Forenings-IT
Tilbage til artikler
IT til foreninger

GDPR for foreninger - den komplette guide

Siden 2018 har alle organisationer – også foreninger – skullet overholde GDPR. Det lyder måske skræmmende, men for de fleste foreninger handler det om sund fornuft og god datahygiejne. Denne guide giver jer overblikket.

Hvad er GDPR?

Kort forklaret

GDPR (General Data Protection Regulation):

  • EU-forordning om databeskyttelse
  • Gælder alle der behandler persondata
  • Også frivillige foreninger
  • Trådte i kraft 25. maj 2018

Formålet

GDPR skal sikre:

  • Borgernes kontrol over egne data
  • Transparens om databehandling
  • Sikker opbevaring af data
  • Ret til at blive glemt

Gælder GDPR for foreninger?

Ja, hvis I behandler persondata

Persondata er f.eks.:

  • Navne
  • Adresser
  • Emailadresser
  • Telefonnumre
  • CPR-numre
  • Billeder
  • Betalingsoplysninger
Behandling er f.eks.:
  • Indsamling
  • Opbevaring
  • Brug
  • Deling
  • Sletning
Hvis I har et medlemskartotek, behandler I persondata!

Hvad skal foreninger gøre?

Grundlæggende krav:

  • Kun indsamle nødvendig data
  • Informere om hvad data bruges til
  • Opbevare sikkert
  • Slette når ikke længere nødvendigt
  • Respektere medlemmers rettigheder
  • De vigtigste principper

    1. Lovlighed og rimelighed

    I skal have et grundlag for at behandle data:

    • Samtykke (personen har sagt ja)
    • Kontrakt (nødvendigt for medlemskab)
    • Retlig forpligtelse (loven kræver det)
    • Legitime interesser (rimelig grund)
    For foreninger: Medlemskabet er ofte grundlag nok for grundlæggende data.

    2. Formålsbegrænsning

    Data må kun bruges til det oplyste formål:

    • Indsamlet til medlemsadministration → brug til medlemsadministration
    • Skal I bruge data til nyt formål → få nyt samtykke

    3. Dataminimering

    Indsaml kun hvad I har brug for:

    • Behøver I CPR-nummer? (sjældent)
    • Behøver I fødselsdato? (måske, til aldersgrupper)
    • Behøver I adresse? (til kontingentopkrævning?)

    4. Rigtighed

    Hold data opdaterede:

    • Giv medlemmer mulighed for at rette
    • Fjern forældede oplysninger
    • Tjek regelmæssigt

    5. Opbevaringsbegrænsning

    Slet når I ikke længere har brug for data:

    • Udmeldte medlemmer → slet efter rimelig tid
    • Gamle event-tilmeldinger → slet
    • Dokumentation til regnskab → gem i lovpligtig periode

    6. Sikkerhed

    Beskyt data mod:

    • Uautoriseret adgang
    • Tab
    • Ødelæggelse
    • Lækage
    Læs mere: IT-sikkerhed for foreninger

    Samtykke

    Hvornår kræves samtykke?

    Samtykke er nødvendigt ved:

    • Nyhedsbreve (udover det nødvendige)
    • Billeder til hjemmeside/sociale medier
    • Deling med tredjeparter
    • Følsomme oplysninger (helbred, etc.)

    Gyldigt samtykke

    Krav til samtykke:

    • Frivilligt givet
    • Specifikt (ikke generelt)
    • Informeret (de ved hvad de siger ja til)
    • Utvetydigt (aktivt, ikke forudfyldt)
    • Kan trækkes tilbage

    Eksempel på samtykketekst

    For nyhedsbrev: ``` ☐ Ja, jeg vil gerne modtage nyhedsbreve fra [Foreningen] med information om aktiviteter og nyheder. Du kan til enhver tid afmelde dig via link i nyhedsbrevet. ```

    For billeder: ``` ☐ Jeg giver samtykke til, at billeder af mig kan bruges på foreningens hjemmeside og sociale medier. ```

    Registreredes rettigheder

    Medlemmer har ret til:

    RettighedBetyder IndsigtSe hvilke data I har om dem BerigtigelseFå rettet forkerte data SletningFå slettet data (med begrænsninger) BegrænsningBegrænse brugen af data DataportabilitetFå data udleveret IndsigelseSige nej til visse behandlinger

