Tjekliste: Har I husket den gode GDPR-hygiejne?

PERSONDATA: Når I hører ordet 'GDPR', tænker mange af jer muligvis: "Det har vi indført. Det er vi færdige med." Men at sikre persondatasikkerhed er et vedvarende arbejde, som skal vedligeholdes. Her får I to tjeklister, som I kan bruge til at sikre, at de gode GDPR-vaner bliver holdt ved lige i jeres forening.

Har I styr på GDPR?

Selvom I i jeres forening har implementeret de nye regler, er jeres GDPR-arbejde ikke færdigt.

Arbejdet med at beskytte jeres medlemmer, frivillige og medarbejderes persondata er nemlig ikke en engangsforestilling, men en manøvre, der kræver løbende opdateringer og vedligeholdelse.

“I løbet af et år kan en forening få nye eller ændre i eksisterende computersystemer, software eller abonnere på nye it-tjenester, der på en eller anden måde behandler personoplysninger. Derfor skal foreninger løbende gennemføre nye kortlægninger af, hvordan de behandler personoplysninger. Reglerne og den juridiske praksis ændrer sig også løbende, og det kan betyde, at man skal tilpasse sine GDPR-praksisser,” siger it-sikkerhedsekspert og formand for Rådet for Digital Sikkerhed Henning Mortensen.

Han minder foreninger om, at arbejdet med persondatasikkerhed derfor handler om at skabe gode GDPR-vaner, så foreningerne hele tiden holder deres GDPR-praksisser og politikker opdaterede.

For at lette det arbejde har Civilsamfundets Videnscenter i samarbejde med Henning Mortensen udarbejdet to tjeklister, der kan hjælpe jeres forening med at gøre status over, hvor langt I er kommet med jeres GDPR-arbejde og med at vedligeholde de gode GDPR-praksisser, I allerede har indført.

Her får I først en GDPR-tjekliste til startfasen. Tjeklisten kan hjælpe jer med at vurdere, hvor langt I er kommet i jeres grundlæggende arbejde med at overholde persondataforordningen. Derefter får I en GDPR-tjekliste, der kan hjælpe jer med at vurdere, hvor langt I er nået med vedligeholdelsen af jeres gode GDPR-praksisser.

Tjekliste 1: Er I kommet godt i gang med at overholde GDPR?

1. Har I kortlagt foreningens databehandlinger?
Det første afgørende trin i GDPR er at kortlægge foreningens databehandlinger. Det vil sige, at I skal danne jer overblik, analysere og dokumentere, om I bruger og behandler personoplysninger, hvordan og hvorfor I behandler disse oplysninger. I forbindelse med kortlægningen skal I vurdere, om behandlingerne er i overensstemmelse med lovgivningen.
Her er det vigtigt, at I udpeger en projektansvarlig for persondatasikkerhed, der har opbakning fra ledelsen.

2. Har I udpeget en dataansvarlig i foreningen?
I langt de fleste tilfælde vil jeres organisation være dataansvarlig. Databeskyttelsesforordningen beskriver en dataansvarlig som ”en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger”.

Hvis I lader andre behandle personoplysninger på jeres vegne, for eksempel medarbejderinformationer med henblik på lønkørsel eller medlemsregistrering, agerer de som databehandlere for jer. Ifølge databeskyttelsesforordningen er en databehandler en ”fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne”.

Det er vigtigt, at I er helt afklarede omkring, hvem der er dataansvarlig, og hvem der er databehandler, fordi kravene til dataansvarlige og databehandlere er forskellige. Det er den dataansvarlige, som har ansvaret for, at en behandling af personoplysninger lever op til reglerne i GDPR-forordningen – også selvom personoplysninger og personfølsomme oplysninger bliver behandlet af en ekstern databehandler. Det sikrer man ved at lave gode databehandleraftaler.

Læs mere om den dataansvarlige og databehandlerens ansvar i Datatilsynets Vejledning om dataansvarlige og databehandlere.

3. Har I udarbejdet en fortegnelse?
Det er et krav i GDPR-forordningen, at I udarbejder en fortegnelse over jeres databehandlinger. Formålet med en fortegnelse er at danne overblik over de behandlinger af personoplysninger, som I som dataansvarlig og/eller databehandler har i foreningen. Der er ingen formkrav til fortegnelsen andet end, at den skal være skriftlig og elektronisk.

