gegevens worden verzameld. Ook moet de kerk een privacy statement openbaar maken waaruit blijkt welke gegevens ze verwerken en waarom. Een format hiervoor kan worden gedownload op de website van Steunpunt Kerkenwerk (zie link hieronder). Ook geeft deze website een stappenplan voor het omgaan met de AVG in de kerk, om bewust te kiezen welke gegevens je als kerk verzamelt, voor het opstellen en bijhouden van het privacystatement, en voor het vragen van toestemming voor het verwerken van gegevens en het controleren van de beveiliging van bestanden en software.

 

De AVG in het kerkelijk archief

Voor archieven is nog niet veel aandacht in de AVG. In principe hebben overheidsinstanties, openbare en particuliere organen de wettelijke verplichting om hun archiefbescheiden te beheren. Het hebben van een archief in een kerk is dus legitiem. Ook hebben kerken het recht om bijzondere persoonsgegevens te verwerken, zoals beschreven in de AVG, mits met toestemming van de gegevensverstrekkers:

AVG

Artikel 9           Verwerking van bijzondere categorieën van persoonsgegevens

Lid 2                Uitzonderingen op verbod

Sub D

de verwerking wordt verricht door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrekt.

Daarbij moeten de regels van de AVG wel in acht genomen worden. Er mogen dus geen namen van kerkenraadsleden voorkomen in de notulen van vergaderingen tenzij ze daarvoor toestemming hebben gegeven. Ditzelfde geldt voor brieven, informatie over predikanten, etc. Ook moet van elk archiefstuk aantoonbaar zijn waarom het belangrijk is dat het bewaard wordt. Gronden hiervoor zijn bijvoorbeeld voor historische, wetenschappelijke of statistische doeleinden. Als het bewaren niet te onderbouwen is, moet het stuk vernietigd worden.

Bewaartermijnen en openbaarheidstermijnen

De AVG definieert geen bewaartermijnen, daarvoor geldt nog steeds de archiefwet van 1995. Die stipuleert dat archiefbescheiden in principe twintig jaar lang gesloten zijn, tenzij andere afspraken worden gemaakt. Kerkelijke archieven zijn vaak vijftig jaar gesloten, maar dit is geen regel. Wel is vastgelegd in de archiefwet dat archieven die bijzondere persoonsgegevens bevatten over het algemeen 75 jaar na creatie gesloten moeten blijven. In het geval dat de betrokkenen dan nog leven, kan de termijn worden verlengd naar honderd jaar.

In het kort zijn de volgende zaken dus van belang voor kerkelijke archieven:

  • De betrokkenen moeten toestemming geven dat hun gegevens worden verwerkt. Dat betekent dat iedereen die bij bijvoorbeeld op een kerkenraadsvergadering aanwezig is, hiervoor toestemming moet geven.
  • Archieven zijn in principe twintig jaar na creatie gesloten, maar kerkelijke archieven vaak tot vijftig jaar. Stukken met bijzondere persoonsgegevens zijn vaak 75 tot honderd jaar gesloten.

Links

Voor meer informatie over de AVG kunt u bij de volgende links terecht:

Uitleg en voorbeelden bij de AVG
Regelhulp bij de AVG
De volledige tekst van de AVG in het Nederlands
De tekst van Steunpunt Kerkenwerk over de AVG in de kerk
Editie van Onderweg met informatie over de AVG in de kerk (abonnement vereist bij inlog)
Archiefwet (1995)
Kerkelijk archiefbesluit

Geef een reactie

Thema: Baskerville 2 door Anders Noren.

Omhoog ↑

%d bloggers liken dit: