Motiv: arkivskuffer

Procedurer for databehandling

DATABEHANDLING
 I HJERNESKADEFORENINGEN

Procedurer for

Medarbejderdata

Dataansvarlig: Direktør Morten Lorenzen

Medarbejderdata er defineret ved data på personer, som er ansat i foreningen på ordinære eller særlige vilkår eller som er praktikanter, frivillige eller lignende på såvel landskontor som i lokalafdelinger.

Hvordan indsamles medarbejderdata?

Hjerneskadeforeningen modtager medarbejderdata direkte fra ansøger/ansat (via personligt møde, telefon, fysisk post og/eller e-mail), eventuelt fra tidligere ansættelsesforhold og fra offentlige myndigheder som SKAT m.fl.

Hvilke medarbejderdata indsamles?

Hjerneskadeforeningen indsamler følgende data med henblik på at håndtere sine ansatte:

  • Stamdata
    • Navn
    • Adresse
    • Postnummer
    • Telefon
    • E-mailadresse
    • CPR-nummer
  • Data til brug for lønhåndtering
    • Kontonummer
    • Skatteoplysninger
    • Pensionsoplysninger
    • Oplysninger om ansættelsesforhold, herunder særlige ordninger fx fleksjob
    • Oplysninger om ferie- og fridage
    • Oplysninger om fraværsdage pga. sygdom
    • Oplysninger om barsel, orlov etc.

Stamdata (undtagen CPR) indsamles også for frivillige på landskontor og i lokalafdelinger.

Desuden kan indsamles og opbevares (for ansatte, frivillige og praktikanter):

  • Informationer i forbindelse med ansættelsesproces
    • CV
    • Ansøgning
    • Beviser på uddannelse og faglige kvalifikationer
    • Anbefalinger
    • Informationer fra MUS-samtaler
    • Opsigelser
    • Lægeerklæringer
    • Portrætfoto til oplysning i medlemsblad, hjemmeside og andre af foreningens medier (til oplysning, ikke markedsføring)
    • Informationer i forbindelse med udlæg, godtgørelse ved kørsel og andre udgifter, som skal refunderes (det kan være info om CPR-nummer, nummerplade, kontonummer m.m.)

Hvordan oplyses om formålet med at indsamle medarbejderdata?

Formålet med at indsamle medarbejderdata oplyses ved ansættelsessamtale, i ansættelseskontrakt og ved generel oplysning til medarbejdere i såvel e-mails som til personalemøder.

Hvordan anvendes medarbejderdata?

Det primære formål med at indsamle medarbejderdata er indledningsvist at udvælge kandidater til jobbet og gennemføre ansættelsesprocessen, herefter at håndtere den lovpligtige personaleadministration samt varetage medarbejderudvikling.

Hvordan opbevares medarbejderdata?

Medarbejderdata opbevares på et fælles drev som alle medarbejdere i princippet kan tilgå. Printede dokumenter opbevares i et aflåst kartotek. Data, som er modtaget på e-mail, slettes. Data, som skal gemmes, overføres til sikker opbevaring enten som printede dokumenter eller som fil på digitalt drev inden sletning fra mailsserver. Dette gælder data på ansatte, frivillige og praktikanter samt på ansøgere til stillinger/samarbejde med foreningen – opfordrede såvel som uopfordrede.

Ud over de medarbejderdata, som er indsamlet ved og under ansættelse, opbevares også ansættelseskontrakter, lønsedler o.lign. Ansættelseskontrakter sendes via krypteret e-mail til den ansattte eller udleveret i printet udgave. Lønsedler sendes til den ansattes E-boks.

Konkret opbevares digitale medarbejderdata på en sikret server med adgang begrænset til Direktør, Regnskabs- og administrationschef og revisionsselskab (aktuelt Deloitte).

Dokumenter opbevares i aflåst kartotek på foreningens adresse. Adgang til arkivskab er begrænset til Direktør og Regnskabs- og administrationschef. I korte perioder af max. 14 dage kan dokumenter opbevares i aflåst kartotek hos dataansvarlig medarbejder, der har en legitim grund til at arbejde med dokumenterne fra egen bopæl.

Personaleansvarlige for henholdsvis den sociale rådgivning og kommunikationsafdelingen kan anmode om at få adgang til specifikke medarbejderdata, såfremt der er en legitim grund.

Persondata, som vedrører frivillige i Hjerneskadeforeningens lokalafdelinger, opbevares tilsvarende sikkert, krypteret og aflåst hos de respektive lokalformænd. Andre frivillige tillidsfolk i lokalafdelingerne kan have behov for at få udleveret persondata vedrørende frivillige. Dette kan kun ske gennem aftale med lokalafdelingsformanden, der vurderer relevansen af forespørgslen. I fald at data skal videresendes, sker det sikkert i overensstemmelse med ´Politik for behandling af persondata i Hjerneskadeforeningen’.

Hvor længe opbevares medarbejderdata?

Ansattes medarbejderdata opbevares i hele ansættelsesperioden. Ved opsigelse/fratrædelse gemmes data og lønsedler i 5 år – forsvarligt og i overensstemmelse med ´Politik for behandling af persondata i Hjerneskadeforeningen’.

CV og ansøgninger, som foreningen har modtaget opfordret, fx i forbindelse med jobopslag, gemmes i seks måneder fra dato, hvor ny medarbejder er ansat. Ønsker foreningen at opbevare oplysningerne i længere tid, skal dette aftales med ansøger. Aftalen skal kunne dokumenteres.

CV og ansøgninger, som foreningen har modtaget uopfordret, gemmes seks måneder fra datoen for modtagelse. Ønsker foreningen at opbevare oplysningerne i længere tid, skal dette aftales med ansøger. Aftalen skal kunne dokumenteres. En sådan aftale kan ud over med foreningens dataansvarlige for personaledata indgås med personaleansvarlige for henholdsvis den sociale rådgivning og kommunikationsafdelingen eller med en lokalformand.

