Spørsmål og svar om personvern og kodeklubber

Innledning

Her forklarer vi hvorfor vi innfører retningslinjer for behandling av personopplysninger, og besvarer en del spørsmål som kan være relevante for deg som driver kodeklubb. Vi starter med å forklare hvorfor vi gjør dette, hva en personopplysning er, og fortsetter med å besvare de vanligste spørsmålene. 

Om du lurer på noe som du ikke får svar på her, kan du kontakte karianne.hj-olsen@kidsakoder.no

Spørsmål og svar

Personvern

Hvorfor trenger vi retningslinjer for personvern?

I juli 2018 kom det et nytt regelverk for håndtering av personopplysninger. Derfor trenger vi retningslinjer som gjør det enklere for dere som driver kodeklubb å håndtere dette på en skikkelig måte. Vi ønsker å forvalte personopplysningene best mulig og ber derfor alle lese igjennom og etterstrebe retningslinjene. Etter loven anses barn for en sårbar gruppe som fortjener ekstra beskyttelse. Det er derfor spesielt viktig at det utvises forsiktighet i behandlingen av personopplysninger om dem.

Hvem gjelder retningslinjene for?

Alle kodeklubber, uavhengig av om de har organisasjonsnummer eller ikke, må tilpasse seg retningslinjene. Både deltakere, frivillige, foresatte og/eller verger omfattes. Den personen som opplysningene gjelder omtales som “den registrerte”.

Hva er en personopplysning?

En personopplysning er en opplysning som kan knyttes til deg som enkeltperson. Typiske personopplysninger er navn, adresse, telefonnummer, e-post, fødselsnummer og fingeravtrykk. Et gjenkjennbart bilde er også en personopplysning, det samme gjelder bilnummer, lokasjons – eller kjøpemønstre på nett.

Hva er behandling av personopplysninger?

Loven gjelder enhver form for behandling av personopplysninger. Med behandling menes i praksis all prosessering som skjer i et IT-system, samt papirbasert behandling i enkelte tilfeller (liste av deltakere og lignende). Eksempler på behandling kan være innsamling, registrering, oppbevaring, lagring, organisering, overføring og sletting av personopplysninger. Retningslinjene gjelder altså selv om man ikke føler at man «gjør noe spesielt» med personopplysningene. 

Hva er personvern?

Personvern handler om retten til et privatliv og retten til å bestemme over opplysninger som gjelder deg. Retten til personvern er en grunnleggende menneskerettighet og er blant annet forankret i menneskerettighetskonvensjonen (EMK), den norske Grunnloven og i FNs barnekonvensjon.

I Grunnloven står det at enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Statens myndigheter skal sikre et vern om den personlige integritet.

Hva menes med å behandle personopplysningene på en lovlig, rettferdig og gjennomsiktig måte?

At behandlingen av personopplysninger må være lovlig innebærer først og fremst at det må finnes et rettslig grunnlag for behandlingen. Dette er redegjort for i retningslinjene. At behandlingen må skje rettferdig betyr at den skal gjøres i respekt for de registrertes interesser og rimelig forventninger. Kodeklubben skal ikke mislede de registrerte. Behandlingen må være forståelig og ikke foregå på skjulte eller manipulerende måter. Gjennomsiktig betyr at bruken skal være åpen, forutsigbar og oversiktlig.

Kodeklubben min har egen nettside. Hva kan vi gjøre da?

Om dere behandler personopplysninger omtrent som beskrevet i <<malen>> kan dere publisere en versjon av den utfylte malen på nettsiden deres. Det er fint om den er lett tilgjengelig fra en slags hovedmenyen eller at det er en link til den nederst på hver side i nettstedet. Husk at retningslinjene ikke skal endres på, men publiseres i full-tekst.

Kodeklubben min har ingen nettside. Hva kan vi gjøre da?

Dette vil avhenge av hvilken informasjonskanal som benyttes. Vær kreativ. Det viktigste er at informasjonen skal være lett tilgjengelig. En løsning kan f.eks være å publisere personvernerklæringen som en PDF på Facebook-siden til kodeklubben, og så bekjentgjøre at den er der (og jevnlig minne på om dette). Det er viktig at noen i kodeklubben vet hvor veiledningen er, og kan svare på henvendelser.

Hva er egnede sikkerhetstiltak for å beskytte personopplysningene?

