Tjekliste: Har I husket den gode GDPR-hygiejne?

PERSONDATA: Når I hører ordet 'GDPR', tænker mange af jer muligvis: "Det har vi indført. Det er vi færdige med." Men at sikre persondatasikkerhed er et vedvarende arbejde, som skal vedligeholdes. Her får I to tjeklister, som I kan bruge til at sikre, at de gode GDPR-vaner bliver holdt ved lige i jeres forening.

Har I styr på GDPR?

Selvom I i jeres forening har implementeret de nye regler, er jeres GDPR-arbejde ikke færdigt.

Arbejdet med at beskytte jeres medlemmer, frivillige og medarbejderes persondata er nemlig ikke en engangsforestilling, men en manøvre, der kræver løbende opdateringer og vedligeholdelse.

“I løbet af et år kan en forening få nye eller ændre i eksisterende computersystemer, software eller abonnere på nye it-tjenester, der på en eller anden måde behandler personoplysninger. Derfor skal foreninger løbende gennemføre nye kortlægninger af, hvordan de behandler personoplysninger. Reglerne og den juridiske praksis ændrer sig også løbende, og det kan betyde, at man skal tilpasse sine GDPR-praksisser,” siger it-sikkerhedsekspert og formand for Rådet for Digital Sikkerhed Henning Mortensen.

Han minder foreninger om, at arbejdet med persondatasikkerhed derfor handler om at skabe gode GDPR-vaner, så foreningerne hele tiden holder deres GDPR-praksisser og politikker opdaterede.

For at lette det arbejde har Civilsamfundets Videnscenter i samarbejde med Henning Mortensen udarbejdet to tjeklister, der kan hjælpe jeres forening med at gøre status over, hvor langt I er kommet med jeres GDPR-arbejde og med at vedligeholde de gode GDPR-praksisser, I allerede har indført.

Her får I først en GDPR-tjekliste til startfasen. Tjeklisten kan hjælpe jer med at vurdere, hvor langt I er kommet i jeres grundlæggende arbejde med at overholde persondataforordningen. Derefter får I en GDPR-tjekliste, der kan hjælpe jer med at vurdere, hvor langt I er nået med vedligeholdelsen af jeres gode GDPR-praksisser.

Tjekliste 1: Er I kommet godt i gang med at overholde GDPR?

1. Har I kortlagt foreningens databehandlinger?
Det første afgørende trin i GDPR er at kortlægge foreningens databehandlinger. Det vil sige, at I skal danne jer overblik, analysere og dokumentere, om I bruger og behandler personoplysninger, hvordan og hvorfor I behandler disse oplysninger. I forbindelse med kortlægningen skal I vurdere, om behandlingerne er i overensstemmelse med lovgivningen.
Her er det vigtigt, at I udpeger en projektansvarlig for persondatasikkerhed, der har opbakning fra ledelsen.

2. Har I udpeget en dataansvarlig i foreningen?
I langt de fleste tilfælde vil jeres organisation være dataansvarlig. Databeskyttelsesforordningen beskriver en dataansvarlig som ”en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger”.

Hvis I lader andre behandle personoplysninger på jeres vegne, for eksempel medarbejderinformationer med henblik på lønkørsel eller medlemsregistrering, agerer de som databehandlere for jer. Ifølge databeskyttelsesforordningen er en databehandler en ”fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne”.

Det er vigtigt, at I er helt afklarede omkring, hvem der er dataansvarlig, og hvem der er databehandler, fordi kravene til dataansvarlige og databehandlere er forskellige. Det er den dataansvarlige, som har ansvaret for, at en behandling af personoplysninger lever op til reglerne i GDPR-forordningen – også selvom personoplysninger og personfølsomme oplysninger bliver behandlet af en ekstern databehandler. Det sikrer man ved at lave gode databehandleraftaler.

Læs mere om den dataansvarlige og databehandlerens ansvar i Datatilsynets Vejledning om dataansvarlige og databehandlere.

