Hensynet til GDPR og personvern er mer aktuelt enn noen gang for arrangementsplanleggere og arrangører. Det blir strengere og strengere krav til hvordan persondata skal ivaretas og behandles, og det er avgjørende at dette håndteres riktig. Hvis ikke, kan det medføre store bøter og gjøre stor skade på både merkevare og omdømme.
Selv om det er gått flere år siden innføringen av GDPR, er det fortsatt mange som er usikre på hvordan man skal forholde seg til forordningen. På denne temasiden får du en oversikt over det viktigste du bør gjøre og ta stilling til for å lage arrangementer som er i samsvar med regelverket.
1. Kartlegg personopplysningene dere behandler
Hvilke deltakerdata har dere liggende i databaser og systemer som dere bruker til arrangementer? Det kan dreie seg om e-postlister til utsendelse av invitasjoner, oppsamlede deltakerdata fra tidligere avholdte arrangementer, evalueringer, nyhetsbrev, opplysninger om foredragsholdere, utstillere, sponsorer, osv.
Dere må vite hvordan persondata har blitt samlet inn, hvem som har tilgang til dem, og om dere har aktivt samtykke fra deltaker til å benytte dataene videre. I tillegg må dere kartlegge hvilke systemer dataene lagres i, når dataene ble brukt, og hva de ble brukt til.
2. Deler dere deltakerdata med underleverandører, må det gjøres riktig
På litt mer komplekse/krevende arrangementer hender det at informasjon om deltakere må deles med samarbeidspartnere eller underleverandører (matservering, overnatting, betaling, eventbyråer, teknologileverandører, etc.).
Dere må få avklart om dere har fått tillatelse fra deltaker til å gjøre dette (bedt om samtykke ved påmelding), og der det er relevant, har gyldige databehandleravtaler som gjør dette lovlig. Naturligvis må dere ikke dele data med flere enn det er samtykket til, eller mer data enn det som er absolutt nødvendig.
La oss si at dere oppdager at dere uten tillatelse har delt deltakerlister og deltakeres kontaktdetaljer med utstillere, sponsorer eller arrangementssteder. Da har dere brutt GDPR-reglene.
Videre må dere sørge for å kvalitetssikre samarbeidspartnere og underleverandørene for å sikre at også de oppfyller GDPR-kravene. Dersom dere har tredjepartsleverandører som behandler data for dere (leverandører av påmeldingssystem, eventapper, etc.), må dere se nøye på leverandørenes datasikkerhetsrutiner. Sørg for å inngå databehandleravtale som beskriver ansvarsforholdet i detalj.
3. Registreringsskjemaer som brukes for å samle inn persondata, må oppfylle betingelser for samtykke
Betingelsene for å innhente samtykke har blitt strengere under GDPR. Det kreves samtykke for både lagring og behandling av persondata. Enkeltpersoner kan når som helst trekke tilbake sitt samtykke og be om å bli slettet (se punkt 5). Derfor må dere se over registreringsskjemaer, apper og andre skjemaer på nettsteder for å påse at de oppfyller dagens regler for lagring og bruk av persondata.
Husk: For at en deltaker skal kunne registrere seg, må vedkommende fylle ut registreringsskjema og aktivt samtykke til lagring av persondata. Hvis data samles inn kun for å håndtere deltakeren på dette ene arrangementet, kan du som arrangør kreve at deltaker må svare ja for å få meldt seg på.
Har du et veldig enkelt arrangement, med begrenset innsamling av data (f.eks. et frokostseminar), kan det være nok med et ekstra informasjonsfelt på registreringsskjemaet, som informerer om hvorfor du samler inn disse dataene, og hva de skal brukes til. Deltaker gir da automatisk samtykke ved å registrere seg.
Det forutsettes at du ikke benytter dataene til noe annet enn å håndtere deltakeren på dette ene arrangementet, og at du heller ikke deler dataene med andre, dersom det ikke er beskrevet i teksten.
4. Sørg for at personvern bygges inn i virksomhetens IT-løsninger og systemer
Under dagens regelverk er det en plikt å bygge personvern inn i alle IT-løsninger og systemer i virksomheten. Med andre ord: Personvern skal være standard funksjonalitet i alle systemer.
