Är ert medlemssystem redo för dataskyddsförordningen?

Vad kommer dataskyddsförordningen (GDPR) helt konkret att innebära för er medlemshantering? Och är ert medlemssystem i compliance med GDPR som träder i kraft den 25 maj 2018? Det finns många frågetecken men inga enkla svar när det gäller den nya lagstiftningen. Men vi hoppas att denna artikel kan fungera som en slags checklista om dataskydd i en kontext av medlemssystem för att ge inspiration.

Av: Thorleif Gotved

Alla pratar om det. Förmodligen har ni minst en styrelseledamot som lyft fingret och nämnt det som just nu är på allas läppar. Nämligen att EU:s dataskyddsförordning (även känd som GDPR) är på väg. Faktum är, att den redan faktiskt trätt i kraft men först börjar gälla den 25 maj 2018.

Men vad betyder den rent konkret för ert medlemssystem – och vad ska till för att säkerställa att regelverket följs? Kan det t.o.m. vara så att ni behöver ett nytt system?

Principer och grundregler

Dessvärre finns det inte ett enkelt svar på detta. Det beror på att GDPR bygger på en rad principer och grundregler om dataskydd, vilka kan tolkas på olika sätt.

Det är exempelvis centralt i såväl den nuvarande personuppgiftslagen (PuL) som i GDPR att dataansvarig och datahanterare ska vidta nödvändiga tekniska och organisatoriska åtgärder rörande dataskydd. Detta för att säkerställa att medlemsdata inte missbrukas, oavsiktligt kommer på villovägar eller i övrigt behandlas i strid med rådande lagstiftning.

Men vad innebär det – rent konkret?

Denna artikel är Groupcares förslag på områden medlemsorganisationer bör vara särskilt uppmärksamma på för att säkerställa att GDPR följs med hänsyn till medlemssystemet. Vänligen notera att artikeln inte innehåller allt man ska vara uppmärksam på, bl.a. eftersom det kan råda särskilda förhållanden i olika typer av föreningar (ex. fackförbund, politiska partier, patientföreningar osv.).

Artikeln riktar sig främst till aktiva och anställda i medlemsorganisationer och i synnerhet till de som arbetar inom, eller har ansvar för, medlemsadministration och -kommunikation, oavsett vilket medlemssystem som används i dagsläget. Som en särskild service till våra existerande kunder har vi med kursiv text i botten av varje avsnitt beskrivit hur Membercare/Membersite stödjer de olika punkterna.

När ska man radera eller anonymisera data?

Idag är det praxis i många föreningar att identifierbara data på medlemmar som lämnat föreningen sparas. Det kan det finns goda och mindre goda grunder till.

Till de goda anledningarna hör exempelvis att medlemsavgiften kan vara avdragsgill, varför upplysningarna skall sparas ett antal år. Men många föreningar sparar data eftersom de inte går att ta bort i systemet eller helt enkelt av ren bekvämlighet. Ett exempel på det senare är en medlem som lämnat föreningen men som begär nytt inträde. I det fallet ska personen blott aktiveras med ett enkelt knapptryck. Men detta är inte tillåtet.

Medlemsupplysningar samlas nämligen in med ett uttryckligt och tydligt syfte – medlemshantering – och när medlemskapet upphör ska data raderas enligt principen.

Nackdelen med att radera data är emellertid att värdefull statistik går förlorad. Det innebär att t.ex. inte är möjligt att i medlemsdatabasen återskapa hur många medlemmar föreningen hade för fem år sen. Eller hur många av dem som fortfarande är medlemmar.

Därför är det en god idé att anonymisera medlemsdata – om ert medlemssystem har möjlighet för detta. En anonymisering innebär att t.ex. namn, e-postadress, adress m.m. tas bort så att personen inte längre kan identifieras. På så vis har man fortfarande registrerat att en viss person var medlem en given period samtidigt som man följer dataskyddsförordningens principer.

I Membercare är det möjligt att anonymisera medlemmar för att således följa principerna i GDPR samtidigt som medlemsdata för statistik bevaras. Det kan antingen ske i automatiserad form genom att personer anonymiseras efter en period eller genom ett knapptryck om personen ska anonymiseras med det samma.

Dataroller/styrning av rättigheter

Det är viktigt att ert medlemssystem säkerställer att endast relevanta anställda (och aktiva) medlemmar kan se vad som är nödvändigt för deras arbete. Om t.ex. receptionisten har som arbetsuppgift att lägga upp nya medlemmar i system och korrigera kontaktuppgifter så skall denne naturligtvis ha möjlighet att göra detta. Men om det finns information om medlemmarna i ett tillknutet dokumenthanteringssystem (typiskt ärenden relaterade till personen) så ska receptionisten inte ha tillgång till denna.

Ett annat exempel är en lokalordförande som ska ha åtkomst till medlemssystemet för att kunna registrera medlemmar eller se medlemslistor. I detta fall är det viktigt att lokalordföranden enbart har möjlighet att tillgå upplysningar om sina egna medlemmar och inte medlemmar från andra lokalföreningar.

Medlemssystemet Membercare är uppbyggt kring dataroller så att enbart personer har tillgång till data som rör deras arbetsuppgifter. Vem som får åtkomst till vad definieras av föreningen själv.

Lagring av data

För att följa GDPR är det en förutsättning att exempelvis medlemsdata hostas inom EU:s gränser. Data kan också lagras i andra länder, t.ex. USA, men då kräver lagen att leverantören är certifierad av den så kallade Privacy Shield-avtalet samt att föreningen ingått ett databehandlingsavtal direkt med leverantören.

Ett bra exempel är nyhetsbrevstjänsten MailChimp som många professionella medlemsorganisationer använder och som hostar deras data i USA.