3. Har I udarbejdet en fortegnelse?
Det er et krav i GDPR-forordningen, at I udarbejder en fortegnelse over jeres databehandlinger. Formålet med en fortegnelse er at danne overblik over de behandlinger af personoplysninger, som I som dataansvarlig og/eller databehandler har i foreningen. Der er ingen formkrav til fortegnelsen andet end, at den skal være skriftlig og elektronisk.

Se, hvad kravene til fortegnelsens indhold er, i Datatilsynets Vejledning om fortegnelse.

4. Har I udarbejdet databehandleraftaler, hvis foreningen bruger andre til at håndtere data?
Hvis I har en samarbejdspartner eller leverandør, der behandler personoplysninger på jeres vegne, for eksempel lønkørsel, er det vigtigt, at I har en databehandleraftale. En databehandleraftale er en skriftlig aftale mellem to parter, der beskriver, hvordan samarbejdspartneren eller virksomheden, der behandler dataene, skal behandle dem.

Find standardskabeloner til databehandleraftaler på Datatilsynets hjemmeside her.

5. Har I indført kryptering af e-mail med personoplysninger?
Blandt de sikkerhedsprocedurer, der skal iværksættes, er det er et krav fra Datatilsynet, at virksomheder, organisationer og foreninger, der sender fortrolige og følsomme personoplysninger over mail, skal gøre det via krypterede e-mails. Det betyder, at I ikke må sende mails, der indeholder CPR-numre, uden at mailen er krypteret.

Læs mere om, hvordan I krypterer mails, som indeholder personoplysninger og/eller følsomme personoplysninger her.

6. Kender foreningens medarbejdere og frivillige til GDPR?
I skal sikre det fornødne vidensniveau om GDPR blandt alle relevante personer i foreningen. Alle medarbejdere og frivillige, der håndterer persondata i foreningen, bør kende til og forstå GDPR-reglerne.

7.Har I lavet en privatlivspolitik?
En privatlivspolitik forklarer besøgende på jeres hjemmeside, hvorfor og hvordan I behandler personoplysninger. Kommuniker tydeligt om, hvilke cookies I anvender. På cookiebot.com kan I gratis tjekke om jeres hjemmeside er GDPR-compliant – altså om hjemmesiden lever op til reglerne for persondatabeskyttelse. 

Tjekliste 2: Vedligeholder I jeres gode GDPR-praksisser?

Selvom I kan svare ja til alle syv spørgsmål i tjeklisten ovenfor, betyder det ikke, at jeres GDPR-arbejde er overstået. God databeskyttelse handler om at skabe og vedligeholde gode vaner. Her kommer en tjekliste til jeres fremadrettede GDPR-arbejde.

It-sikkerhedsekspert og formand for Rådet for Digital Sikkerhed Henning Mortensen forklarer, at man skal arbejde med gode GDPR-vaner på tre niveauer

1. Politikker og praksisser:
I skal have implementeret en række organisatoriske og tekniske politikker og praksisser, der sikrer, at I løbende lever op til GDPR-reglerne. Det gør I ved at:

  • Sætte tid og ressourcer af i organisationen til at vedligeholde og opdatere jeres GDPR-praksisser og systemer.

  • Udtænke og nedskrive GDPR-procedurer: I skal have en procedure for årlig kortlægning af foreningens databehandling, en procedure for sletning af data, som I ikke længere behandler eller ikke må behandle, samt en klageprocedure. Hvis en registreret person klager over jeres behandling af personoplysninger, skal I en have en fast procedure for, hvordan I behandler sådan en klage.

  • Udarbejde et kapitel om foreningens GDPR-politik i jeres medarbejder-/medlems-/frivillighåndbog, så alle i foreningen er bekendt med foreningens politikker og regler på området. Medarbejdere og frivillige skal være bekendt med, hvordan GDPR-reglerne relaterer til deres arbejde, og hvilken rolle de spiller i at sikre, at organisationen kan efterleve reglerne. For eksempel ved ikke at videresende mails til deres private e-mailkonto eller kopiere dokumenter, der kan indeholde personoplysninger til eksterne enheder.

