Datasikkerhed og digitale medlemssystemer
Digitale medlemssystemer gør det nemt at arbejde med medlemsdata og hjælper foreningen med at overholde både persondataforordningen og loven om databeskyttelse.
Databeskyttelse og persondataforordning. Begge dele lyder knastørt. Men ikke desto mindre er det EU’s Persondataforordning og databeskyttelsesloven, der danner ramme for de grundlæggende regler for datasikkerhed også når det kommer til digitale medlemssystemer.
Men hverken i forordningen eller i loven er der direkte krav om, at foreninger skal have digitale medlemssystemer eller andre digitale løsninger. Alligevel anbefaler DGI, at foreninger vælger et digitalt medlemssystem, fordi det flytter databehandleransvaret til den professionelle leverandør.
Her er fem gode grunde til DGI’s anbefaling:
- Leverandøren af medlemssystemet er ansvarlig for datasikkerheden i forhold til opbevaringen af data. Det gælder også særligt følsomme data. Der indgås en databehandleraftale med leverandøren.
- Leverandøren er forpligtet til at holde sig opdateret om ændringer i reglerne om persondata, for eksempel ændringer i forhold til samtykke til billeder. Det betyder, at foreningen får en partner der er med til at holde foreningens data opdateret i forhold til Persondataforordningen.
- I et medlemssystem kan I via adgangskontrol nemt få et overblik over, hvem der har adgang til hvad. Personer, der melder sig ud af foreningen, vil ikke længere have adgang til systemet.
- I et medlemssystem kan I kommunikere med en eller mange. Dermed skal oplysningerne kun rettes et sted, og I behøver ikke have personoplysningerne på private pc’er.
- Det enkelte medlem, træner eller frivillig kan selv logge ind og se sine egne oplysninger, opdatere oplysningerne og anmode om sletning for eksempel ved udmeldelse.
Vejledning og tommelfingerregler
Jurister fra DIF og DGI har udarbejdet Vejledning til idrætsforeninger om behandling af persondataoplysninger, som giver svar på de vigtigste spørgsmål om persondataforordningens betyder specielt for idrætsforeninger.
Grundlæggende gælder 4 tommelfingerregler:
- Som forening skal I altid have et sagligt formål med at behandle personoplysninger og begrænse behandlingen til det, der er nødvendigt i forhold til det saglige formål.
- I skal kunne dokumentere, at I har overblik over jeres behandling af personoplysningerne: Hvilke oplysninger behandles, hvem behandler dem, hvor arkiveres de m.v. Dette skal beskrives i en såkaldt fortegnelse.
- I skal orientere den registrerede (medlemmer, trænere m.v.) om, hvilke oplysninger der behandles og hvorfor. Dette kan ske i en privatlivspolitik.
- I skal have en passende datasikkerhed, og I skal i nogle tilfælde anmelde brud på sikkerheden til Datatilsynet.
Læs vejledningen, så får du de overordnede svar på spørgsmål om datasikkerhed. Her zoomer vi ind på de dele, der handler specielt om digitale medlemssystemer.
Opbevaring af medlemmernes personoplysninger
Hvis personoplysninger opbevares på private pc’er, er det stort set umuligt for en forening at have en passende datasikkerhed.
Det er tilfældet, hvis en medlemsliste opbevares lokalt hos en eller flere frivillige, vil det typisk forekomme, at personoplysninger mailes til bestyrelsesmedlemmer eller trænere, der har brug for oplysningerne, for eksempel, hvis de skal sende en mail eller SMS til udvalgte grupper eller alle medlemmer.
Opbevarer foreningen i stedet medlemslisten i skyen i et gratis værktøj, er det ikke muligt at få en databehandleraftale, netop fordi der er tale om et gratis produkt. Så er der heller ikke tilstrækkelig datasikkerhed. Der er heller ikke sikkerhed for at adgangen til fællesdrevet kontrolleres. Det kan give adgang for personer, der ikke har et sagligt grundlag.
Ekstern databehandler kræver en aftale
Når I benytter ekstern hjælp til at behandle jeres personoplysninger, er den eksterne part databehandler. Om det siger vejledningen:
”Dette kan bl.a. være tilfældet vedbrug af administrationssystemer, mailsystemer, cloud-løsninger og systemer til lønadministration, der drives af private virksomheder. I sådanne tilfælde skal der foreligge en databehandleraftale mellem foreningen og databehandleren. De fleste databehandlere har standardaftaler til dette formål, som I kan benytte.”
Foreningen skal altså indgå en databehandleraftale med den eksterne part. Det gælder også ved brug af Google Suite, Dropbox og ZOOM.
Det er vanskeligt at indgå databehandleraftaler med leverandører, når man anvender gratis løsninger, men foreninger kan via Techsoup, få adgang til de betalbare løsninger enten gratis eller med rabatter. Læs mere om Techsoup.
Registreredes rettigheder
Medlemmer og interesserede, der har oprettet en profil hos jer, er ligesom trænere, bestyrelse og udvalgsmedlemmer registreret i jeres medlemssystem.
De har ifølge forordningen en række rettigheder som for eksempel
- ret til indsigt i oplysninger om sig selv
- ret til at rette forkerte oplysninger
- ret til at gøre indsigelse ved for eksempel at anmode om sletning.
Ved at give registrerede mulighed for at betjene sig selv, kan foreningen bruge færre ressourcer på opgaven og gøre det transparent for de registrerede på samme måde som andre steder i samfundet.