Aandachtspunten en richtlijnen voor de H. Plechelmusparochie naar aanleiding van de nieuwe AVG-wetgeving.

Inleiding

De ‘Algemene verordening gegevensverwerking’ (hierna te noemen ‘AVG’) is sinds 25 mei 2018 van kracht. Vanaf deze datum geldt in de gehele Europese Unie dezelfde privacywetgeving. De AVG zorgt voor een versterking en uitbreiding van de privacyrechten van burgers en voor meer verantwoordelijkheden voor organisaties.

Organisaties en instellingen, waaronder parochies, dienen transparant te zijn over de verwerking van persoonsgegevens. Persoonsgegevens zijn onder andere: naam, woonadres (straat + huisnummer), postcode, woonplaats, telefoonnummer, (pas-)foto, e-mailadres, burgerservicenummer, banknummer, pincode, geboortedatum en -plaats, doopdatum, enzovoorts. Alle gegevens dus, die herleidbaar zijn tot een bepaalde persoon.

Er zijn daarom duidelijke afspraken nodig, die zorgen voor maximale informatiebeveiliging ter voorkoming van datalekken. Bij het verwerken van gegevens van medewerkers, vrijwilligers en parochianen is het dus belangrijk uit te gaan van de noodzakelijkheid en rechtmatigheid van de gegevensvastlegging. Zonder toestemming van betrokkenen mogen persoonsgegevens niet gedeeld worden met derden. Is het delen van gegevens vereist dan dient er een ‘verwerkers overeenkomst’ te worden afgesloten.

Zie voor algemene informatie ook het ‘Algemeen Reglement Bescherming Persoonsgegevens Parochies 2018’ op de website van deze parochie.

Inhoud van deze aandachtspunten en richtlijnen voor gegevensbescherming:

  1. Foto’s en/of audio-/video-opnamen
  2. Parochiewebsite
  3. Parochiebladen-/berichten
  4. E-mail en digitale bestanden
  5. Beveiligingscamera’s
  6. Begraafplaatsadministratie
  7. Aanstelling Functionaris Gegevensbescherming (FG)
  8. Samenvatting van de punten 1. t./m 6.

Het bestuur van de R.K. Plechelmusparochie Oldenzaal neemt ter zake de navolgende richtlijnen in acht.

Richtlijnen voor gegevensbescherming.

Het aartsbisdom heeft richtlijnen binnen de R.K.-kerk vastgesteld, die daarmee ook in onze parochie van toepassing zijn. Deze richtlijnen staan hieronder (op                                                   beknopte wijze) vermeld.

  1. Foto’s en/of audio-/video-opnamen
  • Een foto, waar een persoon herkenbaar op staat, is een persoonsgegeven. Bij het maken van foto’s en/of audio-/video-opnamen tijdens parochie-activiteiten moet vooraf aan de aanwezigen kenbaar worden gemaakt waarvoor deze worden gemaakt, waar de foto’s/opnamen worden gepubliceerd en hoe men ter plaatse daartegen bezwaar kan maken.
  • Deze foto’s/opnamen mogen alleen na toestemming van betrokkene(-n) worden gepubliceerd -voor zover van toepassing- in een parochieblad, op een parochiewebsite of via andere communicatiekanalen (bijvoorbeeld: sociale media) van de parochie.
  • Opnamen van een kind jonger dan 16 jaar mogen alleen worden gemaakt en/of gepubli-ceerd na schriftelijke toestemming van de ouder(s)/wettelijke vertegenwoordiger(s).

Bij de aanmelding voor de eerste H. Communie of H. Vormsel of ander parochiële activitei-ten zal deze toestemming  vooraf via een aanmeldformulier worden gevraagd en vastgelegd.

Bij andere jongerenactiviteiten zal vooraf schriftelijke toestemming van de betrokkenen of van diens wettelijke vertegenwoordigers moeten worden verkregen.

