Events og data – Guide til god dataetik
Guiden er et resultat af et samarbejde mellem Wonderful Copenhagen og Københavns nye teknologifestival Techfestival. Den tager udgangspunkt i Techfestivals arbejde og erfaringer, der her er fremstillet i en guide. Uanset om du laver kulturarrangementer eller større fagfestivaler, kan du hente ideer og praktisk viden i denne guide.
Først og fremmest: Don’t panic!
Ny lovgivning kan virke omfattende for små organisationer og event-teams, som konferencer og festivaler ofte drives af. Vi starter derfor ud med at huske på og glædes over, at reglerne er til for at sikre os alle sammen, vores data og privatliv. En grundlæggende god ide!
Da dette område omfatter jura og lovgivning, har vi lænet os op af Datatilsynets retningslinjer. Det er dog vigtigt at gøre opmærksom på, at dette er en guide som ikke beskriver alle data lovgivningens aspekter. Den enkelte event-arrangør er i sidste ende selv ansvarlig for at sikre, at arbejdet er på den rigtige side af data-lovgivning. Skulle du have spørgsmål eller være i tvivl, så tag kontakt til Datatilsynet, som er det ansvarlige organ i Danmark.
6 trin til at blev “data-helt”
- Vær rimelig, lovlig og gennemsigtig
For at overholde reglerne og blive datahelte, skal I have en officiel privatlivspolitik. Den skal I forfatte og lægge på jeres hjemmeside (eller anden central kommunikations-platform). I privatlivspolitikken skal I give let tilgængelig information, om hvilke personoplysninger I har og opbevarer på gæster, talere, medarbejdere, leverandører og andre. Dertil skal det fremgå, hvad I bruger den til – eksempelvis at I bruger emailadresser til at sende digital billet, program, aflysninger og eventinformation. Det skal stå klart og tydeligt, hvem der er ansvarlig for behandlingen, hvad formålet med denne brug er, og hvordan de folk, I berører, kan få overblik og evt. slettet oplysninger.
- Hav et klart og begrænset formål
I må kun behandle personoplysninger, hvis I har et klart og sagligt formål. Så I skal altså sikre jer rimelighed i jeres data-opbevaring. Eksempelvis er der ingen grund til at bede om fysiske adresser, hvis I kun kontakter deltagere elektronisk. - Dataminimering
I må ikke behandle flere oplysninger end nødvendigt, og I må kun bruge data til det, som I har erklæret og bedt om samtykke til. Får I en god ide senere, må I på den igen og bede om samtykke. Så tænk over hvilke formål, der er relevante i hele jeres process. - Rigtighed
De oplysninger, som I behandler, skal altid være korrekte og ajourførte. I skal derfor løbende rette og/eller slette oplysninger, som er forkerte. For tilbagevendende events er der ofte nye teams hvert år og anden omskiftelighed. Det er derfor en god ide at starte og slutte med at indsamle korrekte oplysninger. - Begræns din opbevaring af data
I skal slette eller anonymisere personoplysninger, når det ikke længere er nødvendigt for jer at have dem. I skal derfor altid vurdere, hvor længe det er nødvendigt og relevant, at I opbevarer personoplysninger. Vær eksempelvis opmærksomme på at slette info om forhenværende medarbejdere, partnere, leverandører etc. - Integritet og fortrolighed
I skal sikre og beskytte de personoplysninger, som I har, mod uautoriseret og ulovlig behandling. I skal også sikre, at personoplysninger ikke går tabt eller bliver ødelagt. Sørg fx for, at I opbevarer personoplysninger et sted, der kræver adgangskode og vær kritisk med, hvem/hvor mange der egentlig har brug for adgang. Det gælder både på pc, mobile enheder eller på nettet.
5 spørgsmål du skal have svar på
I forlængelse af overstående principper, har vi samlet fem grundlæggende spørgsmål om den data, I indsamler og opbevarer. Disse spørgsmål er gode rettesnore til at lave en privatlivspolitik og ‘disclaimer’ til jeres forskellige aktører. Husk at det ikke kun er deltagere, men også talere, leverandører, partnere og medarbejdere, som I skal sikre god dataetik for.
Hvilke data har I ?
Hvis I ikke allerede har overblik, så start med at skabe en oversigt over, hvilke data I har. Inddel evt i grupper så som event-deltagere, talere, leverandører, partnere, medarbejdere etc.
Hvor har I jeres data?
Yep, beskriv hvor jeres data samles og opbevares.
Det er lige fra google drev, digitale services til jeres jeres bogholder. God øvelse for at skabe særlig adgang og evt. slette data, hvor den ikke er nødvendig.
Hvem har adgang til hvad?
I skal have et overblik og en sund kritisk tilgang til, hvem der har adgang til data. Her kan det være en god ide at lave niveauer af adgang. I vil typisk have flere og følsomme personoplysninger (CPR, adresser, køn etc) på jeres medarbejdere end på jeres gæster. Sørg for, at det kun er de nødvendige person på teamet, der har adgang til de forskellige typer data (i stedet for en access all). Beskyt adgang med kodeord eller anden form for sikkerhed.
Hvis der er et læk af data, skal I kunne rapportere, hvem der er berørt, hvor længe lækket stod på og hvem der havde adgang til de berørte systemer.
Hvilke data må du gemme?
Du skal have en gyldig grund til at lagre data fra din event. Den bedste måde er at bede om samtykke fra dine gæster, så I ved, at de også opfatter det som rimeligt.
Har du en plan for retten til dataoverblik og til at blive glemt?
Når I får sådan en forespørgsel skal I kunne håndtere den. Igen, hvis I har et godt overblik over hvilke data og hvor I har dem ville I kunne håndtere sådan en henvendelse hurtigt og effektivt.
Det var en måde at komme igang på. Alle organisationer er forskellige, så sørg for at være eftertænksom. Og tag altid kontakt til eksperter eller Datatilsynet, hvis I er i tvivl.
Se også vores Guide til en lean Festival
