Frustrert over nye personvernregler

Den 25. mai i år innføres ny personvernlovgivning i Norge og Europa. EUs forordning for personvern, The General Data Protection Regulation (GDPR), blir da en del av norsk lov (se faktaboks).

Paraplyorganisasjonen Landsrådet for Norges barne- og ungdomsorganisasjoner (LNU) opplever stor pågang fra organisasjoner som ønsker informasjon om GDRP, veiledning knyttet til hvordan de skal gå fram og praktiske eksempler på hvordan det nye regelverket skal implementeres.

– En av hovedutfordringene er at den informasjonen som finnes ikke er tilpasset frivillige organisasjoner, særlig ikke små frivillige organisasjoner, sier leder i LNU, Rode Margrete Hegstad.

De nye reglene angår alle bedrifter og organisasjoner som behandler personopplysninger, for eksempel i et medlemsregister. Forskriftene får derfor følger for de fleste kristne organisasjoner, inkludert Norges Kristelige Student- og Skoleungdomslag (Laget).

– Vi synes det er veldig bra at EU kommer med noen felles regler for dette, særlig i møte med store transnasjonale selskaper, men hvordan det skal se ut i praksis blir vanskelig, sier assisterende generalsekretær i Laget, Bård Rebbestad Løkken.

– Ingen vil definere

Flere ansatte i Laget har vært på kurs om GDPR hos LNU, men er frustrert over hvor mye usikkerhet og vaghet som råder.

– Det er vanskelig å vite hvordan man skal forholde seg til dette for det virker som om ingen vil ta helt eierskap til å definere hvordan dette blir i praksis, sier Thomas Heggebø, som er systemansvarlig i Laget.

– Jeg har inntrykk av at alle sitter og venter på at noen skal definere noe. En dom i Tyskland vil for eksempel også bli gjeldende i Norge. Man venter litt på at det skal brake løs og så definere ut fra det, sier Rebbestad Løkken.

LNU-lederen bekrefter at det er uklarheter rundt den praktiske implementeringen av GDPR.

– EUs nye personvernregler kommer til å få konsekvenser for norske barne- og ungdomsorganisasjoner, men det er fremdeles uklarheter rundt hvordan regelverket kommer til å slå ut i praksis. Organisasjonene må forberede seg på at de må gå gjennom rutinene sine rundt lagring av personopplysninger, sier Hegstad.

Ønsker å følge loven

Rebbestad Løkken og Heggebø savner klarere veiledning og definisjon på hvordan de nye reglene kan implementeres i praksis og hvor strengt det vil bli håndhevet.

– De fleste organisasjonene er små og har lite administrative ressurser. Vi ønsker jo å følge loven, men vi vil jo helst bruke mest tid på våre medlemmer, og ikke på paragrafer fra EU, sier Rebbestad Løkken.

Systemansvarlig synes det er ganske diffust hvordan man kan legge opp rutiner som ivaretar personvernet og som samtidig er praktisk gjennomførbart i en arbeidshverdag.

– Det er vel ingen som er tjent med om frivillige organisasjoner må bruke 30 prosent av arbeidstiden på å organisere hensynet til personvern, sier Heggebø og legger til at det også er noe positivt i at de nye reglene får dem til å gå gjennom egne prosedyrer og rutiner.

Vil hjelpe

LNU-lederen sier det er viktig at organisasjoner tar kontakt dersom de møter utfordringer.

– Alle organisasjoner kan gjøre mye selv for å tilpasse seg til en ny personvern-hverdag, men hvis man møter på utfordringer man ikke klarer å løse, er det viktig å spørre om hjelp. Vi i LNU hjelper gjerne, sier Hegstad og legger til at hun er sikker på at Datatilsynet og ansvarlige myndigheter også ønsker å hjelpe.

Hegstad forteller at LNU har vært i kontakt med Datatilsynet, for å få mer kunnskap og vite hva slags tips og råd de skal gi til medlemsorganisasjonene sine.

– Det kommer mye viktig og god informasjon rundt dette fremover fra mange ulike aktører, også fra oss i LNU. Vi vet at mange etterspør denne informasjonen, og skal gjøre vårt beste for å komme med god og tilpasset informasjon til barne- og ungdomsorganisasjonene, blant annet er vi i gang med å lage en håndbok, sier hun.

– Kun en liten del

Fagdirektør Knut Brede Kaspersen i Datatilsynet mener de har gjort sitt for å informere om hvilke følger GDPR får for frivillige organisasjoner.

– Det vil være forskjellig fra organisasjon til organisasjon og hvilke typer opplysninger de registrerer, sier han.

Kaspersen forteller at Datatilsynet har hatt et enormt informasjonsarbeid i høst.

– Vi har hatt mye informasjon til frivillige organisasjoner, sier han.

Fagdirektøren mener det nå er opp til paraplyorganisasjonene å hjelpe organisasjonene.

– Dersom organisasjonene har vært oppdatert på det nåværende direktivet (se faktaboks), og har internkontroll og slikt på plass, så er det kun en liten del å gjøre i forhold til denne forordningen, avslutter han.