Men enda viktigere er det å bruke funksjonaliteten riktig, slik at du faktisk følger det regelverket krever.
Personvernet skal tas hensyn til gjennomgående, uansett hvor dataene befinner seg. Som standard skal det sikres at det ikke blir behandlet andre persondata enn de som er nødvendige for hvert formål. Virksomheten plikter å passe på at:
- Det kun samles inn nødvendige opplysninger
- Opplysningene kun brukes til det som er forutsatt fra starten
- Persondata ikke lagres lenger enn nødvendig
- Tilgjengeligheten til opplysningene er tilstrekkelig begrenset
Hovedformålet med disse tiltakene er å sikre at persondata som standard ikke gjøres tilgjengelig for et ubegrenset antall fysiske personer – uten at den personen som eier personopplysningene, har bidratt til det.
5. Gi deltakere retten til å bli glemt (slettet)
Grunnleggende sett handler GDPR om at enkeltindivider har fått større bestemmelsesrett over sine egne data og økt kontroll med hvem som vet hva.
Hva gjør du dersom en deltaker ber deg om å slette deltakerdata dere har om ham/henne? GDPR krever at dere svarer innen 30 dager, med mindre «særlige forhold» gjør det umulig. I så fall må du begrunne forsinkelsen.
Hva om dere bruker et påmeldingssystem, vil det da være mulig for dere å spore opp og slette dataene i tide? Hva med de samme dataene som er registrert i CRM-systemet dere bruker?
Dersom det finnes betalingsinformasjon knyttet til deltakeren, er det ikke mulig å slette deltakeren, og dere er i henhold til norsk lov pålagt å lagre data i minst fem år. Denne loven går foran loven om GDPR og retten til å bli glemt.
6. Gi deltakere mulighet til å samtykke hvis data om dem skal brukes til andre formål senere
Hvis innsamlet data skal brukes til noe annet etter endt arrangement (sende ut nyhetsbrev, invitere til andre arrangementer, etc.), må du sørge for å informere deltaker og innhente et aktivt samtykke til dette. I slike tilfeller bør det være frivillig for deltaker å svare ja. Hvis deltaker har meldt seg på, men ikke svart ja, har du ikke lov å bruke disse opplysningene videre til andre formål.
Et godt påmeldingssystem kan skille mellom a) samtykke som deltaker gir for å bli “håndtert” på arrangementet (samt at de samtykker til å bli invitert igjen på tilsvarende arrangementer neste gang), og b) samtykke til å motta nyhetsbrev eller annen “reklame” på et senere tidspunkt.
Ved fremtidige utsendelser basert på slike samtykker er det viktig at det er enkelt å melde seg av og/eller trekke samtykke tilbake.
7. Sørg for å sikre arrangements- og deltakerdataene
Datasikkerhet er et av de mest sentrale elementene i GDPR. Som arrangør må du vise at du gjør alle nødvendige tiltak for å sikre deltakerdata, slik at det er minimal risiko for at de kommer på avveie.
Sikkerhetskopier data jevnlig, oppgrader program- og maskinvare, og installer sikkerhetsoppdateringer og antivirussystemer. Men husk at enkelte sikkerhetstrusler kommer fra egne rekker…
Skaff dere oversikt over hvem som har tilgang til data i bedriften deres – både internt og blant underleverandører som behandler data for dere (leverandører av påmeldingssystem, eventapper, etc.). Se nøye på leverandørenes sikkerhetsrutiner og sørg for at dere har inngått en databehandleravtale som beskriver ansvarsforholdet i detalj.
- Er medarbeidere kjent med interne datasikkerhetsrutiner, og forstår de hvorfor rutinene må følges?
- Har dere gode prosedyrer for passord og passordhåndtering?
- Hvilke rutiner har dere for a) deling av arrangements- og deltakerdata med andre aktører, og b) for å beskytte persondata i forbindelse med deltakerhåndtering før, under og etter arrangementet?
Nøkkelen til å etterleve GDPR er å sørge for at medarbeiderne har satt seg inn i hva som utgjør et databrudd, og hva de skal gjøre dersom data kommer på avveie.
