11 april 2018

INHOUD:

  1. Inleiding
  2. Essentie van de wetgeving
  3. Relevante dataverwerkers
  4. Richtlijnen voor dataverwerkers
  5. Register datalekken
  6. Data registers
  7. Aandachtsfunctionaliteit privacy
  8. Communicatie
  9. Achtergrondinformatie

1. Inleiding

De EU wetgeving GDPR (General Data Protection Regulation) is vanaf 25 mei 2018 van kracht. In het Nederlands: AVG (Algemene Verordening Gegevensbescherming). Dit heeft gevolgen voor bedrijven en organisaties en dus ook voor kerken. De kerkenraad van de Havenkerk Sassenheim vindt het belangrijk om hier zorgvuldige aandacht aan te besteden. Dit privacy beleidsplan dient om beleid, richtlijnen en te hanteren werkwijze in dit kader vast te leggen. Het vormt een uitgangspunt om te laten zien dat de kerk privacy van mensen belangrijk vindt en zich aan de regels houdt. Meer achtergrond omtrent wetgeving is te lezen onder de verwijzingen in punt 9.

2. Essentie van de wetgeving

In een wereld waarin de digitalisering steeds verder toeneemt is het belangrijk om de rechten van mensen, waarvan gegevens worden verwerkt en gebruikt, te beschermen. Bij verwerken gaat het om: verzamelen, vastleggen, opslaan, kopiëren, verzenden, raadplegen en verwijderen van gegevens. Het sleutelwoord daarbij is: zorgvuldigheid! Voorbeelden van gegevens waar het om kan gaan, zijn: naam, adres, woonplaats, telefoonnummer, email adres, geboortedatum, doop/belijdend lid, huwelijk, geboorte, overlijden, ziekte, behandeling, privé gebeurtenissen etc. Vraag is steeds: zijn de gegevens herleidbaar tot concrete personen. Het kan bijvoorbeeld gaan om: ledenadministratie, financiële administratie, lijstjes van de nevendienst, of van clubs, of van pastoraat etc. De norm is: acties mogen niet leiden tot ongewenste publiciteit en het vastleggen van gegevens moet een logisch gevolg zijn van het kerkelijk functioneren. Het gaat dan zowel om digitaal opgeslagen gegevens als gegevens die op papier zijn vastgelegd en/of zijn opgeslagen in fysieke archieven. Gebruik van gegevens voor ‘binnenkerkelijk gebruik’ is toegestaan; hier is geen aparte toestemming van de persoon in kwestie nodig. Voor gegevens die naar ‘buiten’ gaan is wél expliciete toestemming van de persoon in kwestie nodig. Vanuit de kerkenraad moet duidelijk gemaakt worden aan betrokkenen wat er m.b.t. gegevens gebeurt. Iedere persoon kan een klacht indienen bij de Autoriteit Persoonsgegevens over de behandeling van zijn/haar gegevens.

3. Relevante dataverwerkers

De relevante dataverwerkers voor de Havenkerk zijn:

  1. Leden administrateur
  2. Samensteller gemeentegids
  3. Financiële administratie (penningmeester; dit is een externe verwerker)
  4. Leiders nevendienst
  5. Leiders Catechisatie
  6. Leiders gespreksgroepen
  7. Redacteur Havennieuws
  8. Redacteur Website
  9. Redacteur Facebook
  10. Beheerder TeamUpApp
  11. Coördinator bezoekgroep/onderling contact
  12. Kerkenraadsleden
  13. Team Havencafé

4. Richtlijnen voor dataverwerkers

  1. Sla gegevens niet onnodig op
  2. Gebruik wachtwoorden voor toegang tot digitale gegevens (denk hierbij ook aan cloud toepassingen als OneDrive, DropBox etc.)
  3. Bewaar gegevens die op papier zijn vastgelegd in afgesloten kasten/archieven
  4. Gebruik gegevens uitsluitend waarvoor ze beschikbaar zijn gesteld
  5. Verstrek geen gegevens aan derden
  6. Wees u bewust van uw verantwoordelijkheid en wees zorgvuldig
  7. Meldt eventueel geconstateerde datalekken (verkeerde mailing, dataverlies etc.) direct aan de scriba van de kerkenraad
  8. Iedere persoon heeft recht op inzage in de over hem/haar vastgelegde gegevens. Daarnaast bestaat het recht op correctie of (gedeeltelijke) verwijdering. Aanvraag verloopt echter via de scriba van de kerkenraad
  9. Met de externe dataverwerker (financiële administratie/penningmeester) is een verwerkingsovereenkomst gesloten.

5. Register datalekken

De scriba houdt een register datalekken bij. De eventueel door dataverwerkers gemelde datalekken worden hierin geregistreerd. Tevens wordt in overleg met de voorzitter van de kerkenraad per situatie bepaald of -vanwege eventuele “ernstige nadelige gevolgen”- een formele melding bij de Autoriteit Persoonsgegevens noodzakelijk is.

6. Data registers

Voor de ledenadministrateur en voor de financiële administrateur (penningmeester) zijn separate dataregisters (overzicht van opgeslagen gegevens) van toepassing.

7. Aandachtsfunctionaliteit privacy

De aandachtsfunctionaliteit privacy (niet verplicht) heeft als doel de ontwikkelingen op het gebied van privacy te monitoren en eventueel het beleid bij te stellen. Deze functionaliteit wordt praktisch ingevuld door de ledenadministrateur en de scriba. De scriba stuurt relevante, bij de kerkenraad binnengekomen informatie op privacy gebied, of door anderen aangedragen informatie, door naar de ledenadministrateur. Eventueel doet de ledenadministrateur een voorstel voor aanpassing beleid en/of inhoud dataregisters aan de kerkenraad.

8. Communicatie

Communicatie over dit beleid verloopt als volgt:

  1. Dit beleid wordt door de kerkenraad bekend gesteld door publicatie via Havennieuws
  2. Dit beleid wordt door de kerkenraad gestuurd naar de onder punt 3 genoemde dataverwerkers
  3. Met de externe dataverwerker (financiële administrateur/penningmeester) wordt tevens een verwerkingsovereenkomst gesloten
  4. Op de Website van de kerk wordt een verwijzing opgenomen naar dit privacy beleidsplan
  5. Op Facebook wordt een verwijzing opgenomen naar dit privacy beleidsplan.

9. Achtergrondinformatie

- Vernieuwde privacy-wetgeving en de plaatselijke kerk, Jos Aarnoudse, Kerkbeheer, Vereniging voor kerkrentmeesterlijk beheer in de PKN, 18e jaargang nummer 2, februari 2018 ook te vinden via link: https://kerkrentmeester.nl/kennisbank/communicatie - Website CGK: https://cgk.nl/project/privacy/