Nieuwe privacy wetgeving en bewerkersovereenkomst

Op de site steunpuntkerkenwerk.nl vond ik o.a. het volgende:
Wanneer u gebruik maakt van een softwarepakket controleer dan of het bedrijf ISO 27001 gecertificeerd is. Dit certificaat garandeert een onafhankelijke controle op de naleving van de nieuwe privacywetgeving (bewerkersovereenkomst AVG).
Op de chrch dag van 16 sept. werd deze nieuwe regelgeving ook al even genoemd.

Maandag heb ik een afspraak met een jurist die ons hopelijk verder kan helpen. :slight_smile:

wij zijn ook nieuwsgierig naar deze Bewerkers-overeenkomst Peter

groet peter

Hagru de leverancier van de Scipio ledenadministratie heeft voor zijn afnemers zo’n overeenkomst die van kracht is in combinatie met het aankoopcontract.

Het was een goed gesprek en er wordt gewerkt aan een verwerkersovereenkomt. Daarnaast gaan er aanpassingen gedaan worden aan de app zelf, bijvoorbeeld:

  • tweefactorauthenticatie voor beheerders
  • touchid of een pincode die je moet invoeren als je de app start of hervat na meer dan twee minuten
  • het zoveel mogelijk anonimiseren en pseudonimiseren van gebruikersgedrag
  • versleuteling van nog meer gegevens
  • het beschikbaar maken van een privacyverklaring

Olivier gaf aan dat er op dit moment niks aan de hand is overigens. Maar het is verstandig om zaken vast te leggen en te regelen voor een moment waarop er iets naars zou gebeuren, ook al voor de AVG. Hij gaf aan dat veel dingen al goed voor elkaar zijn en er over de beveiliging is nagedacht. Bijvoorbeeld dat de app draait op een aparte server, dat er niet Ă©Ă©n masteraccount is in de app waarmee je bij alle gegevens kan, dat er wachtwoordeisen zijn, dat er niet ingelogd kan worden als root, dat ssh op een niet standaardpoort actief is, dat de database alleen via een ‘tunnel’ ter bereiken is, etc.

2 likes

ha Peter, hoever staat het met deze maatregelen? is er al een privacy overeenkomst die wij kunnen gebruiken?

@Janmeijerink er is helaas nog geen overeenkomt beschikbaar, ik ga even navraag doen en zal het hier updaten als er nieuws is.

2 likes

Is er al een update inmiddels? Mei duurt niet lang meer


Ik snap je ongeduldigheid @nieuwekerkutrecht, ik had het ook liever al rond gehad. :slight_smile: Maar zoals ik al aangaf, ik update het hier als er nieuws is. Zal zelf ook nog een keer informeren.

1 like

De AVG 2018 heeft naar ons idee veel meer consequenties voor het omgaan met persoonsgegevens dan veelal wordt ingeschat daarom een link naar de regelhulp van de Autoriteit Persoonsgegevens om te bepalen welke acties je moet nemen:https://rvo.regelhulpenvoorbedrijven.nl/avg/welkom.
Cruciaal is dat gegevens over kerklidmaatschap als bijzondere gegevens worden aangemerkt.
In de regelhulp wordt ook aangegeven dat explicite/gedocumenteerde toestemming voor opname en verwerking van persoonsgevens nodig is en de App zou mogelijk wel een bijdrage aan kunnen leveren bij met name de wijziging van gegevens en de opname van foto’s etc.

1 like

we weten nog niet zo goed wat we met de nieuwe AVG moeten.
zie https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/algemene-informatie-avg

Er is vooruitgang wat betreft de verwerkersovereenkomst en alles dat daarbij komt kijken. De verwerkersovereenkomst is eigenlijk altijd onderdeel van een ‘Hoofdovereenkomst’. Dus naast de verwerkersovereenkomst, komt er een overeenkomst levering SaaS-diensten inclusief afspraken en algemene voorwaarden. Daarnaast een SLA die hoort bij die diensten. En natuurlijk de verwerkersovereenkomst zelf.

Voordat de overeenkomst aan kan worden gegaan, moet ook de stichting opgericht zijn. Dat gaat waarschijnlijk binnenkort gebeuren, de voorbereidingen zijn een heel eind. Je sluit de overeenkomst niet met mij of mijn eenmanszaak, maar met de stichting.

Binnen nu en een paar weken kun je in de beheeromgeving ook aan gaan geven wie de ‘Opdrachtgever’ en ‘Verwerkingsverantwoordelijke’ is vanuit jouw gemeente/kerk/parochie. Samen met wat andere gegevens die in de overeenkomst komen.

