Frivillige organisationer kæmper med datasikkerhed

Den nye dataforordning stiller store krav til frivillige organisationer.
Foto: Flickr

EU’s nye dataforordning stiller store krav til frivillige organisationer.

Ifølge NGO’erne brancheforening, ISOBRO, har justitsministeriet for nylig annonceret, at de vil udforme en vejledning, der bliver udgivet i foråret 2019.

Men det er et helt år efter forordningen trådte i kraft, og i mellemtiden har den manglende vejledning allerede været både tidskrævende og dyr for organisationerne.

Flere organisationer har måttet hyre jurister ind for at få styr på deres datasikkerhed. Det gælder blandt andre Dansk Flygtningehjælp.

– Vi har selv skulle oversætte dataforordningen til frivillighedsområdet. Der er ingen formelsamling, så selv de fremmeste advokater har revet sig i håret. Man kan sige, at vi har bygget skibet, mens det sejlede siger Lone Tinor-Centi, der er chef for organisationens frivilligafdeling.

Samarbejdet med de frivillige bliver udfordret, når kommunerne finder det problematisk, at vores it-systemer ikke understøtter vores frivillige
Lone Tinor-Centi, chef for frivillige-Afdelingen i rganisationen

Private emails er no go

For Dansk Flygtningehjælp har det især været afgørende at få styr på reglerne, da organisationens frivillige arbejder med ekstra følsomme oplysninger på flygtninge. Derfor har den manglende vejledning på lige præcis frivilligområdet været utilfredsstillende, ifølge Lone Tinor Centi.

Lone Tinor-Centi mener, at det særligt er samarbejdet med de frivillige besværliggøres. Hos Dansk Flygtningehjælp har de frivillige grupper ikke haft en frivilligmail. Det har betydet, at de tidligere har brugt deres egne mails efter samtykke fra flygtningene, når de skulle videregive oplysninger på flygtninge.

– Samarbejdet med de frivillige bliver udfordret, når kommunerne finder det problematisk, at vores it-systemer ikke understøtter vores frivillige, eller de frivillige ikke ønsker at bruge deres private konti, forklarer Lone Tinor-Centi.

Røde Kors: Vi er hele tiden opmærksomme

Hos Røde Kors mener de også, at det frivillige arbejde er udfordret. Den manglende vejledning fra justitsministeret betyder, at organsationen løbende vurderer, om deres procedurer virker, eller om der er nogle udfordringer, vi ikke først havde bemærket.

Ifølge Morten Jørgensen, chef for fundraising hos Røde Kors og ansvarlig for landsindsamlingerne, gør organisationen meget for at overholde reglerne, blandt andet ved instrukser om at registrere, hvem der er frivillig. Han mener, at det internt i organisationen har givet anledning til at kigge procedurer efter i sømmene og få rettet op på nogle arbejdsgange.

– Generelt er vi hele tiden opmærksomme på at overholde GDPR-forordningen. Vi mener, vi har fundet et passende niveau for, hvad vi kræver af sikkerheden, og hvordan vi behandler data, mener Morten Jørgensen.

Hos Dansk Flygtningehjælp har de allerede en version 2.0 af deres fortolkning af persondataforordningen og Lone Tinor Centi regner med, at de har en version 2.5 klar inden Justitsministeriet kan publicere sin vejledning om datasikkerhed på frivilligområdet.

Hvad er databeskyttelsesloven?

    • En EU-lov, der skal beskytte personidentificerende oplysninger
    • Loven trådte i kraft 25 maj 2018
    • Loven skal give den enkelte bedre kontrol over deres oplysninger
    • Loven handler om, hvordan offentlige institutioner, organisationer og virksomheder skal indsamle, anvende og opbevare personlige oplysninger
    • Loven foreskriver, at der skal være formål med indhentning af oplysningerne og
    • Den enkelte har ret til at få besked, hvis deres oplysninger bruges og om, hvem der modtager deres oplysninger
    • Ledelse har ansvaret, hvis reglerne overtrædes
      Kilde: Datatilsynet

Menneskelige fejl er udfordringen

Allan Frank, der er it-sikkerhedsspecialist hos Datatilsynet, mener, at alle der har arbejdet med de nye regler, har været udfordret. Han forklarer, at der relativt ofte sker overtrædelser af reglerne. Dog påpeger han, at mange af reglerne minder om de datasikkerhedsregler, der eksisterede i forvejen.

Han påpeger, at det kan være ekstremt vanskeligt at føre kontrol med frivillighed. Det, mener han, især skyldes de store udskiftninger i frivilligbestanden og alsidige situationer i lokalområder.

– Frivillige organisationer sidder med oplysninger, der både kan være følsomme og indsamlet under helt særlige omstændigheder. Det kan være svært at finde det rette ben at stå på, fordi det er et relativt kompliceret sagsområde. Databeskyttelse falder derfor normalt uden for frivilliges kernearbejde, men det er en vigtig ekstra kompetence, som de frivillige organisationer som dataansvarlige skal bistå dem i at oparbejde, siger Allan Frank.

Sådan gjorde vi: Journalisten blev gjort opmærksom på sagen via et tip. Journalisten kontaktede først Røde Kors og derefter diverse andre organisationer, for at høre om deres arbejde med GDPR. Mange organisationer kender til udfordringerne, men få havde mulighed for at udtale sig, da specialisterne inden for GDPR har ferie. Datatilsynet blev kontaktet for at kommentere på udfordringerne. Kilderne er kontaktet telefonisk.