Forenings-IT
Tilbage til forsiden

GDPR for foreninger - den komplette guide

Siden 2018 har alle organisationer – også foreninger – skullet overholde GDPR. Det lyder måske skræmmende, men for de fleste foreninger handler det om sund fornuft og god datahygiejne. Denne guide giver jer overblikket.

Hvad er GDPR?

Kort forklaret

GDPR (General Data Protection Regulation):

  • EU-forordning om databeskyttelse
  • Gælder alle der behandler persondata
  • Også frivillige foreninger
  • Trådte i kraft 25. maj 2018

Formålet

GDPR skal sikre:

  • Borgernes kontrol over egne data
  • Transparens om databehandling
  • Sikker opbevaring af data
  • Ret til at blive glemt

Gælder GDPR for foreninger?

Ja, hvis I behandler persondata

Persondata er f.eks.:

  • Navne
  • Adresser
  • Emailadresser
  • Telefonnumre
  • CPR-numre
  • Billeder
  • Betalingsoplysninger

Behandling er f.eks.:

  • Indsamling
  • Opbevaring
  • Brug
  • Deling
  • Sletning

Hvis I har et medlemskartotek, behandler I persondata!

Hvad skal foreninger gøre?

Grundlæggende krav:

  1. Kun indsamle nødvendig data
  2. Informere om hvad data bruges til
  3. Opbevare sikkert
  4. Slette når ikke længere nødvendigt
  5. Respektere medlemmers rettigheder

De vigtigste principper

1. Lovlighed og rimelighed

I skal have et grundlag for at behandle data:

  • Samtykke (personen har sagt ja)
  • Kontrakt (nødvendigt for medlemskab)
  • Retlig forpligtelse (loven kræver det)
  • Legitime interesser (rimelig grund)

For foreninger: Medlemskabet er ofte grundlag nok for grundlæggende data.

2. Formålsbegrænsning

Data må kun bruges til det oplyste formål:

  • Indsamlet til medlemsadministration → brug til medlemsadministration
  • Skal I bruge data til nyt formål → få nyt samtykke

3. Dataminimering

Indsaml kun hvad I har brug for:

  • Behøver I CPR-nummer? (sjældent)
  • Behøver I fødselsdato? (måske, til aldersgrupper)
  • Behøver I adresse? (til kontingentopkrævning?)

4. Rigtighed

Hold data opdaterede:

  • Giv medlemmer mulighed for at rette
  • Fjern forældede oplysninger
  • Tjek regelmæssigt

5. Opbevaringsbegrænsning

Slet når I ikke længere har brug for data:

  • Udmeldte medlemmer → slet efter rimelig tid
  • Gamle event-tilmeldinger → slet
  • Dokumentation til regnskab → gem i lovpligtig periode

6. Sikkerhed

Beskyt data mod:

  • Uautoriseret adgang
  • Tab
  • Ødelæggelse
  • Lækage

Læs mere: IT-sikkerhed for foreninger

Samtykke

Hvornår kræves samtykke?

Samtykke er nødvendigt ved:

  • Nyhedsbreve (udover det nødvendige)
  • Billeder til hjemmeside/sociale medier
  • Deling med tredjeparter
  • Følsomme oplysninger (helbred, etc.)

Gyldigt samtykke

Krav til samtykke:

  • Frivilligt givet
  • Specifikt (ikke generelt)
  • Informeret (de ved hvad de siger ja til)
  • Utvetydigt (aktivt, ikke forudfyldt)
  • Kan trækkes tilbage

Eksempel på samtykketekst

For nyhedsbrev:

☐ Ja, jeg vil gerne modtage nyhedsbreve fra [Foreningen]
  med information om aktiviteter og nyheder.
  Du kan til enhver tid afmelde dig via link i nyhedsbrevet.

For billeder:

☐ Jeg giver samtykke til, at billeder af mig kan bruges
  på foreningens hjemmeside og sociale medier.