  • Betrokkenen hebben altijd het recht om bezwaar te maken tegen de publicatie van een opname. Zij kunnen het parochiebestuur vragen om de opname te laten verwijderen. Na ontvangst van zo’n bezwaar moet de foto binnen 24 uur na de melding worden verwijderd.
  1. Parochiewebsite
  • Persoonsgegevens mogen niet zonder voorafgaande schriftelijke toestemming van betrokkenen worden gepubliceerd. Als de gevraagde toestemming niet wordt verleend kan in plaats daarvan bijvoorbeeld de contactgegevens van het parochiesecretariaat worden vermeld of een geanonimiseerd e-mailadres worden aangemaakt.
  • Namenlijsten of namen van deelnemers aan activiteiten mogen niet worden gepubliceerd op de website zonder vooraf gegeven schriftelijke toestemming van de betrokkene(-n).
  • Bij vermelding van namen, bijvoorbeeld van commissie- of werkgroepleden, is van elk van hen vooraf schriftelijke toestemming nodig.
  • Persoonlijke informatie over parochianen, van betrokkenen of van leden van het pastoresteam mogen niet op de website worden gepubliceerd.
  • Voor vermelding van foto’s of audiovisueel materiaal op de website: zie hierboven de rubriek ‘Foto’s en/of audio-/video-opnamen’ onder 1.
  1. Parochiebladen/-berichten 
  • Een parochieblad, dat gericht geadresseerd en alleen onder parochianen wordt verspreid, mag persoonsgegevens van parochianen vermelden, als deze melding noodzakelijk is voor een doelmatige organisatie van de parochiële gemeenschap of voor het onderhouden van contacten met parochianen.
  • Wordt een parochieblad op een openbare plaats ter inzage gelegd of op een openbaar gedeelte van een website gepubliceerd dan mag het parochiebestuur geen persoonsgegevens vermelden, tenzij de betrokkene hiervoor vooraf schriftelijke toestemming heeft gegeven.In sommige situaties kan het publiceren van persoonsgegevens onder journalistieke uitzondering vallen. Dit is het geval wanneer er sprake is van algemeen maatschappelijk belang, die in een journalistieke vorm is gegoten. Bijvoorbeeld: een informatief verslag van een bepaalde gebeurtenis in een parochieblad. In dat geval is er geen toestemming van de betrokkenen vereist. Per situatie moet de journalistieke aard worden bekeken en beoordeeld en worden afgewogen tegen het recht op privacy. Bij twijfel wordt de zaak voorgelegd aan het parochiebestuur.
  • Voor publicaties in een parochieblad, waarin persoonsgegevens worden vermeld op internet, bestaan twee opties:
  • Betrokkene geeft vooraf schriftelijk toestemming voor de publicatie van de gegevens óf er wordt een geanonimiseerde versie geplaatst.

Wordt niet voldaan aan deze voorwaarden dan is publicatie niet toegestaan.

