Privacyreglement NGK Alblasserdam – Nieuw-Lekkerland

voor de verwerking van kerkelijke gegevens  –  Vanwege artikel C9.2 KO

Artikel 1 – Begripsbepalingen

In dit reglement wordt verstaan onder:

a.        kerklid: natuurlijke persoon die bij een plaatselijke kerk als gewoon of buitengewoon lid staat ingeschreven;

b.        persoonsgegeven: elk gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon;

c.        verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige ander vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, en ook het afschermen, uitwissen of vernietigen van gegevens;

d.        administratiecode: eenduidige code die wordt gebruikt ten behoeve van efficiënte verwerking van persoonsgegevens;

e.        bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen;

f.         verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;

g.        beheerder: degene die onder verantwoordelijkheid van de verantwoordelijke is belast met de (dagelijkse) zorg voor de verwerking van persoonsgegevens, en ook voor het bewaren, verwijderen en verstrekken van gegevens;

h.        verwerker: degene die op basis van een overeenkomst ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen;

i.         gebruiker: degene in de zin van artikel 7 die gerechtigd is kennis te nemen van bepaalde gegevens in een persoonsregistratie;

j.         betrokkene: degene op wie een persoonsgegeven betrekking heeft;

k.        derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of degene(n) die onder gezag van de verantwoordelijke of de bewerker gemachtigd is (zijn) om persoonsgegevens te verwerken;

l.         ontvanger: degene aan wie de persoonsgegevens worden verstrekt;

m.      Autoriteit Persoonsgegevens: de toezichthoudende autoriteit zoals bedoeld in de Algemene Verordening Gegevensbescherming;

n.        toestemming van betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee betrokkene aanvaardt dat de hem/haar over persoonsgegevens worden verwerkt;

o.        AVG: Algemene Verordening Gegevensbescherming, Verordening (EU) 2016/ 679 van het Europees Parlement en de Raad, 27 april 2016.

Artikel 2 – Reikwijdte en doelstelling van het reglement

a.        Dit reglement is van toepassing op alle persoonsgegevens van een kerklid, dan wel een gastlid of gast, die door of namens de NGK Alblasserdam – Nieuw-Lekkerland worden verwerkt.

b.        Dit reglement heeft tot doel:

1.       de persoonlijke levenssfeer van kerkleden van wie persoonsgegevens worden verwerkt te beschermen tegen misbruik van die gegevens en tegen het verwerken van onjuiste gegevens;

2.       te voorkomen dat persoonsgegevens worden verwerkt voor een ander doel dan het doel waarvoor ze verzameld zijn;

3.       de rechten van de kerkleden te waarborgen.

Artikel 3 – Doel en grondslag van de verwerking van persoonsgegevens

De verwerking van persoonsgegevens door de NGK Alblasserdam – Nieuw-Lekkerland moet altijd op één van de navolgende rechtmatige grondslagen gebaseerd zijn,

a.        ontleend aan de Algemene Verordening Gegevensbescherming:

b.        het gerechtvaardigd belang van de NGK Alblasserdam – Nieuw-Lekkerland bij:

1.     een doelmatige organisatie van de kerkgemeenschap door het bijhouden van de kerkelijke ledenadministratie en kerkelijke registers;

2.     het onderhouden van contact met haar kerkleden;

3.     het zijn van een gemeenschap waarin leden naar elkaar omzien en elkaar opdragen aan God.

c.      het uitvoeren van een (arbeids)overeenkomst waarbij betrokkene partij is;

d.     de nakoming, uitvoering of toepassing van een wettelijke verplichting van de burgerlijke of kerkelijke overheid;

e.      de ondubbelzinnige toestemming die betrokkene heeft verleend.