Data modtaget af lokalformænd i forbindelse med samarbejde med frivillige og ansøgninger fra interesserede frivillige gemmes tilsvarende i max. 6 måneder medmindre andet er aftalt. Ansøgningen skal kunne dokumenteres.

Hvem har adgang til medarbejderdata?

Landskontorets ansatte har adgang til data på fælles drev. Kun dataansvarlig og regnskabs- og administrationschef håndterer medlemsdata.

Lokalafdelingernes dataansvarlige (typisk formanden) har adgang til data vedrørende lokale frivillige.

Det er desuden nødvendigt at videregive specifikke medarbejderdata til revisionsselskab samt offentlige myndigheder. Det drejer sig om:

  • SKAT
  • ATP
  • Dataløn – og herigennem Ferie- og barselsfonde samt Danmarks Statistik
  • Arbejdsmarkedets Erhvervssikring
  • Arbejdstilsynet
  • Forsikringsselskab (på grund af sundhedsforsikring), aktuelt TopDanmark
  • Pensionsselskaber
  • Den ansatte/praktikanten/den frivilliges kommune, hvis der er særlige ordninger

Hvordan kan ansatte/tidligere ansatte aktivt få slettet sine data?

Data vedrørende ansættelsesforhold kan ikke slettes under ansættelsen.

En tidligere ansat/praktikant/frivillig kan bede om at få slettet sine data, før der er gået fem år. Med undtagelse af lønsedler og ansættelseskontrakt, som det er lovpligtigt for foreningen at gemme, vil data blive slettet i forbindelse med en anmodning. Det kan dreje sig om CV, ansøgning, informationer fra MUS-samtaler og lignende. Det kan også dreje sig om fotomateriale medmindre der findes særlig samtykkeerklæring om at disse fortsat kan anvendes..

Tilsvarende kan en person, der har sendt en ansøgning til Hjerneskadeforeningen og aftalt, at data gemmes, til enhver tid bede om alligevel at få sine data fjernet.

“Datarejsen”

Medlemsdata

Dataansvarlig: Regnskabs- og administrationschef Birgitte Jørgensen

Medlemsdata er defineret ved data på personer, som er ved at melde sig ind, nuværende medlemmer og tidligere medlemmer.

Hvordan indsamles medlemsdata?

Hjerneskadeforeningen indsamler medlemsdata, når interesserede selv melder sig ind. Dette sker via:

  • Telefonisk henvendelse
  • Henvendelse i brev eller på mail
  • Henvendelse til lokalafdelingsformand
  • Returnering af blanket fra informationsmateriale
  • Ved indbetaling af indbetalingskort fra informationsmateriale
  • Udfyldelse af sikker formular på hjemmeside

Ved telefonisk henvendelse til administrationen noteres oplysninger af administrativ medarbejder som sender disse krypteret til Regnskabs- og administrationschefen som indtaster medlemsdata i medlemsdatabasen. Information om CPR-nummer bedes det kommende medlem selv indtaste via sikker formular på hjemmesiden (er endnu ikke implementeret).

Ved henvendelse i brev eller på mail oprettes medlemskabet i medlemsdatabasen af Regnskabs- og administrationschefen. Ved mangelfulde informationer kontakter denne det kommende medlem. Er CPR-nummer oplyst i e-mail, besvares mailen ikke, men slettes omgående efter behandling. Er CPR-nummer oplyst i brev, destrueres dette efter oprettelse af medlemskabet.

Ved henvendelse til lokalafdelingsformand kontakter denne Regnskabs- og administrationschefen med medlemsdata. CPR-nummer overleveres via sikker formular på hjemmesiden og slettes/destrueres herefter Ved returnering af blanket fra rekrutteringsmateriale udfylder Regnskabs- og administrationschefen medlemsdata i medlemsdatabasen. Ved mangelfulde informationer kontakter denne det kommende medlem. Blanketten destrueres.

Ved indbetaling af blanket fra rekrutteringsmateriale modtager Regnskabs- og administrationschef data fra indbetalingskort og indsætter i medlemsdatabasen. Disse informationer gemmes i henhold til Regnskabsloven i minimum 5 år.

Ved udfyldelse af sikker formular på hjemmeside henter Regnskabs- og administrationschef den indtastede data og overfører til medlemsdatabasen. Herefter slettes data fra hjemmeside/server. Et medlemskab dækker en hel husstand, men foreningen registrerer kun data på den person, som indmelder sig.

Hvilke medlemsdata indsamles?

Hjerneskadeforeningen indsamler følgende data med henblik på at oprette nye medlemmer:

  • Navn
  • Adresse
  • Postnummer
  • Telefon (valgfrit at oplyse)
  • E-mailadresse
  • CPR-nummer (valgfrit at oplyse)
  • Kontooplysninger (valgfrit at oplyse)
  • Information om det nye medlem er skadet, pårørende, fagperson eller andet
  • Fødselsår
  • Information om det nye medlem selv har hydrocephalus/IHH eller er pårørende til en, der har

Hvordan oplyses om formålet med at indsamle medlemsdata?

Formålet med at indsamle de forskellige medlemsdata er beskrevet i formularen, som kommende medlemmer udfylder på hjemmesiden. Formålet med indsamling af medlemsdata beskrives desuden i ‘Persondatapolitik’, som er tilgængelig på hjemmesiden.

Hvordan anvendes medlemsdata?

De indsamlede medlemsdata/personoplysninger anvendes alene i forbindelse med foreningens arbejde på landskontoret og i lokaldelingerne. Efter oprettelse af medlemskabet sender landskontoret velkomstmateriale og medlemsblad til det nye medlem. Herefter kan vi sende eventuelt anden informationsmateriale (generelt nyhedsbrev) til de medlemmer, der har tilvalgt det.

Er CPR-nummer og kontooplysninger oplyst ved indmeldelse, sendes oplysningerne videre i krypteret form til Nets med henblik på at oprette en Betalingsserviceaftale vedrørende kontingentopkrævning.

