Sist oppdatert: 19. mars 2018. Denne artikkelen gir status for GDPR-støtte i Cornerstone. Vi understreker at GDPR ikke er trådt i kraft enda og at mange ting er uavklart, og at Kommunion AS sine medarbeidere ikke er jurister. Våre råd og veiledning under er gitt etter beste evne og i beste mening, men dere er selv ansvarlige for å tolke og implementere GDPR i deres egen organisasjon.

Hva er GDPR

GDPR er EUs personvernforordning som det planlegges at skal erstatte den norske Personopplysningsloven. Denne innføres i EUs medlemsland fra 25. mai 2018. Det er litt usikkert når den innføres i Norge, men om man ikke er i mål til 25. mai 2018, så tar det neppe særlig lang tid - maksimalt et år til - antagelig mindre. Så det er bare å begynne å forberede seg.

Noen hovedkonsepter i GDPR

  • Datalagring krever begrunnelse ut fra formål og samtykke (ikke "kjekt å ha")
  • Retten til innsyn
  • Retten til å bli glemt (sletting - evt dataminimering)
  • Samtykkebasert databehandling

Når og hvordan kommer det GDPR-støtte til Cornerstone?

I Cornerstone har vi ikke tidligere hatt tradisjonell sletting av personer. Vi har imidlertid praktisert "arkivering" - som kan angres. Dette har fremdeles sin plass, men innen GDPR trer i kraft vil vi sørge for at en skikkelig og definitiv (uten angremuligheter) slettefunksjon endelig kommer på plass. Det meste av funksjoner utover dette kan utøves manuelt, men det er vår ambisjon å ha en sterk GDPR-støtte som gjør at dere kan være i fremste rekke i støtten av personvernet. Mer om våre utviklingsplaner nederst i denne artikkelen. Disse utviklingsplanene strekker seg over det første året fra GDPR lanseres i EU - dvs fram til forsommeren 2019 vil den ene godbiten etter den andre bli fortløpende lansert.

Vi nevner også at alt fra datalagring til teknisk sikkerhetsarkitektur og kryptering allerede er på et høyt nivå i Cornerstone, så her vil vi ikke trenge å gjøre ytterligere tiltak.

Hvilke grep bør dere som organisasjon gjøre?

Innføringen av GDPR har kommet raskt, og avklaringene mot norske særlover har gått litt tregt. Og siden forordningen enda ikke er vedtatt innført i norsk lovverk (pr. 19.03.2018), så er Datatilsynet defensive ift å uttale seg definitivt. Vi kan regne med at "beste praksis" på endel uklare områder vil avklares de første 1-2 årene etter at GDPR har trådt i kraft, og vi anbefaler hver organisasjon å tilpasse seg som best de kan og å følge med. Godt og sterkt personvern er uansett et gode, da alle medlems- og giverorganisasjoner lever av tillit.

  • Vi anbefaler at man leser selve teksten til GDPR som kan lastes ned HER (særlig de 39 første artiklene - dvs side 31 - 56).
  • Vi anbefaler også Datatilsynets sider om GDPR.

Taushetsplikt

Alle våre kunder bør innføre avtaler om taushetsplikt for alle som har tilgang til registre med personopplysninger. Ofte kan det være en god idé å slå dette sammen med andre avtaler man måtte ha ift konfidensialitet og fortrolighet innenfor andre områder av virksomheten.

Personvernombud

I tillegg må man gjøre en vurdering av om man bør ha eget personvernombud eller ikke - særlig om man lagrer sensitive data iht GDPR sin artikkel 9 (rase, etnisitet, politikk, religion, overbevisning, fagforening, genetikk, biometri, helse, seksualitet). Det er Datatilsynets generelle anbefaling at alle bør ha dette, men GDPR sine krav er på langt nær så strenge. Her imøteser vi tydeligere veiledning fra Datatilsynet når GDPR får "satt seg" litt mer, men inntil videre er det vår vurdering at trossamfunn bør ha personvernombud og at menighetene i trossamfunnet kan dele på denne. Ellers er det vår anbefaling at alle nasjonale organisasjoner som lagrer sensitive data har et personvernombud.

To-faktor autentisering

Cornerstone støtter to-faktor autentisering - dvs pålogging med brukernavn/passord samt PIN-kode tilsendt på SMS ved hver innlogging. Dette mener vi at man må ha om man lagrer sensitive data etter artikkel 9 (rase, etnisitet, politikk, religion, overbevisning, fagforening, genetikk, biometri, helse, seksualitet). Kontakt vår kundestøtte på telefon (970) 07316 om dere trenger hjelp for å få satt opp dette.