  • Publicatie van een namenlijst in een parochieblad van dopelingen, communicanten en vormelingen, jonger dan 16 jaar is alleen toegestaan na vooraf gegeven schriftelijke toestemming van de ouder(s)/wettelijke vertegenwoordiger(s).
  1. E-mail en digitale bestanden
  • Een privé e-mailadres is een persoonsgegeven. Dit betekent, dat wanneer de parochie zo’n privé e-mailadres wil publiceren daarvoor vooraf gegeven schriftelijke toestemming van de betrokkene nodig. Wordt die toestemming niet gegeven dan kan er een apart e-mailadres worden aangemaakt ten behoeve van parochieactiviteiten.
  • Bij verzending van een groepsbestand moeten de adressanten in de BCC (blind carbon copy) worden opgenomen. De verzender stuurt de mail naar zichzelf en gelijktijdig via de bcc naar de adressanten. Met verzending via de bcc wordt voorkomen dat de adressanten elkaars privé e-mailadressen ontvangen. Zonder vooraf gegeven schriftelijk toestemming van betrokkenen, ouders of andere wettelijke vertegenwoordigers (bijvoorbeeld bij communi-cantjes of vormelingen) is verspreiding van dergelijke mailadressen dan ook niet toegestaan.
  • Vóór verzending wordt gecontroleerd of de bijlage – met eventueel daarin opgenomen persoonsgegevens (bijvoorbeeld een adressenlijst) – wel voor alle ontvangers bestemd is. Zo nee, dan wordt de bijlage niet gestuurd naar degene waarvoor deze niet is bestemd.
  • Bij verzending van een mail, die niet voor de ontvanger bestemd is, stelt de ontvanger de verzender daarvan direct in kennis en verwijdert de mail onmiddellijk.
  • Mails, die persoonsgegevens bevatten, betreffen per definitie vertrouwelijke gegevens. Die vertrouwelijkheid kan kenbaar worden gemaakt door in de handtekening van de verzender de volgende tekst op te nemen: ‘De informatie verzonden met dit e-mailbericht is uitsluitend bestemd voor de geadresseerde(n). Gebruik van deze informatie door anderen dan de geadresseerde(n) is verboden. Openbaarmaking, vermenigvuldiging, verspreiding en/of verstrekking van deze informatie aan derden is niet toegestaan.’
  • Persoonsgegevens mogen niet aan derden worden verstrekt en mogen ook niet voor een ander doel worden gebruikt dan waarvoor deze gegevens zijn verstrekt.
  • Een bestand (bijvoorbeeld namen- en adressenlijsten of overzichten van deelnemers of contactpersonen), dat niet meer nodig is voor het doel waarvoor het is samengesteld of inmiddels verouderd is, wordt verwijderd.
  • Omdat computers vaak door meerdere personen binnen een huishouding worden gebruikt is het noodzakelijke dat ontvangen persoonsgegevens op een adequate wijze worden afgeschermd. Dit kan door deze gegevens op een beveiligde digitale omgeving te bewaren in een aparte map op de computer of te bewaren op een (beveiligde) USB-stick, SD-kaart o.i.d., die uitsluitend door de bevoegde functionaris kan worden gebruikt.
  1. Beveiligingscamera’s.
  • De parochie mag alleen in eigen gebouwen of op eigen terrein(-en) opnames maken door middel van een beveiligingscamera. Het in beeld brengen van een openbare ruimte, zoals een straat of parkeerplaats is alleen toegestaan als de camerapositie onvermijdelijk is ter beveiliging van personen of goederen van de parochie.
  • Camera’s moeten duidelijk zichtbaar worden opgehangen. Wanneer camera’s niet duidelijk zichtbaar zijn wordt er een waarschuwingsmelding gemaakt. Dit kan bij de ingang van de ruimte waar de camera’s hangen of op een andere plaats, die voor de betreders van die ruimte duidelijk zichtbaar is. Daarbij kan de tekst worden gebruikt: ‘Dit gebouw/deze ruimte is voorzien van camerabewaking.’
  • Camerabeelden mogen allen worden bekeken door het parochiebestuur of door degenen, die vanwege van hun (vrijwilligers)functie uitdrukkelijk met de verwerking van de camera-beelden zijn belast.
  • Camerabeelden mogen maximaal vier weken worden bewaard. Het parochiebestuur verwijdert of geeft opdracht tot verwijdering uiterlijk vier weken nadat de opnames zijn

gemaakt, tenzij er een incident op beeld is vastgelegd. Beelden van dat incident mogen bewaard wordt totdat de afhandeling van het incident heeft plaatsgevonden.

  1. Begraafplaatsadministratie 
  • Gegevens van overleden personen zijn geen gegevens in de zin van de AVG. Zorgvuldige en integere omgang met gegevens en/of foto’s van overledenen vraagt echter wel om overleg met de nabestaanden.
  • De parochie houdt een register bij in de vorm van het ‘Nabestaandenbestand grafrechten’, zoals bedoeld in artikel 5 van het ‘Algemeen Reglement Bescherming Persoonsgegevens Parochies 2018’.
  • Persoonsgegevens van nabestaanden en/of van contactpersonen voor de registratie van grafrechten worden verwerkt, zoals omschreven in het ‘Algemeen Reglement Bescherming Persoonsgegevens Parochies 2018’.
  • Staan contactpersonen in het ‘Nabestaanden grafrechten’ zelf niet geregistreerd als lid van de R.K. Kerk dan ontvangen zij – op het moment dat zij de contactgegevens aan de parochie verstrekken – van de parochie een privacyverklaring. Deze verklaring is ook te vinden op de website van de parochie.
  1. Aanstelling ‘Functionaris gegevensbescherming’ (FG) van de R.K.-Kerk.

De econoom van het bisdom Rotterdam, de heer Mr. John Bakker, is benoemd tot FG. Hij heeft in deze functie een duidelijk afgebakend werkveld, namelijk de persoonsgegevens in de leden- administraties van de parochies. Betrokkenen kunnen uitsluitend met de FG in contact treden over zaken die betrekking hebben op deze ledenadministraties door de R.K.-parochies.

