GDPR i lokalforeningen

Læs her, hvordan I som lokalforening overholder persondataloven. På siden finder I retningslinjer, skabeloner og guides, som hjælper jer med at håndtere persondata korrekt.

Alle lokalforeninger i Mødrehjælpen er dataansvarlige for de oplysninger, I behandler om fx familier, frivillige og medlemmer. Følg de 9 trin nedenfor for at sikre, at I kommer hele vejen rundt om persondataloven og passer godt på de oplysninger, I har.

I den samlede guide nedenfor får I en introduktion til persondata, krav og retningslinjer og finder svar på de fleste spørgsmål og emner, som berører persondata. Har I spørgsmål, skal I kontakte jeres frivilligkonsulent.

Genvej til sidens indhold

  1. Skab overblik og lav en fortegnelse

    I skal have overblik over:

    • hvor I har personoplysninger,
    • hvem I håndterer personoplysninger om og
    • hvilke personoplysninger I håndterer.

    Det kan I gøre med en fortegnelse. Fortegnelsen sikrer, at man kommer hele vejen rundt og får overblik over alle personoplysninger i lokalforeningen.

    Nedenfor finder du en skabelon, I kan tage udgangspunkt i. Udfyld de gule felter i skabelonen og gem dokumentet på OneDrive.

    Husk at tjekke den en gang imellem, så I sikrer oplysningerne stadig, er korrekte.

    NB! Fortegnelsen er et dokument, som I som dataansvarlige skal kunne fremvise, hvis Datatilsynet kommer på kontrolbesøg.

    Skabelon til fortegnelser for lokalforeninger

  2. Spørg jer selv "hvorfor?"

    Spørg: ”Hvorfor har vi brug for disse oplysninger?”. Svaret er typisk grundlaget for behandlingen.

    Lovgrundlaget til behandlingen er typisk i aftalen med lokalforeningen som er nødvendige for foreningens drift at kunne informere om aktiviteter og udbetale støtte.

    Har i brug for at få følsomme oplysninger kræver det dog altid samtykke.

    Formålene med behandling af data udfyldes i jeres fortegnelse under pkt. 3. Find skabelonen under punkt 1.

  3. Husk at slette og bevis, at I gør det

    I skal slette personoplysninger, når I ikke længere har behov for at have dem. Spørg ”hvorfor har vi stadig brug for disse oplysninger?”. Har I ikke en god grund, så slet dem.

    I vurderer selv, hvornår oplysninger bør slettes, da I er de bedste til at vurdere, hvornår længe I har brug for dem.

    Sørg for at få gode sletterutiner og dokumentér dem – se trin 5.

  4. Oplys om, at I behandler personoplysninger

    I har pligt til at oplyse medlemmer, frivillige og ansatte om, at I har oplysninger om dem. Udover at oplyse dem om, at I har oplysninger om dem, skal I give dem en række andre informationer, f.eks. om hvad I skal bruge oplysningerne til, og hvor længe I gemmer dem.

    Det beskrives i en privatlivspolitik. I finder lokalforeningens privatlivspolitik på lokalforeningens side på Mødrehjælpens hjemmeside. Vær opmærksom på, den er korrekt og opdateret og at I lever op til det, der står i den.

    Husk at lægge et link til jeres privatlivspolitik under Generelle oplysninger på jeres Facebookside samt evt. interne Facebookgrupper, I har oprettet.

    Har I en lokal hjemmeside, skal I linke til jeres privatlivspolitik, og I skal have en cookiepolitik samt indhente samtykke, før I sætter cookies.

  5. Sørg for at have gode procedurer

    Sletteprocedure

    • Sørg for at systematisk at gennemgå OneDrive, mail og sociale medier for om der ligger billeder, dokumenter og mails, som I ikke længere har brug for eller tilladelse til at opbevare.
    • Vær særlig opmærksom på ansøgninger, tilmeldinger og kontaktlister og andet indeholdende følsomme oplysninger.
    • Vigtigt at dokumentere proceduren – gem tjeklisten med dato for, hvornår den er gennemgået.
    • Indfør halvårlig slettedag i årshjulet, så I er sikre på at få det gjort.

