Hvad kommer databeskyttelsesforordningen (GDPR) helt konkret til at betyde for jeres medlemshåndtering? Og er jeres medlemssystem i compliance med GDPR, som har virkning pr. 25. maj 2018? Der er masser af spørgsmål, men ingen lette svar når det gælder GDPR. Men vi håber at denne artikel, der kan fungere som en slags tjekliste, om databeskyttelse i samspil med medlemssystem kan give inspiration.

16. november 2017

Af: Thorleif Rytz Gotved

Du ved det.

Alle dine kollegaer i sekretariatet ved det.

Ja, selv i jeres hovedbestyrelse er der helt sikkert mindst et medlem, hvis ikke to, som har løftet pegefingeren og talt om det alle snakker om:

At EU’s databeskyttelsesforordning (også kendt som GDPR) er på vej. Faktisk er den allerede trådt i kraft, men får først virkning pr. 25. maj 2018.

Men hvad betyder det helt konkret for jeres medlemssystem – og hvad skal der til for at sikre compliance med GDPR? Skal I måske ud og købe nyt medlemssystem?

Principper og grundregler

Desværre er der ikke et enkelt svar på de spørgsmål. Og det skyldes, at GDPR bygger på en række principper og grundregler om databeskyttelse,  som kan tolkes på forskellige måder.

Fx er det centralt i såvel den nuværende persondatalov, som den nye GDPR, at den dataansvarlige og -behandleren skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre, at medlemsdata bl.a. ikke misbruges, utilsigtet tilintetgøres eller i øvrigt behandles i strid med loven.

Men hvad betyder det så – sådan helt konkret?

Denne artikel er Groupcares bud på nogle områder, som medlemsorganisationer bør være opmærksomme på for at sikre compliance med GDPR i relation til medlemssystemet. Bemærk at artiklen ikke indeholder alle de ting, man skal være opmærksom på, bl.a. fordi der kan være særlige forhold for forskellige foreningstyper (fx fagforeninger, politiske partier, patientforeninger mv.) samt den enkelte forening, som skal tages med i betragtning.

Målgruppen for artiklen er aktive og ansatte i medlemsorganisationer, særligt dem som arbejder med eller har ansvar for medlemsadministration og -kommunikation uanset hvilket medlemssystem der benyttes i dag. Som en særlig service til vores eksisterende kunder har vi med kursiv nederst i hvert afsnit skrevet hvordan Membercare/Membersite understøtter de enkelte punkter.

Kan I slette eller anonymisere data?

I dag er det helt normal praksis i mange foreninger, at identificerbare data på udmeldte medlemmer gemmes. Det kan der være gode og knap så gode grunde til.

Blandt de gode grunde er fx, at et kontingent er fradragsberettiget og derfor skal oplysningerne gemmes i en årrække, eller at der er en retslig forpligtelse etc.

Men mange foreninger gemmer data, fordi det ikke er muligt at slette dem i systemet eller af bekvemmelighed: for hvis et udmeldt medlem ønsker at blive medlem igen, så skal personen blot aktiveres med et enkelt tryk på en knap.

Men den går ikke!

Medlemsoplysninger er indsamlet med et udtrykkeligt og sagligt formål, og når medlemskabet er ophørt, så skal data i princippet slettes.

Nitten ved at slette data er imidlertid, at værdifulde statistikdata går tabt. Med det resultat, at det fx ikke er muligt i medlemsdatabasen, at genskabe hvor mange medlemmer der var for fem år siden. Og hvor mange af dem som stadig er medlem.

Derfor er det en rigtig god ide, såfremt jeres medlemssystem giver mulighed for det, at anonymisere medlemsdata. Dvs. at fx navn, e-mailadresse, adresse mm. fjernes, så personen ikke længere umiddelbart kan identifceres, men at man stadig har registreret, at en uidentificerbar person var medlem i en given periode. Dermed overholdes principperne i databeskyttelsesforordningen.

I Membercare er det muligt at anonymisere medlemmer, således at principperne i GDPR overholdes, samtidig med at medlemsdata til statistikbehandling beholdes. Det kan enten ske i en automatiseret form, hvor personer anonymiseres efter en periode, eller ved ganske enkelt at trykke på en knap ud for et enkelt medlem, såfremt anonymisering skal ske nemt og med det samme.

