Justitsministeriet afviser GDPR-lempelser for frivillige foreninger

44 kommentarer.  Hop til debatten
dreng, bue og pil, sport, forening
Illustration: Danmarks Idrætsforbund.
Selvom det er et udbredt ønske, giver persondataforordningen ikke mulighed for, at man kan lempe reglerne for små, frivillige foreninger, vurderer Justitsministeriet i sin evaluering af Databeskyttelsesloven. Men det falder ikke i god jord hos direktøren for Danmarks Idrætsforbund.
24. september 2021 kl. 03:45
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det kan ikke lade sig gøre at lempe GDPR-reglerne for små badmintonklubber, spejderforeninger og andre mindre aktører i Danmark.

Det er blandt konklusionerne i Justitsministeriets anden delrapport om den nationale evaluering af Databeskyttelsesloven.

Forordningen tager ifølge ministeriet ikke højde for mindre aktører i de undtagelsesmuligheder, som er beskrevet i lovens artikel 23, og derfor kan man ikke lempe mere, end man allerede har gjort.

Log ind og få adgang
Du kan læse indholdet ved at logge ind eller oprette dig som ny bruger.
44 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
44
28. september 2021 kl. 16:49

I samme øjeblik, du har med børn at gøre i foreningen, så skal du bruge hele CPR-nummer på de personer, der kommer i kontakt med børn i forbindelse med det frivillige arbejde. Ellers kan du ikke indhente børneattest på dem.

Nu ved jeg ikke hvordan det virker nu, men i slutningen af min tid som aktiv spejderleder, blev børneattesten indført. Det skete ved at KORSET på vegne af GRUPPEN indhentede attesten, og sendte et go/no-go retur til gruppen når den var landet.

Dengang forgik det på papir, men lur mig om ikke det kører på samme måde men på digital vis, hvor lederen giver korpset lov til at indhente attesten, og sender go/no-go retur til gruppen.

Det behøver ingen adgang til CPR for resten af grupen.

Dvs det var ikke gruppen selv det håndterede attesten, men kun resultatet.

Jo, så sidder der nogen anssatte centralt i korpset som potentielt kan se data, men her snakker vi måske om 5-10 personer på korpssplan i stedet for 5-10 personer i hver gruppe i hele landet.

/Henning

42
28. september 2021 kl. 09:29

I samme øjeblik, du har med børn at gøre i foreningen, så skal du bruge hele CPR-nummer på de personer, der kommer i kontakt med børn i forbindelse med det frivillige arbejde. Ellers kan du ikke indhente børneattest på dem.

Og i øvrigt får du så også børneattester i hænderne, som er endnu mere fortrolige end CPR-numrene.

Så ja, hvis du arbejder med børneattester så skal du også bruge en frivillig der har (eller får) forstand på GDPR.

41
28. september 2021 kl. 08:21

I samme øjeblik, du har med børn at gøre i foreningen, så skal du bruge hele CPR-nummer på de personer, der kommer i kontakt med børn i forbindelse med det frivillige arbejde. Ellers kan du ikke indhente børneattest på dem.

40
27. september 2021 kl. 11:14

Dårlig stil at udskamme en hel faggruppe, her DJØF’ere.

39
27. september 2021 kl. 10:30

Men for så vidt angår GDPR er der en række principper, der skal overholdes, når man behandler persondata:</p>
<pre><code>Lovlighed, rimelighed og gennemsigtighed
Formålsbegrænsning
Dataminimering
Rigtighed
Opbevaringsbegrænsning
Integritet og fortrolighed
Ansvarlighed
</code></pre>
<p>Der er ingen af disse principper, der kan fraviges, blot fordi man har fravalgt at bruge CPR-numre i foreningen,

Der er ingen af principperne der helt kan fraviges, men der er godt nok stor forskel på hvor meget arbejde der ligger i dem.

Fortrolige oplysninger skal krypteres inden de sendes på mail, der gælder strengere slettekrav, der skal være mere omfattende håndtering af sikkerhedsbrud, etc.