2. Systemer:
I skal desuden implementere en række systemer, som sikrer, at jeres politikker og praksisser bliver overholdt. I skal:

  • Med jævne mellemrum opdatere jeres kortlægning af, hvilke personoplysninger I behandler, samt hvorfor og hvordan I behandler dem. Det kan være, at I ændrer måden at behandle personoplysninger på, eller at I begynder at indhente nye typer af personoplysninger – for eksempel kan en patientorganisation begynde at indhente personoplysninger om pårørende. Det kan også være, at I skifter it-systemer og derved ændrer den måde, I behandler personoplysninger på. Derfor skal I en gang imellem kortlægge jeres databehandling på ny.

  • Kortlægge og skabe overblik over, hvilke it-systemer og tjenester I benytter jer af. Bruger I disse systemer og tjenester til at behandle personoplysninger? Hvilken risiko for persondatasikkerhed kan der være forbundet med at bruge disse systemer og tjenester?

  • Indføre et system for, hvordan I sletter data og mails, som I ikke længere behandler eller ikke må behandle.

3. Kontrolmekanismer:
I skal løbende kontrollere, at jeres systemer virker, og at I handler i henhold til jeres politikker og praksisser. Det gør I ved at:

  • Kontrollere, at de regler, I har fastsat, faktisk følges i praksis. For eksempel kan I kontrollere, hvem der har adgang til personoplysninger. Er der for eksempel medarbejdere, der har skiftet stilling, men som stadig har adgang til data, som personen ikke længere burde have adgang til? Kun personer, der har til opgave at behandle de konkrete personoplysninger, bør have adgang til disse oplysninger.

  • Tjekke op på jeres databehandleraftaler: Har I udliciteret jeres it-services eller lønadministration til underleverandører, skal I sørge for at holde jeres databehandleraftaler opdaterede. I er ansvarlige for at databehandleraftalerne lever op til reglerne, og for at det, jeres medlemmer/frivillige/medarbejder har skrevet under på i samtykkeerklæringerne, bliver efterlevet.

  • Tjekke op på lovgivningen og eventuelle nye regler og opdateringer, som kan betyde, at I skal opdatere eller tilpasse jeres GDPR-politikker og praksisser.
Forrige artikel Gratis værktøjer hjælper jer med at teste, hvad I mangler for at overholde GDPR Gratis værktøjer hjælper jer med at teste, hvad I mangler for at overholde GDPR Næste artikel Overblik: Her er fordelene ved robotteknologi Overblik: Her er fordelene ved robotteknologi
Bikubenfonden: Driftsmidler er ikke længere et fyord

Bikubenfonden: Driftsmidler er ikke længere et fyord

For fire år siden satte Bikubenfonden en ny kurs. I bestræbelsen på at skabe varige forandringer for udsatte unge fordeler fonden i dag sine fondsmidler på færre projekter med længere levetid. Den nye strategi betyder, at samarbejdspartnernes udgifter til drift er noget, man taler åbent og ærligt om, siger chef for socialområdet, Sine Egede. 

Blockchain er ingen mirakelkur – her er hvorfor

Blockchain er ingen mirakelkur – her er hvorfor

HYPE: Blockchain belaster klimaet, skaber udfordringer i forhold til privatlivslovgivning og sikrer ikke nødvendigvis mod menneskeligt fusk. Trods hypen er teknologien endnu præget af meget usikkerhed, fordi den endnu er på et tidligt stadie. Altinget gennemgår en række svagheder, du skal være opmærksom på. 