Se, hvad kravene til fortegnelsens indhold er, i Datatilsynets Vejledning om fortegnelse.

4. Har I udarbejdet databehandleraftaler, hvis foreningen bruger andre til at håndtere data?
Hvis I har en samarbejdspartner eller leverandør, der behandler personoplysninger på jeres vegne, for eksempel lønkørsel, er det vigtigt, at I har en databehandleraftale. En databehandleraftale er en skriftlig aftale mellem to parter, der beskriver, hvordan samarbejdspartneren eller virksomheden, der behandler dataene, skal behandle dem.

Find standardskabeloner til databehandleraftaler på Datatilsynets hjemmeside her.

5. Har I indført kryptering af e-mail med personoplysninger?
Blandt de sikkerhedsprocedurer, der skal iværksættes, er det er et krav fra Datatilsynet, at virksomheder, organisationer og foreninger, der sender fortrolige og følsomme personoplysninger over mail, skal gøre det via krypterede e-mails. Det betyder, at I ikke må sende mails, der indeholder CPR-numre, uden at mailen er krypteret.

Læs mere om, hvordan I krypterer mails, som indeholder personoplysninger og/eller følsomme personoplysninger her.

6. Kender foreningens medarbejdere og frivillige til GDPR?
I skal sikre det fornødne vidensniveau om GDPR blandt alle relevante personer i foreningen. Alle medarbejdere og frivillige, der håndterer persondata i foreningen, bør kende til og forstå GDPR-reglerne.

7.Har I lavet en privatlivspolitik?
En privatlivspolitik forklarer besøgende på jeres hjemmeside, hvorfor og hvordan I behandler personoplysninger. Kommuniker tydeligt om, hvilke cookies I anvender. På cookiebot.com kan I gratis tjekke om jeres hjemmeside er GDPR-compliant – altså om hjemmesiden lever op til reglerne for persondatabeskyttelse. 

Tjekliste 2: Vedligeholder I jeres gode GDPR-praksisser?

Selvom I kan svare ja til alle syv spørgsmål i tjeklisten ovenfor, betyder det ikke, at jeres GDPR-arbejde er overstået. God databeskyttelse handler om at skabe og vedligeholde gode vaner. Her kommer en tjekliste til jeres fremadrettede GDPR-arbejde.

It-sikkerhedsekspert og formand for Rådet for Digital Sikkerhed Henning Mortensen forklarer, at man skal arbejde med gode GDPR-vaner på tre niveauer

1. Politikker og praksisser:
I skal have implementeret en række organisatoriske og tekniske politikker og praksisser, der sikrer, at I løbende lever op til GDPR-reglerne. Det gør I ved at:

  • Sætte tid og ressourcer af i organisationen til at vedligeholde og opdatere jeres GDPR-praksisser og systemer.

  • Udtænke og nedskrive GDPR-procedurer: I skal have en procedure for årlig kortlægning af foreningens databehandling, en procedure for sletning af data, som I ikke længere behandler eller ikke må behandle, samt en klageprocedure. Hvis en registreret person klager over jeres behandling af personoplysninger, skal I en have en fast procedure for, hvordan I behandler sådan en klage.

  • Udarbejde et kapitel om foreningens GDPR-politik i jeres medarbejder-/medlems-/frivillighåndbog, så alle i foreningen er bekendt med foreningens politikker og regler på området. Medarbejdere og frivillige skal være bekendt med, hvordan GDPR-reglerne relaterer til deres arbejde, og hvilken rolle de spiller i at sikre, at organisationen kan efterleve reglerne. For eksempel ved ikke at videresende mails til deres private e-mailkonto eller kopiere dokumenter, der kan indeholde personoplysninger til eksterne enheder.

2. Systemer:
I skal desuden implementere en række systemer, som sikrer, at jeres politikker og praksisser bliver overholdt. I skal:

  • Med jævne mellemrum opdatere jeres kortlægning af, hvilke personoplysninger I behandler, samt hvorfor og hvordan I behandler dem. Det kan være, at I ændrer måden at behandle personoplysninger på, eller at I begynder at indhente nye typer af personoplysninger – for eksempel kan en patientorganisation begynde at indhente personoplysninger om pårørende. Det kan også være, at I skifter it-systemer og derved ændrer den måde, I behandler personoplysninger på. Derfor skal I en gang imellem kortlægge jeres databehandling på ny.