Så, jo, det er "de samme principper". På samme måde som det er den samme færdselslov der gælder for cyklister og bilister, men alligevel er det kun en af de to der kræver kørekort.

38
27. september 2021 kl. 09:49

</p>
<p>Grunden til at foreningerne opbevarer CPR numrene er folketingsvedtaget flueknepperi der skal sikre mikrometerkorrekt fordeling af kommunale tilskud, således at "der ikke opstår et utilsigtet råderum".

Vi i Det Danske Spejderkorps opbevarer ikke længere CPR numre for medlemmer, kun fødselsdage.

Når det er tid til at genbestille børneattest for en leder (pt. hvert 2. år) indtaster pågældende leder de sidste 4 cifre fra CPR og hele CPR sendes så til politiet, men det gemmes ikke hos os.

Jeg er ikke bekendt med at nogen grupper under os har problemer med at få tilskud baseret på medlemmer selv om vi ikke kan levere CPR nummer.

Største forandring mht. GDPR for os er at vi ikke længere gemmer ting som allergier mod diverse fødevarer, men skal have det oplyst ved hver tur vi tager på (medicinske data er særligt følsomme).

37
26. september 2021 kl. 15:53

Som en konsekvens af dette måtte man jo stramme op. Her var CPR nummeret jo smart, fordi det kunne fungere som en kontrol. Man skal både kende navn, fødselsdato og de sidste 4 cifre.

Jeg har aldrig afleveret CPR nummer til en af de ungdomsorganisationer, som jeg var medlems af i de år, hvor kontrolen med medlemslisterne blev strammet. Jeg var selv kasser i en lokalforening af en politisk ungdomsorganisation og det eneste som blev registeret ud over navn og adresse var fødselsår. Udover DUF tilskud til landsorganisationen fik også et tilskud fra kommunen. Og jeg have netop en dialog med den som håndterede medlemsregistering i landsorganisationen, fordi den del af organisation, hvor jeg var, var lidt specielt.

36
26. september 2021 kl. 12:08

Først syntes jeg at parallellen til bygningsreglementet var mærkelig - men den kan faktisk godt bruges. I mange år har man kunnet finde byggerier, som er ureglementeret bygget. Og i mange år er persondata håndteret ulovligt.

Nu er der blevet strammet op på det (heldigvis). Så nu synes de glade amatører at alting er blevet frygteligt besværligt - med rette. Fordi at det i begge tilfælde kræver en vis faglighed og overblik for at kunne overskue eventuelle konsekvenser for fejl i mangler i ens (amatør)praksis

I tilfælde med hønsehuset vil det maksimalt kræve 1 times arbejde at udarbejde og uploade den ønskede dokumentation, - hvis man ved hvordan!

Og her er der også lighed mellem de 2 systemer. Vi mangler vejledninger, så man bedre kan finde vej i systemerne. Man kunne skele lidt til Sikkerhedsstyrelsens vejledninger for private “Gør det sikkert”

"Make everything as simple as possible - but not simpler" - Einstein vistnok

35
26. september 2021 kl. 09:10

Man kan komme til at bygge en række bygninger "skure", af let brandbare materialer, som tilfældigvis kommer til at ligge op af naboens tilsvarende samling af skure.

Jeg anfægter ikke at der sagtens kan (og skal være) krav til selve byggeriet, men det er ikke det der er problemet, men at man stiller samme krav til processen, herunder et bureakratisk monster som byggepladsbeskrivelse og brandstrategi.

Og brandstrategi har altså ikke noget med selve bygningen at gøre, men hvordan man evakurerer arbejdere fra 14 sal.

34
26. september 2021 kl. 08:54

@Christian

Man kan komme til at bygge en række bygninger "skure", af let brandbare materialer, som tilfældigvis kommer til at ligge op af naboens tilsvarende samling af skure. Dette vil skabe en direkte brandbar forbindelse mellem de 2 ellers adskilte brandsektioner, hvilket de formodentlig ikke er konstrueret til. De kan endvidere være placeret således at de blokerer for eventuel brandindsats, eller flugtveje.