Medlemsdata anvendes desuden af den lokalafdeling, som medlemmet tilknyttes, til at sende lokalt nyhedsbrev og information om lokale tilbud til medlemmet. Dette kan medlemmet frabede sig ved kontakt til lokalafdelingsformanden eller landskontoret. Lokalafdelingsformanden skal tydeligt gøre opmærksom på dette ved henvendelse til det nye medlem.

Ved medlemsperiodens udløb anvendes data til at udsende en opkrævning af kontingent for den kommende medlemsperiode. Opkrævninger udsendes på vores vegne af Nets. Betales en opkrævning ikke af medlemmet, sendes i umiddelbar forlængelse heraf og i samme måned et påmindelsesbrev. Vælger medlemmet fortsat ikke at betale kontingent, meldes medlemmet automatisk ud inden månedens udgang. Medlemsdata kan desuden anvendes til at verificere om en person er medlem eller ej. Det kan ske, hvis:

  • foreningen arrangerer aktiviteter, som kræver medlemsskab
  • foreningen laver særlige medlemsrabatter på aktiviteter eller produkter
  • en person ønsker hjælp af en af foreningens socialrådgivere

CPR-nummer og kontooplysninger anvendes til at melde medlemmet til Betalingsservice. Vi opfordrer til at bruge Betalingsservice, men det er frivilligt for det enkelte medlem. Er et CPR-nummer oplyst ved indmeldelse, benyttes CPR-nummeret desuden til at indberette eventuelt gavebidrag til SKAT med henblik på skattefradrag.

Information om status (pårørende, skadet, fagperson, andet), information om fødselsår samt information om eventuel tilknytning til diagnosen hydrocephalus anvender vi til at sende information om målgruppespecifikke tilbud til de nye medlemmer, det vil sige information om netværkene Hovedtropperne (unge), Forum for yngre ramte – FYR (den erhvervsaktive alder), Forum for senhjerneskadede seniorer – FOSS (+ 60 år) samt #Hydrofamilie.

Velkomstmateriale sendes via e-mail eller post, når medlemmet er oprettet i medlemsdatabasen. Som hovedregel sendes velkomstmateriale via e-mail, men det enkelte medlem kan ved oprettelse fravælge at modtage informationen via e-mail

Andet informationsmateriale fra landskontoret skal det nye medlem aktivt give samtykke til at ville modtage. Dette kan kun ske, hvis indmeldelsen er foretaget via hjemmesiden, hvor medlemmet ved sin indmeldelse giver permission ved afkrydsning. Dette kan naturligvis senere afmeldes af medlemmet.

Hvordan opbevares medlemsdata?

Medlemsdata opbevares i overensstemmelse med ´Persondatapolitik’, det vil sige sikkert, krypteret – og ved printede lister i et aflåst kartotek. Al indsamlet medlemsdata opbevares i medlemsdatabasen i systemet Microsoft Dynamics NAV Classic, som en integreret database i vores regnskabssystem.

Medlemsdata i form af lokale medlemslister opbevares desuden lokalt hos lokalafdelingsformændene i overenstemmelse med den ´Politik for behandling af persondata i Hjerneskadeforeningen’. Medlemsdata, som har betydning for socialrådgivernes arbejde med at hjælpe et medlem, kan opbevares lokalt hos dem, så længe sagen kører, ´Politik for behandling af persondata i Hjerneskadeforeningen’. Medlemsdata kan desuden opbevares hos parter, som vi har databehandleraftale med, hvis det er nødvendigt for at indsamle og opfylde formålet med at indsamle data. Det vil aktuelt sige:

  • Medlemsbase: Aktuelt Microdata, backup hos Navision
  • Hostingfirma: Aktuelt Rackhosting
  • Webbureau: Aktuelt Kailow
  • System til at udsende nyhedsbreve: Aktuelt Mailchimp
  • Post- og bladleverandør: Intryk, PostNord
  • Revisionsfirma: Deloitte

Hvor længe opbevares medlemsdata?

Medlemsdata opbevares i medlemsdatabasen, så længe medlemskabet er aktivt. Ophører betalingen, uden at et medlem giver lyd fra sig, så medlemskabet af sig selv udløber, slettes medlemsdata fra medlemsdatabasen 13 måneder efter medlemskabets udløb. Melder et medlem sig aktivt ud, slettes medlemsdata ligeledes fra medlemsdatabasen efter 13 måneder. 
Data gemmes i 13 måneder, fordi mange vælger at genoptage deres medlemskab inden for den periode.

Lokalafdelinger

Lokalafdelingsformænd får i begge tilfælde besked om udmeldelse, så medlemsdata kan slettes fra deres lister.

Hjemmeside
Medlemsdata indtastet på hjemmesiden, slettes så snart data er overført til medlemsdatabasen. Dette sker senest tre uger efter indtastningen.

Mail/brev
Medlemsdata modtaget på mail eller i brev destrueres umiddelbart efter oprettelse i medlemsdatabasen.

Databehandlere
Sletning af data hos databehandlerne, herunder sikkerhedskopier/backups af medlemsdata, slettes i henhold til databehandleraftalerne.

Hvem har adgang til medlemsdata?

Regnskabs- og administrationschefen, en administrativ medarbejder og en konsulent fra Dynateam har adgang til medlemsdatabasen. Administratorer på hjemmesiden kan tilgå indtastede medlemsdata, indtil de er slettet fra hjemmesiden. Aktuelt drejer det sig – ud over Regnskabs- og administrationschefen – om Kommunikationschefen, en kommunikationsmedarbejder (frivillig) med ansvar for opdatering af hjemmesiden og to medarbejdere fra web-bureauet Kailow. Kommunikationschef- og medarbejder behandler ikke de indtastede medlemsdata.

Web-bureauet er underlagt databehandleraftalen mellem foreningen og firmaet. Bureauets ansatte vil udelukkende se medlemsdata, hvis der er en legitim årsag baseret på funktioner eller tekniske udfordringer, som skal løses.

Lokalafdelingsformænd har kun adgang til de lister, som de modtager fra Regnskabs- og administrationschefen. Har de brug for anden medlemsdata, kan det udleveres mod henvendelse til Regnskabs- og administrationschefen, der vurderer relevansen af forespørgslen. I fald at data skal videresendes, sker det sikkert i overensstemmelse med ´Politik for behandling af persondata i Hjerneskadeforeningen’.