  • Kortlægge og skabe overblik over, hvilke it-systemer og tjenester I benytter jer af. Bruger I disse systemer og tjenester til at behandle personoplysninger? Hvilken risiko for persondatasikkerhed kan der være forbundet med at bruge disse systemer og tjenester?

  • Indføre et system for, hvordan I sletter data og mails, som I ikke længere behandler eller ikke må behandle.

3. Kontrolmekanismer:
I skal løbende kontrollere, at jeres systemer virker, og at I handler i henhold til jeres politikker og praksisser. Det gør I ved at:

  • Kontrollere, at de regler, I har fastsat, faktisk følges i praksis. For eksempel kan I kontrollere, hvem der har adgang til personoplysninger. Er der for eksempel medarbejdere, der har skiftet stilling, men som stadig har adgang til data, som personen ikke længere burde have adgang til? Kun personer, der har til opgave at behandle de konkrete personoplysninger, bør have adgang til disse oplysninger.

  • Tjekke op på jeres databehandleraftaler: Har I udliciteret jeres it-services eller lønadministration til underleverandører, skal I sørge for at holde jeres databehandleraftaler opdaterede. I er ansvarlige for at databehandleraftalerne lever op til reglerne, og for at det, jeres medlemmer/frivillige/medarbejder har skrevet under på i samtykkeerklæringerne, bliver efterlevet.

  • Tjekke op på lovgivningen og eventuelle nye regler og opdateringer, som kan betyde, at I skal opdatere eller tilpasse jeres GDPR-politikker og praksisser.
Forrige artikel Gratis værktøjer hjælper jer med at teste, hvad I mangler for at overholde GDPR Gratis værktøjer hjælper jer med at teste, hvad I mangler for at overholde GDPR Næste artikel Overblik: Her er fordelene ved robotteknologi Overblik: Her er fordelene ved robotteknologi
Normale spilleregler sættes ud af kraft, når frivillige hjælper til i kommuner

Normale spilleregler sættes ud af kraft, når frivillige hjælper til i kommuner

FORSKNING: Professor Bjarne Ibsen og hans kolleger ved Center for forskning i Idræt, Sundhed og Civilsamfund på Syddansk Universitet har gennem flere år nærstuderet samarbejdet mellem kommuner og frivillige. Mange steder mangler de frivillige og kommuner klare aftaler for samarbejdet, lyder konklusionen.

Naturens vogtere: Vi tænker ret højt om vores communities

Naturens vogtere: Vi tænker ret højt om vores communities

BEST PRACTISE: I nutidens medielandskab er SoMe-kampagnen stedet, du for alvor kan samle natur- og klimainteresserede mennesker og kræve forandring. Danmarks Naturfredningsforenings digitale redaktør, Sanne Buggeskov, tager Civilsamfundets Videnscenter med om bag kulissen.

Sådan gøder socialøkonomiske virksomheder kommunalt samarbejde

Sådan gøder socialøkonomiske virksomheder kommunalt samarbejde

GUIDE: Mange kommuner har et småstøvet notat liggende om, at de gerne vil samarbejde med socialøkonomiske virksomheder, men de har samtidig svært ved at knække koden. I denne guide klæder Dorte Bukdahl, der er centerleder i Copenhagen Dome - Videnscenter for socialøkonomi, parterne på til at indgå i gode samarbejder. 

Socialøkonomi: Succeskommunen Silkeborg skruer op for partnerskaber

Socialøkonomi: Succeskommunen Silkeborg skruer op for partnerskaber

BEST PRACTISE: Da John Kvistgaard kom til Silkeborg Kommune, lå der ikke meget andet end en hensigtserklæring om socialøkonomi på et stykke papir. I dag - efter godt fem år - har kommunen succes med at få langtidsledige i job og har sparet millioner. Næste skridt er partnerskaber.

FRAK: Vi er nysgerrige af natur

FRAK: Vi er nysgerrige af natur

At tjene sine egne penge og blive anerkendt for sin indsats kan være den forskel, der gør, at en ung bryder social arv. Det ved den socialøkonomiske virksomhed FRAK, der er på evig jagt efter arbejdstræning og fritidsjob til unge på kanten. Læs mere her om, hvordan FRAK spreder sin indsats ud og skaber nye jobs.