    Sådan håndterer I forespørgsler

    Hvis et medlem spørger:

  • Verificér identiteten
  • Find alle data om personen
  • Besvar inden 1 måned
  • Dokumentér forespørgsel og svar
  • Praktisk GDPR-compliance

    Fortegnelse over behandlingsaktiviteter

    Dokumentér:

    • Hvilke data behandler I?
    • Hvad bruges de til?
    • Hvem har adgang?
    • Hvor opbevares de?
    • Hvornår slettes de?
    Simpel oversigt:

    DatatypeFormålOpbevares iAdgangSlettes MedlemsinfoAdministrationConventusBestyrelseVed udmeldelse + 1 år BetalingsinfoKontingentBank/systemKasserer5 år (bogføring) EmailsKommunikationMailchimpPR-ansvarligVed udmeldelse BillederMarkedsføringFacebook/webBestyrelseVed ønske

    Privatlivspolitik

    I skal have en skriftlig politik:

    • Hvem er dataansvarlig?
    • Hvilke data behandles?
    • Hvad bruges data til?
    • Hvem deles data med?
    • Hvordan beskyttes data?
    • Hvilke rettigheder har medlemmer?
    • Hvordan kontaktes I?

    Skabelon til privatlivspolitik

    ``` Privatlivspolitik for [Foreningsnavn]

  • Dataansvarlig
  • [Foreningsnavn] [Adresse] [Email]

  • Formål med databehandling
  • Vi behandler personoplysninger for at: - Administrere medlemskaber - Opkræve kontingent - Informere om aktiviteter - [Andre formål]

  • Typer af data vi behandler
  • - Navn, adresse, telefon, email - Betalingsoplysninger - [Andre datatyper]

  • Retsgrundlag
  • - Medlemskabsaftalen (kontraktforhold) - Samtykke (til nyhedsbreve, billeder)

  • Opbevaringsperiode
  • - Medlemsdata: Så længe du er medlem + 1 år - Regnskabsdata: 5 år (lovkrav)

  • Deling af data
  • - Vi deler data med [relevante systemer/partnere] - Vi sælger aldrig data

  • Dine rettigheder
  • - Ret til indsigt - Ret til berigtigelse - Ret til sletning - Ret til at klage til Datatilsynet

  • Sikkerhed
  • - Data opbevares sikkert i [systemer] - Adgang er begrænset

  • Kontakt
  • Ved spørgsmål kontakt: [email] ```

    Databehandleraftaler

    Når I bruger eksterne systemer:

    • Conventus, Mailchimp, etc.
    • De er "databehandlere"
    • Der skal være en aftale
    De fleste leverandører har standardaftaler klar.

    Særlige situationer

    Børn og unge

    Ekstra forsigtighed:

    • Under 13 år: Forælders samtykke til det meste
    • Under 18 år: Forælders samtykke til billeder
    • Vær ekstra varsom med billeder af børn

    Følsomme oplysninger

    Særlige kategorier (kræver eksplicit samtykke):

    • Helbredsoplysninger (allergier, handicap)
    • Religiøs overbevisning
    • Politisk tilhørsforhold
    • Seksuel orientering
    Tip: Undgå at indsamle hvis ikke absolut nødvendigt.

    Billeder

    Billeder er persondata:

    • Få samtykke til offentliggørelse
    • Vær opmærksom på børnebilleder
    • Respektér hvis nogen vil have slettet
    Praktisk:
    • Informér ved events om fotografering
    • Lad folk melde fra
    • Slet ved anmodning

    Hjemmeside og cookies

    Cookie-samtykke:

    • Hvis I bruger cookies ud over nødvendige
    • Analytics, Facebook Pixel, etc.
    • Cookie-banner med valg

    Databrud

    Hvad er et databrud?

    Eksempler:

    • Hacket email med medlemsoplysninger
    • Mistet USB med medlemsliste
    • Sendt medlemsliste til forkert modtager
    • Stjålet computer med data

    Hvad skal I gøre?

