Brancheorganisation kritiserer foreningers håndtering af persondata

OPRÅB: Mange foreninger gør for lidt for at undgå at bryde persondataloven, lyder opråbet fra Isobro. Brancheorganisationen advarer om risiko for shitstorms og millionbøder i kølvandet på nye EU-krav til sikkerheden

25. maj 2018 træder EU's persondataforordning i kraft i alle medlemslande. Det betyder, at alt fra statslige organer til små foreninger skal leve op til en lang række skærpede krav til behandling af persondata og dokumentation. De nye krav kommer sammen med bødestørrelser på op til 20 millioner Euro og muligheden for gigantiske sagsanlæg.

Hos Isobro har man siden 2012 fulgt processen om den nye forordning, der udmønter sig i en skærpet lovgivning om persondata. Foreningerne skal med de nye regler have et fuldstændigt overblik og kontrol over de persondata, der passerer gennem foreningen. Men den kontrol har hovedparten af foreningerne i Danmark ikke på nuværende tidspunkt, mener Isobro. Derfor sender brancheorganisationens sekretariatschef nu en kraftig opfordring til alle de foreninger, der i alt for lang tid har ignoreret både den gældende persondatalov og det forberedende arbejde til den nye EU-forordning.

Isobro: Mange har ikke styr på loven
"Jeg tror ikke, der er mange af vores medlemmer, som har fuldstændig styr på den gældende persondatalov. Det er ikke noget særsyn blandt foreninger. Men nu er det tid til at få fingrene ned i bolledejen og få styr på deres datastrømme, hvis de vil undgå shitstorms og gigantiske bøder,” siger Mette Grovermann, der er sekretariatschef i Isobro.

Hun fortæller, at Isobro løbende har informeret medlemmerne om den nye forordning og påpeget, hvis de var langt fra at overholde den gældende persondatalov. En lov der med EU´s nye krav bare bliver endnu skrappere, når forordningen træder i kraft 25. maj 2018.

Regeringen har netop i maj udsendt en betænkning, der danner grundlag for de lovforslag, der bliver sendt i høring til efteråret. Det vil med al sandsynlighed udmønte sig i en lang række skærpede krav til foreninger og organisationer til bedre behandling af data. Men med et foreningsdanmark, der har for lidt styr på den gældende persondatalov og de nye krav fra EU, sætter det foreningerne bagud. Mette Grovermann vil derfor have organisationerne i arbejdstøjet.

“Organisationerne har vidst i et halvt års tid, at de skulle få styr på datastrømmene. For nogle af dem må de starte med at sætte sig ind i, hvad persondata egentlig er, og om de har hjemmel til at behandle de data, de har,” siger Mette Grovermann.

Kan ende i en ødelæggende shitstorm
Opråbet fra brancheforeningen er tydeligt og skyldes ikke kun de forhøjede bødestørrelser, fortæller Mette Grovermann. Det skyldes i høj grad den tikkende bombe, som ligger under de foreninger, der ikke i en fart får styr på persondata. Befolkningens fokus på datasikkerhed er nemlig kraftigt stigende, og Isobro forudser, at bevidstheden hos borgerne overhaler foreningerne, og det kan ende i en ødelæggende shitstorm.

“Jeg tror på, at alle borgere bliver langt mere opmærksomme på deres rettigheder. Og den shitstorm, en hvilken som helst forening kan komme ud i, hvis de ikke har styr på persondata, er ødelæggende,” siger sekretariatschefen og tilføjer:

“Det er en langt større trussel end de store bøder, for det truer dem på deres eksistens. Det handler derfor om medlemmernes tillid og organisationernes troværdighed. De har ikke råd til at gamble med den troværdighed, så der ligger et stort stykke arbejde i ændringen af foreningens opmærksomhed på behandling af data.”

