Persondataforordning: Glem bøderne og juraen for en stund
KLUMME: Medlemsorganisationerne burde ikke frygte GDPR-bøderne fra EU. De burde i stedet frygte medlemmernes reaktion, hvis det kom frem, at de ikke behandler medlemmernes personoplysninger forsvarligt, skriver Thorleif Rytz Gotved fra GotveDPR.
Af Thorleif Rytz Gotved
Chefkonsulent i GotveDPR
Et rungende suk. Det er en typisk reaktion, når jeg har talt med direktører, sekretariatschefer og andre administrationsansvarlige i medlemsorganisationer om databeskyttelses-forordningen (GDPR).
Et frustreret suk over at skulle forholde sig til en kompleks lovgivning og den mængde dokumentation, som forordningen i nogle tilfælde stiller krav om. Hvor skal man starte?
Og, nok så vigtigt, udsigten til måske at skulle investere endnu flere penge i de eksisterende it-systemer.
Har du også suk-hatten på?
Så bliv forhåbentlig inspireret til, hvordan du kan anskue databeskyttelses-forordningen på en mere positiv måde.
Glem alt om bøder
Har du bare været i nærheden af et gratis-seminar om GDPR, så har du nok ikke kunnet undgå at se de store neonskilte, som generøst har oplyst om de meget store bøder, din organisation risikerer at få, hvis I fejler i GDPR-disciplinen.
Og det er da heller ikke helt forkert, at en af nyskabelserne med den nye databeskyttelsesforordning kan gøre ondt i regnskabet.
Men det ærgrer mig, at en stor del af GDPR-industrien pisker en stemning op med fokus på en potentiel bøderegn. For tanken med databeskyttelsesforordningen er jo ikke at skabe en ny finansieringsmodel for EU.
Formålet med forordningen er noget helt andet, og det er at få organisationer til at tage ansvar for den måde, persondata behandles på. Og det er ikke kun i borgernes interesse – det kan faktisk også gøre en fordel for den enkelte organisation.
For tidens gangbare valuta er ikke kun kroner og ører. Det er i nok så høj grad troværdighed. Og for at sikre troværdighed, så er det vigtigt at behandle sine medlemmers persondata ordentligt. For husk, de er kun til låns.
Når du personligt udleverer dine persondata til en medlemsorganisation, vil du så ikke forvente, at de passer godt på dem? Det er desværre bare langt fra en selvfølge i dag.
Men med databeskyttelsesforordningen kommer der langt mere fokus på området. Så det er måske slet ikke bøderne, et sekretariat skal tænke mest på – det er medlemmernes reaktion, hvis de opdager, at I ikke gør jer umage med at passe på deres data. Det kan gøre gevaldig ondt på troværdighedsregnskabet. Spørg bare de medlemsorganisationer, som har fået ørene i maskinen. Ingen nævnt, ingen glemt.
På den baggrund bør tilgangen til GDPR-arbejdet ikke være akkompagneret til lyden af bøde-piskesmæld, men fordi I faktisk har lyst og føler ansvar for at opføre jer ordentlig overfor jeres medlemmer og samarbejdspartnere.
Og så er det i øvrigt en super anledning til en generel forårsrengøring i databaser og ringbind, som kan sikre mere overskuelighed og besparelser i hosting af data.
Jura gør det ikke alene
Udover bøder, så er jura og it de to associationer, som de fleste får, når talen falder på databeskyttelsesforordningen.
Det er da også netop advokater og it-leverandører, som slikker sig om munden og har jubi-hatten på i forhold til databeskyttelsesforordningen.
Forleden talte jeg med en ansat i en lille forening med under 1.000 medlemmer. De havde fået en advokat til at udarbejde en lang rapport til dem vedrørende GDPR. Den indeholdt en masse juridiske betragtninger, som sikkert var af høj juridisk kvalitet, der sikkert kunne retfærdiggøre en timepris på 3.000 kroner eks. moms.
Men problemet var, at rapporten slet ikke var anvendelig i foreningens centrale udfordring med at sikre compliance i forhold til GDPR: Hvad skulle de helt konkret gøre for at komme i gang – og i mål?
Et forandringsprojekt
Man kan naturligvis ikke komme uden om en omgang paragrafrytteri i arbejdet med at sikre overholdelse af forordningen.
Men GDPR er meget mere end juridiske vurderinger – særligt hos medlemsorganisationer. For her gælder nogle særlige udfordringer. På den ene side vil man jo gerne give de aktive medlemmer mulighed for at boltre sig ved at lave lokale aktiviteter. Og det forudsætter som regel adgang til medlemsdata.
Omvendt så lægger forordningen op til, at der kommer langt mere styr på persondataoplysningerne. Og det kan være svært, når persondatabehandlingen langt hen ad vejen håndteres af gode amatører, der ofte ikke gider bureaukrati og formaninger.
Derfor er det særligt vigtigt, at medlemsorganisationer bruger ressourcerne på kommunikation og arbejder aktivt med adfærdsændringer blandt de aktive medlemmer, der ofte vil være det svageste led i en GDPR-sammenhæng. Det kan eventuelt gøres ved at stille nogle redskaber, som kan gøre hverdagen nemmere, til rådighed for dem.