Registreredes rettigheder

Medlemmer har ret til:

RettighedBetyder
IndsigtSe hvilke data I har om dem
BerigtigelseFå rettet forkerte data
SletningFå slettet data (med begrænsninger)
BegrænsningBegrænse brugen af data
DataportabilitetFå data udleveret
IndsigelseSige nej til visse behandlinger

Sådan håndterer I forespørgsler

Hvis et medlem spørger:

  1. Verificér identiteten
  2. Find alle data om personen
  3. Besvar inden 1 måned
  4. Dokumentér forespørgsel og svar

Praktisk GDPR-compliance

Fortegnelse over behandlingsaktiviteter

Dokumentér:

  • Hvilke data behandler I?
  • Hvad bruges de til?
  • Hvem har adgang?
  • Hvor opbevares de?
  • Hvornår slettes de?

Simpel oversigt:

DatatypeFormålOpbevares iAdgangSlettes
MedlemsinfoAdministrationConventusBestyrelseVed udmeldelse + 1 år
BetalingsinfoKontingentBank/systemKasserer5 år (bogføring)
EmailsKommunikationMailchimpPR-ansvarligVed udmeldelse
BillederMarkedsføringFacebook/webBestyrelseVed ønske

Privatlivspolitik

I skal have en skriftlig politik:

  • Hvem er dataansvarlig?
  • Hvilke data behandles?
  • Hvad bruges data til?
  • Hvem deles data med?
  • Hvordan beskyttes data?
  • Hvilke rettigheder har medlemmer?
  • Hvordan kontaktes I?

Skabelon til privatlivspolitik

Privatlivspolitik for [Foreningsnavn]

1. Dataansvarlig
   [Foreningsnavn]
   [Adresse]
   [Email]

2. Formål med databehandling
   Vi behandler personoplysninger for at:
   - Administrere medlemskaber
   - Opkræve kontingent
   - Informere om aktiviteter
   - [Andre formål]

3. Typer af data vi behandler
   - Navn, adresse, telefon, email
   - Betalingsoplysninger
   - [Andre datatyper]

4. Retsgrundlag
   - Medlemskabsaftalen (kontraktforhold)
   - Samtykke (til nyhedsbreve, billeder)

5. Opbevaringsperiode
   - Medlemsdata: Så længe du er medlem + 1 år
   - Regnskabsdata: 5 år (lovkrav)

6. Deling af data
   - Vi deler data med [relevante systemer/partnere]
   - Vi sælger aldrig data

7. Dine rettigheder
   - Ret til indsigt
   - Ret til berigtigelse
   - Ret til sletning
   - Ret til at klage til Datatilsynet

8. Sikkerhed
   - Data opbevares sikkert i [systemer]
   - Adgang er begrænset

9. Kontakt
   Ved spørgsmål kontakt: [email]

Databehandleraftaler

Når I bruger eksterne systemer:

  • Conventus, Mailchimp, etc.
  • De er "databehandlere"
  • Der skal være en aftale

De fleste leverandører har standardaftaler klar.

Særlige situationer

Børn og unge

Ekstra forsigtighed:

  • Under 13 år: Forælders samtykke til det meste
  • Under 18 år: Forælders samtykke til billeder
  • Vær ekstra varsom med billeder af børn

Følsomme oplysninger

Særlige kategorier (kræver eksplicit samtykke):

  • Helbredsoplysninger (allergier, handicap)
  • Religiøs overbevisning
  • Politisk tilhørsforhold
  • Seksuel orientering

Tip: Undgå at indsamle hvis ikke absolut nødvendigt.

Billeder

Billeder er persondata:

  • Få samtykke til offentliggørelse
  • Vær opmærksom på børnebilleder
  • Respektér hvis nogen vil have slettet

Praktisk:

  • Informér ved events om fotografering
  • Lad folk melde fra
  • Slet ved anmodning

Hjemmeside og cookies

Cookie-samtykke:

  • Hvis I bruger cookies ud over nødvendige
  • Analytics, Facebook Pixel, etc.
  • Cookie-banner med valg

Databrud

Hvad er et databrud?

Eksempler:

  • Hacket email med medlemsoplysninger
  • Mistet USB med medlemsliste
  • Sendt medlemsliste til forkert modtager
  • Stjålet computer med data

Hvad skal I gøre?

