- Der, hvor jeg har ryddet mest op, er i gamle ansættelseskontrakter og børneattester. Jeg var inde og undersøge, hvor længe vi skal gemme tingene i forhold til loven, og så har jeg ryddet kraftigt op, for der skal virkelig være en god grund til, at man har tingene liggende.

Jette Steffensen trådte for nylig til som kasserer i Horsens Orienteringsklub, hvor alle typer af mennesker mødes for at suse gennem skoven.

En af de første ting, hun har gjort i sin nye stilling, er at skille sig af med foreningens papirer for at opfylde EUs nye regler om personlige oplysninger på nettet ved navn GDPR - også kaldet databeskyttelsesforordningen.

GDPR stiller nye krav til, at Jette Steffensen skal give medlemmer, trænere, instruktører og frivillige klar besked om, hvordan deres personlige oplysninger såsom CPR-nummer, helbredsoplysninger og børneattester (information fra kriminalregistret, red.) behandles.

For at kunne give medlemmerne de rigtige oplysninger, må hun først have helt styr på, hvilke personlige data foreningen ligger inde med.

Ellers risikerer foreningen at bryde loven.

Reglerne gælder for alle Danmarks cirka 12.000 idrætsforeninger. Og for alle andre foreninger for den sags skyld. I hele EU. Fra den 25. maj 2018.

I dag skal Steen F. Andersen hjælpe Jette Steffensen med at gennemgå Horsens Orienteringsklubs arbejde for at blive klar til GDPR.

Steen vurderer, at det ikke havde været strengt nødvendigt at skille sig af med fx børneattesterne på dem, der stadig er aktive i foreningen.

Ifølge loven skal man altid have et sagligt formål med at behandle personoplysninge og begrænse behandlingen til det, der er nødvendigt i forhold til det saglige formål.

Det betyder, at Jette kun skal opbevare de data, hun bruger, og slette dem igen, når de ikke længere bruges. Men fortolkningen er i første omgang op til foreningen selv.

Medlemmernes personlige information er ikke det eneste, de danske foreninger skal have styr på. Den politik, foreningen fører i forhold til medlemmernes data, skal også nøje overvejes og beskrives. Og alle medlemmer skal orienteres om den.

Skabeloner som DGI og Danmarks Idrætsforbund har udviklet, skal hjælpe foreningerne på vej.

- Vi har ikke til opgave at dunke folk i hovedet. Vi skal hjælpe dem. Så vi har lavet nogle skabeloner til privatlivspolitik. og til at foreningerne kan nedfælde, hvordan de behandler medlemsdata, fortæller Steen F. Andersen.

Jette Steffensen og to andre medlemmer af klubben er begyndt på arbejdet, men når ikke at blive færdige, inden GDPR indtræder.

- Det skulle gerne blive færdigt her i den næste måneds tid, men vi kan simpelthen ikke nå at blive færdige til d.25, siger Jette Steffensen.

Det, tror Steen F. Andersen, er tilfældet mange steder.

- Jeg tror på, at I ligner mange foreninger, Nogle er nok slet ikke startet endnu - det vil jeg ikke udelukke. Nogen er også i mål, men jeg tror, der er rigtig mange på jeres niveau. Det vil Datatilsynet også have forståelse for.

GDPR træder i kraft i dag den 25. maj. Den får betydning for alle borgere i EU og skal følges af alle 12.000 danske idrætsforeninger - og en lang række andre foreninger, klubber og virksomheder, der indsamler personoplysninger. Straffen for overtrædelse af GDPR er bøder på op til 150 millioner kroner eller 4 procent af en organisations globale omsætning.


Det bliver dog næppe relevant for Horsens Orienteringsklub.