Om man använder medlemssystemet Membercare så hostas alla data hos vår samarbetspartner SAC IT som lagrar data i Danmark och har hög säkerhet.

Får man logga aktiviteter?

Vem har gjort vad och när? Om ert medlemssystem har en loggfunktion så är det möjligt att se vem som har gjort vilka ändringar, t.ex. ändring av en styrelsepost. Denna funktion är särskilt relevant om t.ex. lokalt aktiva eller medlemmarna själva har företagit diverse ändringar.

Membercare loggar i stort sett alla ändringar, vilket gör det möjligt att se vem som gjort vad.

Tvåstegsverifiering för bättre säkerhet

Om man önskar att vidta nödvändiga tekniska säkerhetsåtgärder så är det en god idé att tillämpa tvåstegsverifiering om ert medlemssystem har möjlighet för detta. En tvåstegsverifiering säkerställer att man mottar t.ex. ett SMS med en särskild kod när man ska logga in i ett system. Och kom ihåg att tvåstegsverifiering också är minst lika relevant i förhållande till eventuella självbetjäningslösningar.

Såväl medlemssystemet Membercare som självbetjäningsplattformen Membersite har tvåstegsverifiering som kan aktiveras om så önskas. Det görs genom att helt enkelt bocka för alternativet i konfigurationen.

Right to be forgotten

Det råder brett missförstånd om att ”The right to be forgotten” är något nytt i förbindelse med GDPR. Denna rättighet är nämligen del av rådande lagstiftning. Nytt med GDPR är dock bl.a. att eventuell tredjepart som fått åtkomst till data också ska underrättas.

Ny lag eller ej – det avgörande är att ert medlemssystem enkelt kan ”glömma” en medlem, dvs. ta bort eller anonymisera denne.

Medlemssystemet kan som redan nämnt anonymisera medlemmar.

Proportionalitetsprincipen

Denna princip, som är en av hörnstenarna i det kommande regelverket, innebär kort sammanfattat att endast relevant information som är nödvändig för att uppnå föreningens syfte får samlas in. Här har föreningar en fördel på så vis att dessa alltid har stadgar som tydligt definierar organisations syfte. Och stadgar går ju dessutom att ändra.

Är det t.ex. tal om en patientförening som har till syfte att ge råd till och informera medlemmar, ägna sig åt politisk påverkan och liknande så är finns det utrymme att insamla förhållandevis mycket information. Det är exempelvis helt naturligt att registrera vilken sjukdom/åkomma medlemmarna lider av, då dessa är nödvändiga för att föreningen ska kunna uppnå sitt syfte. För ett politiskt parti är eventuella sjukdomar varken relevant eller nödvändig information att insamla.

I Membercare är födelsedatum och de sista fyra siffrorna i personnumret åtskilda, för att på så vis enbart visa födelsedatum om detta önskas.

Insiktsrätt

När en person i förbindelse med exempelvis medlemskap har blivit registrerat så har denne enligt såväl nuvarande personuppgiftslag som GDPR rätt att få veta vilka uppgifter som registrerats. Om en medlem önskar att begära ut dessa uppgifter så innebär det ofta resurskrävande arbete för administratörerna: Vad för kurser har personen deltagit i? Har medlemmen några förtroendeuppdrag? Finns det ärenden relaterade till medlemmen?

Därför kommer det vara viktigt att ert medlemssystem snabbt och enkelt kan skapa en komplett sammanställning över all data som finns på personen. På så vis kan man genom ett enkelt knapptryck få samlat alla upplysningar om personens medlemskap, förtroendeuppdrag (även historiska), evenemangsdeltaganden osv.

Membercare får med version 18.1 (släpps i mars 2018) en ny funktion som man snabbt och smidigt kan skapa en komplett rapport över alla data för en given medlem.

Ska ni ha nytt system?

Om ert nuvarande system inte är i 100% compliance med GDPR, ska ni då köpa ett nytt eller utveckla det existerande?

Många IT-säljare skulle nog svara ”ja” på den frågan. Men det är inte nödvändigtvis helt korrekt, vilket bland annat framgår av exempelvis det danska justitieministeriets betänkande 1565, sidan 483.

”Ett exempel på en situation, i vilken denna avvägning kommer i fokus, kommer vara när ett äldre systems säkerhet ska genomgås. Visar det sig att om systemet inte lever upp till de tekniska kraven på samtliga områden men att implementeringskostnaderna för att uppgradera systemet är orimligt höga kan den dataansvariga istället vidta organisatoriska åtgärder för att öka säkerheten. Det är således ingen förpliktelse att möta säkerhetskraven med enbart tekniska medel […]

Organisatoriska åtgärder innebär ofta användandet av dyrbara kansliresurser. Därför bör den berörda föreningen göra en analys över om det i verkligheten inte är billigare att uppgradera det nuvarande systemet. Eller ännu bättre: Att byta till ett system som garanterat följer GDPR – inte bara nu men också på sikt. Det antagna regelverket är nämligen en sak, hur det i framtiden kommer att tolkas i praktiken en annan. Kraven kan alltså komma att ändras och de ändringar man företar sig idag är inte nödvändigtvis tillräckliga imorgon.

Dokumentationskrav

Den nya dataskyddsförordningen kräver dessutom att organisationer ska dokumentera vidtagna säkerhetsåtgärder, vilka data de sparar, var de sparar data samt varför detta görs. Det är övning som samtliga föreningar ska igenom oavsett de vill det eller ej.

 

Nyfiken på Membercare?

Om du eller någon från din organisation vill få en titt på medlemssystemet Membercare och självbetjäningslösningen Membersite, skriv eller ring till Anna Norrman på an@groupcare.com eller tel. 0703-39 41 49.

2018-11-06T11:58:28+00:00