- Hjem
- Personvern i Norges speiderforbund

Personvern i Norges speiderforbund

Personvernforordningen (GDPR) vil gjelde for alle virksomheter i alle land i EU. Hva betyr det for Norges speiderforbund? Og har det noe å si for speidergruppa, kretsen eller korpset?
Personvern og tillit
Personvern handler om retten til å ha et privatliv og retten til å bestemme over egne personopplysninger. For en frivillig organisasjon som Norges speiderforbund handler det om at medlemmer og samarbeidspartnere skal kunne ha tillit til oss og til hvordan vi behandler deres persondata.
Medlemssystemet Min speiding
GDPR vil påvirke hvordan vi håndterer persondata i medlemssystemet Min speiding. For eksempel vil tilgang til persondata måtte begrenses, slik at man kun behandler informasjon det er behov for i den aktuelle saken. Det blir enda viktigere at vi håndterer lister fra Min speiding på en sikker og riktig måte.
Medlemssystemet Min speiding får endelig nye veiledninger!
Disse finner du på http://veiledninger.speiding.no/. Om du har spørsmål knyttet til bruk av Min speiding, vennligst ta kontakt via hjelp@speiding.no
Samtykke og informasjon
Det må gis tilstrekkelig med informasjon om hva som skal gjøres med personopplysningene til den det angår. Dette gjøres i personvernerklæringen (se lenger ned på siden), og i den øvrige skriftlige informasjonen som gis i forbindelse med inngåelse av et samtykke. I den nye forordningen er det økt krav til informasjonen som blir gitt: Den skal være forståelig og tilgjengelig for mottakeren. Skriftlig informasjon til barn skal tilpasses barnets forståelsesnivå, og det skal gis et aktivt samtykke - det vil si at det skal krysses av som et “JA”.
Når du blir medlem i Norges speiderforbund (NSF), oppgir du personopplysninger som registreres i medlemssystemet Min speiding. Personopplysningsloven av 14. april 2000 nr. 31 inneholder regler om registrering og annen form for behandling av personopplysninger som er knyttet til en enkeltperson. Norges speiderforbunds personvernerklæring skal, i likhet med personopplysningsloven og annet regelverk, bidra til at de personopplysninger som oppgis av deg blir behandlet i samsvar med grunnleggende personvernhensyn. Ikke minst skal du være trygg på at dette skjer på en sikker måte.
Behandlingen/samtykke
NSF behandler dine registrerte personopplysninger i henhold til avtalen med deg som medlem (jf. personopplysningsloven § 8 a).
For visse formål, vil NSF imidlertid basere behandlingen på et frivillig, uttrykkelig og informert samtykke fra deg. Dette gjelder kun i tilfeller hvor slik behandling klart faller utenfor det avtalen om medlemskap mellom deg og NSF naturlig omfatter.
Behandlingsansvarlig
Det er NSF ved generalsekretær, som har ansvaret for, og som er behandlingsansvarlig for, medlemssystemet “Min speiding” og for NSFs behandling av personopplysninger. Det daglige ansvaret for behandlingen, administrasjon og forvaltning av Min speiding samt administrasjon og er imidlertid delegert til medlemsavdelingen.
Personopplysninger som lagres
Vi lagrer følgende personopplysninger om våre medlemmer;
Navn, adresse, telefonnummer og e-postadresse, kjønn, fødselsdato, passord for medlemsregisteret (kryptert), historikk for deltakelse på arrangementer/kurs, faktura og betalingshistorikk, CV og utmerkelser. Vi lagrer også informasjon om familie og husstandskoblinger til andre brukere. Vi lagrer medlemskap og historikk om profilens medlemskap i forbundet.
Formål med behandlingen
Vi behandler opplysningene for å kunne gjennomføre våre forpliktelser etter avtale med deg.
Vi benytter også opplysningene for å kunne gi deg informasjon, tilbud og service i forbindelse med ditt medlemsskap i NSF via nyhetsbrev på e-post, telefon, SMS og postutsendelser, som for eksempel bladet Speideren og fakturaer.
