Brancheorganisation kritiserer foreningers håndtering af persondata

OPRÅB: Mange foreninger gør for lidt for at undgå at bryde persondataloven, lyder opråbet fra Isobro. Brancheorganisationen advarer om risiko for shitstorms og millionbøder i kølvandet på nye EU-krav til sikkerheden

Ny persondataforordning fra EU presser danske foreninger til at gennemgå deres politik på området.
Ny persondataforordning fra EU presser danske foreninger til at gennemgå deres politik på området.Foto: Scanpix/Susanne Lindholm
Claus Nordahl

25. maj 2018 træder EU's persondataforordning i kraft i alle medlemslande. Det betyder, at alt fra statslige organer til små foreninger skal leve op til en lang række skærpede krav til behandling af persondata og dokumentation. De nye krav kommer sammen med bødestørrelser på op til 20 millioner Euro og muligheden for gigantiske sagsanlæg.

Hos Isobro har man siden 2012 fulgt processen om den nye forordning, der udmønter sig i en skærpet lovgivning om persondata. Foreningerne skal med de nye regler have et fuldstændigt overblik og kontrol over de persondata, der passerer gennem foreningen. Men den kontrol har hovedparten af foreningerne i Danmark ikke på nuværende tidspunkt, mener Isobro. Derfor sender brancheorganisationens sekretariatschef nu en kraftig opfordring til alle de foreninger, der i alt for lang tid har ignoreret både den gældende persondatalov og det forberedende arbejde til den nye EU-forordning.

Isobro: Mange har ikke styr på loven
"Jeg tror ikke, der er mange af vores medlemmer, som har fuldstændig styr på den gældende persondatalov. Det er ikke noget særsyn blandt foreninger. Men nu er det tid til at få fingrene ned i bolledejen og få styr på deres datastrømme, hvis de vil undgå shitstorms og gigantiske bøder,” siger Mette Grovermann, der er sekretariatschef i Isobro.

Hun fortæller, at Isobro løbende har informeret medlemmerne om den nye forordning og påpeget, hvis de var langt fra at overholde den gældende persondatalov. En lov der med EU´s nye krav bare bliver endnu skrappere, når forordningen træder i kraft 25. maj 2018.

Regeringen har netop i maj udsendt en betænkning, der danner grundlag for de lovforslag, der bliver sendt i høring til efteråret. Det vil med al sandsynlighed udmønte sig i en lang række skærpede krav til foreninger og organisationer til bedre behandling af data. Men med et foreningsdanmark, der har for lidt styr på den gældende persondatalov og de nye krav fra EU, sætter det foreningerne bagud. Mette Grovermann vil derfor have organisationerne i arbejdstøjet.

“Organisationerne har vidst i et halvt års tid, at de skulle få styr på datastrømmene. For nogle af dem må de starte med at sætte sig ind i, hvad persondata egentlig er, og om de har hjemmel til at behandle de data, de har,” siger Mette Grovermann.

Kan ende i en ødelæggende shitstorm
Opråbet fra brancheforeningen er tydeligt og skyldes ikke kun de forhøjede bødestørrelser, fortæller Mette Grovermann. Det skyldes i høj grad den tikkende bombe, som ligger under de foreninger, der ikke i en fart får styr på persondata. Befolkningens fokus på datasikkerhed er nemlig kraftigt stigende, og Isobro forudser, at bevidstheden hos borgerne overhaler foreningerne, og det kan ende i en ødelæggende shitstorm.

“Jeg tror på, at alle borgere bliver langt mere opmærksomme på deres rettigheder. Og den shitstorm, en hvilken som helst forening kan komme ud i, hvis de ikke har styr på persondata, er ødelæggende,” siger sekretariatschefen og tilføjer:

“Det er en langt større trussel end de store bøder, for det truer dem på deres eksistens. Det handler derfor om medlemmernes tillid og organisationernes troværdighed. De har ikke råd til at gamble med den troværdighed, så der ligger et stort stykke arbejde i ændringen af foreningens opmærksomhed på behandling af data.”

Også de store halter bagefter
Den samme melding kommer fra Nis Peter Dall, der er partner i advokatfirmaet Bird and Bird. Her rådgiver han virksomheder og organisationer på persondataområdet, og han udgav sidste år en bog om netop persondataforordningen.

I sit arbejde møder han ofte både store og små organisationer, der har massive huller i deres datasikkerhed.

“Der er rigtig mange, både virksomheder og organisationer, som ikke er klar over, hvad persondatabehandling vil sige. De starter helt fra bunden, og så er der lang vej op til de nye standarder i forordningen,” siger Nis Peter Dall og tilføjer.

“Vi ser et bredt billede. Det er både store og små organisationer, som ikke har styr på gældende lovgivning.”

Han opfordrer derfor kraftigt til, at både små og store organisationer får styr på både den gældende lov, men at de også får åbnet forordningen og set på de nye krav, der med sikkerhed vil komme.

“At implementere de nye krav fra EU bliver helt klart lettere, hvis man lever op til den nuværende persondatalov. Så der er meget, man som organisation eller forening kan gøre allerede i dag,” siger advokaten.

Nis Peter Dall deler Mette Grovermanns holdning til vigtigheden og væsentligheden i den nye forordning. Både for at sikre den enkelte borgers rettigheder, men også for at sikre de små organisationers fortsatte eksistens. Han mener derfor ikke, at bødestørrelsernes forhøjelse er helt uvæsentlige.

