Meevieren.nl is een reserveringssysteem dat gelovigen uitnodigt naar de kerk te komen. Het beoogt de reservering voor kerkdiensten te vergemakkelijken. Dat is goed. Aan de bescherming van persoonsgegevens schort echter een en ander*.

Het reserveringsysteem Meevieren.nl van leverancier Webheld werkt in ieder geval op enkele punten niet volgens de Algemene verordening gegevensbescherming (AVG). Dat is af te leiden aan de informatie op de site.

Ik kwam daar achter omdat mijn eigen parochie, Maria Sterre der Zee in Den Haag, van het systeem gebruik gaat maken. Ik heb bij het parochiebestuur aangegeven dat Meevieren.nl onduidelijk is over het waarborgen van mijn persoonsgegevens. Ik vind dat belangrijk en maak mij daar zorgen om. Gelukkig buigt de parochiebestuur zich over deze kwestie, omdat het bestuur privacy ‘uiterst serieus’ neemt.

Grondslag

De grondslag om Meevieren.nl te gebruiken is die van overeenkomst (hoewel dat niet expliciet is genoemd). Iemand die zich aanmeldt dient toestemming te geven met het ‘verwerken van mijn gegevens’. Onduidelijk is aan wie deze toestemming wordt gegeven (mijn parochie? Webheld? de hostingpartij?), of er een beroepsprocedure is, wat de bewaartermijnen zijn. Omdat bij een aanmelding voor een viering ook een ‘negatieve medische verklaring’ moet worden gegeven (namelijk dat je niet ziek bent) is op dit punt Meevieren.nl niet heel duidelijk wat met mijn (bijzondere) persoonsgegevens gebeurt.

Bewaartermijnen

De AVG schrijft voor dat organisaties persoonsgegevens ‘niet langer bewaren dan noodzakelijk’. Webheld bewaart persoonsgegevens bij contactaanvragen ‘voor altijd’. Dat is op zijn minst opmerkelijk.

Daarnaast heeft het bedrijf in het privacybeleid niet opgenomen wat met bijzondere persoonsgegevens gebeurt en wat de bewaartermijnen in het geval van Meevieren.nl zijn. Dat verontrust mij.

Hosting

Via Meevieren.nl delen kerkgangers (bijzondere) persoonsgegevens. Daarom is het zeer belangrijk dat deze data niet wordt gedeeld met derden. Meevieren.nl geeft aan dat niet te doen. Maar dat is volgens mij niet waar. De website Meevieren.nl is gehost bij een derde hostingpartij (Vimexx) en die slaat sowieso alle inkomende persoonsgegevens op. Daarbij, Meevieren.nl staat op een goedkope gedeelde server (‘shared hosting’) met minimaal 2.722 websites. Ik zag op die server enkele websites staan waarbij de verbinding onvoldoende is beveiligd. Omdat die websites op dezelfde plek staan als Meevieren.nl, geeft dit privacyrisico’s voor het gebruik van meevieren.nl.

Cookies

Uiteraard gebruikt Meevieren.nl cookies, maar bezoekers van de site kunnen niet bepalen of ze daarmee instemmen, laat staan of de site privacygevoelige cookies gebruikt (zoals functionele of tracking cookies).

Kortom: Meevieren.nl lijkt ernstig in gebreke te zijn als het gaat om het naleven van de wettelijke AVG-richtlijnen.

Reactie Webheld/Meevieren.nl

Ik heb eigenaar David van Diepen van Webheld eerder deze week enkele vragen voorgelegd over de privacymaatregelen van Meevieren.nl. Want het is een goede zaak dat er een kerkspecifieke toepassing is, maar dat vraagt wel extra aandacht voor de verwerking van persoonsgegevens.

Vooralsnog heeft Webheld niet gereageerd op onderstaande vragen. Mag altijd nog, in het belang van de parochies en gemeenten die privacy erg belangrijk vinden.

  • Webheld geeft aan bij contactaanvragen ‘voor altijd’ persoonsgegevens te bewaren. Is Webheld zich ervan bewust dat dit in strijd is met de AVG? Voor hoelang worden persoonsgegevens, verwerkt via Meevieren.nl, bewaard?
  • Webheld stelt dat persoonsgegevens niet met derden worden gedeeld. Bij welke hostingpartij worden de persoonsgegevens van Meevieren.nl opgeslagen?
  • Welke privacygevoelige cookies verwerkt Meevieren.nl?
  • Aan wie wordt toestemming van de verwerking van persoonsgegevens verleend als een kerkganger zich aanmeldt bij een kerk via Meevieren.nl?
  • Wat is jullie automatische spam-detectiesysteem?
  • Hoe wordt de data beveiligd, naast SSL voor beveiligde gegevensoverdracht?
  • Op Meevieren.nl staat geen verwerkersovereenkomst. Is dat met reden?

* Naschrift: Webheld kreeg voorafgaand aan dit zaterdagochtend gepubliceerde artikel ruimschoots de tijd vragen te beantwoorden. In een schriftelijke reactie, zaterdagavond laat, laat de websitebouwer weten ‘door ziekte erg onderbezet’ te zijn, waardoor de vragen niet volledig beantwoord konden worden. Webheld geeft toe dat sommige passages wellicht anders geformuleerd moeten worden. Dat wordt in het team besproken.

EvdB, 5 juli 2020

Tweede naschrift: Naar aanleiding van dit artikel heeft Webheld hun privacyrichtlijnen verbeterd, zoals ze in deze reactie verwoorden. (“Daarnaast hebben we de punten die verbeterd konden ter harte genomen en direct doorgevoerd.”). En dat is goed nieuws voor de kerken.

EvdB, 6 juli 2020