Situationen i artiklen er speciel, og skal håndteres specielt. Hvis man ikke selv kan finde ud af det, må man få hjælp fra en kompetent person. Der er masser af frihed i bygningsreglementet til at udfolde sin kreativitet i anvendelse af byggemetoder og materialer, bare det ikke går ud over andres sikkerhed.

Det ærgrer mig at man ikke anerkender at det at bygge menneskeboliger også kræver en vis professionalitet - på samme måde som det også kræves at skulle håndtere persondata.

33
26. september 2021 kl. 01:03

Folketinget kan faktisk godt lette byrden for foreningerne, ikke ved at dispensere fra GDRP, men ved at reducere kravene til rapportering som betingelse for at opnå offentlige tilskud, således at foreningerne ikke længere har brug for at indsamle informationerne bare for at kunne give dem til kommunen.

Sidst i 80'erne var der en kæmpe skandale hvor især politiske ungdomsorganisationer blev taget i at indberette for mange medlemmer.

Som en konsekvens af dette måtte man jo stramme op. Her var CPR nummeret jo smart, fordi det kunne fungere som en kontrol. Man skal både kende navn, fødselsdato og de sidste 4 cifre.

32
25. september 2021 kl. 22:01

Har du læst den artikel jeg linker til?

31
25. september 2021 kl. 21:38

Det kommer helt an på størrelse og konstruktion på carporten, og hvordan den ønskes placeret i forhold til skel. Den skal godtnok være meget speciel, hvis den kræver det samme som en samling af beboelsesbygninger se evt her

En almindelig carport på 49 kvm, kræver blot en anmeldelse, når man bar bygget den

30
25. september 2021 kl. 18:18

I dag er foreningsadministration blevet møjbesværligt, ikke mindst for de små foreninger med et par hundrede medlemmer og derunder. Netop fordi, at her skal leves op til de samme regler, som for de store. Samt betales de samme høje gebyrer!

Det er ligesom byggerier.

Før i tiden havde vi et småhusreglement, det er så sløjfet i forbindelse med BR18, således der gælder samme regler uagtet man skal opføre en hel karre eller en carport over 50m2.

Men på den måde kan man vel endnu en gang tilsikre at vennerne får fri adgang til borgernes tegnebøger:

https://www.dr.dk/nyheder/regionale/fyn/beredskabsplan-til-din-hoensegaard-strenge-regler-rammer-goer-det-selv-folket

29
25. september 2021 kl. 01:22

Folketinget kan faktisk godt lette byrden for foreningerne

"Forenings-Danmark" er fortsat en fundamental brik i den demkratiske proces, men staten har valgt at gøre det administrative så besværligt, at det slider hårdt på de få ildsjæle, der frivilligt gør dette arbejde for deres medlemmer.

I fortiden gjorde statslige ordninger det nemmere for foreningerne. Posthuset hjalp med at holde medlemslisterne opdaterede, og sendte medlemspost ud til reduceret pris. Foreningskonto var billigt med god hjælp gennem Postgiro.

I dag er foreningsadministration blevet møjbesværligt, ikke mindst for de små foreninger med et par hundrede medlemmer og derunder. Netop fordi, at her skal leves op til de samme regler, som for de store. Samt betales de samme høje gebyrer!

28
24. september 2021 kl. 22:04

Men hvis vi lige skal vende tilbage til emnet:

Folketinget kan faktisk godt lette byrden for foreningerne, ikke ved at dispensere fra GDRP, men ved at reducere kravene til rapportering som betingelse for at opnå offentlige tilskud, således at foreningerne ikke længere har brug for at indsamle informationerne bare for at kunne give dem til kommunen.

