Enkele richtlijnen voor privacy en veiligheid op kerkelijke websites.

Copyright Helderblauw

Richtlijnen bij privacy voor kerkelijke websites

Partner Privacy Team heeft een korte richtlijn geschreven voor kerken die zij kunnen hanteren bij het bewaken van privacy en beveiliging van hun website.

1. Valt de beveiliging van de website van de kerk ook onder AVG? Is er daarbij verschil tussen het openbaar toegankelijke deel en het deel alleen voor de leden?

De beveiliging van een website kent meerdere aspecten die vallen binnen het aandachtsgebied van de AVG danwel informatiebeveiliging.
Organisaties die persoonsgegevens verwerken via de website moeten hiervoor passende technische en organisatorische maatregelen nemen. Als algemeen uitgangspunt stelt de AVG dat persoonsgegevens voldoende moeten worden beveiligd, waarbij de aard van de persoonsgegevens bepaalt welke beveiliging nodig is. Dit geldt ook voor websites van kerken. Het plaatsen van persoonsgegevens op het openbaar toegankelijk gedeelte danwel op het besloten gedeelte is zeker een belangrijk onderscheid, waar specifieke verschillen voor gelden.

Een aantal specifieke aandachtspunten op een rij.

Publiceren van persoonsgegevens op het openbare gedeelte van de website
Het publiceren van persoonsgegevens op het openbare gedeelte van de website van de kerk mag alleen met expliciete toestemming van de betrokkene. Dit is alleen anders, indien het contactpersonen betreft, die vanuit de kerkelijke organisatie moeten kunnen worden benaderd door de (gemeente)leden/parochianen. Zij kunnen onder vermelding van de contactgegevens worden vermeld op de website. Deze verwerking is gebaseerd op het gerechtvaardigd belang om de gemeenschap van de kerk goed te laten functioneren. Het is wel aan te bevelen liever e-mailadressen van de gemeente/parochie te gebruiken, dan privé adressen.

Het publiceren van persoonsgegevens op het besloten gedeelte, mag alleen zonder expliciete toestemming van betrokkene als deze persoon zelf ook toegang heeft tot dit besloten gedeelte en vooraf is geïnformeerd over het feit dat daar persoonsgegevens worden verwerkt. Dat informeren van de betrokkene is weer een harde eis vanuit de AVG en valt onder de informatieverplichting. Voor een kerk betekent dit dat zij dit in een Privacyverklaring aan de betrokkenen kenbaar moet maken. Hierin staat aangegeven welke persoonsgegevens zij op welke manier verwerkt.

Als er op het besloten gedeelte van de site gevoelige of bijzondere persoonsgegevens worden verwerkt stelt dit ook weer aanvullende eisen aan de beveiliging van de website, en zal er minimaal met een SSL certificaat (https://) gewerkt moeten worden. 

Verkrijgen van persoonsgegevens middels de website
Wat bij kerken mogelijk minder aan de orde is, betreft het verzamelen van persoonsgegevens met behulp van de website. Let op, op moment dat mensen zich ergens voor kunnen aanmelden ben je al persoonsgegevens aan het verwerken. Hiervoor zal de kerk dan een duidelijke Privacyverklaring moeten publiceren op de website. Op het moment dat er met contactformulieren gewerkt wordt is een SSL certificaat ook al verplicht. Voorafgaand aan het invullen/verzenden van deze gegevens, zal de kerk moeten verwijzen naar de Privacyverklaring.

De leverancier/ hosting bedrijf van de website
Op het moment dat persoonsgegevens op de website staan en de website wordt beheerd door een derde partij, dan ben je als kerk verplicht om met die partij, naast een contract, ook een verwerkersovereenkomst te sluiten. Hierin moet zijn vastgelegd welke persoonsgegevens worden verwerkt en welke beveiliging er moet worden getroffen door deze derde partij ( de verwerker). Hierin moet bijvoorbeeld ook zijn vastgelegd hoe lang de hosting partij data mag bewaren.

2. Is er in juridisch opzicht een verantwoordelijkheid of zorgplicht van kerken t.a.v. hun websitebeveiliging?
Dit valt eigenlijk al uit de beantwoording van vraag 1 af te leiden. Een kerkelijke organisatie moet ook voldoen aan de wettelijke verplichtingen van de AVG. Op het moment dat er contactformulieren kunnen worden ingevuld en/of er een besloten gedeelte op de website staat, is de kerk verplicht hier passende maatregelen te treffen.

3. Algemene opmerking of advies voor kerken op dit punt
Wat wij zien in de praktijk is dat het inrichten van privacy binnen kerkelijke organisaties vaak blijft hangen met het erover praten dat het belangrijk is. Vaak worden er geen beslissingen genomen om dit dan verder in te richten. Dit is geen kwestie van onwil maar meer een kwestie van het ontbreken van de benodigde kennis/capaciteit. Een oplossing als EasyPrivacy® voor kerken zou de meeste kerken al snel op weg helpen. Zie bijgaand filmpje https://youtu.be/NdYe1jgXOcA of bel de experts van PrivacyTeam 033 200 30 83 / post@privacyteam.nl