Frivillige i lokalafdelinger, eksempelvis kasserere eller andre tillidsfolk, kan have behov for at få udleveret medlemsdata. Dette kan kun ske gennem aftale med lokalafdelingsformanden, der vurderer relevansen af forespørgslen. I fald at data skal videresendes, sker det sikkert i overensstemmelse med ´Politik for behandling af persondata i Hjerneskadeforeningen’.

Det oplyses aldrig til parter uden for Hjerneskadeforeningen, hvem der er medlem af foreningen.

Hvordan kan medlemmer aktivt få slettet sine data?

Medlemmer kan til enhver tid melde sig ud af foreningen og vil ikke længere blive kontaktet.

I henhold til Regnskabsloven opbevares data i 5 år efter seneste opkrævning. På hjemmesiden findes en tilgængelig formular til udmeldelse, men medlemmer kan naturligvis også kontakte foreningen via telefon eller e-mail. Det kan ikke lade sig gøre at være medlem, uden at foreningen har data i medlemsarkivet, men medlemmer kan frabede sig, at foreningen sender medlemsblade, informationsmaterialer eller på anden vis kontaktes med andre formål end kontigentopkrævning eller at give informationer, der direkte vedrører medlemskabet, eksempelvis ændringer i betingelserne for medlemskab.

Øvrige medlemskaber

Foreningen tilbyder institutionsmedlemskaber, ligesom foreningen også har tilknyttet en erhvervsklub. Data for institutionsmedlemmer indsamles og behandles som data for det personlige husstandsmedlemskab. Det betyder, at lokalafdelingsformændene også modtager data på institutionsmedlemmer i deres område.

På hjemmesiden er en særlig formular til institutionsmedlemskaber. Institutionsmedlemmer modtager særligt nyhedsbrev, men kan til enhver tid framelde sig denne liste. Data for erhvervsklubben indsamles, i forbindelse med at der skrives kontrakt.

Erhvervsklubmedlemmer registreres i medlemsdatabasen med særlig registrering, og de er på distributionslister til medlemsblad. Der udveksles ikke informationer med lokalafdelingsformænd. Erhvervsklubmedlemmer er at betragte som sponsorer/samarbejdspartnere og ikke medlemmer, hvorfor det oplyses på hjemmeside og i medlemsblad, hvem der er medlem, og der kan desuden informeres om erhvervsklubmedlemmer i foreningens øvrige medier/platforme.

“Datarejsen”

Kundedata

Dataansvarlig: Regnskabs- og administrationschef Birgitte Jørgensen

Kundedata er defineret ved data på personer, som har handlet i netbutikker eller som på anden vis har købt foreningens produkter.

Hvordan indsamles kundedata?

Kundedata indsamles primært ved køb i netbutikken på hjerneskadet.dk, sekundært ved bestilling via e-mail eller telefon.

Hvilke kundedata indsamles?

Ved køb af produkter hos Hjerneskadeforeningen indsamles følgende kundedata:

  • Faktureringsoplysninger
    • Navn
    • Eventuelt organisation/institution
    • Adresse
    • Postnummer
    • E-mail
    • Telefonnummer
    • Eventuel anden forsendelsesadresse
  • Betalingsoplysninger
    • Telefonnummer i tilfælde af MobilePay-betaling eller
    • EAN-nummer
  • Øvrig information
    • Kunde-IP (kun ved selvbetjening i netbutikken)

Kontoinformation og kreditkortoplysninger indsamles af Bambora (tidligere ePay). Hjerneskadeforeningen har ikke adgang til disse data.

Hvordan oplyses om formålet med at indsamle kundedata?

Ved køb i netbutikken på hjerneskadet.dk oplyses i formularen, at der skal indtastes henholdsvis oplysninger til fakturering og til betaling. Kunden skal desuden krydse af, at denne har læst handelsbetingelserne. Af disse fremgår, at oplysningerne indsamles, for at foreningen kan levere de bestilte varer.

Det fremgår desuden af handelsbetingelserne, at vi følger personadataloven, samt at data ikke videregives til tredjepart eller bruges til markedsføring. Undtagelsen er at en bestillingsliste med kundeinfo udleveres en gang om ugen til lager på MarselisborgCentret, P.P. Ørums Gade i Aarhus, hvorfra varerne pakkes og sendes ud.

Hvordan anvendes kundedata?

Formålet med at indsamle kundedata er at kunne gennemføre ordren og levere den bestilte vare til kunden. Data bruges til fakturering, opkrævning og levering.

Hvordan opbevares kundedata?

Kundedata opbevares i ordresystemet på hjemmesiden i max. 7 dage, medmindre der er et problem med at gennemføre ordren/afslutte behandlingen, eller at dataansvarlig på grund af andre presserende opgaver ikke har haft mulighed for at håndtere ordren. Dataansvarlig printer ordre og betalingsinfo (MobilePay-betaling, kvittering fra ePay/Bambora eller mail om EAN). Disse opbevares fysisk i mappe i 5 år af hensyn til revision.

Uden for ordresystemet oprettes fakturaer, som opbevares sikkert i overensstemmelse med ´Persondatapolitik’ og gældende dansk lovgivning. Bilag med en økonomisk transaktion skal gemmes i minimum fem år i følge Regnskabsloven.

Hvor længe opbevares kundedata?

Færdigbehandlede kundedata slettes omgående fra ordresystemet. Færdige fakturaer/ordrer og betalingsgrundlag gemmes fysisk i 5 år, jvf Regnskabsloven

Hvem har adgang til kundedata?

Regnskabs- og administrationschefen har adgang til ordresystemet. Administratorer på hjemmesiden kan desuden tilgå indtastede kundedata, indtil de er slettet fra hjemmesiden. Aktuelt drejer det sig – ud over Regnskabs- og administrationschefen – om Kommunikationschefen, en kommunikationsmedarbejder (frivillig) med ansvar for opdatering af hjemmesiden og to medarbejdere fra web-bureauet Kailow.