Zelf ben ik niet zo’n fan van dit soort ‘formeel gedoe’, maar het hoort erbij. En het is op de lange termijn beter dat alles gewoon goed is geregeld.

Mocht je een jurist binnen de gemeente kennen die het leuk vindt om mee te kijken, laat het mij weten.

2 likes

Voortzetting van de discussie Nieuwe privacy wetgeving en bewerkersovereenkomst:

Dag Peter, ik ben de laatste anderhalfjaar uitsluitend bezig geweest met het implementeren van privacywetgeving. Ondermeer bij IT/software bedrijven. Als je bijvoorbeeld een second opinion op de verwerkersovereenkomst wenst, laat maar horen. (Referentie: Ik ben lid van de NGK Nijmegen).

3 likes

We zijn benieuwd of er al een update is? Groeten van de app-commissie van de Nieuwe Kerk!

Misschien een inhoudelijke vraag. Maar vooruitlopend op de bewerkersovereenkomst vragen we ons af tot welke gegevens de beheerders van chrch.org toegang hebben. Natuurlijk wordt de app technisch beheerd, en worden er waarschijnlijk backups gemaakt. Maar is alle informatie versleuteld opgeslagen en kan niemand de gegevens inzien zonder een account binnen de betreffende kerk? Of hebben beheerders van chrch.org een soort supervisor toegang tot alle gegevens? Het zou mooi zijn als er sowieso geen gegevens gelezen kunnen worden, dat maakt de inhoud van de bewerkersovereenkomst ook een stuk eenvoudiger maken?

Concreet de volgende vragen:

  • Wordt informatie versleuteld opgeslagen?
  • Wordt informatie versleuteld verzonden van/ en naar de App?
  • Wie hebben er toegang tot de sleutel, en/of wie hebben er toegang tot de gegevens in de App?
  • Zijn er mogelijkheden de toegang te beperken?

Volgens de AVG grondslagen art. 6: gerechtvaardigd belang en art. 9: gerechtvaardigde activiteiten kunnen de persoonsgegevens in de App zonder toestemming met iedereen binnen de gemeente gedeeld worden mits je er een doel voor hebt (zie ook PKN privacy site)

Daarnaast is er voor ieder die met persoonsgegevens binnen een kerk een geheimhoudingsplicht bij de PKN bijv.:
In ordinantie 4-2 staat dat eenieder die vanuit een functie gegevens uit de kerk krijgt, gebonden is aan geheimhouding. Dat wil zeggen dat iemand in welke hoedanigheid ook - bijvoorbeeld als vrijwilliger, medewerker of kerkenraadslid - een geheimhoudingsplicht heeft. De geheimhoudingsplicht is ook van toepassing zonder dat iemand hiervoor getekend heeft. En ook als iemand slechts eenmalig gegevens heeft ontvangen. Bij de GKV staat ook zo iets in de kerkorde

Uit oogpunt van (AVG) verantwoording over de genomen technische maatregelen voor bescherming van persoonsgegevens lijken me de door @hans gestelde vragen wel zeer relevant.

Je kunt nu in de beheeromgeving onder “Instellingen” > “organisatorisch” aangeven wie de Verwerkersverantwoordelijke is binnen jullie kerk of gemeente. Diegene ontvangt binnenkort de overeenkomst (waar de verwerkersovereenkomst onderdeel van is) digitaal (via https://signrequest.com/nl/) om te ondertekenen.


Daarnaast kun je een privacystatement plaatsen. Vanuit chrch wordt nog een model gedeeld.

Onze wijkgemeente is laat met de implementatie van de AVG. De vraag om in de beheeromgeving van de app een verwerkingsverantwoordelijke te benoemen ten behoeve van de verwerkersovereenkomst maakt bij ons de vraag los wie dat moet zijn. Volgens ons kan daar de naam van de wijkgemeente worden ingevuld, maar er lijkt hier de naam van een natuurlijke persoon te worden verwacht. Hoe hebben andere kerkgenootschappen die de app gebruiken dat opgelost?

@martinvw, bij ons is het dagelijks bestuur - gemandateerd - door de kerkenraad de verwerkingverantwoordelijke. Volgens de GKv Kerkorde moet een plaatselijke kerk een “vertegenwoordiging in rechte” hebben en bij ons zijn dat de scriba en de voorzitter van de kerkenraad. Dit hebben we ook toegepast op de verwerkersovereenkomst voor onze ledenadministratie met de fa. Hagru.