“Selvom det jo næppe vil være den lille forening, der får bøder i millionklassen, så skal det ikke glemmes, at sanktionerne får et stort ryk opad. Det kan blive meget dyrt ikke at have styr på persondata,” understreger Nis Peter Dall.

Det er ikke umuligt
En hurtig google-søgning på ordet persondatafordning genererer en lang række links til advokatfirmaer, der reklamerer for undervisning og konsulentbistand. Men hverken Mette Grovermann eller Nis Peter Dall ønsker, at deres dundertaler opfattes som et forsøg på at kapre kunder. De mener tværtimod, at man som lille organisation kan gøre rigtig meget selv for at leve op til de skærpede krav. Og når man så er gennem de indledende øvelser, kan man altid søge rådgivning til den del af arbejdet, der er for besværligt.

Mette Grovermann trækker vejret dybt, da hun bliver spurgt til, om nogen af hendes medlemmer kommer til at dreje nøglen om, fordi de ikke magter at sætte sig ind i de nye krav.

“Lovgivningen er kompliceret og svær, men det er ikke umuligt. Vores medlemmer afleverer årsregnskab, de indsender blanketter til skat, og de søger om momskompensation og tipsmidler. Alt sammen noget der kører hvert år, og den her forordning skal bare ind i den procedure,” siger Mette Grovermann og tilføjer.

“Foreningerne skal glæde sig over alle de år, der er gået godt, selv om de ikke havde styr på persondataloven. Men nu skal de se at få så styr på den data en gang for alle,” siger Mette Grovermann.  

Der er ingen genveje her
Hun mener samtidig, at foreningerne kan lære meget af hinanden og dermed komme igennem den store omvæltning, det vil være for mange organisationer.

“Men de kommer ikke udenom at gøre arbejdet selv. De kan ikke sidde i et netværk og tro, at de kan finde fælles løsninger, der gør, at de ikke skal hjem og sætte sig grundigt ind i forordningen. Der er ingen genveje her. De kan lære af hinandens databehandleraftaler og så videre, men alle skal igennem øvelsen,” understreger sekretariatschefen.

Nis Peter Dall anbefaler, at organisationerne begynder med at lave en kortlægning af alle organisationens personoplysninger. Det gælder om at sikre sig, at man ved, hvor oplysningerne kommer fra, og hvor de lander i organisationen. Der skal kortlægges et dataflow, og så skal de sikre sig, at de ved, hvem der kan tilgå den data. Det er en benhård klassificering, der skal til, og det skal der afsættes ressourcer til, pointerer advokaten.

Forbrugerne er sårbare
Udover truslen om astronomiske bødestørrelser og risikoen for at lande i en shitstorm, er der også hensynet til den enkelte forbruger, fortæller Anette Høyrup, der er seniorjurist i Forbrugerrådet. Hun har et indgående kendskab til både den nye forordning og den danske lovgivning på området, og hun forstår godt, at de mindre foreninger har svært ved at omstille sig til den nye digitale virkelighed. Men det er bare en nødvendighed, pointerer hun. For muligheden for misbrug af personlige oplysninger vejer tungere end hensynet til den enkelte forenings bekvemmelighed.

“Forbrugerne bliver sårbare, når der ligger så meget data rundt omkring i foreningerne. Jo mere data der indsamles, jo mere sårbar er forbrugerne, hvis der sker databrud eller kommerciel udnyttelse. Så helt overordnet er det vigtigt, at man har styr på sine data for ikke at udsætte forbrugerne for misbrug,” siger Anette Høyrup.

Hun ser derfor frem til, at den nye forordning træder i kraft, så forbrugerne er bedre stillet. Og hun opfordrer derfor alle foreninger og organisationer til at få påbegyndt det arbejde, der ligger foran dem med at sikre og dokumentere dataflowet.

“Det første, foreningerne kan gøre, er jo at få ryddet op. Slet de data, som de ikke har brug for, og få så styr på, hvem der indsamler hvad og til hvilket formål. Derefter kan de koncentrere sig om nyskabelserne i loven. Forbrugerne skal være trygge og have gavn af digitaliseringen. Vi lever i en hel anden digital hverdag, som også de små organisationer må indordne sig i,” siger seniorjuristen.

Sømænd og sygeplejersker
Mette Grovermann fra Isobro deler den holdning. Men hun ser en udfordring hos sine mindre medlemsorganisationer. De skal nemlig i gang med at finde en person, som vil påtage sig at sætte sig grundigt ind i forordningen og få styr på alle organisationens datastrømme. Og det kan virke som en uoverkommelig opgave for en lille forening, der mest af alt er til for fællesskabet og det nære.

“Er man sømand eller sygeplejerske og samtidig frivillig ved børnegudstjenesterne i en lille kirke, så ser man ikke nødvendigvis på datasikkerhed med brændende interesse. Så det er op ad bakke for de mindre foreninger. Men jeg kan ikke sige det klart nok. De skal se at få fingrene ned i den bolledej, for vi skal alle overholde loven. Sådan er det bare,” understreger Mette Grovermann.

Du kan læse mere om, hvordan din organisation kommer godt i gang med forberedelserne, så I er klar, her.

Politik har aldrig været vigtigere

Få GRATIS nyheder fra Danmarks største politiske redaktion

Omtalte personer

Mette Grovermann

Personlig Assistent for Søren Ravn Jensen, Julemærkefonden
markedsføringøkonomi (Niels Brock), ba. in business administration (De Montford University, Storbritannien), master i tværmedial kommunikation (Københavns Uni.)

0:000:00