I løpet av juli 2018 vert det innført nye og strengare lover for personvern i Noreg, i tråd med den nye personvernforordninga GDPR som tredde i kraft i EU 25. mai. Dette får konsekvensar også for kunstlag og kunstforeiningar, og alle må gjere ein jobb for å sikre at ein handterer personopplysingar i tråd med den nye lova.

Ei personopplysing er alle opplysingar som kan knyttast til ein enkeltperson. Det mest opplagte eksempelet på personopplysingar som ei kunstforeining handsamar er medlemsregisteret. Men også påmeldingslister til arrangement, reine e-postlister, IP-adresser frå datamaskiner og geolokasjonsdata frå mobilar.

For ei kunstforeining er det som regel snakk om at ein samlar inn namn, postadresse, e-postadresse og telefonnummer. Kontaktopplysingane vert gjerne brukt til å sende ut medlemskontingent, invitasjonar og informasjon om utstillingar og aktivitetar. Kunstforeiningar som har tilsette, handsamar dessutan personopplysingar om personalet.

Forbrukarar, eller kunstforeiningsmedlemmer, vil få styrka rettar med den nye lova. Dette gjeld spesielt:

  • rett til innsyn i kva opplysingar som er registrert om ein og korleis dei vert brukt
  • rett til å rette opp feilaktige opplysingar
  • rett til å motsetje seg enkelte typar bruk av personopplysingar
  • rett til å hente ut og ta med seg opplysingane til ein annan leverandør (dataportabilitet)
  • retten til å verte gløymt/sletta: ein skal når som helst kunne be om at alle data om ein sjølv vert sletta

Krava til samtykke vert også skjerpa. Ein person skal i utgangspunktet aktivt gje samtykke til at personopplysingane vert brukt, og til kva formål dei kan nyttast. Kunstforeiningane treng likevel ikkje å innhente aktivt samtykke frå medlemmene sine til å informere om utstillingar, aktivitetar og medlemskap. Dette ligg innanfor kjerneaktiviteten til foreininga, og er ein type informasjon ein medlem vil forvente å motta, og som er med på å oppfylle avtalen om medlemskap. Medlemmer skal likevel få opplyst at det er mogeleg å reservere seg mot å få tilsendt slik informasjon, og kunstforeininga må overhalde reservasjonane dei får inn.

Kvar skal ein byrje?

Det aller viktigaste er at kunstforeininga så snart som mogleg set seg ned og tek ein gjennomgang av kva type personopplysingar ein har, med kva formål ein samlar dei inn og korleis ein handterer opplysingane. Merk at ein ikkje har rett til å samle inn meir data enn det ein faktisk har bruk for.

Ein må utarbeide ei personvernerklæring som er lett tilgjengeleg for medlemmene. Denne må forklare i klart og enkelt språk, kva ein gjer med opplysingane ein samlar inn, og kva underleverandørar ein eventuelt nyttar. Kontaktinformasjon til den som er ansvarleg for handsaming av opplysingane må vere lett tilgjengeleg, slik at medlemmene veit kvar dei skal ta kontakt dersom dei har spørsmål knytt til personopplysingane sine.

Kven har tilgang?

Tenk gjennom kven som har tilgang til personopplysingar, og at tilgangen må vere sikra med passord eller kryptering. Kanskje har ein styremedlem medlemslister lagra på si eiga datamaskin som familiemedlemmer har tilgang til? Har ein rutinar som sørgjer for at folk som går ut av styret ikkje lenger har tilgang? Ein må syte for at alle i organisasjonen som har tilgang til personopplysingar har fått ei opplæring i trygg handtering, og at ein har gode rutinar.

Om de sender adresselister til trykkeri, for trykking av adresser på invitasjonar, må ein ha ein databehandlaravtale med trykkeriet, for å sikre at desse listene ikkje vert brukt til anna enn utsendinga dykkar, og sletta etter bruk.

Dersom kunstforeininga har ein ekstern leverandør eller skyløysingar til medlemsregisteret, eller til dømes nyttar MailChimp til utsending av nyhendebrev, Microsoft 365, Gmail/G Suite eller til e-post og skylagring, så må ein sikre at avtalane med desse leverandørane er innanfor lova. Eit viktig poeng her er at reglane vert mykje strengare når det gjeld å føre data ut av EU/EØS-området. Om ein nyttar skyløysingar som har serverar i t.d. USA, vil ein måtte gjere ein ekstra innsats for å forsikre seg om at desse tenestene leverer ei løysing som er i tråd med GDPR.

Alle må lage ei risikovurdering av kor sannsynleg det er at personopplysingar kan kome på avvegar, og kvar ein skal gjere dersom det skjer. Den nye lova opnar for at Datatilsynet i verste fall kan gje store bøter, dersom ein ikkje har rutinar og dokumentasjon på plass.

Kvar kan ein få hjelp?

Både Frivillighet Norge og LNU har utarbeidd ressursmateriell om den nye personvernlova tilpassa frivillige organisasjonar. Truleg vil bruk av desse ressursane vere til god hjelp for å få på plass dei naudsynte tiltaka.

Datatilsynet har dessutan publisert mykje generelt stoff om GDPR. Mellom anna har dei laga ei rettleiing om kva den nye forordninga får å seie, rettleiar til databehandlaravtalar og ei rettleiing til internkontroll og informasjonstryggleik.

De kan eventuelt også kontakte Norske Kunstforeninger for å få råd om kva ressursar og hjelpemateriell som finst.