Det er mange ulike tiltak kodeklubben kan igangsette for å bedre sikkerheten til personopplysningene. Det er ingen konkret fasit, men det bør etableres gode rutiner i alle de ulike sammenhenger og behandlingsledd hvor personopplysninger er involvert. 

Det er viktig at tilgang til personopplysninger (som deltakerlister og kontaktinformasjon til foresatte) er begrenset til kun et lite antall personer. Opplysningene må oppbevares med god sikkerhet, pålogging må knyttes til enkeltpersoner, og være sikret med en passord-løsning. Det finnes mange eksempler på dette, for eksempel Office 365, Dropbox og Google drive. Disse kan alle konfigureres med tilgang og sikkerhet som beskrevet over.

Et eksempel: En kodeklubb har påmelding via google forms, og listen over påmeldte er passordbeskyttet. Ildsjelen sletter listen etter endt sesong, men tar vare på statistikken slik at vi har oversikt. Listen over foresatte kan overleve hver sesong, basert på samtykke fra den enkelte.

Eksempler på sikkerhetstiltak kan være bedre beskyttelse og utarbeidelse av «avanserte» passord. For sikkerhet av digitale enheter som kan inneholde personopplysninger kan det opprettes rutiner om å logge ut av datamaskinen når denne ikke er i bruk og ikke lagring av personopplysninger på PC, minnepinne eller mobil. 

Andre effektive tekniske tiltak kan finnes i nasjonal sikkerhetsmyndighets veileder: https://www.nsm.stat.no/globalassets/dokumenter/veiledninger/systemteknisk-sikkerhet/s-02-ti-viktige-tiltak-mot-dataangrep.pdf 

Hvor lenge kan jeg lagre opplysninger om deltakere på kodeklubben?

Opplysninger om deltakerne skal slettes umiddelbart etter at arrangementet de har meldt seg på er avsluttet, det være seg f.eks. enkeltstående arrangementer, 5-ukerskurs eller semester. Da er avtalen om deltagelse på kodeklubben oppfylt og personopplysningene skal ikke lengre være tilgjengelige. 

Hva gjør vi dersom den registrerte ønsker å håndheve sine rettigheter?

Innledningsvis bør alle kodeklubber sjekke hvorvidt systemene som brukes åpner for etterlevelse av en forespørsel om f.eks innsyn, sletting eller retting. Det er greit om selve jobben må gjøres manuelt. En forespørsel kan leveres muntlig eller skriftlig. Vi anbefaler at kodeklubben fører en logg over forespørslene, – type, dato og hva som ble utfallet.

Hva er et brudd/avvik på personopplysningssikkerheten?

Et brudd på personopplysningssikkerheten, er et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet. Et brudd kan enten oppdages internt eller kan komme inn via melding fra en person/enhet som har fått kjennskap til eller mistanke om et brudd. Si i fra til overordnede koordinator. Dersom det foreligger et brudd må det alltid varsles.

Hvem skal vi varsle ved et brudd?

Varsling til LKK: 

LKK skal varsles umiddelbart og fortrinnsvis skriftlig. Legg gjerne ved en kort beskrivelse av hendelsen, f.eks hva som har gått galt, hvem som er berørte, hva som så langt er blitt gjort for å håndtere bruddet. Alle brudd skal registreres og vi bistår gjerne med veiledning om de neste stegene i prosessen dersom vi har kompetanse tilgjengelig. 

Varsling til Datatilsynet: 

Kodeklubben har selv ansvaret for håndteringen av brudd. Det er ikke i alle tilfeller det er nødvendig å varsle Datatilsynet. Se Datatilsynets egen veileder for håndtering av avvik.  https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/avvikshandtering/

Hva skal vi gjøre med det systemet vi bruker i dag?

Aller først bør dere sjekke i hvilken grad det samsvarer med rådene som er gitt i malen. Alle punktene må gjennomgås nøye. Dersom dere finner store avvik mellom systemet som er i bruk og malen gjør en vurdering av om avvikene kan veies opp ved hjelp av andre systemer eller manuelt. Nytt system bør vurderes å innføres ved ikke-samsvar. LKK sentralt kan varsles for veiledning.

Vi har eget organisasjonsnummer. Hvordan påvirker dette oss?

I følge loven er dere å anse som behandlingsansvarlig, og dere kan bruke veilederen som utgangspunkt for en personvernerklæring.

Vi har IKKE eget organisasjonsnummer. Hvordan påvirker dette oss?

Vi anbefaler å følge veilederen vi har publisert. Merk at også dere under visse omstendigheter kan være å anse som behandlingsansvarlig.