    Guide til oprydning i persondata.

    Skabelon til tjekliste for sletning – tilpas den gerne jeres situation.

    Beskriv lokale aftaler

    For at sikre at alle i lokalforeningen er informerede om, hvordan I behandler persondata, anbefaler vi, at I nedskriver de lokale aftaler, I har med hinanden. Find inspiration i nedenstående:

    • Hvordan I bruger Outlook e-mail (Mødrehjælpsmailen) og gemmer dokumenter på OneDrive.
      Udpeg fx mail/OneDrive-koordinator, der sørger for at indkomne ansøgninger gemmes i de rette mapper samt informerer tovholdere og andre bestyrelsesmedlemmer, når der er vigtig viden, som de skal logge ind for at læse.
    • Hvordan I indhenter børneattester.
      Fx indhentes af aktivitetsansvarlig eller -tovholder og overleveres via telefonopkald til den person i bestyrelsen, som skal søge om attesten elektronisk. Svar på børneattest arkiveres i en mappe i e-Boks, hvor svaret modtages. Personen, der modtager svar, giver aktivitetsansvarlig eller -tovholder besked om, at der er modtaget ren attest på den frivillige.
    • Hvordan I modtager, opbevarer og sletter ansøgningsskemaer fra familier.
      Fx tovholder for en aktivitet sletter et ansøgningsskema, når aktiviteten er uddelt eller afholdt. Kontaktoplysninger gemmes kun på fælles kontaktliste, hvis ansøger/familie har takket ja til at modtage mere information.
    • Hvordan I modtager, opbevarer og sletter tilmeldinger og deltagerlister til aktiviteter. Fx på den årlige oprydningsdag, slettes alle ikke relevante tilmeldings- og deltagerlister.
    • Hvordan I tager og bruger billeder/videoer og indhenter/opbevarer samtykke.
      Fx: Vi følger Mødrehjælpens retningslinjer for brug af foto og video. Vi bruger kun billeder og video af familier, når de har givet fuldt samtykke. Vi begrænser brugen af billeder på Facebook af familier.

    Find retningslinjerne her.

    Procedurer ved databrud

    Hvad gør I, og hvem er ansvarlig, hvis persondata går tabt eller forkerte får adgang til det? Se vejledning i den samlede guide øverste på siden her for forslag.

    Se vejledningen, hvis uheldet er ude og I har et databrud.

    Procedure for henvendelser

    De personer, hvis oplysninger I bruger eller gemmer, har en række rettigheder. De har bl.a. ret til at anmode om:

    • at få en kopi af deres oplysninger (ret til indsigt),
    • at få forkerte oplysninger rettet (ret til berigtielse) og
    • at få deres oplysninger slettet (ret til sletning).

    I har én måned til at besvare henvendelsen.

    Se tjekliste fra Datatilsynet, som I kan bruge, hvis I får en henvendelse.

  6. Husk sikkerheden

    Cyberangreb rammer både små og store organisationer. Derfor spiller IT-sikkerhed en vigtig rolle, når lokalforeningens systemer og personoplysninger skal beskyttes.

    Vær bl.a. opmærksom på:

