10 Stappenplan AVG vertaald naar kerk

1.BEWUSTWORDING

Zorg ervoor dat de Kerkenraad van uw kerk (zoals het Moderamen) en personen die werken met de gegevens van kerkleden op de hoogte zijn van de nieuwe privacyregels. Zij moeten inschatten wat de impact van de AVG is op uw huidige processen, diensten en goederen en welke aanpassingen nodig zijn om aan de AVG te voldoen.

Houd er rekening mee dat de implementatie van de AVG veel kan vragen van de beschikbare menskracht en middelen en begin er daarom op tijd mee.
De Autoriteit Persoonsgegevens (AP) biedt instrumenten die u kunnen helpen om de AVG na te leven. Zoals de website hulpbijprivacy.nl en de AVG-regelhulp. Maar ook guidelines die zijn opgesteld samen met de andere privacytoezichthouders in Europa.
Bedenk dat de AP uw organisatie sancties kan opleggen van maximaal 20 miljoen euro of 4% van uw wereldwijde omzet als u zich niet aan de nieuwe privacywetgeving houdt.

2.RECHTEN VAN BETROKKENEN

Onder de AVG krijgen de kerkleden van wie u persoonsgegevens verwerkt meer en verbeterd privacyrechten. Zorg er daarom voor dat zij hun privacyrechten goed kunnen uitoefenen.
Denk daarbij aan bestaande rechten, zoals het recht op inzage en het recht op correctie en verwijdering. Maar houd ook alvast rekening met nieuwe rechten, zoals het recht op dataportabiliteit. Bij dit recht moet u ervoor zorgen dat betrokkenen hun gegevens makkelijk kunnen krijgen en vervolgens kunnen doorgeven aan een andere organisatie als ze dat willen.
Ook kunnen mensen bij de AP (Autoriteit Persoonsgegevens) klachten indienen over de manier waarop u met hun gegevens omgaat. De AP (Autoriteit Persoonsgegevens) is verplicht deze klachten te behandelen.

3.OVERZICHT VERWERKINGEN

Breng uw gegevensverwerkingen in kaart. Documenteer welke persoonsgegevens u verwerkt en met welk doel u dit doet, waar deze gegevens vandaan komen en met wie u ze deelt.

Bijvoorbeeld het adressenboekje waar de NAW gegevens van de kerkleden in staan vermeld, of het besloten deel van de website waar gegevens van leden staan, of de financiële- en ledenadministratie.

Onder de AVG heeft u een verantwoordingsplicht, wat inhoudt dat u moet kunnen aantonen dat uw organisatie in overeenstemming met de AVG handelt. Het bijhouden van een register van verwerkingsactiviteiten is onderdeel van de verantwoordingsplicht.

Een voorbeeld van zo’n verwerkingsregister kunt u hier downloaden. Het register moet per administratie worden ingevuld. Het is aan te raden dit in een vorm van een workshop te doen. Zo krijg je de meeste input voor het invullen van het register. Betrokken personen: Ledenadministratie, Commissie van Beheer , Financiële administratie, Repro medewerker en de koster van de kerk.

U kunt het register ook nodig hebben als betrokkenen hun privacyrechten uitoefenen. Als zij u vragen hun gegevens te corrigeren of verwijderen, moet u dit doorgeven aan de organisaties waarmee u hun gegevens heeft gedeeld.

4.DATA PROTECTION IMPACT ASSESSMENT

Onder de AVG kunt u verplicht zijn een zogeheten data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.

Een handleiding voor een DPIA kunt u hier downloaden.
U moet een DPIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. U kunt nu alvast inschatten of u straks DPIA’s moet uitvoeren en hoe u dit dan gaat aanpakken.
Komt straks uit een DPIA naar voren dat uw beoogde verwerking een hoog risico oplevert?
En lukt het u niet om maatregelen te vinden om dit risico te beperken? Dan moet u met de AP overleggen voordat u met de verwerking start. Dit wordt een voorafgaande raadpleging genoemd. De AP beoordeelt dan of de voorgenomen verwerking in strijd is met de AVG. Is dit het geval, dan ontvangt u een schriftelijk advies van de AP.

