I juli 2018 kom det et nytt regelverk for håndtering av personopplysninger. Derfor trenger vi retningslinjer som gjør det enklere for dere som driver kodeklubb å håndtere dette på en skikkelig måte. Vi ønsker å forvalte personopplysningene best mulig og ber derfor alle lese igjennom og etterstrebe retningslinjene. Etter loven anses barn for en sårbar gruppe som fortjener ekstra beskyttelse. Det er derfor spesielt viktig at det utvises forsiktighet i behandlingen av personopplysninger om dem.
Alle kodeklubber, uavhengig av om de har organisasjonsnummer eller ikke, må tilpasse seg retningslinjene. Både deltakere, frivillige, foresatte og/eller verger omfattes. Den personen som opplysningene gjelder omtales som “den registrerte”.
En personopplysning er en opplysning som kan knyttes til deg som enkeltperson. Typiske personopplysninger er navn, adresse, telefonnummer, e-post, fødselsnummer og fingeravtrykk. Et gjenkjennbart bilde er også en personopplysning, det samme gjelder bilnummer, lokasjons – eller kjøpemønstre på nett.
Loven gjelder enhver form for behandling av personopplysninger. Med behandling menes i praksis all prosessering som skjer i et IT-system, samt papirbasert behandling i enkelte tilfeller (liste av deltakere og lignende). Eksempler på behandling kan være innsamling, registrering, oppbevaring, lagring, organisering, overføring og sletting av personopplysninger. Retningslinjene gjelder altså selv om man ikke føler at man «gjør noe spesielt» med personopplysningene.
Personvern handler om retten til et privatliv og retten til å bestemme over opplysninger som gjelder deg. Retten til personvern er en grunnleggende menneskerettighet og er blant annet forankret i menneskerettighetskonvensjonen (EMK), den norske Grunnloven og i FNs barnekonvensjon.
I Grunnloven står det at enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Statens myndigheter skal sikre et vern om den personlige integritet.
At behandlingen av personopplysninger må være lovlig innebærer først og fremst at det må finnes et rettslig grunnlag for behandlingen. Dette er redegjort for i retningslinjene. At behandlingen må skje rettferdig betyr at den skal gjøres i respekt for de registrertes interesser og rimelig forventninger. Kodeklubben skal ikke mislede de registrerte. Behandlingen må være forståelig og ikke foregå på skjulte eller manipulerende måter. Gjennomsiktig betyr at bruken skal være åpen, forutsigbar og oversiktlig.
Om dere behandler personopplysninger omtrent som beskrevet i malen kan dere publisere en versjon av den utfylte malen på nettsiden deres. Det er fint om den er lett tilgjengelig fra en slags hovedmenyen eller at det er en link til den nederst på hver side i nettstedet. Husk at retningslinjene ikke skal endres på, men publiseres i full-tekst.
Det er mange ulike tiltak kodeklubben kan igangsette for å bedre sikkerheten til personopplysningene. Det er ingen konkret fasit, men det bør etableres gode rutiner i alle de ulike sammenhenger og behandlingsledd hvor personopplysninger er involvert.
Det er viktig at tilgang til personopplysninger (som deltakerlister og kontaktinformasjon til foresatte) er begrenset til kun et lite antall personer. Opplysningene må oppbevares med god sikkerhet, pålogging må knyttes til enkeltpersoner, og være sikret med en passord-løsning. Det finnes mange eksempler på dette, for eksempel Office 365, Dropbox og Google drive. Disse kan alle konfigureres med tilgang og sikkerhet som beskrevet over.
Et eksempel: En kodeklubb har påmelding via google forms, og listen over påmeldte er passordbeskyttet. Ildsjelen sletter listen etter endt sesong, men tar vare på statistikken slik at vi har oversikt. Listen over foresatte kan overleve hver sesong, basert på samtykke fra den enkelte.
Eksempler på sikkerhetstiltak kan være bedre beskyttelse og utarbeidelse av «avanserte» passord. For sikkerhet av digitale enheter som kan inneholde personopplysninger kan det opprettes rutiner om å logge ut av datamaskinen når denne ikke er i bruk og ikke lagring av personopplysninger på PC, minnepinne eller mobil.
Andre effektive tekniske tiltak kan finnes i nasjonal sikkerhetsmyndighets veileder: https://www.nsm.stat.no/globalassets/dokumenter/veiledninger/systemteknisk-sikkerhet/s-02-ti-viktige-tiltak-mot-dataangrep.pdf
Opplysninger om deltakerne skal slettes umiddelbart etter at arrangementet de har meldt seg på er avsluttet, det være seg f.eks. enkeltstående arrangementer, 5-ukerskurs eller semester. Da er avtalen om deltagelse på kodeklubben oppfylt og personopplysningene skal ikke lengre være tilgjengelige.
Innledningsvis bør alle kodeklubber sjekke hvorvidt systemene som brukes åpner for etterlevelse av en forespørsel om f.eks innsyn, sletting eller retting. Det er greit om selve jobben må gjøres manuelt. En forespørsel kan leveres muntlig eller skriftlig. Vi anbefaler at kodeklubben fører en logg over forespørslene, – type, dato og hva som ble utfallet.
Et brudd på personopplysningssikkerheten, er et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet. Et brudd kan enten oppdages internt eller kan komme inn via melding fra en person/enhet som har fått kjennskap til eller mistanke om et brudd. Si i fra til overordnede koordinator. Dersom det foreligger et brudd må det alltid varsles.
Varsling til LKK:
LKK skal varsles umiddelbart og fortrinnsvis skriftlig. Legg gjerne ved en kort beskrivelse av hendelsen, f.eks hva som har gått galt, hvem som er berørte, hva som så langt er blitt gjort for å håndtere bruddet. Alle brudd skal registreres og vi bistår gjerne med veiledning om de neste stegene i prosessen dersom vi har kompetanse tilgjengelig.
Varsling til Datatilsynet:
Kodeklubben har selv ansvaret for håndteringen av brudd. Det er ikke i alle tilfeller det er nødvendig å varsle Datatilsynet. Se Datatilsynets egen veileder for håndtering av avvik. https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/avvikshandtering/
