Sinds 25 mei is de Algemene Verordening Gegevensbescherming (AVG) van kracht. De AVG is een nieuwe privacywet die er voor moet zorgen dat de gegevens van de consument beter worden gewaarborgd, bijvoorbeeld wanneer die een site bezoekt of iets bestelt. Alle grote en kleine ondernemingen die deel uitmaken van de Europese Unie moeten hun privacybeleid op de wet aanpassen.

Ook kerken krijgen hiermee te maken. Misschien verwacht je het niet meteen, maar kerken zijn natuurlijk ook ondernemingen en bezitten zelfs meer gevoelige informatie over hun leden dan de meeste commerciële bedrijven. Financieel- en IT-expert Hans van der Ploeg is een jaar lang met een werkgroep bezig geweest om zich te verdiepen in deze wet, zodat deze op een goede manier in de Amersfoortse Protestantse Gemeenschap kon worden geïmplementeerd. Ik sprak hem over de impact die de AVG gaat hebben, en dan in het bijzonder op de kerkganger in Amersfoort.

Verandering
Er zijn een paar belangrijke zaken die er veranderen ten opzichte van de oude wet, de Wet Bescherming Persoonsgegevens (WBP). “Ten eerste worden de privacyrechten van de gegevenshouder versterkt en uitgebreid. Daar staat tegenover dat de organisaties die deze gegevens in handen hebben meer verantwoordelijkheid krijgen om goed met deze gegevens om te gaan. “, zo begint van der Ploeg zijn verhaal. Op de vraag wat de reden was waarom er een nieuwe wet moest komen, heeft hij snel een antwoord. “Alles moest gewoon beter geregeld worden, dat was wel duidelijk.” Helder is inderdaad dat de WBP een beetje verouderd was. De wet stamt uit het jaar 2000; aangezien tussen het begin van deze eeuw en nu onze levens ongelooflijk zijn gedigitaliseerd, is het niet verwonderlijk dat er een nieuwe nodig was.

“De gegevens die organisaties hebben moeten beter versleuteld worden en ook moeten datalekken meteen gemeld worden.” Ik vermeld dat ik ik allerminst verwacht dat dat laatste altijd wordt nageleefd. Van der Ploeg moet lachen: “Je maakt een mooi bruggetje naar mijn volgende punt: de zogeheten privacytoezichthouders mogen hogere boetes uitdelen als wordt ontdekt dat een bepaald bedrijf zich niet aan de regels houdt. Ze kunnen zo hoog zijn als vier procent van de wereldwijde omzet.”

Voorbereiding
Het aanpassen aan de nieuwe wet is een heel proces geweest. Van der Ploeg heeft samen met zijn werkgroep sinds de aankondiging van de nieuwe wet research gedaan. “We moeten onze Privacy Statement aanpassen; we mogen alleen de gegevens opslaan die we echt nodig hebben en ook hebben we nieuwe overeenkomsten moeten afsluiten wat betreft de verwerking van deze gegevens.” Zelfs nu de wet is ingegaan is van der Ploeg nog bezig met de werkgroep. “Die wet is nog best complex, en we willen alles natuurlijk zo nauwkeurig uitwerken. Voorlopig zijn we er dus nog volop mee aan de gang. Daarnaast weten we nog niet van alle punten wat de wetgever nou precies bedoeld, dus zullen er in de beginfase wat fouten en onduidelijkheden naar boven komen, die dan moeten worden aangescherpt.”

Vooruitstrevend
Er zal in de Amersfoortse Protestantse Gemeenschap privacygewijs een hoop veranderen. Alleen gegevens die écht nodig zijn mogen worden bijgehouden. “We willen daarnaast ook alle vrijwilligers die bij ons werken bewust maken van het feit dat je bijvoorbeeld niet zo maar gegevens kan rondmailen. Wij hielden onze gegevens al bij via een zogeheten “cloud”, die goed versleuteld is. Als iemand bij deze gegevens wil, dan moet hij natuurlijk een wachtwoord hebben, maar ook een token. Dat houdt in dat het systeem een code stuurt naar een apparaatje wat jij in je bezit moet hebben om bij de informatie te kunnen. Niet alle kerken zijn zo vooruitstrevend.”, zegt van der Ploeg met enige trots in zijn stem.

Streng
“Daarnaast zullen er ook ingrijpende veranderingen plaatsvinden tijdens de bijvoorbeeld de mis. De sessie mag bijvoorbeeld niet zomaar meer op beeld worden opgenomen, aangezien niet iedereen gefilmd wil worden. Wat veel kerken dan ook doen is een hoek creëren waar geen camera’s op staan, zodat iedereen alsnog de mis kan bijwonen. Ook wordt er wel eens gebeden voor iemand die ernstig ziek is. In dat geval mag je formeel niet meer zeggen wat voor aandoening deze persoon heeft, of waarheen je een kaartje kan sturen, aangezien je dan hoogst persoonlijke gegevens moet gaan delen. Zo streng is deze wet.”

“Als laatste wil ik meegeven dat wij als kerk een voorbeeld willen zijn als het om privacy gaat. We willen graag dat onze leden zich veilig voelen, en daarom nemen wij het implementeren van de AVG uiterst serieus. We willen respectvol met elkaar omgaan en daar hoort dit natuurlijk ook bij. “