Dataroller/rettighedsstyring

Det er vigtigt, at jeres it-systemer sikrer, at kun relevante ansatte og (aktive) medlemmer kan se det som er nødvendigt for deres virke. Hvis fx receptionisten har til opgave at slå medlemmer op i systemet, at rette kontaktoplysninger mm, så skal personen naturligvis have mulighed for det. Men hvis der er information på medlemmer i et ESDH-system (typisk sagsdokumenter), så må receptionisten ikke have adgang til disse oplysninger.

Et andet eksempel kan være en lokalformand, som skal have adgang til medlemssystemet for at kunne slå medlemmer op eller trække en medlemsliste. I såfald er det vigtigt, at lokalformanden KUN har rettighed til at få oplysninger om sine egne medlemmer, og ikke medlemmer fra andre lokalforeninger.

Medlemssystemet Membercare er opbygget med dataroller, så kun relevante personer har adgang til relevante data. Hvem der må tilgå hvad defineres af den enkelte forening.

Opbevaring af data

For at overholde GDPR, er det en forudsætning at fx medlemsdata hostes inden for EU’s grænser. Data kan også opbevares i andre lande, fx USA, men så kræver det – for at juraen er i orden – at leverandøren er selv-certificeret i forhold til den såkaldte Privacy Shield-aftale. Samt at man har indgået en databehandleraftale direkte med databehandleren.

Et godt eksempel er nyhedsbrevsklienten MailChimp, som ca. 40 % af professionelle danske foreninger benytter – de hoster deres data i USA (hvis I benytter MailChimp og ikke har indgået en databehandleraftale, så læs i denne artikel – nederst – hvordan en sådan aftale laves på 2 min).

Hvis man benytter medlemssystemet Membercare, så hostes alle data via vores samarbejdspartner, SAC IT, som opbevarer data i Danmark, nærmere bestemt i Ballerup.

Er logning en mulighed?

Hvem har gjort hvad og hvornår? Hvis jeres medlemssystem har en logningsfunktion, så er det muligt at se hvem der har lavet diverse ændringer. Fx ændring af en bestyrelsespost. Denne funktion er særlig relevant hvis fx lokalaktive eller medlemmerne selv har adgang til at foretage ændringer.

Membercare logger stort set alle ændringer, så det er muligt at se, hvem der har lavet diverse ændringer

To-faktor login for bedre beskyttelse

Hvis man ønsker at træffe de fornødne tekniske sikkerhedsforanstaltninger, så er det en rigtig god ide at aktivere en to-faktor login, hvis jeres medlemssystem har en sådan feature. Husk at to-faktor login også er mindst lige så relevant i forhold til evt. selvbetjeningsløsninger. En to-faktor login sikrer, at man modtager fx en SMS med en særlig adgangskode, når man forsøger at logge sig på et system.

Såvel medlemssystemet Membercare som selvbetjeningsplatformen, Membersite, har to-faktor funktion, som kan tilsluttes, hvis man ønsker det. Det er blot et spørgsmål om at sætte det rigtige flueben i konfigurationen.

Right to be forgotten

Det er en udbredt misforståelse, at ”The Right to be forgotten” er en nyskabelse med den nye GDPR. For den rettighed var faktisk også en del af den eksisterende persondatalov. Nyt med GDPR er dog bl.a. at evt. tredjepart, som har fået udleveret data også skal underrettes.

Men ny eller ej – det afgørende er, at jeres medlemssystem nemt kan glemme et medlem – dvs. slette eller anonymisere.

Medlemssystemet Membercare kan som allerede nævnt anonymisere medlemmer.

Proportionalitetsprincippet

Dette princip betyder kort sagt, at kun den relevante og tilstrækkelige information, som er nødvendig til opfyldelse af formålet, må indsamles. Nu er foreninger heldig stillet, fordi fundamentet altid er et sæt vedtægter som definerer hvad formålet med foreningen er. Og vedtægter kan foreningen jo selv ændre.

