I denne vejledning findes de it-standarder, som er gælder for medlemmer og frivillige i foreningen.
Vi skal sammen sikre informationssikkerheden ved at beskytte persondata. Det er derfor vigtigt, at vi behandler persondata om foreningens medlemmer, trænere og frivillige ordentlig og sikkert.
Denne IT-instruks er en rettesnor for, hvad du skal, hvad du kan og hvad du ikke må i forbindelse med anvendelsen af it i foreningen. I første hovedafsnit beskrives en række tekniske forhold og i andet hovedafsnit gives et kort sammendrag af reglerne for behandling af persondata.
Tekniske forhold
Generelt
- Data må ikke kopieres eller videregives til personer, der ikke har legitim adgang til disse. Det gælder både personoplysninger og oplysninger om foreningens drift.
Sikkerhedsbrud, virus og hacking
- Foreningen skal straks reagere, hvis der er mistanke om et sikkerhedsbrud.
Bærbar computer og mobiltelefoner
- Mobilt udstyr skal være sikret med password eller med en fingeraftryks-løsning.
Programmer og opdateringer
- Vi arbejder hovedsageligt på Microsoft teknologier og programmer. Vi arbejder med Microsoft Office programmer og vi bestræber os på at holde MS pakken løbende opdateret.
Arkivering
- Ved "fratrædelse" skal dine arkiver, på opfordring, gøres tilgængelige for Bestyrelsen.
Brug af E-mail
- Alle former for persondata kan sendes på mail, hvis de pågældende data i øvrigt må videregives, efter korrekt behandling af reglerne for persondata.
- Skal man sende fortroligt eller personfølsomt data, udenfor EU, bør det overvejes at dele et link til en sikker platform i stedet (fx OneDrive, hvor der kan sættes udløbsdato på dokumentet).
- Dropbox bør ikke anvendes, da man fra-giver sig rettigheder til data, ved brug af produktet.
- Det er vigtigt at overveje om det overhoved er nødvendigt, at sende fortrolig/følsomme data over mail.
- Mails er dokumenter på lige fod med andre dokumenter som breve, notater, kontrakter osv.
- Mails skal arkiveres på samme måde som andre dokumenter, når det har betydning for dokumentationen af foreningens beslutninger og aktiviteter.
- Med jævne mellemrum skal foreningen slette e-mails, modtagne, gemte og sendte, der ikke længere er aktuelle og ikke skal arkiveres. Sletningen skal være permanent.
Behandling af personoplysninger
- Foreningen skal behandle personoplysninger i overensstemmelse med gældende regler og anvisninger.
- Foreningen skal herunder være opmærksom på at beskytte personoplysninger over for uvedkommende, både når der videregives og når der arkiveres oplysningerne, og personoplysninger skal slettes, når der ikke længere er et sagligt formål med at behandle dem eller have dem arkiveret.
Behandling af personoplysninger
Behandling af persondata (personoplysninger) skal følge bestemmelserne i persondataforordningen og supplerende dansk lovgivning. I det følgende beskrives grundprincipperne i reglerne.
Personoplysninger
En personoplysning er enhver form for oplysning om en fysisk person, der kan bruges til direkte eller indirekte at identificere den pågældende. Det gælder f.eks. navn, adresse og telefonnummer, og det omfatter f.eks. også oplysninger om en idrætsudøvers konkurrencedeltagelse, ranglistepoints, karantæner og skadessituation.
En personoplysning omfattes af reglerne i forordning og lov i alle tilfælde, når den behandles digitalt, eller når den behandles analogt i et fysisk arkiv eller register.
Personoplysninger kan inddeles i to hovedgrupper:
- Den ene hovedgruppe kategoriseres som almindelige oplysninger. Langt de fleste personoplysninger, som vi som forening behandler, hører til denne kategori.
- Den anden hovedgruppe omfatter oplysninger, som er tillagt en højere grad af beskyttelse, fordi de er af mere følsom karakter. Denne hovedgrupper omfatter f.eks. oplysninger om etnicitet, seksuel orientering, helbred, strafbare forhold og CPR-nummer.
