Har I styr på GDPR?

Selvom I i jeres forening har implementeret de nye regler, er jeres GDPR-arbejde ikke færdigt.

Arbejdet med at beskytte jeres medlemmer, frivillige og medarbejderes persondata er nemlig ikke en engangsforestilling, men en manøvre, der kræver løbende opdateringer og vedligeholdelse.

“I løbet af et år kan en forening få nye eller ændre i eksisterende computersystemer, software eller abonnere på nye it-tjenester, der på en eller anden måde behandler personoplysninger. Derfor skal foreninger løbende gennemføre nye kortlægninger af, hvordan de behandler personoplysninger. Reglerne og den juridiske praksis ændrer sig også løbende, og det kan betyde, at man skal tilpasse sine GDPR-praksisser,” siger it-sikkerhedsekspert og formand for Rådet for Digital Sikkerhed Henning Mortensen.

Han minder foreninger om, at arbejdet med persondatasikkerhed derfor handler om at skabe gode GDPR-vaner, så foreningerne hele tiden holder deres GDPR-praksisser og politikker opdaterede.

For at lette det arbejde har Civilsamfundets Videnscenter i samarbejde med Henning Mortensen udarbejdet to tjeklister, der kan hjælpe jeres forening med at gøre status over, hvor langt I er kommet med jeres GDPR-arbejde og med at vedligeholde de gode GDPR-praksisser, I allerede har indført.

Her får I først en GDPR-tjekliste til startfasen. Tjeklisten kan hjælpe jer med at vurdere, hvor langt I er kommet i jeres grundlæggende arbejde med at overholde persondataforordningen. Derefter får I en GDPR-tjekliste, der kan hjælpe jer med at vurdere, hvor langt I er nået med vedligeholdelsen af jeres gode GDPR-praksisser.

Tjekliste 1: Er I kommet godt i gang med at overholde GDPR?

1. Har I kortlagt foreningens databehandlinger?
Det første afgørende trin i GDPR er at kortlægge foreningens databehandlinger. Det vil sige, at I skal danne jer overblik, analysere og dokumentere, om I bruger og behandler personoplysninger, hvordan og hvorfor I behandler disse oplysninger. I forbindelse med kortlægningen skal I vurdere, om behandlingerne er i overensstemmelse med lovgivningen.
Her er det vigtigt, at I udpeger en projektansvarlig for persondatasikkerhed, der har opbakning fra ledelsen.

2. Har I udpeget en dataansvarlig i foreningen?
I langt de fleste tilfælde vil jeres organisation være dataansvarlig. Databeskyttelsesforordningen beskriver en dataansvarlig som ”en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger”.

Hvis I lader andre behandle personoplysninger på jeres vegne, for eksempel medarbejderinformationer med henblik på lønkørsel eller medlemsregistrering, agerer de som databehandlere for jer. Ifølge databeskyttelsesforordningen er en databehandler en ”fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne”.

Det er vigtigt, at I er helt afklarede omkring, hvem der er dataansvarlig, og hvem der er databehandler, fordi kravene til dataansvarlige og databehandlere er forskellige. Det er den dataansvarlige, som har ansvaret for, at en behandling af personoplysninger lever op til reglerne i GDPR-forordningen – også selvom personoplysninger og personfølsomme oplysninger bliver behandlet af en ekstern databehandler. Det sikrer man ved at lave gode databehandleraftaler.

Læs mere om den dataansvarlige og databehandlerens ansvar i Datatilsynets Vejledning om dataansvarlige og databehandlere.

3. Har I udarbejdet en fortegnelse?
Det er et krav i GDPR-forordningen, at I udarbejder en fortegnelse over jeres databehandlinger. Formålet med en fortegnelse er at danne overblik over de behandlinger af personoplysninger, som I som dataansvarlig og/eller databehandler har i foreningen. Der er ingen formkrav til fortegnelsen andet end, at den skal være skriftlig og elektronisk.

Se, hvad kravene til fortegnelsens indhold er, i Datatilsynets Vejledning om fortegnelse.

4. Har I udarbejdet databehandleraftaler, hvis foreningen bruger andre til at håndtere data?
Hvis I har en samarbejdspartner eller leverandør, der behandler personoplysninger på jeres vegne, for eksempel lønkørsel, er det vigtigt, at I har en databehandleraftale. En databehandleraftale er en skriftlig aftale mellem to parter, der beskriver, hvordan samarbejdspartneren eller virksomheden, der behandler dataene, skal behandle dem.

Find standardskabeloner til databehandleraftaler på Datatilsynets hjemmeside her.

5. Har I indført kryptering af e-mail med personoplysninger?
Blandt de sikkerhedsprocedurer, der skal iværksættes, er det er et krav fra Datatilsynet, at virksomheder, organisationer og foreninger, der sender fortrolige og følsomme personoplysninger over mail, skal gøre det via krypterede e-mails. Det betyder, at I ikke må sende mails, der indeholder CPR-numre, uden at mailen er krypteret.

