Sinds 16 juli 2020 is het EU-VS Privacy Shield ongeldig verklaard. Het Europese hof heeft bepaald dat de persoonsgegevens niet voldoende beschermd zijn. Dat heeft grote gevolgen voor veel kerken en missionaire organisaties. Dit omdat het niet meer is toegestaan om persoonsgegevens op te slaan op Amerikaanse servers (denk aan Mailchimp, Planning Center Online of het Life.Church netwerk). Maar wat is er nu eigenlijk aan de hand en wat zijn de gevolgen voor u als kerk of missionaire organisatie?
Het Privacy Shield is een afspraak tussen de EU en de VS om de bescherming van persoonsgegevens van burgers van de Europese Unie, die in de VS worden verwerkt, te beschermen. Dit is ontstaan om de uitwisseling van persoonlijke data tussen de Europese Unie en de Verenigde Staten mogelijk te maken. De overeenkomst zorgde ervoor dat Amerikaanse bedrijven alsnog Europese data mochten opslaan, zonder dat hierbij de GDPR / AVG te overtreden.
Het Europese hof heeft bepaald dat de persoonsgegeven van Europese burgers niet voldoende beschermt kunnen worden. Het Privacy Shield kon niet het niveau van bescherming bieden dat de AVG wel vereist. In de praktijk blijkt dat er veel meer persoonsgegeven worden ingezien door Amerikaanse inlichting- en veiligheidsdiensten dan volgens de Europese normen is toegestaan. Deze extra inzage is op grond van de Amerikaanse wetgeving wel mogelijk. Deze wetgeving staat namelijk toe dat de eigen overheidsdiensten om zich te mengen in data binnen de private sector, iets wat in Europa niet is toegestaan.
De ongeldigheid betekent dat het niet meer toegestaan is om persoonlijke data die door in de EU gevestigde kerken of organisaties op servers in de VS vastgelegd mogen worden. Bedrijven in de Europese Unie die afhankelijk zijn van Amerikaanse servers of bijvoorbeeld clouddiensten kunnen niet meer terugvallen op het Privacy Shield.
De Verenigde Staten blijft zich inzetten om samen te kunnen werken met de EU om zo de continuïteit van transatlantische gegevensstromen en privacybescherming te waarborgen. Het Amerikaans ministerie van Handel hoopt de negatieve gevolgen te kunnen beperken omdat deze stromen erg essentieel zijn voor Amerikaanse bedrijven. Daarom blijft het Amerikaans ministerie van Handel in nauw contact met het Europese commissie.
Het betekent dat het niet langer meer is toegestaan om persoonsgegevens vast te leggen in Amerikaanse programma's zoals Mailchimp, SalesForce, ActiveCampaign, Church Community Builder, Planning Center Online, Subsplash of bijvoorbeeld software van het Life.Church netwerk. Dit omdat de data hiervan wordt vastgelegd op servers op Amerikaans grondgebied. Daarnaast is er ondertussen nog een extra probleem ontstaan. Er was namelijk een alternatieve manier om het goed te regelen via een zogenoemde standaard overeenkomst (ook wel SCC genoemd) maar ook dat is geen alternatief meer door een recente uitspraak van het Europese hof.
De conclusie die we hieruit moeten trekken is dat je bij aanschaf en gebruik van software er zeker van moet zijn dat de data uitsluiten binnen de EU wordt opgeslagen. De EDPB (European Data Protection Board) heeft aanbevelingen opgesteld voor doorgifte van gegevens naar landen buiten de EU. De EDPB wil hiermee meer duidelijkheid geven nadat het hof het EU-VS Privacy ongeldig verklaard heeft. De EDPB noemt nog aanvullende maatregelen die bedrijven zouden kunnen overwegen, zoals bijvoorbeeld een goede encryptie en pseudonimisering. Om persoonsgegevens goed te beschermen zullen kerken en missionaire organisaties per geval goed moeten bekijken welke maatregel, of combinatie van maatregelen, er nodig zijn.
Hieronder volgende de aanbevelingen van het EDPB
kerkSPOT is AVG Proof, we slaan alle data op op servers binnen de EU. Sterker nog, onze server staat in een TIER-3 datacenter in Almere. Wanneer u de gegevens van uw gemeenteleden, donateurs en andere relaties in kerkSPOT opslaat dan weet u zeker dat dit gebeurt volgens de normen die in Europa gelden op het gebied van de AVG. Wij worden ook regelmatig getoetst door onze privacypartner Privacy Zeker en hebben via hen een FG (Functionaris Gegevensbeheer) die ons op de vingers tikt wanneer iets niet helemaal conform de hoge EU standaard gaat. Hierdoor kunnen wij ons hier snel op aanpassen zodat we ons AVG Certificaat waard blijven.
