
Frivillige foreninger efterlever ofte ikke persondataforordningen

Er du medlem eller i bestyrelsen af en frivillig foreningen, hvor persondataforordningen måske ikke lige har fået den opmærkomshed som myndighederne forventer den skal have, så er der nu hjælp at hente.
Justitsministeriet har nemlig offentliggjort en vejledning med svar på ofte stillede spørgsmål om frivillige foreningers behandling af personoplysninger. Vejledningen gælder for alle frivillige foreninger, uanset størrelse og formål, og er udarbejdet under inddragelse af Datatilsynet. Du kan hente den her.
Vejledningen indeholder blandt andre nedenstående under-overskrifter, hvor fælles for de udvalgte overskrifter er, at en netværksserver og en backup-plan fra dataplan.dk, vil være den helt rigtige løsning for netop dette punkt.
Få styr på, hvor foreningens data er placeret
Foreningens data er dér hvor netværksserveren står – helt enkelt.
Hav styr på sikkerheden
Med de indbyggede programmer og krypteringsmuligheder, vil foreningen kunne foretage de nødvendige sikkerhedsmæssige foranstaltninger.
Derudover er en ekstern sikkerhedskopi – krypteret naturligvis – et rigtig godt supplement til sikkerheden.
Hvem i foreningen er dataansvarlig?
Den enkle ansvarsfordeling er, at det er den person der har netværkserveren stående, der er dataansvarlig. Dette bør også give den ansvarlige en større tryghed for sit ansvarsområde.
Én server, mange funktioner.
Foruden netværksserverens grundlæggende funktioner, så vil en nærmere tilpasning af tilvalgsfunktioner kunne løse nedenstående punkter/bestemmelser, bl.a. ved at nedfælde og vedligeholde en lokal Wiki (informationssamling), der kun kan læses af registrerede medlemmer:
- Gør jer overvejelser om de såkaldte grundlæggende principper i databeskyttelsesreglerne.
- Lav et dokument, hvor I dokumenterer jeres behandling af personoplysninger (en såkaldt fortegnelse).
- Få styr på, hvordan I vil opfylde de registreredes rettigheder.
- Skab overblik over, hvilke personoplysninger foreningen behandler.
- Få styr på oplysningspligten.
- Få styr på foreningens retlige grundlag for behandling af personoplysninger.
- Hvad skal vi oplyse vores medlemmer om, når vi indsamler oplysninger om dem?
Husk databehandleraftalen
Hvis man dog ønsker at benytte nogle af mange offentligt tilgængelig tjenester på nettet, så er der dog lige noget man skal være klar over…
Kan foreningen anvende cloud-tjenester til opbevaring af medlemsoplysninger?
Ja, man skal dog være opmærksom på en række forhold. Foreningen vil bl.a. skulle indgå en databehandleraftale med udbyderen og sikre sig, at der træffes de fornødne sikkerhedsforanstaltninger. Det er vigtigt, at foreningen i databehandleraftalen får fastlagt netop det niveau af kontrol
og mulighed for tilsyn, der er nødvendigt for behandlingen.
Foreningen skal også sikre sig, at der – i tilfælde af overførsel af oplysninger til såkaldte usikre tredjelande – kan findes et grundlag for overførsel af oplysninger efter reglerne herom i databeskyttelsesforordningen.
Hvordan finder vi ud af, om vi benytter databehandlere hos foreningen?
Foreningen skal for det første skabe klarhed over, hvor foreningens data er placeret. Hvis der er nogle personoplysninger, som befinder sig hos andre end foreningen, skal foreningen bl.a. vurdere, om der er tale om et databehandlerforhold.
Eksempler på typiske databehandlere hos foreninger:
- En aktør, der hoster en hjemmeside på vegne af foreningen, hvoraf der fremgår personoplysninger
- Lønadministrationsudbydere
- Holdadministrationsudbydere
- Bookingløsninger
- OneDrive
- Dropbox
- Google Drev
Hvem har ansvaret for, at der indgås en databehandleraftale?
Det har foreningen. Det er den dataansvarlige, som skal sikre sig, at der indgås en databehandleraftale, der lever op til forordningens krav, med en databehandler.
Hvis vi bruger et mailsystem hos en ekstern udbyder – eksempelvis Outlook og Gmail – skal der i så fald indgås en databehandleraftale med udbyderen
Ja. Microsoft og Google mv. vil være databehandlere, og der skal derfor indgås en databehandleraftale. Foreningen kan undersøge muligheden for at benytte en erhvervskonto eller lignende, der indeholder de fornødne aftalebestemmelser, som kræves efter databeskyttelsesforordningen.
Hvordan skal man forholde sig, hvis en databehandler selv bruger databehandlere?
Må en forening sende personoplysninger via e-mail?
Ja. Foreningen skal dog sikre sig, at transmissionen sker tilstrækkeligt sikkert. Datatilsynet har meldt ud, at tilsynet fra den 1. januar 2019 vil skærpe sin praksis i forhold til kryptering af e-mails.
Det betyder, at det normalt vil være en passende sikkerhedsforanstaltning at anvende kryptering, når man sender følsomme personoplysninger eller oplysninger med et særligt beskyttelsesbehov med e-mail via internettet.
Vi står klar til at hjælpe med at fastsætte og afdække jeres foreningens behov, uden at det skal koste en bondegård. Se mere under priser og tøv ikke med at tage fat i os – helst først som sidst.