Kommunikationschefen vil i nogle tilfælde se ordren og de indtastede medlemsdata, men formålet er at håndtere lagerbeholdningen, ikke at håndtere hverken ordre eller kundedata. Kommunikationsmedarbejder har ikke umiddelbart en legitim grund til at se de indtastede kundedata.

Web-bureauet er underlagt databehandleraftalen mellem foreningen og firmaet. Bureauets ansatte vil udelukke se ordre og kundedata, hvis der er en legitim årsag baseret på funktioner eller tekniske udfordringer, som skal løses. MarselisborgCentrets frivillige håndterer foreningens lager, som fysisk er placeret på MarselisborgCentret i Aarhus. De samme frivillige står for forsendelserne. Disse frivillige får altså overleveret kundedata i form af bestillingslister som sendes krypteret fra dataansvarlig.

Hvordan kan kunder aktivt få slettet sine data?

Der gemmes ikke kundedata, ud over de data, som foreningen er forpligtet til at gemme. Disse kan ikke slettes, før der er lovmæssig hjemmel hertil.

“Datarejsen”

Bidragyderdata

Dataansvarlig: Regnskabs- og administrationschef Birgitte Jørgensen

Bidragyderdata er defineret ved data på private personer, grupper eller organisationer, som har givet kontakte bidrag til foreningen i form af donationer, støttemedlemskaber eller arv. Offentlige tilskud, fonde og lignende regnes ikke med som bidragsydere.

Hvordan indsamles bidragyderdata?

Bidrag til foreningen kommer mange steder fra, hvorfor bidragyderdata indsamles mange steder fra. Donationer kan gives ved:

  • en bankoverførsel
  • en indbetaling til girokonto
  • en overførsel med MobilePay
  • et “køb” i netbutikken (produktet er en donation med et fast beløb)
  • en oprettelse af et støttemedlemskab, som er en fast månedlig overførsel
  • en donation/indsamling på Facebook
  • en donation/indsamling på BetterNow
  • et privat arrangeret støtteevent med indsamling
  • en arv i henhold til testamente
  • “stjernedonationer” på Drugstars

Vi oplyser om de forskellige muligheder i foreningens trykte og digitale medier, herunder medlemsblad, hjemmeside, nyhedsbrev m.v.

Hvilke bidragyderdata indsamles?

Hvilke data der indsamles, afhænger af indsamlingsmetoden.

Ved bank- og girooverførsel modtages fra banken: oplysning om beløb, navn og adresse samt evt. tekstbesked fra indbetaler. Der kan i visse tilfælde være CPR-nummer af hensyn til skattefradrag.

Ved overførsel med MobilePay modtages kun navn og telefonnummer, medmindre bidragyder selv skriver en kommentar.

Ved “køb” af donation i netbutikken indsamles samme data som ved køb af produkter i butikken, se beskrivelse under Kundedata.

Ved oprettelse af støttemedlemskab indsamles navn, adresse, e-mailadresse, IP og eventuelt telefonnummer, CPR-nummer og kontooplysninger (valgfrit). Der indsamles samme data som ved oprettelse af almindeligt medlemskab.

Ved indsamling/donation fra Facebook modtager vi på Facebook information om, hvem der aktuelt samler ind. Vi har som modtagende nonprofit-organisation mulighed for at hente dag til dag-rapporter, hvoraf fremgår navn, e-mailadresse og url til Facebook-profil. Vi har imidlertid ikke mulighed for at slette samme data hos Facebook, hvorfor Facebook betragtes som dataansvarlig for alt det indsamlede, mens foreningen er dataansvarlig for de data, som vi automatisk får tilsendt eller aktivt henter. Bidragydere som ønsker fradrag udfylder e-mailadresse. Herefter kontakter vi dem med information om at indtaste oplysninger i sikker formular på hjemmesiden-

Ved indsamling/donation fra BetterNow modtager vi kun direkte data, hvis en bidragyder har angivet, at denne ønsker skattefradrag. Vi har dog adgang til et dashboard hos BetterNow, hvor vi kan se de individuelle donationer, men der vises kun det navn, som er angivet ved donationen, og det kan godt kun være et fornavn eller et dæknavn. Bidragsydere som ønsker fradrag, oplyser CPR-nummer. Vi har imidlertid ikke mulighed for at slette samme data hos BetterNow, hvorfor BetterNow betragtes som dataansvarlig for alt det indsamlede, mens foreningen er dataansvarlig for de data, som vi automatisk får tilsendt eller aktivt henter. Der findes databehandleraftale med BetterNow, der redegør for dette.

Ved en privat arrangeret støtteevent med indsamling indsamles ikke data om bidragyderne, kun det indsamlede beløb, medmindre der under eventen doneres via eksempelvis MobilePay.

Ved arv i henhold til testamente modtages modtager Hjerneskadeforeningen en henvendelse, typisk et brev, fra advokat med navns nævnelse. Vi modtager ingen andre persondata end navnet på testamenteejeren.

Ved “stjernedonationer” på DrugStars modtager vi ikke data om bidragyderne. Disse donerer ikke pengebeløb, men stjerner, som Drugstars omdanner til en donation i form af et pengebeløb. DrugStars er dataansvarlig, for de data, som de får fra de brugere, som donerer stjerner til os.

Hvordan oplyses om formålet med at indsamle bidragyderdata?

I og på egne medier oplyser foreningen, at donationer går til foreningens generelle arbejde i henhold til foreningens formål/vedtægter. Dette uddybes på forskellige vis. Foreningen formulerer som hovedregel selv de oplysninger om formålet med indsamlingen, som gives hos tredjepartsindsamlere. Ved særlige lejligheder samles ind til nøje defineret formål, eksempelvis et projekt, en temadag eller en udgivelse. Dette formål oplyses de steder, hvor man kan donere.

Vi oplyser kun om formålet med at indsamle data, såfremt der er mulighed for at oplyse CPR ved donationen med henblik på at få skattefradrag.

