AVG – stand van zaken

Wat moeten gemeenten (en andere kerkelijke instellingen) doen onder de nieuwe wetgeving?

Stap 1: maak beleid en spreek erover

Privacy is van belang. Juist ook in de kerk waar mensen soms op hun kwetsbaarst zijn. Een goed privacybeleid zorgt ervoor dat de persoonsgegevens van iedereen gewaarborgd zijn, dat gegevens beveiligd worden en alleen worden gebruikt als dat in de kerk nodig is. De AVG laat alle ruimte voor kerken en organisaties om haar taak te vervullen en gebruik te maken van persoonsgegevens, zolang de waarborgen maar op zijn plaats zijn.

Stap 2: het informeren van mensen en het privacystatement

Iedereen die met de kerk te maken heeft moet weten wat er met zijn of haar gegevens gebeurt. Als u gebruik maakt van formulieren (zowel online als op papier) waar mensen hun gegevens achterlaten moeten mensen geïnformeerd worden over hoe er met hun privacy om wordt gegaan.

Stap 3: het bewaren van gegevens: maak beveiliging standaard en weet wat er gebeurt

Beveiliging moet standaard zijn. U moet weten wie welke gegevens heeft en waarom deze persoon de gegevens gebruikt. U moet er ook voor zorgen dat de informatie niet zomaar voor iedereen toegankelijk is: zorg voor een af te sluiten kast, zorg voor een afgesloten gedeelte op de website en maak geen gebruik van inlogcodes die meerdere mensen hebben. Gratis diensten als google drive of dropbox kunnen gebruikt worden, zolang maar helder is wie er toegang hebben tot de gegevens en de gegevens niet zomaar op straat komen te liggen.

Beveiliging betekent ook het verwijderen van oude bestanden. Als u bijvoorbeeld gegevens uit het ledenregistratiesysteem haalt en op uw computer downloadt, moet u die na gebruik weer verwijderen. Maar het gaat ook om het verwijderen van oud-leden die zijn verhuisd, vertrokken of overleden.

Stap 4: het delen van gegevens: alleen als het nodig is

De kerkorde is helder: iedereen die met gegevens werkt van de kerk is gehouden tot geheimhouding. Niemand hoeft daarvoor een formulier te ondertekenen, die regel is op iedereen van toepassing. Gegevens die u binnen de kerk deelt mogen dus niet (zomaar) doorgegeven worden. Alleen als het valt binnen de taak van de kerk en het nodig is, mag u de gegevens delen. De regels wanneer het delen van gegevens valt binnen de taak van de kerk staan in uw privacystatement.

Als u de gegevens ergens anders voor wilt gebruiken dan binnen de taak van de kerk valt en in uw privacystatement is te lezen, dan moet u expliciet toestemming vragen aan degene wiens gegevens u wilt gebruiken.

Stap 5: meld het als het fout gaat/meld datalekken

Soms gaat het mis. Misschien heeft u per ongeluk een deel van de ledenlijst naar een verkeerd e-mailadres gestuurd. Of is de zondagsbrief met de namen van zieke gemeenteleden toch op de website terecht gekomen. In zo’n geval moet u nagaan of u een melding moet maken.