Også de store halter bagefter
Den samme melding kommer fra Nis Peter Dall, der er partner i advokatfirmaet Bird and Bird. Her rådgiver han virksomheder og organisationer på persondataområdet, og han udgav sidste år en bog om netop persondataforordningen.

I sit arbejde møder han ofte både store og små organisationer, der har massive huller i deres datasikkerhed.

“Der er rigtig mange, både virksomheder og organisationer, som ikke er klar over, hvad persondatabehandling vil sige. De starter helt fra bunden, og så er der lang vej op til de nye standarder i forordningen,” siger Nis Peter Dall og tilføjer.

“Vi ser et bredt billede. Det er både store og små organisationer, som ikke har styr på gældende lovgivning.”

Han opfordrer derfor kraftigt til, at både små og store organisationer får styr på både den gældende lov, men at de også får åbnet forordningen og set på de nye krav, der med sikkerhed vil komme.

“At implementere de nye krav fra EU bliver helt klart lettere, hvis man lever op til den nuværende persondatalov. Så der er meget, man som organisation eller forening kan gøre allerede i dag,” siger advokaten.

Nis Peter Dall deler Mette Grovermanns holdning til vigtigheden og væsentligheden i den nye forordning. Både for at sikre den enkelte borgers rettigheder, men også for at sikre de små organisationers fortsatte eksistens. Han mener derfor ikke, at bødestørrelsernes forhøjelse er helt uvæsentlige.

“Selvom det jo næppe vil være den lille forening, der får bøder i millionklassen, så skal det ikke glemmes, at sanktionerne får et stort ryk opad. Det kan blive meget dyrt ikke at have styr på persondata,” understreger Nis Peter Dall.

Det er ikke umuligt
En hurtig google-søgning på ordet persondatafordning genererer en lang række links til advokatfirmaer, der reklamerer for undervisning og konsulentbistand. Men hverken Mette Grovermann eller Nis Peter Dall ønsker, at deres dundertaler opfattes som et forsøg på at kapre kunder. De mener tværtimod, at man som lille organisation kan gøre rigtig meget selv for at leve op til de skærpede krav. Og når man så er gennem de indledende øvelser, kan man altid søge rådgivning til den del af arbejdet, der er for besværligt.

Mette Grovermann trækker vejret dybt, da hun bliver spurgt til, om nogen af hendes medlemmer kommer til at dreje nøglen om, fordi de ikke magter at sætte sig ind i de nye krav.

“Lovgivningen er kompliceret og svær, men det er ikke umuligt. Vores medlemmer afleverer årsregnskab, de indsender blanketter til skat, og de søger om momskompensation og tipsmidler. Alt sammen noget der kører hvert år, og den her forordning skal bare ind i den procedure,” siger Mette Grovermann og tilføjer.

“Foreningerne skal glæde sig over alle de år, der er gået godt, selv om de ikke havde styr på persondataloven. Men nu skal de se at få så styr på den data en gang for alle,” siger Mette Grovermann.  

Der er ingen genveje her
Hun mener samtidig, at foreningerne kan lære meget af hinanden og dermed komme igennem den store omvæltning, det vil være for mange organisationer.

“Men de kommer ikke udenom at gøre arbejdet selv. De kan ikke sidde i et netværk og tro, at de kan finde fælles løsninger, der gør, at de ikke skal hjem og sætte sig grundigt ind i forordningen. Der er ingen genveje her. De kan lære af hinandens databehandleraftaler og så videre, men alle skal igennem øvelsen,” understreger sekretariatschefen.

Nis Peter Dall anbefaler, at organisationerne begynder med at lave en kortlægning af alle organisationens personoplysninger. Det gælder om at sikre sig, at man ved, hvor oplysningerne kommer fra, og hvor de lander i organisationen. Der skal kortlægges et dataflow, og så skal de sikre sig, at de ved, hvem der kan tilgå den data. Det er en benhård klassificering, der skal til, og det skal der afsættes ressourcer til, pointerer advokaten.