26
24. september 2021 kl. 21:43

enig Yoel om reglerne. DGI kom på et tidspunkt med GDPR for dummies - the DYI way. Hvor der var skeletdokumenter til ovenstående. Det er ikke så svært. Og hvis man så har valgt en udbyder der (gratis) tibyder databehandler aftale så kan det gøres. Og vi har feks regel om ikke at offentliggøre noget som helst om medlemmerne.

Og vi er så heldige at vi har valgt ikke at modtage støtte fra kommunen. Feks ingen medlemmer under 18 år. Dem mellem 18-25 går nok uden tilskud. Lokaler får vi en regning fra kommunen som vi betaler.

Så det kan lade sig gøre :-)

Og kommunen har aldrig bedt om medlemslister - men aldersgruppeopgørelser.

25
24. september 2021 kl. 21:04

" Personnummer (CPR-nummer) er en fortrolig oplysning, der er særskilt reguleret i databeskyttelsesloven."

Ja, databeskyttelseslovens §11 oplister en række omstændigheder, hvor CPR-nummer må behandles, herunder af private, og at nummeret ikke må offentliggøres uden samtykke.

Men for så vidt angår GDPR er der en række principper, der skal overholdes, når man behandler persondata:

  • Lovlighed, rimelighed og gennemsigtighed
  • Formålsbegrænsning
  • Dataminimering
  • Rigtighed
  • Opbevaringsbegrænsning
  • Integritet og fortrolighed
  • Ansvarlighed

Der er ingen af disse principper, der kan fraviges, blot fordi man har fravalgt at bruge CPR-numre i foreningen, og især det sidste princip trækker tænder ud, da overholdelsen af de øvrige principper skal dokumenteres.

24
24. september 2021 kl. 20:31

glemte at sige vi har folks fødselsdato da vi skal indberette antal medlemmer efter alder

23
24. september 2021 kl. 20:26

er i bestyrelsen i mindre sportsforening. vi har valgt at vi ikke vil have folks cpr numre.

det fungerer indtil nu fint - for vi har intet at bruge det til.

og det vi har af info holder vi helt indendøre og udleverer det ikke til nogen inkl kommunen.

vi er medlem af et af de store idrætsforbund så vi er en "legal" klub.

Jeg kan simpelthen ikke se hvad en klub skal bruge cpr numre til...

21
24. september 2021 kl. 16:49

De fleste (idræts-)foreninger har i bund og grund kun brug for to informationer om deres medlemmer: A) (kalde-)navn og B) har de betalt kontingent ?

Korrekt.

Men så snart du driver en forening som kan får støtte fra kommunen er det en helt anden sag. Dvs alle foreninger med unge har en hel del mere papir-arbejde der skal styr på.

I AlsLUG, er man medlem hvis man er på mailing-listen. ( Vi har ingen kontigent-betaling til at sortere folk fra efter noget tid )

Vi har (stort set) ingen emdlemmer under 23, og kan derfor ikke få det store i tilskud på medlems-basis.

Vi få stillet lokale til rådighed, men det er ikke bundet op på noget papir-arbejde, og har ingen betydning om vi er 10 eller 170 medlemmer.

Derfor har vi i princippet ikke brug for andre data om vore medlemmer, end deres email. Men det er nu rart at vi kan se hvor folk kommer fra.

Der var for en del år siden nogle som mente at vi skulle på kommunens drop, men det endte med at vi kun ville få bøvl ud af det, da vi dels skulle håntere en masse person-info for kommunen, og dels ikke ville kunne få det store i tilskud, da vores medlemmer typisk er 30-70. Hvis medlemmerne er yngre kan der fås tilskud, og på visse betingelser kunne der fås lidt tilskud til ældre.

Summa sumarum var at vi stort set ikke ville få noget ud af det. Udover en masse bøvl med at holde styr på medlemmerne, og deres kontigent-indbetalinger (som også var et krav for at få tilskud).

