Blogg

GDPR-beredskap livsviktigt för välgörenhetsorganisationer

Publicerat av  Jeremias Jansson

Trots att GDPR, den nya dataskyddsförordningen från EU, ligger runt hörnet och träder i kraft den 25 maj 2018 ser vi på Unit4 att många organisationer ännu inte påbörjat de processer som krävs för att kunna möta kraven i tid. Detta gäller även flertalet välgörenhetsorganisationer som, liksom alla andra, riskerar höga böter om de bryter mot lagarna. Välgörenhetsorganisationerna är beroende av donationer och ett eventuellt dataintrång skulle kunna skada tilliten att fortsätta donera och i slutändan äventyra hela organisationen. Om välgörenhetsorganisationer går i graven på grund av GDPR leder det tragiskt nog till att färre människor i nöd får hjälp, något som inte borde ligga i någons intresse.

Datasäkerhet måste få högsta prioritet
Samtidigt är välgörenhetsorganisationer beroende av att samla in och analysera data för att visa på resultat och fortsätta driva in pengar för goda ändamål. Denna typ av rapportering kräver insamling av känslig information från både givare och mottagare. För att kunna donera kan känslig finansiell information behöva delas och för att ta emot hjälp kan mottagarna exempelvis vara tvungna att lämna ifrån sig privata hälsodata. I orätta händer kan denna data orsaka stor skada.
Många organisationer saknar de resurser som krävs för att säkerställa och hantera informationen med avancerade tekniska verktyg och system. Risken för katastrofala dataöverträdelser är ett problem som måste åtgärdas, och det är viktigt att datasäkerhet får högsta prioritet.

Varför är GDPR viktigt? 
Det är fortfarande lite oklart hur och när GDPR kommer gälla. GDPR är en EU-förordning och det råder ingen tvekan om att den är tillämplig för datahantering och bearbetning inom EU. Det finns dock till exempel en osäkerhet kring huruvida lagarna även gäller europeiska organisationer som samlar in uppgifter om mottagare utanför EU.
Den allmänna uppfattningen är dock att alla organisationer som på ett eller annat sätt har närvaro i EU omfattas av GDPR. Konsekvenserna av bristande efterlevnad kan som sagt bli dyrt både i böter och borttappat givarstöd. De flesta internationella organisationerna föredrar att ha en gemensam policy kring datasäkerhet, och om de har verksamhet i EU måste deras policy vara förenlig med GDPR. Organisationerna förstår också att de har en moralisk skyldighet att hantera känslig information på ett säkert sätt, och i grund och botten kan GDPR tyckas vara en självklarhet.

Tekniken får inte komma i efterhand
Verksamheten kring datainsamling och bearbetning innefattar så klart IT, men projektledarna inom olika välgörenhetsprojekt känner ofta inte till hur mycket tid och kunskap det krävs för att utveckla ett dataverktyg. IT-frågor prioriteras sällan och specifika tekniska önskemål kommer oftast först när verktygen är under utveckling. Detta gör att integritet och säkerhet åsidosätts under framtagandet, och dessutom spricker ofta budgeten när verktygen måste anpassas i efterhand. Efter den 25 maj kommer det verkar finnas varken tid eller pengar att åsidosätta integritet och säkerhet – dessa krav måste finnas med tidigt under processen i utvecklingen av nya IT-verktyg.
En välgörenhetsorganisation som brister i sin behandling av personuppgifter och inte anmäler detta kan tvingas betala en straffavgift på upp till 20 miljoner euro eller fyra procent av den globala omsättningen. Dessa är enorma belopp och pengar som hellre bör hamna hos behövande än hos Datainspektionen. Så se till att vara redo för GDPR när den 24:e maj slår över till den 25:e.

Jeremias Jansson

Jeremias Jansson är Regional President Continental Europe på Unit4 och har arbetat där i olika ledande befattningar sedan år 2000. Jeremias har en Bachelor´s Degree från Göteborgs Universitet.