Er der fx tale om en patientforening, som har til formål at rådgive og informere medlemmer, lave interessevaretagelse osv, så er der vide rammer for, hvad man må indsamle af oplysninger. For eksempel er det kun helt naturligt, at registrere hvilken sygdom/lidelse medlemmer lider af, da sådanne oplysninger lever op til formålet.

Men der er andre ting man skal være opmærksom på. Hvis I fx registrerer medlemmers personnummer, så skal der være en god grund til det. For eksempel hvis kontingentet er fradragsberettiget. Hvis der ikke foreligger en god grund, men I gerne vil vide noget om deres alder for at få et overblik over foreningens demografi, så skal I sikre, at kun fødselsdatoen registreres og ikke de sidste fire cifre i CPR-nummeret.

I Membercare er fødselsdato og de fire cifre i CPR adskilt, så det er muligt kun at anføre fødselsdatoen, hvis det ønskes.

Indsigtsret

Når man er registreret, fx i forbindelse med et medlemskab, har man både i den eksisterende persondatalov og den nye GDPR en ret til at få oplyst, hvad der er registreret om ens person. Hvis et medlem ønsker at gøre brug af denne rettighed, så kan det hurtigt blive en yderst ressourcetung opgave. For hvad har personen deltaget i af kurser, har medlemmet haft tillidsposter osv.?

Derfor vil det være relevant, hvis jeres medlemssystem hurtigt og bekvemt kan lave et komplet udtræk af data på en person. Dermed kan man, nærmest som at trykke på en knap, få samlet alle oplysninger om personens medlemskaber, tillidsposter (også historiske), arrangementsdeltagelse osv.

Membercare får med version 18.1, som har release til marts 2018, en ny funktion, så der hurtigt og nemt kan laves en komplet udtræksrapport på alle data om et givent medlem.

Skal I have nyt system?

Hvis jeres eksisterende medlemssystem ikke er 100 % i compliance med GDPR, skal I så have nyt system eller udvikle det eksisterende?

Der er sikkert en del it-sælgere som vil sige ”ja” til det spørgsmål. Men det er ikke nødvendigvis korrekt, hvilket bl.a. fremgår af Justitsministeriets betænkning 1565, side 483.

”Et eksempel på en situation, hvor denne afvejning af hensyn kommer i fokus, vil være, når et ældre systems sikkerhed skal gennemgås. Viser det sig i et sådant tilfælde, at systemet ikke på alle områder helt modsvarer det aktuelle tekniske niveau, men at implementeringsomkostningerne ved at bringe hele systemet på niveau er uforholdsmæssigt store, kan den dataansvarlige i stedet søge at imødekomme behovet for større sikkerhed ved hjælp af også organisatoriske foranstaltninger. Der er således ingen forpligtelse til at efterkomme sikkerhedskravene alene rent teknisk…”

Organisatoriske foranstaltninger er ofte det samme som dyrebare sekretariatsressourcer. Derfor bør den enkelte medlemsforening lave en analyse af, om det ikke i virkeligheden er billigere at lave tilretninger til deres nuværende system. Eller endnu bedre: overgå til et system, hvor de er garanteret compliance – ikke bare nu, men også på sigt. For en ting er, at der er vedtaget en ny GDPR. Noget andet er den løbende fortolkning, som gør at de tilpasninger, I evt. får lavet i dag, ikke nødvendligvis er tilstrækkeligt i morgen.

 Dokumentationskrav

Den nye databeskyttelsesforordning kræver som noget nyt, at organisationer skal dokumentere hvad de gemmer af data, hvor og hvorfor de gemmer det, deres sikkerhedsforanstaltninger osv. Det er en øvelse som alle foreninger skal igennem om man vil det eller ej.

DI (Dansk Industri) har udarbejdet en ganske udmærket vejledning i, hvordan man laver førnævnte analyse, som også kaldes for en DPIA (Data Privacy Impact Assessement). Du kan finde vejledningen her.

 

Nysgerrig på Membercare?

Hvis du eller en fra din organisation er nysgerrig efter at se nærmere på medlemssystemet Membercare og selvbetjeningsplatformen Membersite, så skriv eller ring til Emil Hovøre Andersen på eha@groupcare.com eller tlf. +45 5184 2654