Efteråret er sæson for indsamlinger med velgørende formål. Søndag den 7. oktober havde Røde Kors landsindsamling. Det var første gang efter EU’s persondataforordning trådte i kraft. En hændelse i København tyder på, at det kan være svært for organisationer som Røde Kors at have styr på datasikkerheden.
I mange tilfælde er loven firkantet, mens virkeligheden er trekantet, og her må man finde den bedste mulige løsning. Men man skal selvfølgelig stadig overholde loven
Allan Frank, it-sikkerhedsspecialist hos Datatilsynet.
Hvad er databeskyttelsesloven?
- En EU-lov, der skal beskytte personidentificerende oplysninger
- Loven trådte i kraft 25 maj 2018
- Loven skal give den enkelte bedre kontrol over deres oplysninger
- Loven handler om hvordan offentlige institutioner, organisationer og virksomheder skal indsamle, anvende og opbevare personlige oplysninger
- Loven foreskriver, at der skal være formål med indhentning af oplysningerne og
- Den enkelte har ret til at få besked hvis deres oplysninger bruges og om hvem der modtager deres oplysninger
- Ledelse har ansvaret, hvis reglerne overtrædes
Kilde: Datatilsynet
I København på et lokalt mødested for indsamlere havde fire frivillige fået til opgave at indtjekke de frivillige indsamlere, der skulle ud og stemme dørklokker. Helena Kanafani var en af de frivillige, som stod for registreringen. Hun var blevet tilmeldt gennem en veninde, der var lokal indsamlingsleder. Helena Kanafani blev ikke bedt om at opgive sit navn til Røde Kors. Til trods for det, fik hun gennem et fælles-login betroet adgang til persondata på indsamlerne.
– Vi fik at vide på kurset, at vi sad med persondata som navne, adresser og telefonnummer. Vi skulle derfor huske at logge ud af det fælles login, forklarer Helena Kanafani.
Ekspert: der sker ofte menneskelige fejl
Ekspert fra Datatilsynet vurderer, at Røde Kors kan have overtrådt retningslinjerne, men forklarer, at det er noget, der sker relativt ofte. Han mener, at en af hovedgrundene kan være, at man lokalt kommer til at tilsidesætte sikkerheden.
– Det er et muligt brud på behandlingssikkerheden, men det tyder på, at det er en enkeltstående menneskelig fejl, som kan være sværere at gardere sig mod. Det er en overtrædelse, men af mindre alvorlig grad, siger Allan Frank, it-sikkerhedsspecialist hos Datatilsynet.
Han påpeger, at det kan være ekstremt vanskeligt at føre kontrol med frivillighed. Det, mener han, skyldes især de store udskiftninger i frivilligbestanden og alsidige situationer i lokalområder.
– Røde Kors er kommet et langt stykke af vejen i forhold til at gøre det rigtigt, men et potentielt sikkerhedsbrud peger i retning af, at de er ikke nået helt i mål. I mange tilfælde er loven firkantet, mens virkeligheden er trekantet, og her må man finde den bedste mulige løsning. Men man skal selvfølgelig stadig overholde loven, siger Allan Frank, it-sikkerhedsspecialist hos Datatilsynet.
Ansvaret ligger hos Røde Kors
Morten Jørgensen, der er chef for fundraising hos Røde Kors og ansvarlig for landsindsamlingerne, mener, at den nye persondataforordning, stiller store krav til organisationer. Ifølge ham gør organisationen meget for at overholde reglerne, blandt andet ved instrukser om at registrere, hvem der er frivillig.
Han understreger, at Røde Kurs arbejder målrettet for at leve op til reglerne i den nye dataforordning. Morten Jørgensen medgiver dog, at Røde Kors har dataansvaret, men han kan ikke afgøre om organisationen har brudt med reglerne, da de ikke registrerede identiteten på de frivillige.
–Hvis der sker et brud med datasikkerheden, er der ikke andet at gøre end forsøge at rette op dér, hvor fejlen skete, siger han.
Sådan gjorde vi: Journalisten blev gjort opmærksom på sagen via et tip, hvor der medfulgte en kontakt på en kilde. Kilden blev interviewet om hændelsesforløbet og derefter blev Datatilsynet kontaktet for at afklare om det er en lovovertrædelse. Journalisten tog efterfølgende kontakt til Røde Kors for at høre om deres arbejde med GDPR og hvad de mente om den enkelte sag. Kilder er kontaktet telefonisk.