Foreningen Nordfyns Softball Klub er dataansvarlig
Enhver håndtering af personoplysninger i form af indsamling, registrering, anvendelse, opbevaring, videregivelse m.v. udgør en behandling af personoplysninger og er dermed omfattet af reglerne.
Så snart vi i foreningen behandler personoplysninger om andre, er foreningen dataansvarlig og skal derfor sikre, at reglerne overholdes.
Grundprincipper for behandling af personoplysninger
Grundprincipperne for behandling af personoplysninger er følgende:
- Der skal altid være et klart og sagligt formål med at behandle oplysningerne. Vi har i foreningen forskellige relationer til medlemmer, frivillige m.v., som alle er knyttet til foreningens formål som idrætsforening, og som derfor giver grundlag for saglig behandling af personoplysninger.
- Der må aldrig behandles flere oplysninger end nødvendigt i forhold til det saglige formål. Vi må altså behandle de personoplysninger, som er nødvendige, for at foreningen kan fungere, servicere sine medlemmer og drifte. Men ikke flere.
- Herudover skal de pågældende personoplysninger altid være korrekte og relevante. Det betyder f.eks., at man skal rette eller slette oplysninger, som viser sig at være urigtige eller vildledende.
- Endelig gælder det for enhver form for behandling af personoplysninger, at behandlingen skal baseres på en af de lovlige grunde, som oplistes i reglerne – en behandlingshjemmel. Lovlig behandling kan ske på flere grundlag.
Som hovedeksempler kan nævnes:
- Interesseafvejning: Foreningens saglige formål med at behandle de pågældende oplysninger er stærkere end eventuelle modstående hensyn til den registrerede.
- Kontraktforhold: Kontrakt mellem foreningen og en person gør det nødvendigt at behandle forskellige typer af oplysninger om den pågældende.
- Lovkrav: Krav i lovgivning, f.eks. om indeholdelse af skat eller om myndighedsgodkendelse af udenlandske trænere og spillere, giver adgang til at behandle personoplysninger, herunder også følsomme oplysninger.
Til illustration behandler vi i foreningen f.eks. følgende typer af oplysninger:
- Navn, adresse, fødselsdato og e-mail på medlemmer og udøvere
- Kontaktdata for bestyrelsesmedlemmer, dommere og andre frivillige
- Spilletid og -sted for kampe
Langt hovedparten af de behandlinger, som vi foretager, sker på baggrund af interesseafvejningsreglen. Som hovedregel, men dog ikke altid, er det således unødvendigt at indhente et samtykke forud for behandlingen, og samtykke bør ikke benyttes som behandlingsgrundlag, hvis det ikke er nødvendigt.
Videregivelse af personoplysninger
Videregivelse af personoplysninger er en behandling. Som forening må vi videregive oplysninger til forbundet, når det har et sagligt formål, f.eks. ved afvikling af turneringer, stævner eller i forbindelse med kursusaktiviteter.
Modsat skal vi være påpasselige med ikke at videregive personoplysninger uberettiget, f.eks. ved ukritisk at videresende mails, der selv eller i vedhæftede filer indeholder personoplysninger, som ikke burde videregives, eller ved utilsigtet at uploade eller udlevere dokumenter med personoplysninger, som ikke børe være tilgængelige for alle og enhver.
Arkivering og sikkerhed
Nogle personoplysninger kan deles blandt alle bestyrelsesmedlemmer, medlemmer og frivillige, andre personoplysninger må kun kunne ses af ganske få og atter andre oplysninger kan ligge et sted midt imellem.
Vi har pligt til at være omhyggelige med at sikre, at vi ikke giver andre adgang til de personoplysninger, vi behandler, når dette ikke har noget sagligt formål. Vi skal også vurdere, om personoplysningerne skal arkiveres på lukkede eller åbne arkiver.
Revidering af It-instruks.
Vi reviderer denne It-instruks én gang om året. Seneste opdatering fremgår af datoen herunder. Den til enhver tid gældende It-instruks vil være tilgængelig på vores websted. Ved væsentlige ændringer vil medlemmer modtage meddelelse herom.
Opdateret på bestyrelsesmødet 2. december 2024