Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. Deze wet geldt in de hele Europese Unie en vervangt de oude Wet Bescherming Persoonsgegevens (Wbp). Het doel van de AVG is om de privacy van iedereen te versterken. Voor kerken heeft dit natuurlijk ook betekenis, en ook voor kerkelijke archieven. Hieronder volgt een overzicht van enkele belangrijke zaken om rekening mee te houden.
De wet gaat over het beperken van het verzamelen en verspreiden van persoonsgegevens. Dit zijn alle gegevens over een individu, bijvoorbeeld zijn naam, BSN, foto’s, emailadres, bankgegevens, etc. Door de AVG wordt onderscheid gemaakt tussen persoonsgegevens en bijzondere persoonsgegevens. Daarover verderop meer. In principe mogen bijzondere persoonsgegevens niet verwerkt worden, tenzij de partij voldoet aan een van de uitzonderingen.
Het verwerken, dus verzamelen en gebruiken, van persoonsgegevens is mogelijk als de partij die de gegevens verwerkt aantoonbaar kan maken dat hij/zij voldoet aan één van de volgende criteria:
Bij toestemming moet de informatie vrijelijk gegeven zijn, dus niet onder druk. Er moet ook aan te tonen zijn dat er daadwerkelijk toestemming is gegeven. Het moet de mensen die de gegevens verstrekken dan ook duidelijk zijn wie de organisatie is, waarom er persoonsgegevens verwerkt worden, welke gegevens verzameld worden en het moet duidelijk zijn dat zij het recht hebben om hun toestemming weer in te trekken.
Dit punt is van belang bij het uitvoeren van een overeenkomst. Wanneer bijvoorbeeld een klant online iets koopt, heeft de verkoper adres en naam nodig om het product te kunnen versturen. Hij mag dan niet de gegevens gebruiken voor data-analyse.
Soms is het noodzakelijk voor de uitvoering van de wet om persoonsgegevens te verzamelen. De politie mag bijvoorbeeld naar een identiteitsbewijs vragen.
Dit punt is van toepassing als het essentieel is voor iemands gezondheid of leven om persoonsgegevens te hebben. Indien er acuut medische gegevens nodig zijn, is het soms niet mogelijk om de betrokkenen eerst om toestemming te vragen.
Een voorbeeld van gegevens verwerken op basis van openbaar gezag is bijvoorbeeld het registreren van beelden door beveiligingscamera’s.
Ten slotte is er het gerechtvaardigd belang; daarbij is het noodzakelijk dat de volgende zaken worden aangetoond: 1) De gerechtvaardigdheid van het belang; 2) De noodzakelijkheid (de inbreuk op de privacy mag niet groter zijn dan het doel van de verwerking), en 3) afweging van de belangen: welke belangen zijn groter, die van de gegevensverstrekker of van de gegevensverzamelaar?
De persoon die u gegevens heeft verstrekt, heeft uiteraard ook rechten. Ten eerste heeft hij of zij het recht van inzage: hij mag op ieder moment de gegevens die hij heeft verstrekt kunnen inzien. Ook moet hij ze mogen wijzigen en verwijderen. Ten slotte heeft hij ook recht op dataportabiliteit: als hij wil dat zijn gegevens worden doorgegeven aan een andere organisatie, moet dat kunnen.
Onder bijzondere persoonsgegevens wordt informatie over de volgende zaken verstaan: ras of etnische afkomst, politieke opvattingen, religieuze/levensbeschouwelijke overtuigingen, lidmaatschap van een vakvereniging, gegevens over gezondheid, gegevens over iemands seksueel gedrag of seksuele gerichtheid, genetische gegevens en biometrische gegevens. Deze gegevens mogen in principe niet verwerkt worden, tenzij:
Let op: u kunt de grondslagen 2, 7,8,9 en 10 alleen inroepen als daarvoor in de nationale wet een rechtsbasis is gecreëerd. De overige grondslagen zijn rechtstreeks toepasselijk en hoeven niet te worden omgezet in nationaal recht. Dat geldt niet voor de andere grondslagen.