For GDPR-arbejdet er ikke afsluttet, når bunken af fortegnelses-dokumenter og lignende 25. maj er blevet højere end skrivebordet. Det er kun lige begyndt.
God mulighed for hovedrengøring
Hvis I som organisation er i fuld gang med, eller skal til at forholde jer til den ny forordning, så lad ikke bødefrygten styre jer.
Se i stedet muligheder for at rydde op og praktisere ordentlighed overfor jeres medlemmer.
Og husk, at hele opgaven med at komme i mål med databeskyttelsesforordningen er et samspil mellem jura, it og vigtigst af alt: den organisatoriske virkelighed, I befinder jer i.
God fornøjelse med det fortsatte GDPR-arbejde. Også efter 25. maj.
Thorleif Rytz Gotveds 4 råd til GDPR-arbejdet i medlemsorganisationerne
Sælg budskabet rigtigt
”På grund af den nye dataforordning fra EU skal du som aktivt medlem fremover behandle medlemsdata på en bestemt måde. Ellers risikerer vi store bøder.”
Hvis det er kommunikation a la dette, som du serverer for foreningens aktive medlemmer i forbindelse med GDPR, så overvej en ny strategi. For det er sjældent udsigten til administrative procedurer, som tænder og motiverer aktive medlemmer.
Overvej derfor en anden kommunikationstilgang, hvis den vel at mærke kommer fra hjertet. Det kunne for eksempel være noget i retning af dette: ”Når vi i xxx modtager personoplysninger fra medlemmerne, for eksempel dig, så er det information, vi kun har til låns. Derfor er det meget vigtigt, at vi passer godt på disse oplysninger. Beskyttelse af persondata er en menneskeret, som er blevet særlig aktualiseret i en mere digital tidsalder, hvor risikoen for misbrug af persondata er stigende. For at leve op til vores ansvar er det afgørende, at du som aktiv er opmærksom på xxx og xxx, når du håndterer medlemsoplysninger.”
Mere it
For at sikre, at medlemsdata ikke svømmer rundt blandt de aktive medlemmer, så er det ofte nødvendigt at indføre forskellige nedskrevne procedurer. Det er ikke altid lige populært – og det er langt fra sikkert, at procedurerne rent faktisk bliver læst eller husket på den lange bane af de aktive medlemmer.
Overvej derfor, om det er muligt at introducere relevante it-værktøjer. For eksempel at aktive udstyres med deres egen foreningsemailadresse; adgang til systemer, der på GDPR-venlig måde kan udsende e-mails fremfor at benytte eksempelvis outlook; mulighed for at aktive medlemmer kan trække relevante medlemslister og restancelister fra en fildelingstjeneste, eventuelt fra foreningens eget medlemssystem, hvis muligt osv.
It er ikke tryllestøv, som klarer alle problemer. For det første kan der i nogle medlemssegmenter være modstand overfor nye teknologier. Derudover er nye it-tiltag også forbundet med udgifter.
Omvendt så kan investering af it til de aktive medlemmer fremstå som en service, som gerne skulle give nemmere adgang til medlemsdata – og dermed give bedre mulighed for det værdiskabende foreningsarbejde.
GDPR for superbrugerere
Når et it-system rulles ud i en organisation, så involverer det ofte uddannelse af et antal superbrugere, som formodes at have lidt mere tjek på det nye og derfor kan hjælpe andre i organisationen.
Afhængig af mængden af persondata og hvor personfølsomme data der er tale om, kan man overveje at oprette et superbrugerkorps bestående af lokale, aktive medlemmer, som har interesse for eller ønske om at blive skarpere på databeskyttelse. Der kan i den forbindelse tilbydes kurser, særlige nyhedsbreve med nyt om GDPR i foreningssammenhæng, og andre tiltag, som kan højne deres GDPR-vidensniveau. Dermed er der flere øjne og ører til at sikre, at persondata håndteres hensigtsmæssigt i det lokale arbejde.
Fokuser på det vigtigste først
Hvis det er til nogen trøst, så findes der næppe den organisation – måske med undtagelse af enkeltmandsvirksomheder – der kan garantere 100 procent overholdelse af databeskyttelsesforordningen. På samme måde som der næppe heller findes den bilist i Danmark, som altid kører maks. 50 km/t i byzoner, aldrig blinker fra i god tid inden et højresving, og som altid har begge hænder på rattet.
Stress derfor ikke unødigt, hvis alt ikke spiller pr. 25. maj i forhold til databeskyttelsesforordningen. Men fokuser på de persondata, som er særlig vigtige, eksempelvis følsomme oplysninger eller andre personoplysninger, som er særlige vigtige at beskytte.
'%3e%3cpath%20d='M174.5%205.49985C138.877%20-19.5379%20106.875%2013.5814%2091.8511%2029.6115C65.0748%2058.1778%2099.1498%2080.3465%20117.152%2037.3094C135.153%20-5.72759%2022.8866%200.0578454%2015.1662%2097.217'%20stroke='%23EA1718'%20stroke-width='3'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M3.65346%2080.8587L15.109%2097.3301L29.6131%2086.6665'%20stroke='%23EA1718'%20stroke-width='3'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_627_569'%3e%3crect%20width='163.796'%20height='107.816'%20fill='white'%20transform='matrix(-0.999973%20-0.00733143%20-0.00733143%200.999973%20164.582%201.24609)'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