Toen we zijn begonnen met kerkSPOT, en dan met name met het CRM gedeelte, is privacy een hoog goed geweest voor ons. Een persoonsgegeven is geen eigendom van een kerk of organisatie, het is eigendom van de persoon zelf. Dat is eigenlijk altijd al zo geweest, alleen hadden veel organisaties dat bewustzijn nog niet. We willen er bij kerkSPOT dan altijd voor zorgen dat de eigenaar van de persoonsgegevens altijd in staat is om bij zijn/haar gegevens te kunnen, in te zien, aan te passen of te verwijderen. Dit zijn dingen die liggen verankert in het fundament van onze software en onze organisatie.
Natuurlijk kunnen we dat, en doen dat heel graag. Voor sommige pakketten hebben we zelfs al standaard procedures om de migratie te vereenvoudigen. Neem vrijblijvend contact met ons op over de mogelijkheden, of vraag een demonstratie aan om te zien wat kerkSPOT te bieden heeft. Tijdens een demonstratie kunt u al uw vragen stellen en kunnen we u meer vertellen over dit hele proces. We helpen u graag om als kerk of missionaire organisatie ook op het vlak van AVG goed bezig te zijn.
We zijn gezamenlijk ambassadeurs van de Allerhoogste en we hopen dan ook op die manier samen tot een goed en aanstekelijk voorbeeld voor de rest van de wereld te zijn. Op die manier kunnen we God eren maar tegelijkertijd ook mensen bereiken met het goede nieuws. En uiteindelijk is dát onze hogere missie, ook die van kerkSPOT, om de wereld te verkondigen dat we vrij kunnen zijn. Vrij van alles wat ons bind en beperkt, en dat de weg naar God wagenwijd open ligt dankzij het bijzondere én volbrachte werk van onze Heer Jezus Christus!
Dit artikel is mede tot stand gekomen door onze samen werking met Privacy Zeker, hier werken gecertificeerde (CIPP/E en CIPM) mensen op het gebied van online privacy en legal. En zijn daarnaast partner van het centrum informatiebeveiliging en privacybescherming.
De onderstaande artikelen zijn gebruikt:
“ Communicatie in de kerk is belangrijk, maar hoe doe je dat nu goed, snel en eenvoudig? kerkSPOT was voor ons het antwoord. Wat een duidelijk en overzichtelijke oplossing! Kundige supportdesk én constant ontwikkeling op nieuwe gebieden. Kortom, ik ben meer dan tevreden. ”
“ KerkSPOT is echt SPOT ON, ik ben onder de indruk de hoe volledig de oplossing is. Dit hadden we echt jaren eerder moeten doen! ”
“ Als je nog twijfelt over kerkSPOT zou ik zeggen: Niet twijfelen, gewoon doen. Het is een fantastisch team, je wordt ondersteund en het programma is gewoon supersimpel ”
“ Het handige van de app is dat je heel snel informatie kunt vinden. We gebruiken het volledige systeem van kerkSPOT en vinden het handig dat we zelf aanpassingen kunnen die vervolgens direct op ieder kanaal beschikbaar zijn. ”
“ Ben echt heel erg blij met het nieuwe systeem. Wat een werk is er verzet! Vooral het deel achter de inlog vind ik goed doordacht, een compleet systeem met gelijk een app erbij! Een hele mooie stap in onze hybride kerk, het helpt bij onze visie: Dichterbij mensen en dichterbij God ”
“ kerkSPOT is heel makkelijk in gebruik, met name ook op het gebied van beheer. Je hoeft er niet heel veel kennis of know-how van te hebben. Eigenlijk kun je er meteen mee aan de slag. ”
“ De app is heel erg intuïtief. kerkSPOT is voor ons om twee redenen belangrijk. Namelijk dat we onze bericht heel erg eenvoudig aan alle gemeenteleden kunnen doorsturen, daarnaast is het voor ons achter de schermen heel erg gemakkelijk te beheren. ”
“ We zijn erg blij met kerkSPOT. Het is een diaconaal project geworden, omdat je vanuit pastoraal oogpunt mensen met elkaar probeert te verbinden. Het systeem is eenvoudig en solide, en werkt qua techniek, betrouwbaarheid, beveiliging en onderhoud heel goed. ”