Bidragyderdata anvendes ikke til at kontakte bidragyder med henblik på nye eller større donationer, medlemskab eller anden markedsføring.

Hvordan anvendes bidragyderdata?

Formålet med at indsamle bidragyderdata er at:

  • kunne overholde regnskabsmæssige krav og love
  • oplyse SKAT om donationen, med henblik på at bidragyder kan få skattefradrag
  • sende takkebreve ved donationer over kr. 100,-

Hvordan opbevares bidragyderdata?

Bidragyderdata, som Hjerneskadeforeningen er ansvarlig for, gemmes i henhold til vores Persondatapolitik og gældende lovgivning. Ved indsamlinger, hvor anden virksomhed er dataansvarlig, og vi ikke modtager persondata, har vi ikke indflydelse på, hvordan bidragyderdata opbevares.

Hvor længe opbevares bidragyderdata?

Færdigbehandlede bidragyderdata, som Hjerneskadeforeningen er ansvarlig for, gemmes forsvarligt i fem år, jvf. Regnskabsloven.

Hvem har adgang til bidragyderdata?

Regnskabs- og administrationschefen og en konsulent fra Dynateam har adgang til NAV, hvor regnskabssystemet ligger. Ligeledes har direktøren også adgang. I regnskabssystemet opbevares de data, som indsendes til foreningen fra eksempelvis bank og advokat.

Administratorer på foreninges profiler hos tredjepartsindsamlere har adgang til de data/rapporter, som kan tilgås/downloades. Administratorrollen ligger hos henholdsvis Kommunikationschefen, regnskabs- og administrationschefen og direktøren.

På hjemmesiden kan desuden tilgås indtastede bidragyderdata (i form af kundedata), indtil de er slettet fra hjemmesiden. Aktuelt drejer det sig – ud over Regnskabs- og administrationschefen – om Kommunikationschefen, en kommunikationsmedarbejder (frivillig) med ansvar for opdatering af hjemmesiden og to medarbejdere fra web-bureauet Kailow.

Kun Regnskabs- og administrationschef har en legitim grund til at se de indtastede data. Web-bureauet er underlagt databehandleraftalen mellem foreningen og firmaet. Bureauets ansatte vil udelukkende se ordre og kundedata, hvis der er en legitim årsag baseret på funktioner eller tekniske udfordringer, som skal løses.

Hvordan kan bidragydere aktivt få slettet sine data?

Der gemmes i foreningen ikke bidragyderdata, ud over de data, som foreningen er forpligtet til at gemme. Disse kan ikke slettes, før der er lovmæssig hjemmel hertil, det vil sige 5 år af hensyn til revisionen.

Ved indsamlinger, hvor anden virksomhed er dataansvarlig, har vi ikke indflydelse på, hvordan bidragyderdata slettes, men virksomhederne (Facebook, BetterNow) har forpligtet sig til at slette persondata ved anmodning fra deres bruger.

Klientdatadata

Dataansvarlig: Regnskabs- og administrationschef Birgitte Jørgensen

Klientdata er defineret ved data på private personer, i særlige tilfælde også fagpersoner, institutioner og myndigheder, som søger rådgivning og vejledning hos Hjerneskadeforeningens socialrådgivere.

Hvordan indsamles klientdata?

Der indsamles ikke systematisk klientdata.

En del medlemmer og andre mennesker med behov for hjælp fra foreningens socialrådgivere sender uopfordret personfølsomme oplysninger, eksempelvis helbredsoplysninger og sagsakter via e-mail og af og til også ved at bruge kontaktmuligheder på foreningens sociale platforme.

Socialrådgivere kan i særlige tilfælde have legitim grund til at bede om at få tilsendt et dokument, der indeholder personfølsom klientdata, eksempelvis en neuropsykologisk rapport.

Hvilke klientdata indsamles?

Der indsamles ikke systematisk klientdata.

Der kan af hensyn til socialrådgiverens arbejde med klienten være behov for at gemme klientdata, mens sagen kører og i en tid efter det. Selvom en sag i udgangspunktet afsluttet hos foreningens rådgiver, fortsætter klientens/borgerens sag hos de offentlige myndigheder, hvorfor sandsynligheden for, at klienten vender tilbage med behov for ny rådgivning, er stor. Ligeledes kan der for nogle klienter være behov for at oprette en egentlig sagsmappe med oplysninger om og fra sagsforløbet hos Hjerneskadeforeningen.

I udgangspunktet tilstræber socialrådgiverne dog at have så få informationer som muligt opbevaret om klienterne, og at informationerne holdes fri for personfølsomme data.

Hvordan oplyses om formålet med at indsamle klientdata?

Der indsamles ikke systematisk klientdata.

Såfremt sagsbehandleren har vurderet det nødvendigt at indsamle klientdata i en sag, oplyses klienten om, at data gemmes hos socialrådgiveren, og hvorfor socialrådgiveren har truffet det valg. Opbevaringen sker selvfølgelig sikkert og i overensstemmelse med ´Politik for behandling af persondata i Hjerneskadeforeningen’. Socialrådgiveren oplyser enten via e-mail eller telefon, at data gemmes, mens sagen kører.

Afsluttes en sag, men socialrådgiver vurderer – eventuelt sammen med klienten – at det er sandsynligt, at der senere opstår behov for at genoptage, oplyses klienten om, at date fortsat gemmes, hvorfor det gemmes, og at klienten til enhver tid har ret til at bede om at få det slettet.

Hvordan anvendes klientdata?

Klientdata anvendes på nuværende tidspunkt udelukkende til, at socialrådgiverne bedst muligt kan hjælpe de klienter, som henvender sig med et behov for hjælp og vejledning.

Hvordan opbevares klientdata?

Klientdata, som opbevares, bliver indskrevet i eller overført fra en skriftlig henvendelse til dokument, der fungerer som sagsakt. Dokumentet opbevares i overensstemmelse med ´Politik for behandling af persondata i Hjerneskadeforeningen’.

Hvor længe opbevares klientdata?