Grunnlaget for behandlingen
Informasjon om navn, adresse, telefon, e-postadresse benyttes for å oppfylle avtalen for medlemskap i Norges speiderforbund. Grunnlaget for denne behandlingen er personvernforordningens artikkel 6 (b).
Der du har samtykket til det, benyttes også opplysningene til å gi deg informasjon, tilbud og service i forbindelse med ditt medlemskap via e-post, telefon og SMS. Grunnlaget for denne behandlingen er personvernforordningen Art 6 (a). Du kan når som helst takke nei til å motta slik informasjon fra oss.
Du kan se og endre dine instillinger for samtykker i medlemssystemet Min Speiding.
Informasjonskapsler (cookies)
Vi speidere er glade i å lage god turmat. I stedet for tradisjonelle cookies, kan vi anbefale denne søte overraskelsen på tur - se oppskrift her.
NSF benytter også informasjons¬kapsler (cookies) på speiding.no og blispeider.no.
Informasjonskapslene (cookies) er små tekstfiler som lagres på din datamaskin, nettbrett eller mobil når du bruker nettsteder. Informasjonskapslene inneholder ikke personopplysninger eller annen sensitiv informasjon.
Ved å besøke våre nettsteder samtykker du i at vi benytter informasjonskapsler/cookies, slik at vi kan gi deg en bedre brukeropplevelse.
Vi bruker Google Analytics for å analysere bruken av våre nettsider.
Dersom du ikke vil akseptere vår bruk av informasjonskapsler, kan du gå inn og trekke tilbake ditt samtykke ved å endre innstillingene i nettleseren. Vi gjør imidlertid oppmerksom på at dette kan medføre at tjenestene på våre nettsider ikke fungerer optimalt.
Dersom du ikke vil akseptere bruk av informasjonskapsler, kan du gå inn og avvise disse ved å endre innstillingene i nettleseren.
Utlevering av opplysninger til tredjeparter
Vi vil ikke dele, selge, overføre eller på annen måte utlevere personopplysninger til andre, med mindre vi er rettslig forpliktet til det, eller for å kunne oppfylle våre forpliktelser etter avtalen.
For en del av våre arrangementer må vi rapportere informasjon om deltakere til offentlige myndigheter.
Sletting av personopplysninger
Opplysninger vi etter bokføringsloven er forpliktet til å bevare vil lagres i inntil 5 år, i henhold til lovens krav. Annen informasjon vil bli slettet når den ikke er relevant for håndtering av medlemskapet.
Rettigheter for den registrerte
Vi behandler dine personopplysninger i henhold til personopplysningsloven og gjeldende forskrifter. Vi gjør oppmerksom på at du kan kreve innsyn i og flytting av egne personopplysninger, samt kreve retting eller sletting av opplysninger.
Det kan klages til Datatilsynet på behandling i strid med reglene.
Personvernombud
Vi har et personvernombud, se speiding.no som påser at personopplysningslovens regler om behandling av personopplysninger blir fulgt.
Informasjonssikkerhet
Vi sikrer dine personopplysninger ved tilgangskontroll i medlemssystemet Min speiding.
Kontaktinformasjon
Henvendelser om hvilke opplysninger som er registrert, retting og sletting kan sende skriftlig til følgende adresser:
Norges speiderforbund
Postboks 6910 St. Olavs plass
0130 Oslo
Vi vil her gi svar på de vanligste spørsmålene i forbindelse med personvernforordningen GDPR, og hvordan Norges speiderforbund sentralt, korps, kretser og grupper skal forholde seg til den.
Hva er GDPR?
GDPR, (eller General Data Protection Regulation) er EUs nye personvernforordning.
Det nye regelverket gir virksomheter nye plikter og enkeltpersoner nye rettigheter.
Hva er en personopplysning?
GDPR definerer “personopplysning” som enhver opplysning som kan knyttes til en fysisk person. Eksempel på personopplysninger er navn, adresse, bilder og sporing fra nettsider.
