Nieuwe privacy wetgeving en bewerkersovereenkomst

Assenpeelo · 31 oktober 2017 om 14:57

Hagru de leverancier van de Scipio ledenadministratie heeft voor zijn afnemers zo’n overeenkomst die van kracht is in combinatie met het aankoopcontract.

peterarends · 31 oktober 2017 om 19:47

Het was een goed gesprek en er wordt gewerkt aan een verwerkersovereenkomt. Daarnaast gaan er aanpassingen gedaan worden aan de app zelf, bijvoorbeeld:

tweefactorauthenticatie voor beheerders
touchid of een pincode die je moet invoeren als je de app start of hervat na meer dan twee minuten
het zoveel mogelijk anonimiseren en pseudonimiseren van gebruikersgedrag
versleuteling van nog meer gegevens
het beschikbaar maken van een privacyverklaring

Olivier gaf aan dat er op dit moment niks aan de hand is overigens. Maar het is verstandig om zaken vast te leggen en te regelen voor een moment waarop er iets naars zou gebeuren, ook al voor de AVG. Hij gaf aan dat veel dingen al goed voor elkaar zijn en er over de beveiliging is nagedacht. Bijvoorbeeld dat de app draait op een aparte server, dat er niet één masteraccount is in de app waarmee je bij alle gegevens kan, dat er wachtwoordeisen zijn, dat er niet ingelogd kan worden als root, dat ssh op een niet standaardpoort actief is, dat de database alleen via een ‘tunnel’ ter bereiken is, etc.

Janmeijerink · 27 december 2017 om 20:45

ha Peter, hoever staat het met deze maatregelen? is er al een privacy overeenkomst die wij kunnen gebruiken?

peterarends · 30 december 2017 om 10:09

@Janmeijerink er is helaas nog geen overeenkomt beschikbaar, ik ga even navraag doen en zal het hier updaten als er nieuws is.

nieuwekerkutrecht · 25 januari 2018 om 09:53

Is er al een update inmiddels? Mei duurt niet lang meer…

peterarends · 25 januari 2018 om 19:20

Ik snap je ongeduldigheid @nieuwekerkutrecht, ik had het ook liever al rond gehad. Maar zoals ik al aangaf, ik update het hier als er nieuws is. Zal zelf ook nog een keer informeren.

Assenpeelo · 2 februari 2018 om 09:09

De AVG 2018 heeft naar ons idee veel meer consequenties voor het omgaan met persoonsgegevens dan veelal wordt ingeschat daarom een link naar de regelhulp van de Autoriteit Persoonsgegevens om te bepalen welke acties je moet nemen:https://rvo.regelhulpenvoorbedrijven.nl/avg/welkom.
Cruciaal is dat gegevens over kerklidmaatschap als bijzondere gegevens worden aangemerkt.
In de regelhulp wordt ook aangegeven dat explicite/gedocumenteerde toestemming voor opname en verwerking van persoonsgevens nodig is en de App zou mogelijk wel een bijdrage aan kunnen leveren bij met name de wijziging van gegevens en de opname van foto’s etc.

RikusH · 19 februari 2018 om 13:11

we weten nog niet zo goed wat we met de nieuwe AVG moeten.
zie https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/algemene-informatie-avg

Assenpeelo · 21 februari 2018 om 15:07

peterarends · 26 maart 2018 om 13:06

Er is vooruitgang wat betreft de verwerkersovereenkomst en alles dat daarbij komt kijken. De verwerkersovereenkomst is eigenlijk altijd onderdeel van een ‘Hoofdovereenkomst’. Dus naast de verwerkersovereenkomst, komt er een overeenkomst levering SaaS-diensten inclusief afspraken en algemene voorwaarden. Daarnaast een SLA die hoort bij die diensten. En natuurlijk de verwerkersovereenkomst zelf.

Voordat de overeenkomst aan kan worden gegaan, moet ook de stichting opgericht zijn. Dat gaat waarschijnlijk binnenkort gebeuren, de voorbereidingen zijn een heel eind. Je sluit de overeenkomst niet met mij of mijn eenmanszaak, maar met de stichting.

Binnen nu en een paar weken kun je in de beheeromgeving ook aan gaan geven wie de ‘Opdrachtgever’ en ‘Verwerkingsverantwoordelijke’ is vanuit jouw gemeente/kerk/parochie. Samen met wat andere gegevens die in de overeenkomst komen.