Forbrugerne er sårbare
Udover truslen om astronomiske bødestørrelser og risikoen for at lande i en shitstorm, er der også hensynet til den enkelte forbruger, fortæller Anette Høyrup, der er seniorjurist i Forbrugerrådet. Hun har et indgående kendskab til både den nye forordning og den danske lovgivning på området, og hun forstår godt, at de mindre foreninger har svært ved at omstille sig til den nye digitale virkelighed. Men det er bare en nødvendighed, pointerer hun. For muligheden for misbrug af personlige oplysninger vejer tungere end hensynet til den enkelte forenings bekvemmelighed.

“Forbrugerne bliver sårbare, når der ligger så meget data rundt omkring i foreningerne. Jo mere data der indsamles, jo mere sårbar er forbrugerne, hvis der sker databrud eller kommerciel udnyttelse. Så helt overordnet er det vigtigt, at man har styr på sine data for ikke at udsætte forbrugerne for misbrug,” siger Anette Høyrup.

Hun ser derfor frem til, at den nye forordning træder i kraft, så forbrugerne er bedre stillet. Og hun opfordrer derfor alle foreninger og organisationer til at få påbegyndt det arbejde, der ligger foran dem med at sikre og dokumentere dataflowet.

“Det første, foreningerne kan gøre, er jo at få ryddet op. Slet de data, som de ikke har brug for, og få så styr på, hvem der indsamler hvad og til hvilket formål. Derefter kan de koncentrere sig om nyskabelserne i loven. Forbrugerne skal være trygge og have gavn af digitaliseringen. Vi lever i en hel anden digital hverdag, som også de små organisationer må indordne sig i,” siger seniorjuristen.

Sømænd og sygeplejersker
Mette Grovermann fra Isobro deler den holdning. Men hun ser en udfordring hos sine mindre medlemsorganisationer. De skal nemlig i gang med at finde en person, som vil påtage sig at sætte sig grundigt ind i forordningen og få styr på alle organisationens datastrømme. Og det kan virke som en uoverkommelig opgave for en lille forening, der mest af alt er til for fællesskabet og det nære.

“Er man sømand eller sygeplejerske og samtidig frivillig ved børnegudstjenesterne i en lille kirke, så ser man ikke nødvendigvis på datasikkerhed med brændende interesse. Så det er op ad bakke for de mindre foreninger. Men jeg kan ikke sige det klart nok. De skal se at få fingrene ned i den bolledej, for vi skal alle overholde loven. Sådan er det bare,” understreger Mette Grovermann.

Du kan læse mere om, hvordan din organisation kommer godt i gang med forberedelserne, så I er klar, her.

Forrige artikel Her kommer de gode sager på auktion Her kommer de gode sager på auktion Næste artikel Altinget udnævner ny redaktionschef Altinget udnævner ny redaktionschef
  • Anmeld