    • Lås computeren – så andre, også familie/børn, ikke kan få adgang
    • Opdater computer, programmer og apps løbende
    • Outlook:
      • Send al information via mødrehjælpsmailen i Outlook, især dokumenter med personfølsom data fx ansøgninger til den Rullende Kagemand eller tilmeldinger til en udflugt
      • Lær at spotte mistænkelige mails og beskeder
      • Slet jævnligt mails og kontaktoplysninger på tidligere frivillige eller forældre
    • Adgangsbegrænsning:
      • Del aldrig adgangskoder og sørg for at lave stærke koder
      • Kun dem, der har brug for adgang, skal kunne se dokumenter med fortrolige oplysninger. Del fx en mappe i OneDrive med tovholderen for Den Rullende Kagemand, så vedkommende har adgang til at kunne se ansøgninger, men ikke adgang til de øvrige mapper på lokalforeningens OneDrive.
      • Adgangskoder: Adgangskoderne til jeres mails bliver skiftet af Mødrehjælpens IT-afdeling én gang om året samt når der er udskiftning i bestyrelsen.
    • OneDrive: Andre servere kan være usikre, gem derfor alt på foreningens OneDrive (kontaktlister, ansøgningsskemaer, fotos osv.). Det giver også IT-afdelingen mulighed for at hjælpe. Scan også gerne fysiske dokumenter og læg dem i OneDrive, alternativt gem dem i et aflåst skab.
    • E-Boks: Børneattester indhentet elektronisk modtager I svar på i foreningens e-Boks. Det er helt sikkert at lade dem forblive i en mappe på e-Boks. Altså skal I ikke at flytte dem over på jeres OneDrive.
  7. I er også ansvarlige, når I deler

    I vil næsten altid have behov for at dele data med andre enten ved at lade andre behandle jeres data eller ved at videregive data til dem.

    Bruger I systemer som fx NemTilmeld eller en lokal hjemmeside behandler de data for jer og skal I have en databehandleraftale. Ofte indgår man det automatisk ved oprettelse af en konto. Har I behov for at lave en databehandleraftale, kan I bruge denne skabelon.

    Videregiver I oplysninger til andre, bliver de også ansvarlige for dataen og bliver dataansvarlige. Det kan fx være banken, forsikringen eller Fonden Mødrehjælpen. Her er det vigtigt, at personerne bliver oplyst om videregivelsen. Det kan fx stå i den generelle persondatapolitik eller ved den konkrete delen, hvor personerne får det at vide gennem fx tilmeldingsblanketten eller aftalen, de indgår.

  8. Awareness - GDPR er alles ansvar

    Der er vigtigt, at alle frivillige kender til GDPR og hvordan man sikkert og ordentligt passer på personoplysninger. Alle, der er i kontakt med Mødrehjælpen skal gerne opleve, at deres oplysninger bliver passet godt på, uanset situationen.

    Skab derfor synlighed omkring forskellige områder af GDPR for de øvrige frivillige i lokalforeningen. Det kan fx være:

    • identifikation af databrud
    • brug af billeder
    • sletning
    • håndtering af dokumenter med persondata
    • håndtering hvis nogen bliver spurgt om, hvilken data I har på en person
    • en generel snak om, hvad GDPR egentlig er og hvorfor det er vigtigt

    I kan gøre opmærksom på det fx som et punkt på et møde, når I laver intro til nye frivillige, udsende info på mail/nyhedsbrev eller som et ophæng på opslagstavlen i butikken.

  9. Løbende vedligehold

    Når du er igennem de otte trin, er du rigtig godt på vej og har fået styr på det vigtigste inden for GDPR i lokalforeningen.

    Men GDPR er en løbende opgave og det er vigtigt at sikre, at dokumenterne og procedurerne er opdaterede samt at man løbende får slettet data, I ikke længere har brug for.

    Som hjælp til at sikre, I ikke overser noget, kan I bruge vores oplæg til et GDPR-årshjul.

    Se årshjulet nedenfor.

01 GDPR årshjul

For at overholde persondatalovgivningen skal der nedskrives en række procedurer, som løbende skal holdes ved lige. Derfor er det en god idé med et årshjul for vedligehold af procedurerne, så det sikres, at de er opdaterede. Årshjulet sikrer desuden, at man løbende løser opgaverne i stedet for at have en meget stor opgavebunke én gang årligt. Ved flere af opgaverne er der lavet en skabelon, som blot skal tilpasses jeres lokalforening. GDPR-årshjulet kan også tilpasses jeres lokalforening, så I fx løser opgaverne for marts i juli, hvis det passer bedre for jer. Det vigtige er blot at komme igennem alle opgaverne mindst én gang årligt og sørge for at dokumentere det ved at skrive datoen for udførslen i jeres GDPR-årshjul, som I gemmer på lokalforeningens OneDrive. Dette er nødvendigt for at kunne bevise over for Datatilsynet, at gennemgangen er udført og dokumenterne er opdaterede.