Zelf ben ik niet zo’n fan van dit soort ‘formeel gedoe’, maar het hoort erbij. En het is op de lange termijn beter dat alles gewoon goed is geregeld.

Mocht je een jurist binnen de gemeente kennen die het leuk vindt om mee te kijken, laat het mij weten.

Eelke · 26 maart 2018 om 15:39

Voortzetting van de discussie Nieuwe privacy wetgeving en bewerkersovereenkomst:

Dag Peter, ik ben de laatste anderhalfjaar uitsluitend bezig geweest met het implementeren van privacywetgeving. Ondermeer bij IT/software bedrijven. Als je bijvoorbeeld een second opinion op de verwerkersovereenkomst wenst, laat maar horen. (Referentie: Ik ben lid van de NGK Nijmegen).

nieuwekerkutrecht · 23 april 2018 om 19:03

We zijn benieuwd of er al een update is? Groeten van de app-commissie van de Nieuwe Kerk!

hans · 28 april 2018 om 12:08

Misschien een inhoudelijke vraag. Maar vooruitlopend op de bewerkersovereenkomst vragen we ons af tot welke gegevens de beheerders van chrch.org toegang hebben. Natuurlijk wordt de app technisch beheerd, en worden er waarschijnlijk backups gemaakt. Maar is alle informatie versleuteld opgeslagen en kan niemand de gegevens inzien zonder een account binnen de betreffende kerk? Of hebben beheerders van chrch.org een soort supervisor toegang tot alle gegevens? Het zou mooi zijn als er sowieso geen gegevens gelezen kunnen worden, dat maakt de inhoud van de bewerkersovereenkomst ook een stuk eenvoudiger maken?

Concreet de volgende vragen:

Wordt informatie versleuteld opgeslagen?
Wordt informatie versleuteld verzonden van/ en naar de App?
Wie hebben er toegang tot de sleutel, en/of wie hebben er toegang tot de gegevens in de App?
Zijn er mogelijkheden de toegang te beperken?

Assenpeelo · 28 april 2018 om 13:09

Volgens de AVG grondslagen art. 6: gerechtvaardigd belang en art. 9: gerechtvaardigde activiteiten kunnen de persoonsgegevens in de App zonder toestemming met iedereen binnen de gemeente gedeeld worden mits je er een doel voor hebt (zie ook PKN privacy site)

Daarnaast is er voor ieder die met persoonsgegevens binnen een kerk een geheimhoudingsplicht bij de PKN bijv.:
In ordinantie 4-2 staat dat eenieder die vanuit een functie gegevens uit de kerk krijgt, gebonden is aan geheimhouding. Dat wil zeggen dat iemand in welke hoedanigheid ook - bijvoorbeeld als vrijwilliger, medewerker of kerkenraadslid - een geheimhoudingsplicht heeft. De geheimhoudingsplicht is ook van toepassing zonder dat iemand hiervoor getekend heeft. En ook als iemand slechts eenmalig gegevens heeft ontvangen. Bij de GKV staat ook zo iets in de kerkorde

Uit oogpunt van (AVG) verantwoording over de genomen technische maatregelen voor bescherming van persoonsgegevens lijken me de door @hans gestelde vragen wel zeer relevant.

peterarends · 3 mei 2018 om 12:49

Je kunt nu in de beheeromgeving onder “Instellingen” > “organisatorisch” aangeven wie de Verwerkersverantwoordelijke is binnen jullie kerk of gemeente. Diegene ontvangt binnenkort de overeenkomst (waar de verwerkersovereenkomst onderdeel van is) digitaal (via https://signrequest.com/nl/) om te ondertekenen.

Daarnaast kun je een privacystatement plaatsen. Vanuit chrch wordt nog een model gedeeld.

martinvw · 18 mei 2018 om 16:32

Onze wijkgemeente is laat met de implementatie van de AVG. De vraag om in de beheeromgeving van de app een verwerkingsverantwoordelijke te benoemen ten behoeve van de verwerkersovereenkomst maakt bij ons de vraag los wie dat moet zijn. Volgens ons kan daar de naam van de wijkgemeente worden ingevuld, maar er lijkt hier de naam van een natuurlijke persoon te worden verwacht. Hoe hebben andere kerkgenootschappen die de app gebruiken dat opgelost?