Læs mere om, hvordan I krypterer mails, som indeholder personoplysninger og/eller følsomme personoplysninger her.

6. Kender foreningens medarbejdere og frivillige til GDPR?
I skal sikre det fornødne vidensniveau om GDPR blandt alle relevante personer i foreningen. Alle medarbejdere og frivillige, der håndterer persondata i foreningen, bør kende til og forstå GDPR-reglerne.

7.Har I lavet en privatlivspolitik?
En privatlivspolitik forklarer besøgende på jeres hjemmeside, hvorfor og hvordan I behandler personoplysninger. Kommuniker tydeligt om, hvilke cookies I anvender. På cookiebot.com kan I gratis tjekke om jeres hjemmeside er GDPR-compliant – altså om hjemmesiden lever op til reglerne for persondatabeskyttelse. 

Tjekliste 2: Vedligeholder I jeres gode GDPR-praksisser?

Selvom I kan svare ja til alle syv spørgsmål i tjeklisten ovenfor, betyder det ikke, at jeres GDPR-arbejde er overstået. God databeskyttelse handler om at skabe og vedligeholde gode vaner. Her kommer en tjekliste til jeres fremadrettede GDPR-arbejde.

It-sikkerhedsekspert og formand for Rådet for Digital Sikkerhed Henning Mortensen forklarer, at man skal arbejde med gode GDPR-vaner på tre niveauer

1. Politikker og praksisser:
I skal have implementeret en række organisatoriske og tekniske politikker og praksisser, der sikrer, at I løbende lever op til GDPR-reglerne. Det gør I ved at:

• Sætte tid og ressourcer af i organisationen til at vedligeholde og opdatere jeres GDPR-praksisser og systemer.
  
  
• Udtænke og nedskrive GDPR-procedurer: I skal have en procedure for årlig kortlægning af foreningens databehandling, en procedure for sletning af data, som I ikke længere behandler eller ikke må behandle, samt en klageprocedure. Hvis en registreret person klager over jeres behandling af personoplysninger, skal I en have en fast procedure for, hvordan I behandler sådan en klage.
  
  
• Udarbejde et kapitel om foreningens GDPR-politik i jeres medarbejder-/medlems-/frivillighåndbog, så alle i foreningen er bekendt med foreningens politikker og regler på området. Medarbejdere og frivillige skal være bekendt med, hvordan GDPR-reglerne relaterer til deres arbejde, og hvilken rolle de spiller i at sikre, at organisationen kan efterleve reglerne. For eksempel ved ikke at videresende mails til deres private e-mailkonto eller kopiere dokumenter, der kan indeholde personoplysninger til eksterne enheder.

2. Systemer:
I skal desuden implementere en række systemer, som sikrer, at jeres politikker og praksisser bliver overholdt. I skal:

• Med jævne mellemrum opdatere jeres kortlægning af, hvilke personoplysninger I behandler, samt hvorfor og hvordan I behandler dem. Det kan være, at I ændrer måden at behandle personoplysninger på, eller at I begynder at indhente nye typer af personoplysninger – for eksempel kan en patientorganisation begynde at indhente personoplysninger om pårørende. Det kan også være, at I skifter it-systemer og derved ændrer den måde, I behandler personoplysninger på. Derfor skal I en gang imellem kortlægge jeres databehandling på ny.
  
  
• Kortlægge og skabe overblik over, hvilke it-systemer og tjenester I benytter jer af. Bruger I disse systemer og tjenester til at behandle personoplysninger? Hvilken risiko for persondatasikkerhed kan der være forbundet med at bruge disse systemer og tjenester?
  
  
• Indføre et system for, hvordan I sletter data og mails, som I ikke længere behandler eller ikke må behandle.

3. Kontrolmekanismer:
I skal løbende kontrollere, at jeres systemer virker, og at I handler i henhold til jeres politikker og praksisser. Det gør I ved at:

• Kontrollere, at de regler, I har fastsat, faktisk følges i praksis. For eksempel kan I kontrollere, hvem der har adgang til personoplysninger. Er der for eksempel medarbejdere, der har skiftet stilling, men som stadig har adgang til data, som personen ikke længere burde have adgang til? Kun personer, der har til opgave at behandle de konkrete personoplysninger, bør have adgang til disse oplysninger.
  
  
• Tjekke op på jeres databehandleraftaler: Har I udliciteret jeres it-services eller lønadministration til underleverandører, skal I sørge for at holde jeres databehandleraftaler opdaterede. I er ansvarlige for at databehandleraftalerne lever op til reglerne, og for at det, jeres medlemmer/frivillige/medarbejder har skrevet under på i samtykkeerklæringerne, bliver efterlevet.
  
  
• Tjekke op på lovgivningen og eventuelle nye regler og opdateringer, som kan betyde, at I skal opdatere eller tilpasse jeres GDPR-politikker og praksisser.