Samenvatting van het vorenstaande:

Voorafgaande schriftelijke toestemming nodig

Er is voorafgaande schriftelijke toestemming nodig voor het publiceren van persoonsgegevens op een parochiële website, in een parochieblad en/of via andere communicatiekanalen (bijvoorbeeld sociale media of het ter inzage leggen op een voor publiek toegankelijke plaats) voor het verstrekken aan derden. Betreft het kinderen jonger dan 16 jaar dan moeten de ouders of eventuele andere wettelijke vertegenwoordigers deze toestemming verlenen.

Onder ‘persoonsgegevens’ in de context van de privacybescherming worden onder andere begrepen:

  • namen en adressen, telefoonnummers, e-mailadressen, al dan niet in bestandsvorm,
  • foto’s en videomateriaal

herleidbaar tot concrete personen.

Schriftelijke toestemming vooraf van betrokkenen is niet nodig wanneer er sprake is van een ‘algemeen maatschappelijk belang’, dat in journalistieke vorm is gegoten. Bijvoorbeeld: een openbare bijeenkomst, waarbij een journalist verslag doet in een dag- of weekblad en daarbij een foto plaatst van de organisatoren of bezoekers.

Email

Moeten er informatie via email worden verstuurd naar diverse e-mailadressen adresseer dan de mail aan uzelf en plaats de andere mailadressen niet in de CC (carbon copy), maar in de BCC (blind carbon copy). Via de bcc kunnen de ontvangers van de mail niet de mailadressen van de andere ontvangers zien. Maken meerdere personen gebruik van dezelfde computer stel dan een persoonlijk wacht-woord in voor het gebruik van het e-mailprogramma.

Moeten er bestanden met vertrouwelijke informatie worden verstuurd let er dan op, dat dit zo mogelijk via een beveiligd e-mailprogramma gebeurt. Let er ook op, dat de inhoud van die bestanden geen persoonsgegevens bevatten!!

Heeft een ontvanger via de mail informatie met vermelding van persoonsgegevens ontvangen dan stelt de ontvanger de verzender daarvan direct in kennis en verwijdert de email onmiddellijk.

Doelgebruik en het bewaren van persoonsgegevens

Persoonsgegevens mogen alleen gebruikt worden voor het doel waarvoor deze worden verstrekt. Bij het bewaren van persoonsgegevens worden de wettelijke voorschriften in acht genomen.
Persoonsgegevens mogen niet aan derden worden verstrekt. Gegevens, die niet meer nodig zijn voor het doel waarvoor deze zijn verstrekt worden verwijderd.

Openbare bijeenkomsten, activiteiten, enz.

Worden er tijdens parochiële activiteiten foto’s of videomateriaal gemaakt dan moet voor het begin van de activiteit dit aan de aanwezigen kenbaar worden gemaakt. Daarbij wordt ook vermeld hoe daartegen bezwaar kan worden gemaakt.

Een betrokkene, die tegen de publicatie(s) bezwaar heeft, kan het parochiebestuur vragen om binnen 24 uur na het verzoek daartoe, de publicatie te doen verwijderen.

Is er sprake van camerabeveiliging dan moeten die camera’s duidelijk zichtbaar zijn opgehangen. Is die zichtbaarheid er niet dan moet bij de ingang een duidelijk zicht waarschuwingsbord zijn waarin wordt aangegeven dat de ruimte is voorzien van camerabeveiliging. Camerabeelden mogen alleen worden ingezien door het parochiebestuur of door het bestuur aangewezen functionarissen. Camerabeelden worden maximaal 4 weken bewaard; bij registratie van incidenten mogen de beelden langer worden bewaard totdat het incident is afgehandeld.

Begraafplaatsadministratie

In het register ‘Nabestaandenbestand grafrechten’, zoals bedoeld in artikel 5 van het ‘Algemeen Reglement Bescherming Persoonsgegevens Parochies 2018’, worden de persoonsgegevens van de nabestaanden/contactpersonen vastgelegd. Bij deze vastlegging worden de voorschriften als bedoeld in het ‘Algemeen Reglement Bescherming Persoonsgegevens Parochies 2018’ nageleefd. Staat een nabestaande/contactpersoon niet als lid van de R.K. Kerk geregistreerd dan ontvangt deze – bij het verstrekken van diens persoonsgegevens – een privacyverklaring.