Steen Bechmann Henningsen, it-chef for Roskilde Festival, og Ida Nielsen, jurist, har brugt tid på at gøre Roskilde Festival klar til den nye persondataforordning. Her fortæller de, hvad de frivillige skal være opmærksomme på.

Det er to år siden, Roskilde Festival havde fint besøg af wristlebloweren Edward Snowden på en Skype-forbindelse. Takket være Edward Snowden og Cambridge Analytica står datasikkerhed højt på dagsordenen i EU og resten af verden. Det gør det også i Roskilde Festival – men det er et ansvar alle frivillige kan hjælpe med til at løfte.

For en måned siden trådte den nye persondataforordning fra EU, som også går under navnet GDPR, i kraft. Og inden du som frivillig tager på festival, bør du læse med her, så du ved, hvordan du skal agere i mødet med personfølsomme data. Noget som de fleste frivillige formentlig kommer i berøring med på et tidspunkt.

”Det er svært ikke at forestille sig frivillige, der på den ene eller anden måde kommer i berøring med personfølsomme data i en eller anden form. De er ude på pladsen, de registrerer opførsel, står i baren eller er i kontakt med holdlister. Det er ikke alvorlige personfølsomme data, men det er data,” siger Ida Nielsen, juridisk konsulent hos Roskilde Festival.

Kort om persondataforordningen

Forordningen har flere formål; primært at beskytte privatlivet og fokus på, at al databehandling skal have et klart og legitimt formål. Forordningens grundprincip er ‘Beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger er en grundlæggende rettighed’.

GDPR en måde at sikre, at borgere kan få større kontrol med deres egne data.

Det betyder GDPR for Roskilde Festival

I samarbejde med it-chef Steen Bechmann Henningsen har Ida Nielsen brugt en stor del af sin arbejdstid på at finde frem til, hvad persondataforordningen betyder for Roskilde Festival og de frivillige. Grundlæggende er der ikke meget, der har ændret sig:

”Persondata fylder rigtig meget i øjeblikket, men i virkeligheden har mange af reglerne været der i forvejen. Man skal som udgangspunkt gøre, hvad man plejer at gøre. Vi gør bare mere ud af at beskrive, hvordan man skal gribe tingene an, så folk ved, hvad der gælder,” siger Ida Nielsen.

Ifølge Steen Bechmann Henningsen er det hovedsageligt frivillige i beredskabet, der kommer i kontakt med alvorlige personfølsomme data. Men den gruppe af frivillige er allerede bevidste om deres ansvar, når der kommer til personfølsomme data.

Data her, der og alle vegne

Faktisk har persondataforordningen allerede haft sin første berøring med de frivillige på den interne platform People. Her har alle frivillige de seneste par uger har fået besked på at give samtykke om håndtering af persondata. Mens flere frivillige har fået frataget nogle rettigheder i forhold til at søgning i databasen.

”Der vil være nogen, der har oplevet, at de ikke længere kan søge kontaktoplysninger på nogen fra et andet hold. Der har vi valgt at sige, at der er nogen, som ikke behøver oplysninger på frivillige, der ikke er fra deres eget hold. Det kan for eksempel være 24-timers frivillige.” siger Steen Bechmann Henningsen.

“Helt grundlæggende skal man ikke være nervøs. Man skal tænke sig om og huske på, at man behandler data om andre, ikke kun sig selv”

De frivillige vil ligeledes opleve, at de efter dette års festival vil blive bedt om at gennemgå sin mailindbakke for personfølsomme oplysninger. Det kan for eksempel være frivillige, der har diverse lister over tidligere frivillige liggende.

”Vi kommer til at vejlede de ansatte og frivillige om, at forordningen ikke kun er fremadrettet men også bagudrettet. Så det handler om at finde ud af, hvad du har liggende på din mail, computer eller på et fysisk skrivebord. Er der en speciel grund til, at du stadig har de lister? Hvis nej, så skal de slettes,” forklarer Ida Nielsen.

Steen Bechmann Henningsen kommer med et eksempel:

”Jeg modtager engang imellem kontaktoplysninger fra frivillige, hvor de sender deres cpr-oplysninger med i mailen, selv om jeg slet ikke skal bruge de oplysninger. Og så sletter jeg mailen med det samme, for jeg skal ikke have vedkommendes cpr-nummer i min indbakke.”

Ingen bekymringer, blot sund fornuft

Ifølge juristen og it-chefen skal de frivillige ude på pladsen ikke være bekymrede i mødet med personfølsomme data.

”Helt grundlæggende skal man ikke være nervøs. Man skal tænke sig om og huske på, at man behandler data om andre, ikke kun sig selv,” siger Steen Bechmann Henningsen.

Ida Nielsen kalder det ganske almindelig sund fornuft. Det er altid en god idé at tænke over, hvilke data man er i besiddelse af? Om der er en grund til, at man har dem? Hvad man skal bruge dem til? Hvor man opbevarer dem? Eller om de skal slettes?

Mere information

Roskilde Festivals guide til de frivillige bliver sendt ud på mail med andre vigtige praktiske informationer. Find den her.

Datatilsynet har lavet en lang række vejledninger, hvor man kan læse mere.

Hvis du er en ægte nørd og klar på at gå helt ned i detaljen, så finder du selve forordningen her.

For eksempel er der i år blevet indført screening på de billeder, der kommer op på storskærmen. Tidligere har man blot skullet tagge sine billeder med for eksempel #rf17, så ville billederne komme op på storskærmen uden screening, fordi man har haft tillid til, at deltagerne ikke lægger stødende indhold op. Men det er ikke godt nok længere.

”Vi er jo kun interesserede i at vise gode stemningsbilleder, ikke billeder af folk der brækker sig eller befinder sig i en uheldig situation. Man har tidligere stolet på, at det var godt nok, men vi er blevet enige om, at det ikke er godt nok,” siger Steen Bechmann Henningsen.

Er man som frivillig i tvivl, om den måde man håndterer data på, eller om de overhovedet er personfølsomme, så er der hjælp at hente, ud over den guide der bliver sendt ud til de frivillige. Mailadressen GDPR@roskilde-festival.dk er bemandet før og under festivallen, hvis man har spørgsmål.

Et word-dokument, der advarer

Ud over ovenstående arbejder Steen Bechmann Henningsen med en række tiltag, der kan gøre det lettere for de frivillige at håndtere data.

Det gælder blandt andet word-dokumenter, der kan give en advarsel, hvis dokumentet indeholder tal, der ligner CPR-numre, og løsninger der fjerner dokumenter med personfølsomme data efter en bestemt periode.

”Der vil komme mange teknologier i fremtiden, som vil hjælpe med behandlingen af data. Vi har sat nogle ting i værk, men som endnu ikke virker optimalt,” siger it-chefen.

”Nu er det første festival med det her, så der kommer nogle ting, man skal tage ved lære af og på den måde bliver det en løbende proces,” afslutter Ida Nielsen.

Skriv en kommentar