Artikel 4 – Verwerking van persoons- en kerkelijke gegevens

Geen andere persoonsgegevens van een kerklid worden verwerkt dan:

a.        naam en voornamen c.q. voorletters;

b.        straatnaam, huisnummer, postcode, woonplaats en datum van vestiging op het woonadres

c.        geboortedatum en -plaats;

d.        geslacht;

e.        burgerlijke staat met vermelding van de datum van ingang van de huidige burgerlijke staat;

f.         gegevens met het oog op het berekenen, vastleggen en innen van kerkelijke bijdragen; en ook de volgende kerkelijke gegevens:

g.        doop, met vermelding van de datum, de kerkgemeenschap en de naam van de gemeente, waarbinnen de doop werd bediend;

h.        belijdenis van het geloof, met vermelding van de datum en ook van de kerkgemeenschap en de naam van gemeente, waar belijdenis van het geloof werd gedaan;

i.         bevestiging van het huwelijk, met vermelding van de datum, de kerkgemeenschap en de naam van de gemeente, waar de bevestiging heeft plaatsgevonden;

j.         datum van overkomst uit een andere gemeente of uit een andere kerkgemeenschap, met vermelding van de naam van deze gemeente c.q. kerkgemeenschap;

k.        gegevens in verband met het einde van het lidmaatschap van de gemeente, nl datum van vertrek naar een andere gemeente met vermelding van de naam van de nieuwe gemeente, van overlijden, van vertrek naar het buitenland, van overgang naar een andere kerkgemeenschap, van onttrekking aan de gemeenschap van de kerk of van constatering dat de gemeenschap van betrokkene met gemeente geacht wordt verbroken te zijn;

l.         datum van herstel van de gemeenschap met gemeente en kerk als bedoeld in de Kerkorde D9.

m.      de aard van de verbondenheid met de gemeente (dooplid, belijdend lid, gastlid, gast);

n.        pastorale informatie over het geestelijk welzijn en de zielenzorg;

o.        informatie over diaconale hulpverlening en wijkhulp;

p.        andere dan de onder a tot en met o bedoelde gegevens, waarvan de verwerking wordt vereist door, of noodzakelijk is met het oog op, de toepassing van een wettelijke regeling.

Artikel 5 – Het beheer van (de verwerking van) persoonsgegevens

Persoonsgegevens worden op naam van het kerklid verzameld. De verzameling van persoonsgegevens van het kerklid, voor zover bedoeld in artikel 4 sub a tot en met e en sub g tot en met m, vormt het dossier.

Artikel 6 – Verstrekking van gegevens

De persoonsgegevens worden slechts verstrekt aan:

a.        degenen, waaronder begrepen derden, die leiding geven aan of belast zijn met de verwerking van persoonsgegevens van kerkleden of die daarbij noodzakelijk zijn betrokken;

b.        anderen, als de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend, de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is of de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene;

c.        anderen, indien de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak dan wel voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert, voor zover het slechts gegevens betreft als bedoeld in artikel 4 van dit reglement, en nadat het voornemen daartoe aan betrokkene is medegedeeld en deze gedurende een redelijke termijn in de gelegenheid is geweest het recht als bedoeld in artikel 39 van de AVG uit te oefenen.

d.        Pastorale informatie over het geestelijk welzijn van de leden vallen onder het beroepsgeheim van de predikant en zullen niet aan derden doorgegeven worden.

Artikel 7 – Toegang tot persoonsgegevens

a.        Onverminderd eventuele wettelijke voorschriften ter zake hebben slechts toegang tot de persoonsgegevens:

1.      degenen, waaronder begrepen derden en anderen, die zijn belast met of leidinggeven aan de activiteiten die in verband staan met de verwerking van de gegevens of die daarbij noodzakelijk zijn betrokken;

2.      anderen, indien de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend, de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is, de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene of gegevensverwerking geschiedt met het oog op historische, statistische of wetenschappelijke doeleinden, en zolang de verantwoordelijke de nodige voorzieningen heeft getroffen ten einde te verzekeren dat de verdere verwerking uitsluitend geschiedt ten behoeve van deze specifieke doeleinden.

b.        Toegang tot de gegevens genoemd in artikel 4, sub n zijn slechts toegankelijk voor de leden van de kerkenraad en de notulist van de kerkenraad.

c.        Toegang tot de gegevens genoemd in artikel 4, sub o zijn slechts toegankelijk voor de diakenen.