Avveining mot norske særlover

GDPR er tvetydig på hvordan dens regler skal avveies mot våre nasjonale lover. Derfor velger vi å forholde oss til råd vi får fra våre myndigheter - evt når det måtte forefinnes rettskraftige dommer på relevante områder. Det er særlig kravet om sletting som kan komme på kollisjonskurs med en del behov for fortsatt dokumentasjon.

Bokføringsloven

Personer som dere har regnskapsbilag på for navnede gaver, kontingenter eller kjøp, fordrer at dere beholder basis personinfo i 5 år. Dette vil også følge for personer dere får statsstøtte for i forbindelse med f.eks. Frifondstøtte.

Lov om trudomssamfunn og ymist anna (Trossamfunnsloven)

Når en person melder seg ut av et registrert trossamfunn er dere pålagt å ta vare på basisinformasjon om personen og dens innmeldings- og utmeldingsdato til evig tid. Det er ikke anledning til å slette dette.

Implementasjonsplaner for GDPR i Cornerstone

Som nevnt over vil vi fortløpende slippe gode løsninger som understøtter GDPR, og vi ønsker å være ambisiøse og gi fremragende støtte - ikke bare en minimumsstøtte. Les hva vi planlegger å slippe litt etter litt fram mot forsommeren 2019.

Enkel tilgang til data

Når noen ber om innsyn i sine data, så plikter dere å gi dem dette innen 30 dager. For Cornerstones del arbeider vi med at Personkortet skal være bedre tilrettelagt for utskrift slik at arkfanene umiddelbart brekker over i avsnitt i en utskrift. Da blir en slik tilgang kun ett klikk unna. Vi arbeider også med MinSide-løsninger, men det er ikke sikkert at alle våre kunder ønsker merarbeidet med å tilby denne type tilgang til sine registrerte personer. Men dette vil også kunne bli en løsning for dette behovet.

Behandlingssamtykker

De forskjellige typer behandling man skal gjennomføre - og da spesielt de som innebærer kommunikasjon med den registrerte - vil lagres som eksplisitte samtykker. Hvert samtykke vil ha en tittel og en fradato og en tildato. Det vil være forskjellige regler for hvordan samtykker skal varsles og fornyes. Når man i framtiden sender ut e-post og SMS fra systemet vil man velge hvilke samtykker som legges til grunn, og så vil systemet sile ut de som ikke har tilstrekkelige samtykker. Det vil ikke lenger være slik at man må avmelde seg (unsubscribe), men man må faktisk aktivt gi samtykke - evt trekke et slikt samtykke.

I påvente av et skikkelig system for samtykker kan dette løses ved at dere lager en egen taggkategori som heter "Samtykke", og så lager dere en tagg for hver type samtykke dere ser for dere - f.eks. "Nyhetsbrev", "Gavegiroer" etc. Når vårt samtykkesystem kommer på plass vil dere kunne konvertere over fra tagger til samtykker ved hjelp av masseredigering.

Dataminimering

Det kan hende at en person ikke lenger ønsker å være registrert hos dere, men av lovmessige grunner kan ikke personen slettes. Evt kan ikke personen slettes før om noen år. Da har uansett personen krav på å bli dataminimert - dvs at dere sletter de personopplysningene som dere ikke lenger trenger. Dersom f.eks. en person har vært medlem av et trossamfunn, men så har meldt seg ut, og så ønsker å bli slettet, så er dere forpliktet ved lov å nekte dette. Men dere kan og skal dataminimere ved å ta bort ting som dere ikke har den samme lovhjemmelen for. Eksempler på dette kan være telefonnumre, e-postadresser etc. Vi arbeider med løsninger som visuelt, ved pek&klikk, vil la deg beholde det som trengs og fjerne det som må fjernes.

Planlagt sletting

Dersom en person ønsker å bli slettet, men dere har en faktura fra personen som er to år gammel, så kan ikke personen slettes. Dere kan selvsagt minimere opplysningene noe, men Bokføringsloven krever at dere holder på basisinformasjonen i fem år. Da er det praktisk å notere ønsket om sletting slik at dette går automatisk om tre år. Dette arbeider vi også med.

Nye databehandleravtaler

Vi ønsker å etablere nye databehandleravtaler med alle våre kunder, men avventer tydeligere og oppdatert veiledning fra Datatilsynet før vi ruller ut dette. Vi kontakter dere så snart dette er på plass - i løpet av 2018.