Ved databrud:

  1. Vurdér risikoen (hvad er lækket, hvor mange berørt)
  2. Dokumentér hændelsen
  3. Underret Datatilsynet inden 72 timer (hvis risiko)
  4. Informér berørte personer (hvis høj risiko)
  5. Tag skridt til at forhindre gentagelse

Anmeldelse til Datatilsynet

Skal anmeldes hvis:

  • Risiko for fysiske personers rettigheder
  • Undtagelse: Usandsynligt at det udgør risiko

Anmeld via: datatilsynet.dk

Ansvar i foreningen

Dataansvarlig

Foreningen er dataansvarlig:

  • Bestyrelsen har det overordnede ansvar
  • Kan delegere praktisk håndtering

Databeskyttelsesrådgiver (DPO)

De fleste foreninger behøver IKKE en DPO.

Krav kun ved:

  • Systematisk overvågning i stor skala
  • Behandling af følsomme data i stor skala

Praktisk fordeling

Overvej:

  • Hvem har ansvar for GDPR-compliance?
  • Hvem håndterer henvendelser?
  • Hvem vedligeholder dokumentation?

Tjekliste: GDPR for foreninger

Dokumentation

  1. Fortegnelse over behandlingsaktiviteter
  2. Privatlivspolitik på hjemmesiden
  3. Samtykkeerklæringer hvor nødvendigt
  4. Databehandleraftaler med leverandører

Processer

  1. Procedure for at håndtere indsigtsanmodninger
  2. Procedure for sletning af data
  3. Procedure ved databrud
  4. Årlig gennemgang af data og formål

Teknisk

  1. Sikker opbevaring af data
  2. Adgangskontrol (hvem har adgang)
  3. Backup
  4. Sikre adgangskoder

Kommunikation

  1. Medlemmer informeret om databehandling
  2. Samtykke indhentet hvor nødvendigt
  3. Nem måde at kontakte jer

Print jeres privatlivspolitik

Det kan være praktisk at have privatlivspolitikken på papir til nye medlemmer. Tonerland har billige printerpatroner.

Hjemmeside og GDPR

Tjek jeres hjemmeside:

  • Privatlivspolitik synlig
  • Cookie-samtykke (hvis relevant)
  • Sikker forbindelse (https)
  • Kontaktformular med samtykke

Tip: Mehosting tilbyder dansk webhosting med SSL inkluderet.

Ofte stillede spørgsmål

Må vi have billeder af medlemmer på hjemmesiden?

Ja, hvis:

  • I har samtykke
  • Det er klart hvad billederne bruges til
  • Folk kan bede om at få dem fjernet

Hvor længe må vi gemme data?

Så længe der er et formål:

  • Medlemsdata: Så længe de er medlemmer + rimelig tid
  • Regnskabsdata: 5 år (lovkrav)
  • Marketingdata: Så længe samtykke gælder

Må vi dele medlemslister?

Generelt nej:

  • Ikke til kommercielle formål
  • Ikke uden samtykke
  • Undtagelse: Til forbund/organisationer hvis det fremgår af formål

Hvad hvis et tidligere medlem vil slettes?

I skal slette:

  • Medmindre I har lovligt grundlag for at beholde
  • Regnskabsdata skal ofte gemmes (lovkrav)
  • Dokumentér anmodning og handling

Kan vi få bøder?

I teorien ja, men:

  • Datatilsynet fokuserer på vejledning
  • Foreninger får sjældent bøder
  • Alvorlige brud kan straffes

Bedste forsvar: Vis at I tager det seriøst og gør jeres bedste.

Ressourcer

Danske ressourcer

Datatilsynet:

  • datatilsynet.dk
  • Vejledninger til foreninger
  • Skabeloner

DGI/DIF:

  • Har vejledninger til idrætsforeninger
  • Skabeloner til privatlivspolitik

Konklusion

GDPR for foreninger handler om:

  • Sund fornuft
  • Respekt for medlemmers data
  • Dokumentation
  • God datahygiejne

Start med:

  1. Lav en privatlivspolitik
  2. Dokumentér hvilke data I har
  3. Sørg for sikker opbevaring
  4. Slet data I ikke har brug for

Husk: Perfekt compliance er svært – gør jeres bedste, dokumentér jeres overvejelser, og vis vilje til at forbedre jer.

Læs også: IT-sikkerhed for foreninger og Medlemsstyring

Se alle artikler