Hent GDPR-årshjulet her.
  • Januar: Gennemgang af lokalforeningens fortegnelse

    Som det står beskrevet under trin 1, skal alle lokalforeninger udfylde en datafortegnelse og gemme dokumentet på OneDrive. Har I ikke en fortegnelse, finder du under trin 1 en skabelon til fortegnelsen, hvor de gule felter blot skal udfyldes.

    Fortegnelsen skal gennemgås én gang årligt for at tjekke om indholdet stadig stemmer overens med lokalforeningens behandling af data.

    Når du har opdateret fortegnelsen, noterer du datoen for udførslen i jeres GDPR-årshjul.

  • Februar: Gennemgang af lokalforeningens privatlivspolitik

    På Mødrehjælpens hjemmeside ligger en generel privatlivspolitik for alle lokalforeninger. Læs teksten igennem for at tjekke, at det stemmer overens med jeres brug af data i jeres lokalforening. Er der noget, som bør ændres, kontakt Frivillig, Tværfaglige Indsatser og Udvikling på hss@moedrehjaelpen.dk og teksten vil blive opdateret.

    Når du har gennemlæst privatlivspolitikken, noterer du datoen for udførslen i jeres GDPR-årshjul.

  • Marts: Sletning af alt unødvendigt data

    En manuel gennemgang af OneDrive, mail og sociale medier om der ligger billeder, dokumenter og mails, som I ikke længere har brug for eller tilladelse til at opbevare (skal ske halvårligt).

    Find skabelon til slette-tjekliste her.

    Når I har tjekket, alt data er slettet, noterer I datoen for udførslen i jeres GDPR-årshjul.

  • April: Gennemgang af eventuelle databehandleraftaler

    Har I en lokal hjemmeside, et lokalt domæne, eller benytter I jer af andre elektroniske systemer fx vagtplansystem eller NemTilmeld hos ekstern leverandør, skal I undersøge, om I skal have en databehandleraftale med leverandøren. De fleste virksomheder, der behandler data, har selv en skabelon til databehandleraftale.

    Disse databehandleraftaler skal gennemgås én gang årligt for, om de stadig lever op til kravene og stemmer overens med det, der oprindeligt blev aftalt.

    Fonden Mødrehjælpen har udarbejdet en skabelon, som kan bruges til dette tilsyn. Kopiér indholdet fra skabelonen og send det som en mail til databehandleren. Når I har fået svar fra dem, gemmer I det på lokalforeningens OneDrive som dokumentation for tilsynet og noterer datoen udførslen af tilsynet i jeres GDPR-årshjul, som du finder en skabelon til øverst på siden.

    Hent tilsynsskabelonen her.

  • Maj: Gennemgang af risikovurderinger

    Et af formålene med GDPR er at behandle personoplysninger sikkert. For at vurdere om, man behandler oplysningerne sikkert, skal man lave en såkaldt risikovurdering. Her nedskriver man diverse risici, som kan kompromittere de personoplysninger, man behandler. Derefter vurderer man konsekvensen af hver risiko samt sandsynligheden for, at den vil ske.

    Da alle organisationer behandler personoplysninger forskelligt, er risiciene for, hvad der kan gå noget galt også forskellige. Derfor skal hver lokalforening have sin egen risikovurdering. Frivilligafdelingen har lavet en skabelon, som der kan tages udgangspunkt i. Her er også indsat eksempler på risici, som er typisk gældende for Mødrehjælpens lokalforeninger.