Sådan sætter du arbejdsmiljøet på dagsordenen i din organisation

Sådan sætter du arbejdsmiljøet på dagsordenen i din organisation

GUIDE: Civilsamfundet er ikke fritaget for stressede medarbejdere, ustrukturerede ledere eller arbejdspukler, der fører til konsekvent overarbejde. Konsulenthuset Ingerfair og Dansk Magisterforening har sat spot på det gode arbejdsklima og udarbejdet værktøjer, som er målrettet civilsamfundet.

SOS Børnebyerne: Et kærligt “hjem” for alle medarbejdere

SOS Børnebyerne: Et kærligt “hjem” for alle medarbejdere

BEST PRACTISE: Dansk Magisterforening har sammen med konsulenthuset Ingerfair sat fokus på arbejdsmiljøet i en ny undersøgelse. Læs her, hvorfor SOS Børnebyerne sætter medarbejdertrivslen i højsædet, og få gode råd til at give arbejdsmiljøet et tjek.

Status: Hvad civilsamfundet skal vide om

Status: Hvad civilsamfundet skal vide om "dansen med coronavirus"

CORONARETNINGSLINJER: Sommeren er ovre, og store dele af civilsamfundet er igen i omdrejninger efter forårets nedlukning. Her finder du seneste nyt om forsamlingsforbud, mundbind og hvad du skal gøre, hvis du oplever smittespredning i din organisation.

Sådan håndterer du smitte i din forening

Sådan håndterer du smitte i din forening

CORONAKØREPLAN: Når et medlem eller en frivillig bliver smittet med coronavirus covid-19, er der brug for overblik og klar kommunikation. Danske Gymnastik- og Idrætsforeninger (DGI) giver her et kig ned i deres manual for smittehåndtering.

Sådan ser foreningslivets økonomiske fremtid ud efter genåbningen

Sådan ser foreningslivets økonomiske fremtid ud efter genåbningen

VEJEN UD AF KRISEN: Fire nøgleaktører i civilsamfundet tegner her en skitse af det forandrede økonomiske landskab, som foreningslivet skal navigere i efter genåbningen. Hør analysen og få gode råd til at navigere i det nye økonomiske terræn fra Frivilligrådets formand, sekretariatschefen i Fondenes Videnscenter, en professor og DGI’s landsformand.

Over sommeren: Få status over genåbning og corona-hjælp til civilsamfundet her

Over sommeren: Få status over genåbning og corona-hjælp til civilsamfundet her

GUIDE: Danmark er nu godt på vej til mere normaliserede forhold. Men efterdønningerne af coronakrisen udfordrer stadig civilsamfundet på blandt andet økonomi. Her samler vi gode svar og nyttige links, der kan hjælpe din organisation om på den anden side af krisen. Guiden er senest opdateret 17. juni og opdateres igen på den anden side af sommerferien.

Efter lock down: Gode råd til at byde dine frivillige velkommen tilbage

Efter lock down: Gode råd til at byde dine frivillige velkommen tilbage

FASTHOLDELSE: Den nye coronavirus tog os på sengen. Mange organisationer, der engagerer frivillige, nåede ikke at få sagt ordentligt farvel og på gensyn. At starte op efter krisen kræver derfor tydelig ledelse, så man får pejlet sine frivillige ordentligt ind på kerneopgaven igen. Nogle frivillige har brug for en peptalk. Andre står utålmodigt og stamper i gulvet. Her guider Center for Frivilligt Socialt Arbejde til den gode genopstart.

Poul Due Jensens Fond: 75 procent af vores donationer går til coronakrisen i år

Poul Due Jensens Fond: 75 procent af vores donationer går til coronakrisen i år

KRISEHJÆLP: Poul Due Jensens Fond har til en vis grad måttet lægge mantraer om god processtyring til side for lynhurtigt at kunne støtte coronarelaterede projekter. Når året er omme vil cirka 75 procent af pengene være gået til projekter relateret til coronakrisen. Kim Nøhr Skibsted giver her indblik i, hvordan krisehåndtering ser ud fra maskinrummet i en fond.