Hvem er ansvarlig for behandlingen av personopplysninger?
Det er den juridiske personen som bestemmer behandlingen, og hvordan den skal gjøres.
I noen tilfeller kan det være et felles ansvar. Et eksempel på det er personopplysninger i medlemssystemet Min speiding, hvor ansvaret kan være felles for Norges speiderforbund og den enkelte speidergruppe, som da er de juridiske enhetene, avhengig av hva slags databehandling som foretas.
I de tilfeller hvor den enkelte speidergruppe behandler personopplysninger i medlemssystemet, eller i andre kilder, og uten at det skjer i fellesskap med Norges speiderforbund sentralt, vil speidergruppa være ansvarlig for behandlingen av personopplysninger.
Om det for eksempel arrangeres en lokal haik eller en leir, og påmeldingen ikke skjer via medlemssystemet Min speiding, vil speidergruppa selv måtte passe på å oppfylle kravene for databehandling iht GDPR.
Hvordan påvirker GDPR Norges speiderforbund som organisasjon?
Den største forskjellen sammenliknet med nåværende regelverk, er at vi som organisasjon må definere enda tydeligere hvordan og hvorfor vi håndterer og behandler personopplysninger. Det gjelder både lokalt i speidergruppa og sentralt i Norges speiderforbund. Vi kan ikke samle inn og behandle informasjon (personopplysninger) som ikke er nødvendige for organisasjonen. Det må være tydelig for dem vi ber om opplysninger fra at vi samler inn slik informasjon, hvilke opplysninger vi behandler, og hvorfor vi gjør det.
Hvordan behandler vi personopplysninger i Norges speiderforbund?
For å behandle personopplysninger kreves det en rettslig grunn. Til en viss grad kan dette variere, avhengig av type behandling.
I det daglige arbeidet håndteres databehandlingen iht “avtalen” eller “berettiget interesse” som rettslig grunn. Betaling av medlemskontingenten regnes som en handling for å bekrefte medlemskapet som avtale.
Personopplysningene i Norges speiderforbund behandles i hovedsak i medlemssystemet Min speiding, slik at avtalen om medlemskap kan oppfylles. Det er viktig å huske på at det kun er nødvendig informasjon som skal behandles, og at det må tydeliggjøres i avtalen hva opplysningene skal brukes til og hvordan de blir behandlet.
Det kan bety at vi må “dele opp” innsamlingen av opplysninger, basert på behovet. For eksempel er det nødvendig å be om opplysninger om allergier for å arrangere en leir, men det er ikke nødvendig for å være medlem, og skal dermed ikke lagres på medlemsnivå, kun i forbindelse med den enkelte leiren, og slettes etter bruk.
Er medlemssystemet Min speiding “GDPR-sikkert”?
Norges speiderforbund har rettslig grunn (se forrige spørsmål) til å lagre personopplysninger. Alle nye medlemmer vil få informasjon i e-posten de får umiddelbart etter at medlemskapet er registrert.
Vi anbefaler sterkt at det er medlemmet selv, eller medlemmets foresatt, som registrerer opplysningene. Dette er nå mulig i det elektroniske innmeldingsskjemaet du finner på gruppas side i Min speiding under fanen for API/hjelpeverktøy og “Innstillinger for offentlig registrering”. Her finner du også en veiledning for hvordan du setter opp og bruker det offentlige elektroniske innmeldingsskjemaet.
I medlemssystemet Min speiding kan medlemmene også selv oppdatere opplysninger og samtykker.
Her finner du også en veiledning for hvordan du oppdaterer samtykker på din bruker.
Det er viktig at vi ikke benytter fritekstfeltene i Min speiding til “kreativ” registrering av opplysninger. Vi har kun tillatelse til å registrere opplysninger som er nødvendige for å opprette profilen.
Kan jeg som leder ha en utskrift av en medlemsliste i min perm?
