Hva er GDPR?
Den nye europeiske personvernforordningen, General Data Protection Regulation (GDPR), trådte i kraft 25. mai 2018, med iverksettelse fra 1. juli 2018 for Norge. Forordningen gir innbyggere i EU og EØS større kontroll over egne personopplysninger, og sikrer at informasjonen beskyttes i hele Europa.
Hva har Diabetesforbundet nasjonalt gjort?
Diabetesforbundet nasjonalt gjennomførte i forkant av sommeren 2018 en risikoanalyse av systemer og kontaktpunkter. I etterkant av risikoanalysen ble det gjennomført en rekke tiltak, blant annet:
- Innføring av personvernerklæring på nettsiden (https://www.diabetes.no/globalassets/om-oss/180622-personvernerklaring.pdf). Der fremkommer hvordan vi håndterer opplysninger og hva vi bruker det til. Det ble også etablert et eget kontaktpunkt: personvern@diabetes.no.
- Systemendring ved medlemsinnmelding, slik at det enkelte medlem enkelt kan reservere seg mot å motta nyhetsbrev, loddbøker og andre typer henvendelser.
- Stenging av tilganger til medlemslister der det ikke kan forsvares at behovet er til stede.
- Innføring av rutiner for å sikre innsyn, retting av informasjon og sletting av informasjon.
Hva skal lokal- og fylkeslag gjøre?
Medlemsregisteret og personopplysninger håndteres nasjonalt. Det enkelte lokal- og fylkeslag har tilgang til sine medlemslister via «mine sider». Ingen andre enn styret i det enkelte lag skal ha tilgang til denne informasjonen. Det er viktig at medlemslister som eventuelt har blitt lastet ned, slettes på den enkelte sin PC umiddelbart etter at det for eksempel har blitt kalt inn til et arrangement. Dette er også viktig for å sikre at informasjonen er oppdatert, da det kontinuerlig er endringer i medlemslister som oppdateres nasjonalt.
Det er også viktig at medlemslister ikke distribueres rundt. Vi har blant annet erfart at kommuner har bedt om detaljopplysninger fra medlemslister i forbindelse med søknad om støtte. Det har kommunene ikke rett til, og vi ber om at personvern@diabetes.no informeres om den type brudd eller forsøk på brudd. De kan få innsyn, men da må de ta turen til Oslo, skrive under taushetserklæring og få tilgang til medlemslister fra våre lokaler.
Medlemmer og ikke-medlemmer som kontaktes i etterkant av et arrangement, må ha akseptert på forhånd at dere kan gjøre det. Eksempelvis kan man ved påmelding til et arrangement innta følgende setninger: «Diabetesforbundet har fokus på personvern og GDPR. Ønsker du å reservere deg mot at liste over alle deltakere blir delt ut på arrangementet, send mail tilbake og gi oss beskjed. Ønsker du ikke å bli kontaktet om framtidige arrangement, gi også beskjed om det». Det enkelte lokal- og fylkeslag må således lage egne reservasjonslister for å sikre at den enkeltes rettigheter innenfor GDPR ivaretas.
Det kan virke i overkant byråkratisk, men vi må alle sørge for at den informasjonen vi har håndteres på en trygg og god måte. Ved eventuelt ytterligere spørsmål kan personvern@diabetes.no kontaktes.