De AVG geldt alleen voor nog levende personen. Gegevens van overleden personen zijn volgens de AVG geen persoonsgegevens. Als de gegevens over een overleden persoon iets zeggen over een levende persoon, valt die informatie wel onder de AVG. Voor overleden personen geldt de nationale wetgeving.
Ook in de kerk worden veel gegevens verzameld en verstrekt. Het ledenbestand wordt door een gemeente intern bijgehouden, er worden audio- of videoregistraties gemaakt van de kerkdiensten, waarbij soms misschien ook wel in de mededelingen namen en informatie over gezondheid worden genoemd, er wordt informatie over mensen en hun gesteldheid gepubliceerd in het kerkblad, etc.
Binnen de kerk gaat het vaak over min of meer vertrouwelijke informatie; het is namelijk een plaats waar mensen elkaar ontmoeten en zich thuis voelen. Daarom is het belangrijk om de informatieverwerking goed te regelen. Het is belangrijk dat er toestemming wordt gevraagd voor het verzamelen van gegevens en dat er ook alleen noodzakelijke gegevens worden verzameld. Ook moet de kerk een privacy statement openbaar maken waaruit blijkt welke gegevens ze verwerken en waarom. Een format hiervoor kan worden gedownload op de website van Steunpunt Kerkenwerk (zie link hieronder). Ook geeft deze website een stappenplan voor het omgaan met de AVG in de kerk, om bewust te kiezen welke gegevens je als kerk verzamelt, voor het opstellen en bijhouden van het privacystatement, en voor het vragen van toestemming voor het verwerken van gegevens en het controleren van de beveiliging van bestanden en software.
Voor archieven is nog niet veel aandacht in de AVG. In principe hebben overheidsinstanties, openbare en particuliere organen de wettelijke verplichting om hun archiefbescheiden te beheren. Het hebben van een archief in een kerk is dus legitiem. Ook hebben kerken het recht om bijzondere persoonsgegevens te verwerken, zoals beschreven in de AVG, mits met toestemming van de gegevensverstrekkers:
AVG
Artikel 9 Verwerking van bijzondere categorieën van persoonsgegevens
Lid 2 Uitzonderingen op verbod
Sub D
de verwerking wordt verricht door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrekt.
Daarbij moeten de regels van de AVG wel in acht genomen worden. Er mogen dus geen namen van kerkenraadsleden voorkomen in de notulen van vergaderingen tenzij ze daarvoor toestemming hebben gegeven. Ditzelfde geldt voor brieven, informatie over predikanten, etc. Ook moet van elk archiefstuk aantoonbaar zijn waarom het belangrijk is dat het bewaard wordt. Gronden hiervoor zijn bijvoorbeeld voor historische, wetenschappelijke of statistische doeleinden. Als het bewaren niet te onderbouwen is, moet het stuk vernietigd worden.
De AVG definieert geen bewaartermijnen, daarvoor geldt nog steeds de archiefwet van 1995. Die stipuleert dat archiefbescheiden in principe twintig jaar lang gesloten zijn, tenzij andere afspraken worden gemaakt. Kerkelijke archieven zijn vaak vijftig jaar gesloten, maar dit is geen regel. Wel is vastgelegd in de archiefwet dat archieven die bijzondere persoonsgegevens bevatten over het algemeen 75 jaar na creatie gesloten moeten blijven. In het geval dat de betrokkenen dan nog leven, kan de termijn worden verlengd naar honderd jaar.
In het kort zijn de volgende zaken dus van belang voor kerkelijke archieven:
Voor meer informatie over de AVG kunt u bij de volgende links terecht:
Uitleg en voorbeelden bij de AVG
Regelhulp bij de AVG
De volledige tekst van de AVG in het Nederlands
De tekst van Steunpunt Kerkenwerk over de AVG in de kerk
Archiefwet (1995)
Kerkelijk archiefbesluit