/Henning

19
24. september 2021 kl. 15:12

A) (kalde-)navn

Og her fanger bordet. Der er tale om personoplysninger, som skal behandles efter GDPR, med alt hvad det indebærer af bureaukrati - herunder princippet om ansvarlighed, som medfører, at man skal kunne dokumentere, at man overholder GDPR.

I praksis er det muligt, man som forening kan nøjes med en påtale, hvis Datatilsynet nogensinde skulle få tid til at kigge forbi, men det ændrer ikke på de omfattende formelle krav. CPR-nummeret er kun en mindre detalje i det samlede billede.

17
24. september 2021 kl. 14:27

Hvilke dele af GDPR mener du, foreninger kan slippe for, hvis de ikke håndterer CPR-numre?

For mange foreninger er CPR-numre den eneste fortrolige information de håndterer, og dermed det eneste sted de løber ind i de skærpede krav der følger med fortrolige informationer.

16
24. september 2021 kl. 13:56

... og hvad skal vi præcis med det nummer, hvis det ikke er informationsbærende?

Hvad bruger man en pointer til?

Og nej, det er ikke fødselsdatoen i CPR-nummeret, der gør det til persondata. Det er selve det, at nummeret er personhenførbart. Det vil et tilfældigt ID-nummer også være i samme øjeblik, det kan henføres til en person.

Det indeholder også oplysning om køn.

Men det der er problemet er det at man anser de sidste fire cifre som authentifikation, og det er frygteligt besværligt at få et nyt CPR nummer hvis det gamle er blevet kompromitteret.

Men hvis man laver et system med et ikke informationsbærende nummer, så kan pointeren sagtens omdøbes.

14
24. september 2021 kl. 13:45

Kom nu igang med at få lavet et ikke informationsbærende nummer

... og hvad skal vi præcis med det nummer, hvis det ikke er informationsbærende?

Og nej, det er ikke fødselsdatoen i CPR-nummeret, der gør det til persondata. Det er selve det, at nummeret er personhenførbart. Det vil et tilfældigt ID-nummer også være i samme øjeblik, det kan henføres til en person.

13
24. september 2021 kl. 13:37

De har jo et P-nr allerede.. som folk ikke selv kender - men som kan fås ved opslag på cprnr. (når man har adgang til cpr databasen). Kan de gemme det nr. istedet og så er "problemet løst" for foreningernes vedkommende?

12
24. september 2021 kl. 12:40

CPR numrene

Og som skrevet mange gange herinde (men desværre ikke læst uden for ekkokammeret), indse at CPR systemet er forældet og forkert.

Kom nu igang med at få lavet et ikke informationsbærende nummer, i stedet for at blive ved med at lave alle mulige krumspring for at omgå at systemet er broken-by-design.

11
24. september 2021 kl. 12:33

Som jeg har forstået balladen, handler det primært om foreningernes opbevaring af medlemmernes CPR og i langt mindre grad fotos.

Grunden til at foreningerne opbevarer CPR numrene er folketingsvedtaget flueknepperi der skal sikre mikrometerkorrekt fordeling af kommunale tilskud, således at "der ikke opstår et utilsigtet råderum".

Mao: Hvis FT lavede en systemanalyse kunne de ikke alene løse GDPR problemet, de kunne generelt lette papirarbejdet for ungdomsarbejdet OG spare penge til inderligt ligegyldigt papirarbejde.

Penge der med stor fordel kunne bruges på ungernes fritidsaktiviteter i stedet for.

10
24. september 2021 kl. 12:23

og et Justitsministerium, som vasker hænder endnu heftigere end en vis Pontius Pilatus i sin tid.

Mon ikke man efterhånden skal til at passe lidt på, at gentagne irritationsmomenter og provokationer ikke ender med at resultere i et ærgrelsesbaseret folkeligt krav om et Danxit - med lige så ulykkelige konsekvenser som englændernes følelsesladede protestvalg.

