Start gratis prøveperiode
Funktioner Sikkerhed & GDPR Guides Om os Kontakt Log ind
gdpr

GDPR for foreninger: 9 ting bestyrelsen skal have styr på

Praktisk GDPR-guide til danske foreninger: hvad I må gemme, hvor længe, hvordan I håndterer indsigtsret, og hvilke fælder der koster bøder. Skrevet til frivillige bestyrelser.

CG Christian Gravgaard
6 min læsning

GDPR ramte foreninger lige så hårdt som virksomheder, men de fleste foreninger har ikke en jurist til at forklare reglerne. Det betyder, at mange bestyrelser enten ignorerer GDPR (risikabelt) eller bliver så bange, at de ikke tør gemme noget som helst. Det sidste er også risikabelt, bare på en anden måde.

Den gode nyhed er, at GDPR for en almindelig forening er overskuelig, hvis I forstår de ni grundprincipper nedenfor. Denne guide er skrevet specifikt til frivillige bestyrelsesmedlemmer, ikke til advokater.

Disclaimer: Denne artikel er en praktisk introduktion, ikke juridisk rådgivning. I konkrete tvivlsspørgsmål, særligt for store foreninger eller foreninger med følsomme oplysninger, bør I kontakte en advokat eller Datatilsynet.

1. Foreningen er dataansvarlig

Det første, I skal forstå: foreningen er dataansvarlig, ikke det enkelte bestyrelsesmedlem. Det betyder at det er foreningens ansvar at GDPR overholdes, og en eventuel bøde rammer foreningen, ikke kassereren personligt.

Det betyder også, at hvis I bruger systemer som Foreningsliv, Conventus, Klubmodul eller en simpel mailudbyder, så er disse leverandører databehandlere. I skal have en databehandleraftale med hver af dem.

2. I skal have et lovligt grundlag for at gemme data

Før I gemmer en e-mail, et telefonnummer eller en fødselsdato på et medlem, skal I kunne svare på, hvorfor I må det.

For foreninger er det typisk ét af tre grundlag:

  • Aftale: Personen er medlem, og I har brug for kontaktoplysninger for at levere medlemskabet.
  • Legitim interesse: I har brug for oplysninger til at drive foreningen (fx fødselsdato til at beregne medlemstype, regnskabsoplysninger).
  • Samtykke: I vil bruge oplysninger til noget ekstra (fx fotos på Facebook, nyhedsbrev til ikke-medlemmer).

Vigtigt at vide. Samtykke er det sværeste grundlag at bruge, fordi det skal kunne trækkes tilbage og dokumenteres. Brug aftale eller legitim interesse, hvor I kan.

3. Datamængden skal være proportional

GDPR-princippet om dataminimering siger: I må kun gemme det, I reelt har brug for.

Det her må I gerne gemme:

  • Navn, e-mail, telefon, adresse, så I kan kontakte medlemmer
  • Fødselsdato, hvis det afgør medlemstype eller kontingent
  • Bankoplysninger, så I kan modtage kontingent

Det her skal I sandsynligvis ikke gemme:

  • CPR-nummer. Kun hvis I har en specifik hjemmel (typisk udbetaling af honorarer).
  • Helbredsoplysninger. Kun hvis det er nødvendigt for medlemskabet (fx allergier på spejderlejr).
  • Fotos af børn. Det kræver samtykke fra forældre.

Spørg jer selv ved hvert felt: hvis vi blev spurgt af Datatilsynet, kunne vi forklare hvorfor vi gemmer det? Hvis nej, fjern det.

4. Medlemmer har ret til indsigt

Et medlem kan til enhver tid kræve at få at vide, hvilke oplysninger I har om vedkommende. I har 30 dage til at svare, og svaret skal være forståeligt. Ikke bare en CSV-eksport.

Sådan gør I i praksis:

  • Lav en "indsigtsret-skabelon" i et Word-dokument
  • Når en anmodning kommer ind, kør den standard procedure: hent oplysninger fra medlemssystem, regnskab, mailudsendelser, mødereferater
  • Send en samlet oversigt på dansk

I systemer som Foreningsliv kan I trække en GDPR-rapport pr. medlem med ét klik, og det dækker indsigtspligten. Hvis I bruger flere systemer, skal I huske at samle data fra dem alle.

5. Medlemmer har ret til at blive glemt

Hvis et medlem udmelder sig og beder om at blive slettet, skal I i de fleste tilfælde gøre det.