    Hent skabelonen til risikovurdering i lokalforeningen her.

    Skabelonen skal tilpasses ved, at du evt. retter eksemplerne til og derefter selv tilføjer de risici, du vurderer, er i jeres lokalforening.

    Derefter gemmes risikovurderingen på lokalforeningens OneDrive og genbesøges én gang årligt, hvor risiciene, konsekvenserne og sandsynlighederne revurderes.

    Når du har gennemgået risikovurderingen, noterer du datoen for udførslen i jeres GDPR-årshjul, som du finder en skabelon til øverst på siden.

  • Juni: Kursus/opmærksomhed på GDPR for alle frivillige i lokalforeningen

    De frivillige undervises af den GDPR-ansvarlige i f.eks. identifikation af databrud, brug af billeder, manuel sletning og håndtering af dokumenter med persondata. Det kan fx ske på et møde, udsendes på mails eller som ophæng på opslagstavlen. Vurdér lokalt, hvordan I bedst får budskabet ud. Det kan også være det er bedre på et andet tidspunkt af året. Husk blot at notere i GDPR-årshjulet, hvornår den ekstra opmærksomhed er foretaget.

  • Juli: Gennemgang af procedure for brud på persondatasikkerhed

    Gennemgå jeres procedure for, hvis der sker et sikkerhedsbrud, som indebærer personoplysninger.

    Tag gerne udgangspunkt i skabelonen udarbejdet af Fonden Mødrehjælpen og tilpas den evt. til jeres lokalforening.

    Hent skabelonen for procedure for brud på persondatasikkerheden her.

  • August: Kontrol af adgangsrettigheder

    Det er vigtigt at sikre, at kun relevante personer har adgang til persondata. Det dokumenterer man ved at kontrollere adgangsrettighederne til de systemer, hvor man behandler og opbevarer persondata i fx Outlook, OneDrive og NemTilmeld. Frivilligafdelingen har lavet en skabelon, hvor der er en række spørgsmål, som skal besvares til hvert system.

    Hent skabelonen for kontrol af adgangsrettigheder her.

    Udfyld skabelonen og gennemgå den mindst én gang årligt. Når du har udført kontrollen af adgangsrettigheder, noterer du datoen for udførslen i jeres GDPR-årshjul, som du finder en skabelon til øverst på siden.

  • September: Sletning af alt unødvendigt data og gennemgang af nedskreven sletteprocedure

    Kontrollér, at proceduren for sletning i lokalforeningen stadig stemmer overens med jeres politik. Er der behov for ændringer, justér teksten.

    Find skabelonen til en sletteproducere her.

    Udfør derefter den halvårlige kontrol af OneDrive, mail og sociale medier om der ligger billeder, dokumenter og mails, som I ikke længere har brug for eller tilladelse til at opbevare.

    Find skabelon til slette-tjekliste her.

    Når du har sletteproceduren og udført den manuelle kontrol, noterer du datoen for udførslen i jeres GDPR-årshjul, som du finder en skabelon til øverst på siden.

  • Oktober: Gennemgang af velkomstmateriale vedr. GDPR til nye frivillige

    Gennemgå proceduren for, hvordan I orienterer nye frivillige om GDPR i lokalforeningen.

  • November: Gennemgang af frivilligaftaler

    Gennemgå om personoplysningerne opgivet i frivilligaftalerne er opdaterede og korrekte. Kontrollér, at alle frivilligaftaler på tidligere frivillige er slettet.

  • December: Gennemgang af indsigt- og sletteanmodningsproces

    Gennemgå skabelonerne for indsigts- og sletteanmodninger og justér dem ved behov.

    Når du har gennemlæst skabelonerne, noterer du datoen for udførslen i jeres GDPR-årshjul.

    Hent skabelonen til indsigtsanmodning her.

    Hen skabelonen til sletteanmodning her.

Find yderligere information på Datatilsynets hjemmeside eller på CFSA.