Ja, men det er ditt ansvar å påse at listen håndteres på rett måte. En liste på papir omfattes også av GDPR. Listen skal kun inneholde nødvendige opplysninger. Du skal ikke gi andre tilgang til listen, og du må oppbevare den på en måte som sikrer at uvedkommende ikke får tilgang til listen. Når du ikke lenger har behov for listen, må du sørge for at den makuleres på en god måte, slik at den ikke havner på avveie.
Hva skal gruppene gjøre med påmeldinger til lokale leire og andre arrangement?
Min speiding har en arrangementsmodul som kan håndtere påmeldinger til arrangement.
Arrangementsmodulen har lenge blitt brukt til nasjonale arrangementer, kurs og leirer og er ikke helt tilpasset for mindre arrangement per i dag. Vi jobber med å forbedre dette. Målet er at arrangementsmodulen i Min speiding skal være et godt verktøy for å støtte administrasjon av lokale arrangement på en enkel måte som oppfyller kravene i GDPR. Frem til dette er på plass er det viktig å tenke på at helseinformasjon om for eksempel allergier regnes som særskilt sensitive personopplysninger. Slike opplysninger håndteres med ekstra forsiktighet og kun i forbindelse med spesifikke arrangementer. I tilretteleggingen av arrangementsmodulen vil det finnes støtte for automatisk sletting av slike opplysninger etter avsluttet arrangement.
Frem til dette er på plass i Min speiding, anbefaler vi at gruppa innhenter samtykke fra foresatte i forbindelse med at deltakere melder seg på deres arrangement.
Lag gode rutiner for hvordan dere håndterer personopplysninger lokalt og for hvordan disse slettes etter arrangementer. Det er spesielt viktig i forbindelse med registrering av sensitive opplysninger, for eksempel helseopplysninger.
OBS! Helseopplysninger skal aldri legges inn i den vanlige medlemsprofilen i Min speiding.
Hvis en speiderleder får en e-post som informerer om barnets personopplsyninger av en speiders foresatt, vil det omfattes av GDPR?
Svaret er ja. Alle personopplysninger omfattes av GDPR og må behandles deretter. GDPR omfatter også personopplysninger i e-post, som inngår i det som kalles ustrukturerte data.
Det innebærer at når barnets personopplysninger er registrert, for eksempel i medlemssystemet Min speiding, finnes det ingen gyldig grunn til å lagre e-posten. Den skal og da slettes.
Vær oppmerksom på at mange nett-baserte e-postløsninger (som Gmail) skiller mellom å arkivere og slette e-poster. Det er din og din speidergruppes ansvar å forstå hvordan ditt e-postprogram fungerer, og sørge for at e-poster med personopplysninger faktisk slettes når de skal.
Lag gode og enkle rutiner, og være ekstra oppmerksomme på at sensitive personopplysninger som gjelder for eksempel helse må håndteres med ekstra varsomhet.
Speidergruppa har en nettside der speiderledere er identifisert med navn, e-post, telefonnummer og bilde. Hvordan skal vi håndtere det?
Det enkleste er å håndtere det med et skriftlig samtykke fra de lederne som presenteres på nettsiden.
Du skal kunne være speiderleder uten at informasjon om deg automatisk publiseres på en nettside.
Det samme gjelder for deltakere på arrangementer o.l. Deltakerlister skal ikke publiseres på nettsider uten at det er gitt eksplisitt samtykke til dette. Det er ikke nødvendig å publisere navn på deltakere på en åpen nettside, derfor bør dette unngås, selv om man innhenter samtykke.
På speidergruppas nettsider og i annet materiell brukes det bilder av lekende barn. Kan vi bruke disse?
I utgangspunktet må personene på bildene være identifiserbare for at slik bruk skal omfattes av GDPR. Om personene er identifiserbare, innhentes samtykke fra personene. Bilder av barn under 15 år skal bare publiseres med samtykke fra barnets foreldre/foresatte. Bruk av et oversiktsbilde av speidere i aktivitet, vil dermed ikke kreve samtykke fra alle de avbildede. Tenk på at bilder som viser nærbilde av selve aktiviteten, uten at ansiktene vises, også kan være veldig effektfulle.
