Det er mye snakk om GDPR- og personvern, og sitter du i et styre i en stiftelse må dere ha orden på personvernrutinene. Men mye har dere kanskje allerede på plass?
Sommeren 2018 fikk vi ny personopplysningslov i Norge, som følge av at det ble vedtatt en ny personvernforordning i EU. Dette lovverket blir på folkemunne kalt GDPR (som står for General Data Protection Regulation), og har blitt mye omtalt de siste årene. Personopplysningsloven gjelder like fullt for stiftelser, og de må sikre at også personvernet ivaretas når de jobber for å realisere stiftelsens formål.
Personopplysningsloven kan virke som et overveldende og komplisert regelverk, det syns også vi som har jobbet med det en stund. Men fortvil ikke, målet er ikke at regelverket skal gjøre det vanskeligere å drive en stiftelse. Innholdet i nye personvernregelverket er ikke så mye strengere enn det som allerede har vært gjeldende i Norge i lang tid, men personvern har blitt viet mer oppmerksomhet, og kravet til å dokumentere at personopplysninger ikke er på ville veier er blitt tydeligere.
Det nye personvernregelverket stiller strengere krav enn tidligere til at man kan dokumentere at man har orden i eget hus; at det finnes rutiner og retningslinjer for å sikre at personopplysninger behandles på en skikkelig måte. Kanskje finnes disse rutinene allerede i kontorskuffen til stiftelsen? Eller i hodet på et styremedlem, slik at rutinene enkelt kan nedfelles?
Det er styrets ansvar å sikre at stiftelsen oppfyller kravene i personopplysningsloven. Dette er fordi styret er stiftelsens øverste ledelse. Dessuten er personvern et viktig ideal å sikre. Når stiftelser behandler personopplysninger, forvalter den viktige verdier. Trygg bruk av personopplysninger i stiftelsen styrer omdømmet og tilliten til stiftelsen.
Alle stiftelser behandler personopplysninger, men i varierende grad. Behandling av personopplysninger skjer når opplysninger som navn, adresse, bilder etc. brukes ved at opplysningene samles inn, registreres, lagres eller utleveres. Stiftelser som for eksempel har mange ansatte og mottar mange søknader om støtte, behandler flere og oftere personopplysninger enn stiftelser som ikke har ansatte og kun mottar få søknader.
Personopplysninger behandles eksempelvis når stiftelsen mottar søknader om støtte, mottar donasjoner eller når stiftelsen kunngjør hvem som har fått utdelinger fra stiftelsen. I alle disse tilfellene må stiftelsen ha en lovlig grunn til å behandle personopplysninger. Dette kan være at man har fått samtykke eller har lovhjemmel til å samle og bruke opplysningene.
Styret må få på plass rutiner og retningslinjer for behandling av personopplysninger, for å sikre at stiftelsen opererer i tråd med de reglene som gjelder. For små stiftelser vil det ikke nødvendigvis være snakk om å implementere nye store system, men å ha god nok oversikt og enklere rutiner. For små stiftelser skal det mindre arbeid til for å etterleve kravene enn for større stiftelser.
Å prioritere kontrollaktiviteter gir tillit. Det kan gjøre stiftelsen mindre sårbar, og sikre forsvarlige interne kontrollrutiner. Å etterleve kravene som skal sikre personvernet gir også godt omdømme og forsvarlig drift.
Det er viktig at stiftelsen sitt styre, på samme måte som ved forvaltningen av stiftelsen ellers, tar en aktiv rolle for å sikre at stiftelsen følger personvernregelverket.