GDPR

Er foreningen klar til GDPR?


Alle foreninger med CVR-nummer har de samme databeskyttelsesretlige forpligtelser, som almindelige virksomheder. Omfanget kan variere afhængig af størrelse og sammensætning, men opgaverne er grundlæggende de samme.


privacy-policy-3583612.jpg

Boligforeningen som dataansvarlig

En andelsboligforening eller en ejerforening er i denne sammenhæng dataansvarlige overfor sine beboere og bestyrelsesmedlemmer. Som dataansvarlig er bestyrelsen i foreningen ansvarlige for, at følgende dokumentation udarbejdes og løbende holdes ajour:

  • Behandlingsfortegnelser dokumenterer hvilke områder der behandles persondata i foreningen (f.eks. opkrævning af leje, drift af hjemmeside osv.)

  • Oplysningsmeddelelser er information til beboere, bestyrelsesmedlemmer og andre om hvilke persondata foreningen indsamler, hvorfor, hvilket formål de er indsamlet til, hvornår de slettes osv.

  • Databehandleraftaler beskriver, hvordan eksterne databehandlere skal behandle persondata så det foregår i overensstemmelse med persondataforordningen

  • Interne logs over sikkerhedsbrud skal føres af foreningen så de evt. kan gennemgås af Datatilsynet

  • Evt. aftaler om fælles dataansvar bruges i de tilfælde, hvor foreningens persondata indsamles og bruges i samarbejde med en ekstern part med et fælles formål

  • Databeskyttelsespolitikker for foreningen, der beskriver hvordan foreningens bestyrelse forebygger sikkerhedsbrud og misbrug af persondata i forhold til det fastlagte sikkerhedsniveau

I praksis vil mange foreninger bede administrator producere og vedligeholde ovenstående dokumentation for foreningen. Administrator kan tilbyde foreningen et standard online værktøj som f.eks. DPO Advisor eller lign., der gør det enkelt og økonomisk mere overkommeligt for foreningen at efterleve persondataforordningen. Det er dog stadig foreningen, der i sidste ende er ansvarlig for behandlingen af foreningens persondata.

I det følgende er et eksempel på en databeskyttelsespolitik for en bestyrelse.

Generelle anbefalinger

Brug et krypteret online værktøj f.eks. ProBo, som administrator stiller til rådighed for foreningen. Den højest mulige sikkerhed i forhold til persondataforordningen opnås ved at bestyrelse og vicevært undlader at tage kopier af data ud af systemet, men samler det på sådan en krypteret platform.

E-mail kommunikation

E-mails er pr. definition usikre, da trafikken i dag foregår ukrypteret på internettet. Der er dermed risiko for at indholdet opsnappes af uvedkommende, hvilket er et sikkerhedsbrud. Brug et krypteret system til kommunikation, som f.eks. ProBo. Alternativt kan der bruges et krypteret mailsystem med dedikerede e-mail -adresser for alle roller i bestyrelsen. Brug aldrig private e-mail adresser til kommunikation, der vedrører foreningen. Sørg for ikke at skrive eller videresende følsomme personoplysninger på mail. Hvis der skal sendes via en ikke krypteret forbindelse, så vedlæg oplysningerne som et password beskyttet Office- eller pdf-dokument. Password kan så sendes for sig via SMS til modtagerne.

john-schnobrich-520019-unsplash.jpg

Generalforsamlinger

Undlad at skrive personlige oplysninger i referatet. Oplys ikke om personlige sager på generalforsamlingen.

Bestyrelsesmøder

Bestyrelsen skal sikre at referater opbevares fortroligt. Undlad i størst mulige omfang at udskrive disse eller lægge disse på personlige computere m.v. Hold personsager fortrolige og brug om nødvendigt anonymisering, som ikke direkte kan henføres til en konkret beboer eller adresse.

Ansættelse af vicevært

Hold alle oplysninger om ansættelsesforhold fortrolige. Lås evt. ansættelsespapirer inde, såfremt disse ikke opbevares elektronisk f.eks. i systemer stillet til rådighed af administrator. Sørg for at alle koder og dokumenter overdrages fra den gamle vicevært til den nye.

Beboeroplysninger

Undlad i størst mulige omfang at udskrive eller gemme beboerlister med navne, adresser, telefonnummer, mailadresser på mobile enheder og computere. Brug evt. systemer stillet til rådighed af administrator. Undgå at dele kopier af data på USB-nøgler o. lign.

Beboersager

Hold alle oplysninger om beboersager fortroligt. Lås evt. sagsakter inde, hvis disse ikke opbevares elektronisk f.eks. i systemer stillet til rådighed af administrator.

Afgang af bestyrelsesmedlemmerne

Så snart der vælges nye bestyrelsesmedlemmer, eller et enkelt bestyrelsesmedlem fratræder, skal bestyrelsen sikre, at alle dokumenter vedrørende foreningen overleveres til den nye bestyrelse. Dokumenter og personoplysninger der ikke er relevante at overdrage, skal slettes fra computere, mobile enheder og arkiver.

Evt. koder til administrators systemer overdrages og ændres af den nye bestyrelse. Såfremt foreningen bruger ProBo skal bestyrelsen oprette de nye medlemmer og slette de gamle medlemmer med status af bestyrelsesmedlemmer.

Evt. koder til forenings hjemmesider, sociale medier m.v. skal overdrages og ændres.

Procedure i tilfælde af sikkerhedsbrud

I tilfælde af sikkerhedsbrud i foreningen orienterer foreningen bruddet til administrator hurtigst muligt. Administrator indberetter i samarbejde med foreningen bruddet til datatilsynet og informerer de berørte personer, hvis det vurderes nødvendigt. Bruddet logges af foreningen.

 

Artiklen er udarbejdet i samarbejde med Thomas Voss, Prosedo Aps