Oppfordre også medlemmene til å gå inn på sin profil i medlemssystemet Min speiding, for å oppdatere sine samtykker, slik at vi har god kontroll på samtykkene.
Bilder skal behandles som andre personopplysninger. Man skal ikke ta, eller oppbevare bilder uten samtykke. Bilder som det er gitt samtykke for skal uansett slettes dersom samtykket trekkes tilbake. Vis ekstra aktsomhet om det er barn og unge det tas bilde av.
Vi har en liste som viser hvem som har vært ledere i gruppa vår de siste 50 år. Kan vi ta vare på den?
I utgangspunktet er svaret “nei”, hvis det gjelder levende personer som ikke lenger er medlemmer. Om de er medlemmer, vil de allerede ligge i medlemsregisteret, og da er det ikke behov for en ekstra oppføring.
Vår speidergruppe bruker vårt eget system for håndtering av medlemmer. Dette ligger utenfor medlemssystemet Min speiding. Hva gjelder da?
Om speidergruppa (eller kretsen) bruker et annet system, er speidergruppa fullt ansvarlig for at GDPR-kravene oppfylles. Det vil blant annet bety at gruppa må sikre at det finnes en rettslig grunn til at behandlingen foregår i systemet, og at gruppa har gode rutiner for å slette informasjon som ikke er påkrevet. Dette må dokumenteres. Om det er et system som behandler personopplysninger eksternt, må det etableres en databehandleravtale. Mal for databehandleravtale kan lastes ned fra Datatilsynets nettsider.
Om speidergruppa selv bestemmer hvordan og når data behandles, er det gruppa selv som har ansvar for å oppfylle kravene i GDPR.
Hva kan speidergruppa gjøre når det gjelder GDPR?
Lag gjerne en analyse eller oversikt over
-
hvordan dere håndterer personopplysninger,
-
hvilke opplysninger som behandles,
-
i hvilke system dere registrerer og behandler dere dataene, og
hvordan dere sletter informasjon dere ikke lenger har bruk for.
Er det noen områder dere mener innebærer høyere risiko enn andre når det gjelder personvern, begynn med dette først.
Lag enkle rutiner, og del informasjonen med ledere og andre i gruppa. Bruk gjerne samtykketekster o.l som dere finner i medlemssystemet Min speiding.
Hvordan melder vi om avvik?
Avvik meldes umiddelbart til forbundskontoret på nsf@speding.no eller på telefon 22 99 22 30.
Beskriv avviket så godt det lar seg gjøre:
- hovedårsak
- tidsrom
- når ble avviket oppdaget
- antall berørte personer
- beskrivelse av hva som har skjedd
- hvordan avviket oppstod
- beskrivelse av hva slags type personopplysninger som ble berørt
- hvilken relasjon virksomheten har til de berørte personene
- beskrivelse av hvor personopplysningene befinner seg etter avviket
Basert på informasjonen som er gitt vil forbundskontoret eventuelt varsle Datatilsynet.
Norges speiderforbund benytter informasjons¬kapsler (cookies) på speiding.no og blispeider.no for å lage en bedre nettside for deg.
Informasjonskapslene (cookies) er små tekstfiler som lagres på din datamaskin, nettbrett eller mobil når du bruker nettsteder. Informasjonskapslene inneholder ikke personopplysninger eller annen sensitiv informasjon.
Ved å besøke våre nettsteder samtykker du i at vi benytter informasjonskapsler/cookies, slik at vi kan gi deg en bedre brukeropplevelse.
Vi bruker Google Analytics for å analysere bruken av våre nettsider.
Dersom du ikke vil akseptere vår bruk av informasjonskapsler, kan du gå inn og trekke tilbake ditt samtykke ved å endre innstillingene i nettleseren. Vi gjør imidlertid oppmerksom på at dette kan medføre at tjenestene på våre nettsider ikke fungerer optimalt.
Dersom du ikke vil akseptere bruk av informasjonskapsler, kan du gå inn og avvise disse ved å endre innstillingene i nettleseren.