Det innføres en felles personvernlov i EU og Norge 25. mai 2018, ofte benevnt GDPR (General Data Protection Regulation). En ny norm for behandling av personopplysninger og informasjonssikkerhet i idretten er første steg på veien, vedtatt av Idrettsstyret 14. desember 2017. Den erstatter de gamle retningslinjene for databehandling i idretten fra 2004.
- Sterkere rettigheter og bedre kontroll for enkeltpersoner
- Hovedformålet med GDPR er å gi enkeltpersoner sterkere rettigheter og bedre kontroll over sitt eget personvern gjennom strengere grenser for hvilke data som kan samles inn og lagres. Man kan kreve å få vite hvilken informasjon som er lagret om seg, be om at data slettes, feil endres, eller å få dataene utlevert elektronisk for gjenbruk, sier Kjetil Bakke, IT-sjef i Norges idrettsforbund.
Han forklarer et eksempel på hva det betyr å behandle personopplysninger.
- Idrettslag behandler personopplysninger når de henter inn navn- og kontaktopplysninger, lagrer disse og bruker dataene som grunnlag for fakturering av kontingenter. Idrettslagene må ha et bevisst forhold til hvordan man lagrer og behandler disse opplysningene. Derfor har vi utviklet en norm for behandling av personopplysninger og informasjonssikkerheten i idretten, i tillegg til en veileder som primært er rettet mot idrettslag eller mindre organisasjonsledd, fortsetter Bakke.
Ledelsen i organisasjonsleddet har ansvaret
Det er organisasjonsleddets ledelse som har ansvaret for å etablere og opprettholde tilfredsstillende informasjonssikkerhet. Alle organisasjonsledd i idretten har et selvstendig ansvar for å følge norsk lov.
- Idrettslag som kun benytter seg av idrettens sentrale dataløsninger må først og fremst se veilederen for informasjonssikkerhet i idretten. Idrettslag som benytter seg av eksterne datasystemer må i tillegg sette seg godt inn i norm for behandling av personopplysninger og informasjonssikkerhet for å møte kravene, forklarer Bakke. I Norge er det Datatilsynet som fører tilsyn med etterlevelsen av reglene.
Må sikre at uvedkommende ikke får kjennskap til personopplysninger
Konfidensialitet er ivaretagelse av taushetsplikten og sikrer at uvedkommende ikke får kjennskap til opplysningene. Dette innebærer blant annet:
- Personer utenfor organisasjonsleddet uansett ressurser og kunnskap skal ikke kunne få uautorisert tilgang til personopplysninger.
- Personer i organisasjonsleddet skal gis tilgang i henhold til prinsippene for tilgangsstyring. Se punkt 3 i veilederen.
Sentrale dokumenter:
- Ny norm for behandling av personopplysninger og informasjonssikkerhet
- Veileder for informasjonssikkerhet i idretten
- Se også vår FAQ (Se nederst på siden)
Hvis du har spørsmål knyttet til behandling av personopplysninger og informasjonssikkerhet, ta kontakt med din idrettskrets.