    andelshaver · beboer i AB Ryparken

    andelshaver i København

    På trods af at en beboer har en beskyttet/ hemmelig adresse samt beskyttet/hemmeligt navn, så gør andelsboligforeninger i København dét at de på internettet offentliggør beboerens fulde navn samt hvor vedkommende bor.
    Det sker via offentliggørelsen af spørgsmål fra generalforsamlinger og referater, selv om en beboer sagtens kunne præsenteres med f.ex "blok nr eller foreningens bolig nummer" og ikke det fulde navn.
    De små sure vil åbenbart have at enhver beboer der stiller et kritisk spørgsmål på generalforsamling, skal kunne udskammes offentligt som om vedkommende er den eneste der nærmest er dum bare fordi et spørgsmål stilles, og derfor offentliggør foreningerne på internettet til hele verden beboernes fulde hemmelige navn samt hvor vedkommende bor. Det ligner nærmest en slags forfølgelse.
    Ved ikke om det er kun under Sven Westergaards Ejendomsadministration at det problem opstår, eller om det er også de andre andelsboligforeninger der offentliggør til hele internettet med navns nævnelse ifm spørgsmål fra generalforsamlinger, ved at skrive beboerens fulde navn og gadenavn... Nogle journalister bør grave og skrive mere om det og oplyse befolkningen.
    Samtidigt er der en stor usikkerhed vedr hvilke oplysninger ejendomsadministration videregiver til foreningens formand og bestyrelser, fordi det er egentligt ikke i andelshaverens interesse at formand som er en nabo samt bestyrelser skal vide alt om alt.
    Sladder og "Stasi journaler" er ikke gode at have i andelsboligforeninger.
    Alene et medlemskab af en forening kan aldrig betinge at personfølsomme og private oplysninger skal videregives til nogen anden som medlemmet selv ikke har henvendt sig til eller ikke ønsker at blive videregivet til, og slet ikke til hele verden via internettet. Folk må da lære at først stille et spørgsmål om det er i orden at nogle oplysninger bliver videregivet og til hvem, og hvis det spørgsmål ikke stilles så må man på en måde indføre en slags straf til vedkommende. Ellers må man på forhånd gøre det tydeligt for alle der vil møde op til en forsamling, at de skal være vidende om at deres fulde navn bliver videregivet til hele verden og til uvedkommende- hvis de bare møder op til en forsamling.

  • Anmeld

    klient i Københavns Retshjælp · fattig

    klient

    Københavns Retshjælp videregiver personfølsomme oplysninger samt de hemmeligt beskyttede fulde navne til anden privatperson som bliver en modpart til den tidligere klient. Det gør Retshjælpen ved at søge i EDB systemet og udfra adressen og efternavn finde frem til de gamle sager som modparter tidligere fik hjælp med i Retshjælpen, hvorefter så det fulde beskyttede/hemmelige navn bliver oplyst og videregivet til den næste nye klient som vil starte en sag mod den gamle klient.
    Problematikken opstår i sager hvor begge parter er egentligt registreret i Retshjælpen, og hvor Københavns Retshjælp ikke ønsker at bruge det kontaktnavn som der står oplyst på evt aftaler to parter imellem. På den måde kan den nye Retshjælpens klient som bliver registreret i Retshjælpen, egentligt får fat i anden gamle klients personfølsomme oplysninger og evt misbruge personfølsomme oplysninger langt senere henne, evt ved at registrere et firma i udlandet i modpartens navn takket være forfalskning af underskrift og bankkonto oplysninger fra den gamle aftale i Danmark.

    At der er jura professorer og advokater og måske evt også dommere der sidder som Bestyrelse for Københavns Retshjælp, gør nok det hele endnu værre og endnu mere bekymrende. Samtidigt har Retshjælpens bestyrelse gjort det at koble sig på en internet server hvor der er et firma der "gratis" overvåger oplysninger som registreres i Københavns Retshjælp.

    Der er en kæmpe problematik vedr de personfølsomme oplysninger, når tilskud til retshjælp koncentreres på kun 1 "gratis" kontor i byen men for alle modparter, hvorfor også de andre advokater heller ikke ønsker at hjælpe til de mindrebemidlede for små penge. Det resulterer at alle henvender sig på kun et kontor i København, også de ressourcestærke som i morgen bliver nogens højtlønnede chefer efter en afsluttet uddannelse.

  • Anmeld

    borger

    CPR udleverer oplysninger også til dem der IKKE ER ET FAMILIEMEDLEM???

    Gad godt vide om nogen ansvarlige har taget stilling til at Københavns Folkeregister udleverer borgernes private adresser og beskyttede/hemmelige navne til hvem som helst der bare betaler 75 kr for de oplysninger?

    Nogen ansvarlige journalister der vil undersøge dét?

    https://www.cpr.dk/borgere/kommunens-udlevering-af-oplysninger-fra-cpr-om-andre-borgere/