8. Ha gode rutiner for varsling dersom data kommer på avveie
Sørg for å ha på plass korrekte prosedyrer for å melde fra dersom persondata kommer på avveie. Hovedregelen i GDPR er at alle avvik som skyldes brudd på datasikkerheten, skal meldes til Datatilsynet. Når det er sannsynlig at avviket vil medføre en høy risiko for personvernet til de som er berørt, må dere også varsle de berørte. Dere må levere avviksmelding til Datatilsynet innen 72 timer, der dere må dokumentere alle avvik og hvilke tiltak som er iverksatt.
Dersom data har kommet på avveie via andres systemer, så plikter leverandør å melde fra til dere, og dere skal melde det videre til Datatilsynet. Underleverandører skal aldri varsle på kundens vegne til Datatilsynet.
Dette skal være godt spesifisert i databehandleravtalen dere har med leverandøren deres.
Skulle det skje at regler er brutt eller data har kommet på avveie – be om hjelp og gjør noe med det! Det verste du kan gjøre, er å late som det ikke har skjedd …
9. Publiserer dere navnelister på nett, i apper eller i trykt format, må deltakere kunne velge å ikke være synlig
Mange ønsker å publisere navnene, kanskje med relevant kontaktinformasjon til alle deltakere på sitt arrangement. De fleste deltakere synes dette er fint, slik at de kan se hvem andre som deltar og eventuelt oppsøke / skape kontakt med interessante personer underveis i arrangementet.
Samtidig er det viktig å huske på at ikke alle synes det er greit å bli publisert. Husk å gi deltakeren valget til ikke å være synlig på en slik liste når de melder seg på. Ønsker de ikke å være synlig, må dette respekteres.
10. Bruker dere et påmeldingssystem, må dere forsikre dere om at leverandøren etterlever GDPR
Hvis en virksomhet setter ut hele eller deler av behandlingen av persondata til en annen tjenesteleverandør, er den eller de som behandler informasjonen, definert som databehandlere. Som den behandlingsansvarlige part skal dere da forsikre dere om at databehandleren har tilstrekkelig sikkerhetsnivå, jf. personopplysningsloven § 15.
En virksomhet som bruker skytjenester eller nettbaserte tjenester som behandler persondata, må ha en databehandleravtale. Databehandleravtalen regulerer hva databehandleren (f. eks. leverandøren av et påmeldingssystem), kan gjøre med deltakerdata.
Når du bruker et påmeldingssystem, er det viktig å få avklart hvilke rutiner leverandøren har for å oppfylle GDPR-kravene. Kan dere som kunde av leverandøren føle dere trygg på at de tar regelverket på alvor? Blir data de forvalter på vegne av dere, tatt hånd om på en forsvarlig og trygg måte? Og hva med leverandørens egne tjenesteleverandører som har tilgang til deres data? Ved å avklare disse problemstillingene kan dere unngå ubehagelige overraskelser i fremtiden.
Oppsummering: GDPR og vern av persondata er mer aktuelt enn noen gang for arrangører
Det er mange hensyn å ta – og mange fallgruver å styre unna – når man skal ivareta datasikkerheten og personvernet i håndteringen av deltakere og gjennomføringen av arrangementer.
De viktigste tingene å huske på:
- Vær varsom med hvem du sender invitasjoner til, be om samtykke ved registrering og fortell hva dataene skal benyttes til, og hvordan de vil bli videre behandlet.
- Det må være mulig for en deltaker å trekke samtykket tilbake.
- Vær varsom med å dele og publisere deltakerlister, og ikke send mer data til underleverandører enn de strengt tatt har behov for.
- Ha god kontroll på persondata og gode rutiner for varsling dersom data kommer på avveie.
- Bruker du et påmeldingssystem, må leverandøren kunne dokumentere at de samler inn persondata i samsvar med regelverket.
Når dere kan vise til at dere etterlever GDPR og både organisatorisk og teknisk legger til rette for å verne persondata, legger dere grunnlaget for tillit hos deltakere, leverandører og samarbeidspartnere.