    Ved databrud:

  • Vurdér risikoen (hvad er lækket, hvor mange berørt)
  • Dokumentér hændelsen
  • Underret Datatilsynet inden 72 timer (hvis risiko)
  • Informér berørte personer (hvis høj risiko)
  • Tag skridt til at forhindre gentagelse
  • Anmeldelse til Datatilsynet

    Skal anmeldes hvis:

    • Risiko for fysiske personers rettigheder
    • Undtagelse: Usandsynligt at det udgør risiko
    Anmeld via: datatilsynet.dk

    Ansvar i foreningen

    Dataansvarlig

    Foreningen er dataansvarlig:

    • Bestyrelsen har det overordnede ansvar
    • Kan delegere praktisk håndtering

    Databeskyttelsesrådgiver (DPO)

    De fleste foreninger behøver IKKE en DPO.

    Krav kun ved:

    • Systematisk overvågning i stor skala
    • Behandling af følsomme data i stor skala

    Praktisk fordeling

    Overvej:

    • Hvem har ansvar for GDPR-compliance?
    • Hvem håndterer henvendelser?
    • Hvem vedligeholder dokumentation?

    Tjekliste: GDPR for foreninger

    Dokumentation

  • [ ] Fortegnelse over behandlingsaktiviteter
  • [ ] Privatlivspolitik på hjemmesiden
  • [ ] Samtykkeerklæringer hvor nødvendigt
  • [ ] Databehandleraftaler med leverandører
  • Processer

  • [ ] Procedure for at håndtere indsigtsanmodninger
  • [ ] Procedure for sletning af data
  • [ ] Procedure ved databrud
  • [ ] Årlig gennemgang af data og formål
  • Teknisk

  • [ ] Sikker opbevaring af data
  • [ ] Adgangskontrol (hvem har adgang)
  • [ ] Backup
  • [ ] Sikre adgangskoder
  • Kommunikation

  • [ ] Medlemmer informeret om databehandling
  • [ ] Samtykke indhentet hvor nødvendigt
  • [ ] Nem måde at kontakte jer
  • Print jeres privatlivspolitik

    Det kan være praktisk at have privatlivspolitikken på papir til nye medlemmer. Tonerland har billige printerpatroner.

    Hjemmeside og GDPR

    Tjek jeres hjemmeside:

    • Privatlivspolitik synlig
    • Cookie-samtykke (hvis relevant)
    • Sikker forbindelse (https)
    • Kontaktformular med samtykke
    Tip: Mehosting tilbyder dansk webhosting med SSL inkluderet.

    Ofte stillede spørgsmål

    Må vi have billeder af medlemmer på hjemmesiden?

    Ja, hvis:

    • I har samtykke
    • Det er klart hvad billederne bruges til
    • Folk kan bede om at få dem fjernet

    Hvor længe må vi gemme data?

    Så længe der er et formål:

    • Medlemsdata: Så længe de er medlemmer + rimelig tid
    • Regnskabsdata: 5 år (lovkrav)
    • Marketingdata: Så længe samtykke gælder

    Må vi dele medlemslister?

    Generelt nej:

    • Ikke til kommercielle formål
    • Ikke uden samtykke
    • Undtagelse: Til forbund/organisationer hvis det fremgår af formål

    Hvad hvis et tidligere medlem vil slettes?

    I skal slette:

    • Medmindre I har lovligt grundlag for at beholde
    • Regnskabsdata skal ofte gemmes (lovkrav)
    • Dokumentér anmodning og handling

    Kan vi få bøder?

    I teorien ja, men:

    • Datatilsynet fokuserer på vejledning
    • Foreninger får sjældent bøder
    • Alvorlige brud kan straffes
    Bedste forsvar: Vis at I tager det seriøst og gør jeres bedste.

    Ressourcer

    Danske ressourcer

    Datatilsynet:

    • datatilsynet.dk
    • Vejledninger til foreninger
    • Skabeloner
    DGI/DIF:
    • Har vejledninger til idrætsforeninger
    • Skabeloner til privatlivspolitik

    Konklusion

    GDPR for foreninger handler om:

    • Sund fornuft
    • Respekt for medlemmers data
    • Dokumentation
    • God datahygiejne
    Start med:
  • Lav en privatlivspolitik
  • Dokumentér hvilke data I har
  • Sørg for sikker opbevaring
  • Slet data I ikke har brug for
  • Husk: Perfekt compliance er svært – gør jeres bedste, dokumentér jeres overvejelser, og vis vilje til at forbedre jer.

    Læs også: IT-sikkerhed for foreninger og Medlemsstyring