5.PRIVACY BY DESIGN & PRIVACY BY DEFAULT

Privacy by design houdt in dat u er al bij het ontwerpen van producten en diensten voor zorgt dat persoonsgegevens goed worden beschermd. Maar bijvoorbeeld ook dat u niet meer gegevens verzamelt dan noodzakelijk voor het doel van de verwerking. En dat u de gegevens niet langer bewaart dan nodig.
Privacy by default houdt in dat u technische en organisatorische maatregelen moet nemen om ervoor te zorgen dat u, als standaard,  alléén  persoonsgegevens verwerkt die noodzakelijk zijn voor het specifieke doel dat u wilt bereiken. Bijvoorbeeld door:
• op uw website het vakje ‘Ja, ik wil aanbiedingen ontvangen’ niet vooraf aan te vinken;
• als iemand zich op uw nieuwsbrief wil abonneren niet meer gegevens te vragen dan nodig is.

6.FUNCTIONARIS VOOR DE GEGEVENSBESCHERMING

Onder de AVG kunnen organisaties verplicht zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen. Zo ja, wacht dan niet te lang met het werven van een FG. Uiteraard mag uw organisatie ook vrijwillig een FG aanstellen.

De voorlopige conclusie is dat voor kerken op lokaal niveau mogelijk niet verplicht is om een Functionaris Gegevensbescherming aan te stellen, maar wel te adviseren is. Daarnaast lijkt het op regionaal en landelijk niveau wel verplicht voor kerken een FG aan te stellen.

De AP of de Werkgroep Artikel 29 heeft nog geen definitieve uitspraak gedaan over het al dan niet verplicht aanstellen van een Functionaris Gegevensbescherming voor een lokale kerk. Gevoelsmatig valt een lokale kerk in de categorie “verwerking van patiëntgegevens door een individuele arts

Daar waar op classicaal en synodaal niveau eveneens ledenadministratie of uitwisseling van persoonsgegevens plaatsvindt geldt hier weldegelijk de verplichting een FG aan te stellen, aangezien dit valt onder de overweging van grootschalige verwerking op regionaal of nationaal niveau.

De wet geeft in Artikel 39 aan wat het takenpakket is van de Functionaris Gegevensbescherming. De FG kan een betaalde of onbetaalde functie zijn. Het is niet verstandig om de rol van FG toe te wijzen aan een predikant, een lid van de Commissie van Beheer of de plaatselijke  vertrouwenspersoon. Benodigde expertise mag extern ingehuurd worden.

Advies is wel om bij de lokale kerken een toezichthouder aan te stellen die controleerd of het ingevoerde privacy beleid juist wordt uitgevoerd.

7.MELDPLICHT DATALEKKEN

De meldplicht datalekken blijft onder de AVG grotendeels hetzelfde. De AVG stelt wel strengere eisen aan uw eigen registratie van de datalekken die zich in uw organisatie hebben voorgedaan.
U moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of u aan de meldplicht heeft voldaan.  De voorzitter van de Kerkenraad is in de meeste gevallen de persoon voor lokale kerken waar je een datalek kan melden. Wat een datalek is staat hier beschreven.

8.VERWERKERSOVEREENKOMSTEN

Heeft u uw gegevensverwerking uitbesteed aan een verwerker? Beoordeel dan of de overeengekomen maatregelen in bestaande contracten met uw verwerkers nog steeds toereikend zijn. En of deze voldoen aan de eisen die de AVG aan verwerkersovereenkomsten stelt. Zo niet, breng dan tijdig noodzakelijke wijzigingen aan.

Een voorbeeld hiervan is als u de website door een externe partij laat beheren waar leden informatie staat opgeslagen of repro activiteiten hebt uitbesteed.

9.LEIDENDE TOEZICHTHOUDER

Heeft uw organisatie vestigingen in meerdere EU-lidstaten? Of hebben uw gegevensverwerkingen in meerdere lidstaten impact? Dan hoeft u onder de AVG nog maar met één privacytoezichthouder zaken te doen. Dit wordt de leidende toezichthouder genoemd. Geldt dit voor uw organisatie, bepaal dan onder welke privacytoezichthouder u valt.

Voor lokale kerken niet van toepassing.

10.TOESTEMMING

Voor sommige gegevensverwerkingen hebt u toestemming nodig van de betrokkenen, dus van de kerkleden.

De AVG stelt strengere eisen aan toestemming. Evalueer daarom de manier waarop u toestemming vraagt, krijgt en registreert. Pas deze wijze indien nodig aan. Wees naar de kerkleden hier open en transparant over en leg uit met welk doel u de gegevens beheert.

Nieuw is dat u moet kunnen aantonen dat u geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.