Persondataforordning: Glem bøderne og juraen for en stund

Debat | Print

KLUMME: Medlemsorganisationerne burde ikke frygte GDPR-bøderne fra EU. De burde i stedet frygte medlemmernes reaktion, hvis det kom frem, at de ikke behandler medlemmernes personoplysninger forsvarligt, skriver Thorleif Rytz Gotved fra GotveDPR.

Af Thorleif Rytz Gotved
Chefkonsulent i GotveDPR

Et rungende suk. Det er en typisk reaktion, når jeg har talt med direktører, sekretariatschefer og andre administrationsansvarlige i medlemsorganisationer om databeskyttelses-forordningen (GDPR).

Et frustreret suk over at skulle forholde sig til en kompleks lovgivning og den mængde dokumentation, som forordningen i nogle tilfælde stiller krav om. Hvor skal man starte?

Og, nok så vigtigt, udsigten til måske at skulle investere endnu flere penge i de eksisterende it-systemer.

Har du også suk-hatten på?

Så bliv forhåbentlig inspireret til, hvordan du kan anskue databeskyttelses-forordningen på en mere positiv måde.

Glem alt om bøder
Har du bare været i nærheden af et gratis-seminar om GDPR, så har du nok ikke kunnet undgå at se de store neonskilte, som generøst har oplyst om de meget store bøder, din organisation risikerer at få, hvis I fejler i GDPR-disciplinen.

Og det er da heller ikke helt forkert, at en af nyskabelserne med den nye databeskyttelsesforordning kan gøre ondt i regnskabet.

Men det ærgrer mig, at en stor del af GDPR-industrien pisker en stemning op med fokus på en potentiel bøderegn. For tanken med databeskyttelsesforordningen er jo ikke at skabe en ny finansieringsmodel for EU.

Formålet med forordningen er noget helt andet, og det er at få organisationer til at tage ansvar for den måde, persondata behandles på. Og det er ikke kun i borgernes interesse – det kan faktisk også gøre en fordel for den enkelte organisation.

For tidens gangbare valuta er ikke kun kroner og ører. Det er i nok så høj grad troværdighed. Og for at sikre troværdighed, så er det vigtigt at behandle sine medlemmers persondata ordentligt. For husk, de er kun til låns.

Når du personligt udleverer dine persondata til en medlemsorganisation, vil du så ikke forvente, at de passer godt på dem? Det er desværre bare langt fra en selvfølge i dag.

Men med databeskyttelsesforordningen kommer der langt mere fokus på området. Så det er måske slet ikke bøderne, et sekretariat skal tænke mest på – det er medlemmernes reaktion, hvis de opdager, at I ikke gør jer umage med at passe på deres data. Det kan gøre gevaldig ondt på troværdighedsregnskabet. Spørg bare de medlemsorganisationer, som har fået ørene i maskinen. Ingen nævnt, ingen glemt.

På den baggrund bør tilgangen til GDPR-arbejdet ikke være akkompagneret til lyden af bøde-piskesmæld, men fordi I faktisk har lyst og føler ansvar for at opføre jer ordentlig overfor jeres medlemmer og samarbejdspartnere.

Og så er det i øvrigt en super anledning til en generel forårsrengøring i databaser og ringbind, som kan sikre mere overskuelighed og besparelser i hosting af data.

Jura gør det ikke alene
Udover bøder, så er jura og it de to associationer, som de fleste får, når talen falder på databeskyttelsesforordningen.

Det er da også netop advokater og it-leverandører, som slikker sig om munden og har jubi-hatten på i forhold til databeskyttelsesforordningen.

Forleden talte jeg med en ansat i en lille forening med under 1.000 medlemmer. De havde fået en advokat til at udarbejde en lang rapport til dem vedrørende GDPR. Den indeholdt en masse juridiske betragtninger, som sikkert var af høj juridisk kvalitet, der sikkert kunne retfærdiggøre en timepris på 3.000 kroner eks. moms.

Men problemet var, at rapporten slet ikke var anvendelig i foreningens centrale udfordring med at sikre compliance i forhold til GDPR: Hvad skulle de helt konkret gøre for at komme i gang – og i mål?

Et forandringsprojekt
Man kan naturligvis ikke komme uden om en omgang paragrafrytteri i arbejdet med at sikre overholdelse af forordningen.

Men GDPR er meget mere end juridiske vurderinger – særligt hos medlemsorganisationer. For her gælder nogle særlige udfordringer. På den ene side vil man jo gerne give de aktive medlemmer mulighed for at boltre sig ved at lave lokale aktiviteter. Og det forudsætter som regel adgang til medlemsdata.

Omvendt så lægger forordningen op til, at der kommer langt mere styr på persondataoplysningerne. Og det kan være svært, når persondatabehandlingen langt hen ad vejen håndteres af gode amatører, der ofte ikke gider bureaukrati og formaninger.

Derfor er det særligt vigtigt, at medlemsorganisationer bruger ressourcerne på kommunikation og arbejder aktivt med adfærdsændringer blandt de aktive medlemmer, der ofte vil være det svageste led i en GDPR-sammenhæng. Det kan eventuelt gøres ved at stille nogle redskaber, som kan gøre hverdagen nemmere, til rådighed for dem.

For GDPR-arbejdet er ikke afsluttet, når bunken af fortegnelses-dokumenter og lignende 25. maj er blevet højere end skrivebordet. Det er kun lige begyndt.

God mulighed for hovedrengøring
Hvis I som organisation er i fuld gang med, eller skal til at forholde jer til den ny forordning, så lad ikke bødefrygten styre jer.

Se i stedet muligheder for at rydde op og praktisere ordentlighed overfor jeres medlemmer.

Og husk, at hele opgaven med at komme i mål med databeskyttelsesforordningen er et samspil mellem jura, it og vigtigst af alt: den organisatoriske virkelighed, I befinder jer i.  

God fornøjelse med det fortsatte GDPR-arbejde. Også efter 25. maj.

Forrige artikel Derfor har GDPR gjort en forskel Derfor har GDPR gjort en forskel Næste artikel Ungdommens Fællesråd: Teknologi kan disrupte demokratiet Ungdommens Fællesråd: Teknologi kan disrupte demokratiet

arbejdsmarked
arktis
by og bolig
børn
christiansborg
civilsamfund
civilsamfundets videnscenter
digital
embedsværk
energi og forsyning
erhverv
etik og tro
eu
fonde
forskning
forsvar
fødevarer
hovedstaden
idræt
klima
kommunal
kultur
maritim
miljø
social
sundhed
transport
uddannelse