Artikel 8 – Beveiliging en geheimhouding van persoonsgegevens

a.        De verantwoordelijke draagt zorg voor passende technische en organisatorische maatregelen ter voorkoming van verlies of onrechtmatige verwerking van persoonsgegevens. Deze maatregelen garanderen, rekening houdend met de stand der techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau, gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

b.        Indien sprake is van elektronische verwerking van persoonsgegevens zal de beheerder via een coderings- en wachtwoordbeveiliging de verschillende functionarissen, als bedoeld in artikel 7, toegang geven tot bepaalde gedeelten van de persoonsgegevens of tot alle persoonsgegevens al naar gelang hun werkzaamheden dit vereisen.

c.        Eenieder die betrokken is bij de uitvoering van dit reglement en daarbij de beschikking krijgt over persoonsgegevens waarvan hij het vertrouwelijke karakter kent of redelijkerwijs kan vermoeden en voor wie niet al uit hoofde van beroep, functie of wettelijk voorschrift ter zake van de persoonsgegevens een geheimhoudingsplicht geldt, is verplicht tot geheimhouding daarvan. Dit geldt niet als enig wettelijk voorschrift hem tot bekendmaking verplicht of uit zijn taak bij de uitvoering van dit reglement de noodzaak tot bekendmaking voortvloeit.

Artikel 9 – Informatieplicht

a.        De verantwoordelijke informeert betrokkene door middel van het verwerkingsregister over de persoonsgegevens die worden verwerkt, met welk doel dat gebeurt en aan wie de gegevens worden verstrekt.

b.        De verantwoordelijke informeert betrokkene door middel van het verwerkingsregister over het verwerken van diens persoonsgegevens, voorafgaand aan de verzameling van de persoonsgegevens of, als de gegevens van derden afkomstig zijn, voorafgaand aan de verwerking.

Artikel – 10 Rechten betrokkene(n)

a.        De AVG en de Uitvoeringswet AVG geven betrokkenen de volgende rechten:

1.     Recht op informatie – Het recht van mensen om op de hoogte te worden gesteld van het feit dat verwerking van persoonsgegevens plaatsvindt of zal plaatsvinden, hoe dat gebeurt en wat de doeleinden hiervan zijn.

2.     Recht op inzage – Het recht van mensen om hun persoonsgegevens die worden verwerkt in te zien. Aan een verzoek om inzage kunnen kosten worden verbonden. Een verzoek om inzage dient te worden gedaan aan de verantwoordelijke, die binnen vier weken na ontvangst van dit verzoek hierop schriftelijk reageert.

3.     Recht op rectificatie en aanvulling – Het recht om de persoonsgegevens die worden verwerkt te laten wijzigen, wanneer de verwerking plaatsvindt op basis van onvolledige gegevens. Gegevens kunnen worden gewijzigd als men van mening is dat deze niet kloppen, voor zover de belangen van anderen of de legitieme belangen van de kerk zich hiertegen niet verzetten. Als de betrokkene bij de verantwoordelijke aantoont dat bepaalde opgenomen gegevens onjuist c.q. onvolledig zijn, dan wel gezien de doelstelling van het systeem niet ter zake doen, dan wel strijdig zijn met dit reglement, draagt de verantwoordelijke binnen vier weken nadat betrokkene de onjuistheid c.q. onvolledigheid heeft aangetoond, zorg voor verbetering, aanvulling of verwijdering. In dat geval worden eventueel betaalde kosten terugbetaald.

4.     Het recht op vergetelheid – Het recht om vergeten te worden. Uitschrijving uit de kerk is mogelijk en de gemeente moet voldoen aan een verzoek om vergeten te worden, voor zover de belangen van anderen of de legitieme belangen van de kerk zich daar niet tegen verzetten.

5.     Het recht op beperking van de verwerking – Het recht om minder gegevens te laten verwerken.

6.     Het recht op overdraagbaarheid/dataportabiliteit – Het recht om persoonsgegevens die zijn verzameld op basis van toestemming of vanwege de uitvoering van een overeenkomst in een digitaal gangbaar en leesbaar formaat te ontvangen en/of te verstrekken aan een andere partij.