Klientdata, som opbevares, gemmes som minimum i den periode, klienten har en sag hos foreningen. Erfaringen fra foreningens mangeårige rådgivning viser, at der i nogle klienttilfælde er grund til at gemme oplysningerne længe, måske over flere år. Det skyldes, at et forløb efter en hjerneskade typisk er langvarig, og undervejs møder klienten mange fagpersoner og har mange sager i forskellige instanser. Det er ikke usædvanligt, at en klient vender tilbage og ønsker sin sag fortsat efter et år. Socialrådgiver vurderer fra sag til sag om nødvendigheden af at gemme oplysninger.

Klientdata, som modtages via e-mail eller anden kontakt, eksempelvis via sociale platforme, slettes umiddelbart efter besvarelse og eventuel overførsel af nødvendige data til sagsdokument.

Hvem har adgang til klientdata?

Kun den behandlende socialrådgiver har adgang til opbevarede data.

Da klienter sender data, endda også personfølsomme data, til os uopfordret og gennem mange kanaler, har andre ansatte og frivillige i foreningen adgang til endnu ikke behandlet klientdata. Det drejer sig om Regnskabs- og administrationschef og en kontormedarbejder, som begge åbner mails stilet til landskontoret. Om Kommunikationschef og kommunikationsmedarbejder som administrer sociale platforme og hjemmeside. Og om lokalformænd og andre frivillige tillidsfolk, som klienter kan finde på at indlede kontakten til. Alle henviser til socialrådgivningen og beder eventuelt om lov til at videresende data til socialrådgiverne.

Hvordan kan klienter aktivt få slettet sine data?

Klienter kan til enhver tid tage kontakt enten direkte til socialrådgiveren eller til en anden ansat eller frivillig i foreningen og bede om at få sine data slettet. Socialrådgiveren har ansvaret for at slette klientens data.

Aktive interessenters data

Dataansvarlig: Kommunikationschef Susan Søgaard

Hjerneskadeforeningen har et stort antal personer, som på forskellig vis udleverer persondata, typisk med det formål, at deres oplevelser, herunder sygehistorik, genoptræningsforløb og medicinbehov, kan hjælpe andre i en lignende situation. Disse befinder sig lidt i en gråzone mellem frivillige, medlemmer og klienter, men skiller sig ud fra denne gruppe ved, at de netop vil dele deres data. Fælles er dog, at de har krav på, at vi har styr på de data, de deler med os, og kan finde og slette data, såfremt de ønsker det.

Bloggere

Hjerneskadeforeningen har en gruppe bloggere (d.d. cirka 45), som i varierende grad bidrager til foreningens hjemmeside med personlige blogindlæg. Indlæggene kan indeholde personfølsomme data, ligesom bloggerne kan vælge at offentliggøre kontaktinfo på deres profil, eksempelvis e-mailadresse og links til personlige profiler på sociale medier.

Bloggerne har mulighed for at slette/få slettet indlæg eller dele af indlæg, ligesom de har mulighed for at sætte et indlæg på pause. Det kan være en familiesituation eller situation i forbindelse med en sag/et forløb i det offentlige, som gør, at de ikke ønsker, at indlægget er offentligt, samtidig med at de ikke ønsker det slettet. Bloggerne kan bede om at få en kopi af et indlæg, inden det slettes.

To gange om året kontaktes bloggere, som ikke har været aktive de seneste seks måneder med henblik på enten af afslutte eller forny aftalen om at blogge på www.hjerneskadet.dk. Der linkes/henvises til blog og individuelle blogindlæg i/fra foreningens øvrige medier/platforme. Foreningen opbevarer en bloggers data i overensstemmelse med ´Politik for behandling af persondata i Hjerneskadeforeningen’, indtil denne ikke ønsker at blogge længere. Ved ophør aftales, om indlæg skal forblive offentlige eller fjernes fra hjemmesiden.

Foredragsholdere

Hjerneskadeforeningen faciliterer foredragsbooking og -markedsføring. Det betyder, at foreningen på sin hjemmeside giver mulighed for, at ramte og pårørende, som holder hjerneskaderelaterede foredrag, kan få sin egen side til markedsføring af foredraget.

Desuden ejer foreningen en Facebookgruppe, hvor erfarne, nye og potentielle/kommende foredragsholdere kan udveksle erfaringer og hjælpe hinanden. Den enkelte kan frit melde sig ud af gruppen. Gruppens administratorer kan læse, kommentere og slette i gruppen, men foreningen hverken indsamler eller deler oplysninger videre fra Facebookgruppen.

Foredragsholderne administreres ikke af foreningen, men laver deres egne aftaler om foredrag, transport, forplejning, aflønning og lignende. Der linkes/henvises til det online “katalog” over foredragsholdere i/fra foreningens øvrige medier/platforme. Foreningen opbevarer en foredragsholders data i overensstemmelse med ´Politik for behandling af persondata i Hjerneskadeforeningen’, indtil denne ikke ønsker at være i “kataloget” længere.

Deltagere i videomateriale/dokumentar

Hjerneskadeforeningen producerer videomateriale med primært oplysende formål, men i sjældne tilfælde også med markedsføring som formål. En del materiale produceres af landskontorets ansatte og frivillige, mens andet produceres af eksternt selskab. Der indhentes samtykkeerklæringer fra deltagerne, hvoraf formål og anvendelse er oplyst. Deltagerne ser og godkender materialet inden offentliggørelse. Hjerneskadeforeningen gemmer som hovedregel råmateriale og transskriptioner af interview, da interviewene indgår i en samlet vidensbank, der hjælper foreningen i dens daglige arbejde med at hjælpe hjerneskaderamte familier.

Anvendes data på et senere tidspunkt, er det i en generel form, der ikke kan henføres til deltageren, medmindre der indhentes nyt samtykke. Filmklip offentliggøres på foreningens YouTube-kanal – og for nogle filmklips vedkommende direkte på Facebook-siden – mens de embeddes på hjemmeside og linkes til fra foreningens ande medier. Videoerne er som hovedregel offentliggjort med rettighed til at eksterne interessenter kan embedde eller linke på deres medier.

