NINA HANSSEN

nina.hanssen@lomedia.no

Alle blir berørt av nye personvernregler i EU som trer i kraft 1. juli i Norge. LO-forbundene er godt i gang med å forberede seg, men fortsatt står mange spørsmål ubesvart.

Jobber med å etablere gode rutiner

På Forbundskontoret til NFF møter vi Nina Bergene og ekstern rådgiver Inger Berit Eidsten som diskuterer og jobber med hva GDPR betyr for forbundet.

– Ja vi har startet med å jobbe med hva den nye forordningen vil bety for oss, våre tillitsvalgte og medlemmer. Vi ønsker selvsagt å ha gode rutiner på plass når dette trer i kraft 1. juli, sier Bergene.

– For oss er dette et prosjekt som må involvere alle tillitsvalgte og medlemmer. Det er viktig at vi jobber sammen, sier hun.

Bergene henter mye kunnskap og råd fra andre i LO-familien og er glad for at de kan hjelpe hverandre.

– Det er bra at det jobbes på tvers av forbundene slik at ikke alle forbund må etablere og lage egne rutiner og avtaler. Det er bra at man samarbeider i LO og kan opprette felles maler. Det er mange fellestrekk i de ulike forbundene, uavhengig av størrelse.

Bergene sier at alle må tenke seg litt om på nytt, og mye handler om bevisstgjøring.

Men Bergene sier at selv om man gjør alt riktig, er det ikke sikkert at man klarer å sikre seg mot hacking og virusangrep. Det er likevel viktig at medlemmene vet og føler seg trygge på at personopplysninger om dem blir lagret og oppbevart på en forsvarlig måte.

• Tror Nav vil takle overgangen til nye personvernregler greit

Rådgivning

LO Stat er også i gang med forberedelsene. Den nye kontorsjefen, Beate Knudsen, har erfaring med personvern fra den tidligere jobben i Norsk Transportarbeiderforbund, og det kommer godt med.

– Her i LO Stat har vi latt GDPR ligge litt på vent, men har nå fått inn rådgiver fra Compendia som leverer medlemssystemer til mange forbund, for å gi oss litt råd om å lage systemer og håndbok som følger det nye personvernreglementet.

– Jeg har tatt med meg litt erfaring fra arbeidet i NTF, og jeg har lyst til at vi skal lage dette så enkelt som mulig slik at det blir lett for våre folk å følge det samme regelverket. Vi skal ha et allmøte der vi vil få en ekstern konsulent til å fortelle oss litt om hva GDPR betyr for alle som jobber her og hva vi må tenke på, sier hun.

Når det gjelder ansatte og tillitsvalgte, mener Knudsen folk må tenke litt igjennom hva de legger igjen på skrivebordet når de går.

– Kanskje bør vi tenke på at det er ting vi må låse inn og at PCen låses hver gang man forlater kontoret, sier hun.

I NTF testet de dette ut og tok stikkprøver mens folk var ute til lunsj.

– Vi sjekket hvem som hadde låst PCen og sende ut fellesmail til de som hadde glemt dette, forteller hun.

Beate Knudsen, LO Stat.

Roy Ervin Solstad

Alle må tenke seg om

Knudsen mener at alle som behandler data bør tenke seg om.

– Vi må tenke på alle typer saker som handler om enkeltmedlemmer. Trekklister, lønnsopplysninger og reiseregninger og det at man er tilknyttet fagforeningen, er ting man må behandle med forsiktighet.

For forbund er det viktig å tenke på medlemsregistret og hvem som har tilgang. Man må sørge for databehandleravtaler med alle man utveksler informasjon med, som blant annet mellom forbund og LO Favør og mellom forbund og LO.

– Medlemmene må samtykke til at man gir ut telefonnummer og eposter, og vite hva disse opplysningene skal brukes til. Medlemmer kan også kreve at alle opplysninger slettes når man melder seg ut.

Ifølge Knudsen gjelder dette like mye på et klubbkontor i en lokal fagforening som i et forbund og for alle personalledere.

– Alt skal låses inn i et elektronisk system med ekstra begrensninger. I tillegg har Compendia fortalt oss at eposter som inneholder personopplysninger er som å sende et åpent postkort, hvis den kommer på avveie uten å være kryptert, forteller hun.

Mange forbund har allerede i dag mulighet for å sende krypterte eposter.

• – Arbeidsgiveren vet alt om meg fra før

Sikkerhet

Sosiale medier er derimot ikke så lett å kontrollere.

– Hver og en av oss må tenke gjennom hva vi legger ut på Facebook og andre sosiale medier. Jeg håper at GDPR gjør oss alle mer bevisst på dette, sier hun.

Hun følger nå nøye med på hva Datatilsynet og departementet skriver om hvordan bedrifter og organisasjoner skal forholde seg til GDPR og om de trenger å få på plass en personvernrådgiver.

Knudsen tror at det fortsatt er en jobb å få på plass alle rutiner, men er glad for at mange forbund nå er bevisste på at dette kommer.

– Det viktigste er at vi tenker gjennom hvordan vi jobber. Den største holdningsendringen ligger i hodene våre, sier hun.

Postkom følger med

Hans Fredrik Danielsen er 2. nestleder i Postkom og den som jobber mest med å forberede forbundet til GDPR trer i kraft.

– Det er ikke sikkert vi kunne ha gjort dette intervjuet her etter 1. juli, på grunn av informasjon jeg har liggende på pulten her, sier han spøkefullt, men vet samtidig at regelverket blir strammet inn.

Det er mulig slike møter må tas i besøksrommet i framtiden.

– Vi er glade for at det foregår mye forberedende arbeid i både LO-regi og i AAF. Vi har allerede fått mye bra praktisk informasjon om personvern med sjekklister på hvordan vi skal forholde oss til det nye regelverket. Postkom er opptatt av å følge rådene, og også veiledere skal være tilgjengelig snart, sier han.

– På forbundskontoret har vi allerede gode rutiner på personsensitive saker vi håndterer.

Men Danielsen sier de nå har en del diskusjoner om hva som er personsensitive opplysninger.

– Det nye nå i GDPR er jo at fagforeningsmedlemskap også er en personsensitiv opplysning. Det er jo et paradoks at fagforeningsmedlemskapet er hemmelig mens personnummer og liknende ikke lenger så viktig i henhold til loven, sier han.

Hans Fredrik Danielsen, Postkom.

Ole Palmstrøm

Restriktive

– Blir det problematisk for avtaler Postkom har med de som styrer medlemsfordelene?

– Vi må tenke på medlemsregistret, oppbevaring og tilgjengelighet, men selvsagt også hva vi bruker disse opplysningene til. Postkom er veldig restriktiv i dag også om noen ønsker å få tilgang til vårt medlemsregistrer til bruk i salgskampanjer og andre ting. De får ikke det.

Han legger til at det er annerledes når det er snakk om undersøkelser som Postkom og LO skal ha. Dette gjelder også samarbeidet med tilsluttede organisasjoner som LO Favør.

Danielsen mener det er god grunn til å bli mer bevisst.

– Opplysninger om mennesker er jo en industri i seg selv. Det er en gullgruve for de som driver med salg og markedsføring. Vi må beskytte våre medlemmer mot dette, sier han.