9
24. september 2021 kl. 12:21

Også det - men det kan en fælles løsning jo også forklare - i mens den gør det nemt for foreningen at løse de opgaver det nu kræver at have en forening, og giver adgang til en GDPR-lovlig fuktionalitet der opfylder foreningens behov.

Men stadigvæk, hvad med om man i stedet oppefra satte sig ned og kikkede kritisk på kancelisproget, således at reglerne var enkle at forstå, så man kunne luge en masse juristeri ud, og på den måde undgå enten total mangel eller overimplementering.

Tænk hvorledes de 10 bud ville lyde (og hvor meget de ville fylde), hvis de skulle laves i dag af lovgivere og jurister.

KISS tak, også her.

7
24. september 2021 kl. 11:44

Hvis man kunne fratage foreningerne bøvlet ville det være fint, men er ideen med reglerne ikke at foreningerne skal være opmærksomme på det her.

6
24. september 2021 kl. 11:30

Ligesom DBU leverer en løsning til alle foreninger under DBU (med kluboffice mm.) - der netop muliggør at GDPR udfordringer løses centralt - og foreninger dermed kan fokusere på deres virke og have systemer der virker for dem - burde jeres forening gøre ligeså.

Lever løsninger der hjælper foreningerne, istedet for at man som "interesseret i bue skydning" - bare skal leve med at ens person data ikke er behandlet forsvarligt fordi "det var da helt umuligt".

Hjælp ligeledes med alternativer til facebook/messenger - anbefal Signal eller driv en Mattermost service for foreningerne (messenger alternativ - uden GDPR problemer :)

Ikke at DBUs er perfekt - langfra - men det er i det mindste et godt forsøg.. de mangler så en Mattermost service - som ville gøre medlemsdialogen langt lettere og holde den væk fra facebook/messenger.

4
24. september 2021 kl. 11:05

Man kunne jo vedtage en lov, der var i strid med EU reglerne.

Så må man jo for det første se om der er nogen som får så ondt i røven af det at de anlægger sag ved EU domstolen.

Dernæst må vi se om de andre EU lande vil se skævt til ulydige Danmark, eller om de er med på at rette reglerne til.

3
24. september 2021 kl. 09:56

Hvad er det helt præcis som en forening skal gøre, og hvad er det som er særligt byrdefuldt ?

Det er jo i virkeligheden nok det der er problemet, nemlig at hele området er omgærdet af djØFFERi, således at gud og hver mand, af skræk for ikke at gøre det rigtig, føler sig nødt til at koble en advokat på, som så stikker snablen ned og begynder at suge.

Når det så gælder staten selv, så er der tilgængæld ingen regler der gælder, selv vores justitsministerium har ingen kvaler med ikke at overholde de love folketinget har bestemt, eller de forordninger og direktiver EU har pålagt, eksempelvis omkring logning.

Jeg har fuld respekt for GDPR, men det er skruet helt forkert sammen, i stedet for at være opsat som nogle helt præcise krav som alle kunne forstå: du må det og det, du skal det og det, og du må ikke det og det.

Når Ingeniøren skriver at der er større mangel på djØFFERe, end på ingeniører, er det jo desværre et tydeligt tegn på at vores samfund udvikler sig i en helt forkert retning, hvor det er vigtigere at vedligeholde et tomgangssystem af bureaukrati og papirskubberi, end sørge for at der laves noget.

Og se nu bare det nye "D-mærke", det skal nok udvikle sig i samme retning - der ved man dog på forhånd at iglerne står klar til at suge.

2
24. september 2021 kl. 09:33

Jeg blev ikke klogere af at læse artiklen.

Hvad er det helt præcis som en forening skal gøre, og hvad er det som er særligt byrdefuldt ?

Om igen.

1
24. september 2021 kl. 08:43

Et godt råd fra mig til de foreninger der har begrænsede økonomiske ressourcer.

Drop alt hvad der hedder Amerikanske skytjenester, da anvendelsen af sådanne lægger en kæmpe administrativ byrde på foreningen.