Forstå blockchain på tre minutter

Forstå blockchain på tre minutter

GUIDE: Har du styr på Smart Contracts, krypterede blokke og distribuerede netværk? Hvis ikke, så læs med, og lad os føre dig ind i en verden af blockchains − en teknologi, der måske vil revolutionere civilsamfundet.

Sådan fremtryller Unicef velgørenhedsmidler ud af det blå

Sådan fremtryller Unicef velgørenhedsmidler ud af det blå

DIGITALT TRYLLERI: En platform, hvor man kan donere kryptovaluta til fattige børn helt gratis og en digital møntenhed, hvor værdien bestemmes af gode gerninger. Læs med om de største udfordringer, Unicef har løst med blockchain.

10 gode råd: Sådan taler du som NGO din sag over for magthavere

10 gode råd: Sådan taler du som NGO din sag over for magthavere

FORTALERVIRKSOMHED: Indtag ekspertrollen, udvis diplomatisk sans og tænk dig om, før du kontakter pressen. Sådan lyder nogle af de gode råd fra ærespræsident i Dansk Flygtningehjælp Andreas Kamm og public affairs- og kommunikationsrådgiver Benny Damsgaard. 

Fortalervirksomhed: Sådan forbereder du din indsats trin for trin

Fortalervirksomhed: Sådan forbereder du din indsats trin for trin

GUIDE: Som NGO kan man arbejde strategisk med at påvirke politiske processer, uanset om de magthavere, man vil bearbejde, befinder sig i et tredjeverdensland, på Christiansborg eller i en rådhussal i Vestjylland. Her tegner partner i Strategihouse.dk Morten Ronnenberg Møller de overordnede linjer, når en organisation skal tilrettelægge sin fortalervirksomhed.

Er de frivilliges engagement blevet mere episodisk og mindre stabilt? Vi er gået til forskningen for at finde svar

Er de frivilliges engagement blevet mere episodisk og mindre stabilt? Vi er gået til forskningen for at finde svar

FORSKNINGSFORMIDLING: Ifølge Center for Frivilligt Socialt Arbejde er andelen af faste frivillige faldet de seneste to år, mens den episodiske frivillighed er vokset. Hvis danskernes frivillige engagement er i forandring, kan det få store konsekvenser for foreningslivet. Vi har derfor fået to professorer til at se nærmere på, om der faktisk er en tendens. “Det er nemt at gå med den pessimistiske fortælling. Spørgsmålet er bare, om det er rigtigt, for der er en alternativ mulighed for fortolkning,” siger Lars Skov Henriksen. 

Gå på opdagelse i over 560 publikationer med civilsamfundsforskning

Gå på opdagelse i over 560 publikationer med civilsamfundsforskning

DIGITALT OPSLAGSVÆRK: Civilsamfundets Videnscenter er i gang med at opbygge et digitalt opslagsværk over nordisk civilsamfundsforskning. Nu er den danske del af opslagsværket klar til brug. Men vi har brug for dine input, så vi kan gøre opbygning, søgemaskine og så videre så brugbare som muligt.

Ti gode råd: Sådan engagerer du unge frivillige

Ti gode råd: Sådan engagerer du unge frivillige

GODE RÅD: Unge er kreative, får et væld af originale ideer, og der er kort fra tanke til handling. Med andre ord en kæmpe ressource for civilsamfundet. Men hvordan engagerer man bedst en flygtig ungdomsgeneration, hvor også uddannelse, sociale medier og venner kæmper om deres opmærksomhed? Her får du ti gode råd.

Projekthåndbog til unge kulturskabere: Sådan skaber du det gode projektteam

Projekthåndbog til unge kulturskabere: Sådan skaber du det gode projektteam

BOGGUDDRAG:"HACK DET!" er en projekthåndbog til unge kulturskabere, som beskriver, hvordan kulturprojekter bevæger sig fra A til Z. Bogen indeholder en række værktøjer til projektledelse, ideudvikling, organisering, markedsføring m.m. Her får du et uddrag fra bogen om, hvordan man skaber et godt projektteam.