Der er to undtagelser:

  • Regnskabsspor: Bogføringsloven kræver, at I gemmer regnskabsbilag i 5 år. Det betyder, at en faktura med personnavn på godt kan stå i regnskabet. Men kun det.
  • Verserende sag: Hvis personen har en uafsluttet betaling eller en igangværende konflikt, kan I gemme det relevante.

Det betyder i praksis: når et medlem beder om sletning, gennemgå alle systemer og slet personoplysninger. Behold regnskabsbilag, men anonymisér hvor I kan ("Medlem #4123" i stedet for "Anne Vejlby").

6. I skal varsle ved sikkerhedsbrud

Bliver foreningens data lækket, fordi en bestyrelses-mail er hacket, en USB-stik er væk, eller et system har et brud, skal I varsle Datatilsynet inden for 72 timer.

Det betyder I skal kunne:

  1. Opdage at noget er galt
  2. Vurdere om det er en risiko for medlemmerne
  3. Skrive en kort rapport til Datatilsynet
  4. I alvorlige tilfælde informere medlemmerne direkte

For en lille forening er det helt fint at have en plan for, hvad I gør, hvis det sker, i stedet for et fuldt incident response team. Skriv ned: hvis vi får et brud, ringer kassereren til formanden, og formanden ringer til Datatilsynet på 33 19 32 00.

7. Brug aldrig CC til medlems-mails

Den klassiske fejl: Formanden sender mail til 200 medlemmer og sætter alle i CC. Pludselig kan alle se hinandens e-mailadresser. Det er et brud på GDPR, og det kan koste bøder.

Brug i stedet:

  • BCC i mail-klienten, eller
  • En mailudsendelses-tjeneste (Mailchimp EU, ActiveCampaign, eller Foreningslivs egen)

Det giver også jer som forening et bedre overblik over, hvad I sender ud, og medlemmerne kan let afmelde sig.

8. Ledere af børneforeninger har ekstra forpligtelser

Hvis I er spejderkorps, idrætsforening med U-hold, eller på anden måde arbejder med børn under 15 år:

  • Samtykke skal komme fra forældrene, ikke fra børnene selv
  • Datamængden skal være endnu mindre. Ingen overflødige felter.
  • Børneattester på ledere er ikke et GDPR-krav, men det er et lovkrav i sig selv (Børneattestloven). Hold dem opdaterede.

For lejre og udflugter, saml samtykker pr. lejr. Ikke som en blanket-tjekboks i medlemsindmelding. Forældre skal kunne sige nej til en specifik lejr uden at trække medlemskabet.

9. Skriv det ned i en privatlivspolitik

Det sidste princip er det letteste at gøre. Sørg for at have en privatlivspolitik på foreningens hjemmeside.

Den skal indeholde:

  • Hvilke oplysninger I gemmer
  • Hvorfor I gemmer dem (det lovlige grundlag)
  • Hvor længe I gemmer dem
  • Hvem I deler dem med (databehandlere, regnskabssystem, hjemmesideleverandør)
  • Medlemmernes rettigheder (indsigt, sletning, klage til Datatilsynet)
  • Kontaktoplysninger (typisk formanden eller en udpeget DPO)

Det skal være på dansk, læseligt og opdateret. Ikke en juridisk afhandling. Bare ærligt.

Foreningslivs egen privatlivspolitik er offentligt tilgængelig. Brug den gerne som inspiration til foreningens egen.

Sådan kommer I i mål

For en almindelig dansk forening er GDPR overkommelig:

  1. Gem kun det I behøver
  2. Hav en privatlivspolitik på hjemmesiden
  3. Brug systemer der håndterer indsigtsret og sletning automatisk
  4. Brug BCC eller en mailtjeneste, aldrig CC
  5. Hav en plan for sikkerhedsbrud
  6. Underskriv databehandleraftale med jeres systemer

Hvis I bruger Foreningsliv, så er punkt 3, 4 og 6 stort set løst på platform-niveau: indsigtsret-rapporter er ét klik, mailudsendelser er BCC-by-default, og en standard databehandleraftale ligger klar til underskrift.

Det fjerner ikke jeres ansvar. Men det fjerner det værste arbejde.

Læs hvordan vi tager sikkerhed alvorligt eller start gratis prøveperiode.

Læs flere guides

Praktiske vejledninger til foreningsdrift, leveret når der er noget nyt værd at sige.

Tilbage til alle guides

Tag jeres forening fra spreadsheet til struktur.

Prøv Foreningsliv gratis i 14 dage. Ingen binding. Ingen kreditkort. Bare en bestyrelse der får sin lørdag tilbage.

Start gratis prøveperiode Book en demo
14 dages gratis prøve · Intet kreditkort · Dansk support