Assenpeelo · 18 mei 2018 om 16:50

@martinvw, bij ons is het dagelijks bestuur - gemandateerd - door de kerkenraad de verwerkingverantwoordelijke. Volgens de GKv Kerkorde moet een plaatselijke kerk een “vertegenwoordiging in rechte” hebben en bij ons zijn dat de scriba en de voorzitter van de kerkenraad. Dit hebben we ook toegepast op de verwerkersovereenkomst voor onze ledenadministratie met de fa. Hagru.

Csfolmer · 2 oktober 2018 om 14:30

Ik stelde de App voor bij onze gemeente (gkv Vlaardingen) Maar kreeg een duidelijke reactie terug van onze scriba, die zich ook verdiept heeft in de agv.
Zie hier zijn reactie

Allen,

De app ziet er geweldig uit en ik begrijp het enthousiasme.
Van mijn kant wel een kanttekening.

De stichting achter de app gaat uit van explicite toestemming voor het
verstrekken van de persoonsgegevens. Dat is op zichzelf prima maar dat
betekent ook dat we als kerk de app niet zomaar als platform kunnen
inzetten. Je zult dan van ieder gemeentelid expliciet toestemming moeten
hebben om die gegevens te delen.
Maar dat betekent ook dat in de berichten functie geen informatie mag
worden gedeeld over gemeenteleden die doe toestemming niet hebben
gegeven. Dat lijkt me onhoudbaar.

Wil je als kerk dat platform inzetten moet je volgens mij een
verwerkingsoveenkomst met hen afsluiten, maar daar gaan zij iig niet van
uit.

Ze leggen ook de religie vast en maken niet duidelijk waarom ze dat
doen. volgens mij heb je dat niet nodig om de app te laten functioneren.
Of het zou al te maken moeten hebben met hun ‘overige activiteiten’, wat
die ook mogen zijn.

Het privacy statement is volgens mij niet afdoende. Bijvoorbeeld in de
o.a. berichten functie kunnen, buiten hun medeweten, privacygevoelige
informatie door hen worden verwerkt (zoals ziekte, prive-omstandigheden
enz) Die zijn weer niet opgenomen in hun privacystatement en ook is niet
vastgelegd hoe ze daar mee omgaan. Hetzelfde geldt voor de foto’s in het
‘smoelenboek’, die ze wel verwerken naar daar staat niets over in het
statement.

De stichting is opgericht door de twee personen die ook de app
ontwikkeld hebben. Ze zijn ongetwijfeld heel kundig en professioneel.
Het lijkt me toch wel naief, om als kerk, er op te vertrouwen dat ze
alle kennis en kunde in huis hebben (en toepassen) om een veilige
omgeving in de lucht te hebben, die nodig is om (op die schaal)
bijzondere persoonsgegevens te verwerken.

Kan iemand hierop reageren?
Of is dit nog in werking?

voorstad · 3 oktober 2018 om 20:52

Er zijn meerdere manieren om tegen de AVG aan te kijken. We hebben als stichting chrch naar ons beste kunnen zorg proberen te dragen om AVG proof te zijn. Er zijn daarnaast extern deskundigen geconsulteerd en we hebben hun adviezen opgevolgd.

Chrch is een community-driven initiatief van een aantal personen. Inzet is om andere kerken, zonder winstoogmerk, te helpen om verbindingen in de gemeente zelf te versterken. We werken volgens het Open Source principe en hopen op bijdragen vanuit de gemeenschap om chrch nog verder te verbeteren.

Als ik naar mijn eigen kerkgemeenschap kijk, heeft de chrch app juist een aantal zaken op AVG gebied goed opgelost. Alle privé informatie zit nu wel achter een persoonlijke inlog, wordt nu op een goed afgeschermde Nederlandse server gehost en afgedekt met een verwerkingsovereenkomst met een stichting.

Wanneer deze benadering binnen je kerk of gemeenschap bij je past, ben je van harte welkom om aan te haken bij dit initiatief en om bij te dragen. Wanneer het je niet past, of twijfels hebt, even goede vrienden.

Csfolmer · 4 oktober 2018 om 13:19

Bedankt voor je antwoord @voorstad.
Was ook beetje teleurgesteld van de reactie die vanuit de scriba kwam.
Had graag de app bij onze gemeente gezien.
Het gaat hem er denk ik om, wat jullie doen met de gegevens/berichten etc.
Dat staat waarschijnlijk niet ergens omschreven op de website?
Maar ik communiceer gewoon alle reacties terug naar de scriba.
En misschien gaan ze er over na denken.

Want die agv kan je heel ver trekken… En als je echt agv proef wil zijn moet je de stekker uit je modem trekken😉