7.     Het recht met betrekking tot geautomatiseerde besluitvorming en profilering – Het recht op een menselijke blik bij besluiten. Betrokkene krijgt alleen een brief van de kerk als een natuurlijk persoon heeft besloten de brief te sturen, niet omdat een computersysteem een automatisch bericht stuurt.

8.     Het recht om bezwaar te maken tegen de gegevensverwerking – Een betrokkene kan vanwege redenen die verband houden met zijn specifieke situatie gebruik maken van het recht van bezwaar tegen de verwerking van hem over persoonsgegevens, als voldaan is aan de in de AVG genoemde eisen.

9.     Het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

b.        Als de verantwoordelijke twijfelt aan de identiteit van iemand die een verzoek indient op basis van de rechten onder bovenstaande sub a 1, 2, 3, 4, 5 of 6, vraagt hij zo spoedig mogelijk aan de verzoeker schriftelijk nadere gegevens over zijn identiteit te verstrekken of een geldig identiteitsbewijs te overleggen. Door dit verzoek wordt de termijn opgeschort tot het tijdstip dat het gevraagde bewijs is geleverd.

Artikel 11 – Bewaartermijnen

a.        Persoonsgegevens worden niet langer bewaard, in een vorm die het mogelijk maakt betrokkene te identificeren, dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt.

b.       Gegevens van leden worden bewaard zolang zij lid zijn, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een specifieke bewaarplicht, zoals wettelijke langere bewaartermijnen, behandeling van geschillen, lopende vorderingen of andere zaken van intern beheer en het doen uitoefenen van (accountants)controle. Met uitzondering van deze gronden en omstandigheden worden de persoonsgegevens vernietigd na afsluiting van het administratieve boekjaar waarin het desbetreffende lid zijn/haar lidmaatschap bij de plaatselijke gemeente heeft beëindigd, heeft laten beëindigen of is overleden, dat wil zeggen uiterlijk ultimo het eerste kwartaal in het jaar volgend op het jaar waarin het lidmaatschap is beëindigd.

c.        De gegevens genoemd in artikel 4, sub n en sub o worden, voor zover bewaard in een bestand, een half jaar na vergaring verwijderd, voor zover de belangen van anderen of de legitieme belangen van de kerk zich daar niet tegen verzetten. Onder de reikwijdte van halfjaarlijks te schonen pastorale gegevens worden ook geacht te vallen de onderlinge correspondentie binnen de kerkenraad en stukken ter voorbereiding op besluitvorming, voor zover deze persoonsgegevens betreffen en wanneer die besluitvorming al heeft plaatsgevonden.

d.       Van de vergaderingen van de kerkenraad worden geen woordelijke verslagen opgesteld.

Artikel 12 – Toezicht op naleving en klachten

a.        De Autoriteit Persoonsgegevens en de Functionaris Gegevensbescherming, zoals bedoeld in artikel 37 lid 2 van de Algemene Verordening Persoonsgegevens, zijn bevoegd toe te zien op de verwerking van persoonsgegevens. Zulks met eerbiediging van de inrichtingsvrijheid van de NGK Alblasserdam – Nieuw-Lekkerland en met eerbiediging van de Gereformeerde Kerkorde.

b.        Indien betrokkene van mening is dat de bepalingen van dit reglement niet door de NGK Alblasserdam – Nieuw-Lekkerland worden nageleefd dient hij zich te wenden tot de verantwoordelijke.

c.        Als de ingediende klacht voor betrokkene niet leidt tot een voor hem acceptabel resultaat, kan hij zich wenden tot de Autoriteit Persoonsgegevens.

Artikel 13 – Inwerkingtreding en citeertitel

a.        Dit reglement kan aangehaald worden als Privacyreglement NGK Alblasserdam – Nieuw-Lekkerland voor de verwerking van kerkelijke gegevens en trad in werking op 12 september 2018.

b.        Dit reglement kan worden gewijzigd door de kerkenraad van de NGK Alblasserdam – Nieuw-Lekkerland.

Aldus vastgesteld door de Kerkenraad van de Nederlandse Gereformeerde Kerk te Alblasserdam – Nieuw-Lekkerland in zijn vergadering van 9 mei 2023.