Hjerneskadeforeningen imødekommer naturligvis anmodninger om at få film fjernet fra YouTube-kanalen, men begynder altid arbejdet med at skjule filmen, så den ikke længere kan søges frem, men stadig kan ses hvis der er linket eller embeddet. Af hensyn til andre brugere er det mest hensigtsmæssigt at forsøge at identificere, hvorfra der er adgang til videoen, inden den fjernes helt og efterlader døde links på hjemmesider. Videoerne har ikke automatisk en udløbsdato, men kan blive fjernet, hvis foreningen vurderer, at de ikke længere har relevans, eller der er produceret nyere materiale, der bedre beskriver et tema.

Deltagere i webinarer

Hjerneskadeforeningen afholder webinarer ved hjælp af systemet Zoom, som vi har databehandleraftale med. Der indsamles persondata i forbindelse med tilmelding (navn, e-mailadrese). Data anvendes først og fremmest til at sende bekræftelse og link, som den tilmeldte skal bruge for at deltage, og efterfølgende sendes en follow-up mail med link til optagelse af webinaret.

Chat er ikke en del af optagelsen, hvorfor man ikke efterfølgende kan identificere, hvem der har deltaget, selvom webinaret offentliggøres. Det kan kun værterne/underviserne. Persondata indsamlet i forbindelse med tilmelding bruges ikke til markedsføring eller andre formål. Data slettes, når webinaret er færdigbehandlet.

Deltagere i podcasts

Hjerneskadeforeningen producerer podcasts med privatpersoner og fagpersoner. Der indsamles ikke henførbare data om lytterne, kun data til statistisk brug (som antal aflytninger). Efter aftale tages foto af eller laves kort videoklip af deltagerne i podcasten til brug for markedsføring af podcasten. Deltagerne/interviewpersonerne giver samtykke til optagelsen og accepterer, at Hjerneskadeforeningen har rettighederne til at udgive podcasten.

Interviewpersoner til artikler i medlemsblad

Hjerneskadeforeningen udgiver fire gange årligt et medlemsblad, hvor vi blandt andet bringer personhistorier, som kan indeholde dels generelle persondata (navn, by) og personfølsomme data (helbredsoplysninger). Der enten produceres fotos eller indhentes private fotos til brug i bladet. Private fotos, som vi får lov at bruge, slettes efterfølgende og bruges ikke til andet formål end sammen med artiklen.

Bladet offentliggøres desuden på Issuu og egen hjemmeside. Interviewpersonerne bedes altid godkende dels artiklens indhold, dels det endelige resultat (opsætningen i bladet).

Det er ikke muligt at få en artikel fjernet, efter at bladet er trykt. Bliver foreningen efterfølgende kontaktet med henblik på, at personer udefra ønsker kontakt til interviewpersonen, udleverer vi ikke kontaktoplysninger uden forudgående samtykke fra interviewpersonen. Modtager vi uopfordret data/personhistorier fra medlemmer eller andre, som ønsker at fortælle deres historie, men som vi i første omgang vælger ikke at bruge, aftales det med disse personer, hvorvidt deres henvendelse gemmes med henblik på en artikel til et senere medlemsblad.

Case-personer

Hjerneskadeforeningen bliver jævnligt bedt om af journalister, studerende, forskere m.fl. at finde casepersoner til diverse interview og undersøgelser. Vi efterlyser case-personer fra gang til gang og videregiver efter aftale informationer fra de, der melder sig, til dem, som søger. Vi efterlyser primært i Hjerneskadeforeningens “fælles” gruppe, men kan ved særlige målgruppe også efterlyse i en lukket gruppe for pågældende målgruppe. Opslag fjernes, når der enten er fundet den rigtige/tilstrækkeligt casepersoner, eller tidsfristen er overstået. Data, som er sendt til foreningen i forbindelse med efterlysningen, slettes. Hjerneskadeforeningen fører ikke et case-arkiv.

Respondenter

Hjerneskadeforeforeningen gennemfører af og til en survey med henblik på at samle data til materiale, det kan være til en artikel, en udgivelse eller andet. Data indsamles da via surveytjeneste (eksempelvis SurveyExact eller SurveyMonkey). Disse data behandles typisk kvantitativt, men i mange tilfælde beder vi om permission til at kontakte deltagere for et uddybende interview. Formålet med interviewet fremgår da af forespørgslen. Respondentdata er en del af den væsentlige dataindsamling og er oftest nødvendige for dataanalysen. Rådata fra surveys gemmes i overensstemmelse med ´Politik for behandling af persondata i Hjerneskadeforeningen’ i op til 5 år.

Projektdeltagere

Hjerneskadeforeforeningen gennemfører jævnligt projekter af kortere og længere varighed, hvor medlemmer og/eller andre interesserede inddrages. I den forbindelse opbevarer vi data på projektdeltagerne. Om data gemmes efter endt projekt afhænger af, om det vurderes, at der er en legitim årsag til at beholde data.

Netværkere

Hjerneskadeforeningen administrerer en række lukkede, målgruppespecifikke netværk på Facebook. De forskellige netværk har tilknyttet forskellige administratorer/community managere. Vi tilstræber, at administratorerne selv repræsenterer den målgruppe, de er der for at hjælpe.

Det kræver ikke medlemskab af Hjerneskadeforeningen at være med i grupperne, men når en person anmoder om at blive medlem af en gruppe, bliver vedkommende bedt om at besvare nogle få spørgsmål. Svarene anvendes alene til at sikre, dels at personerne i en gruppe alle tilhører den tænkte målgruppe, dels at den enkelte ansøger placeres korrekt, så denne får mest muligt ud af at være med i en netværksgruppe. Svarene kan kun ses af gruppens administratorer, herunder altid kommunikationschefen, fordi alle grupperne er knyttet sammen i et netværk under Hjerneskadeforeningen. Svarene gemmes ikke, ligesom informationer, der deles i en gruppe, ikke bliver anvendt eller delt uden for gruppen.

Senest opdateret 17. oktober 2018