Dette innlegget ble først publisert på senterdrift.no.
Har treningssenteret ditt gode nok personvernrutiner? Vet du egentlig hva de nye punktene i personopplysningsloven innebærer for virksomheten din? Frykt ikke, vi hjelper deg videre i prosessen med å sikre deg selv og dine medlemmer mot datakriminalitet.
Årets tema på TREN19 tidligere i år var teknologi og digitalisering. Et hett tema som sammen med de nye personvernreglene, også kalt personvernforordningen (GDPR), stadig stiller nye krav til alle aktører som behandler personopplysninger – også i treningsbransjen.
TREN19-foredragsholder Arron Williams spurte forsamlingen om treningsbransjen var forberedt på hva fremtidens treningssenter vil være.
Williams mener treningssentrene har en unik mulighet til å bruke informasjon om trening og livsstil som medlemmer legger fra seg i digitalt treningsutstyr som smartklokker og andre gadgets. Mange treningssenter er allerede godt i gang med dette for å gi medlemmene en enda bedre treningshverdag.
Kontinuerlig fokus
I tråd med økt bruk av teknologiske hjelpemidler i treningsbransjen og i hverdagen ellers, er det viktig å ikke glemme at det i mai 2018 kom nytt personvernreglement som stiller en del krav til virksomheten i behandlingen av personopplysninger. Selv om reglene trådte i kraft for over et år siden, er det viktig å presisere at GDPR er et område man kontinuerlig må ha fokus på når man behandler personopplysninger i virksomheten sin.
Les mer her: GDPR – hva betyr det for deg som oppdragsgiver
Som utgangspunkt er det greit å være bevisst på at regelverket gjelder all form for behandling av personopplysninger. Det betyr at alle treningssenter er forpliktet til å etterleve regelverket både overfor sine medlemmer, men også sine ansatte. Personvernreglementet stiller flere krav slik at brukeren har muligheten til å få vite hva slags personlig informasjon andre lagrer i sine systemer. Brukeren har også krav på å vite hvorfor en har lagret den og den type informasjon om dem i sine systemer.
Informasjonsplikt overfor medlemmer og ansatte
GDPR-reglementet lister opp en del prinsipper som treningssenteret ditt er nødt til å følge. For det første må behandlingen av personopplysninger skje på en lovlig og transparent måte. Transparent behandling betyr at man skal være åpen om hvilke opplysninger man behandler om den enkelte og hvorfor denne behandlingen er nødvendig.
Prinsippet om transparent behandling av personopplysninger knytter seg til øvrige prinsipper som blant annet formålsbegrensning og dataminimering. I dette ligger det at man ikke skal behandle mer informasjon enn det som er nødvendig, men også at man ikke har lov til å behandle opplysninger for et annet formål enn det som er opplyst overfor den registrerte. For deg og ditt treningssenter gjelder dette som oftest medlemmer eller ansatte.
Informasjon formidles ofte ut til brukeren i form av en personvernerklæring. Denne skal forklare hvordan ditt treningssenter behandler personopplysningene som medlemmer og ansatte deler med dere.
Dette er informasjon om blant annet behandlingsgrunnlag, formål, type personopplysninger som behandles, lagring og sletting. Personvernerklæringen kan legges lett tilgjengelig på deres nettsider. Her er det viktig at dere lar personvernerklæringen være like synlig som alt annet som formidles på nettsidene deres.
Ha gode rutiner for sletting og anonymisering
Videre er det viktig at man behandler opplysningene konfidensielt og lager gode rutiner for lagring av opplysningene, inklusive sletterutiner. Utgangspunktet er at man kan lagre opplysninger så lenge det er nødvendig. Dette vil typisk gjelde for hele perioden kunden har et aktivt kundeforhold på deres treningssenter.
Vær obs, selv om medlemsforholdet er avsluttet og det derfor er naturlig å slette de fleste registrerte opplysninger, er det viktig å huske på forpliktelsene etter regnskapsloven og bokføringsloven. Den krever at man sitter på opplysninger som er relevant for regnskapet i fem år. Dette er viktig å huske på å opplyse om, dersom man får en innsynsbegjæring fra et tidligere medlem som ønsker å vite hvilken informasjon om dem treningssenteret ditt sitter på.
Selv om medlemsforholdet er avsluttet, er det ikke alltid man ønsker å kvitte seg med personopplysningene. Opplysningene kan være verdifull informasjon for treningssenteret ditt når det kommer til å kartlegge medlemsbasen, og dens behov og bruk av treningssenteret. Eller i forbindelse med markedsføring og lignende.
Et alternativ for sletting er å konvertere personopplysningene til anonyme data. Dette betyr at man fjerner alle opplysninger som er personidentifiserende. Anonymiseringen muliggjør at dere kan beholde opplysningene til statistisk formål uten at dette går på bekostning av den enkeltes personvern.
Vær proaktiv
Som behandler av personopplysninger er det videre viktig at man opptrer med ansvarlighet. Med dette menes det at man skal være proaktiv og gjøre alle nødvendige tiltak for å sikre at treningssenteret etterlever regelverket til enhver tid.
Det er viktig at virksomheten har alle rutiner og tiltak på plass før behandlingen av personopplysningene starter. Tiltakene gjelder både på organisatorisk- og administrativt nivå, så vel som teknisk nivå.
Det har den siste tiden kommet flere dommer på området, og det er blitt ilagt store bøter grunnet dårlig oversikt og oppfølging innad i selskapene. Det er derfor viktig å være bevisst på hvordan treningssenteret opererer i alle ledd.
Det kan være lønnsomt å gå gjennom de interne systemene for å oppdage eventuell svikt i interne rutiner sett opp mot regelverket, da vil det i fremtiden være enklere å oppdage brudd. Andre tiltak for å redusere mulige brudd er for eksempel å kryptere data og sjekke at personvernet er integrert i alle ledd av treningssenterets virksomhet.
Bedre rustet mot datainnbrudd
En annen positiv effekt av å gjøre disse tiltakene er at treningssenteret vil være godt rustet mot dataangrep. I tråd med økt bruk av teknologiske hjelpemidler i det daglige, vil det bli stadig mer attraktivt for hackere å innhente persondata fra virksomheter som har store databaser med opplysninger om sine kunder. Treningsbransjen er nettopp en slik bransje, som sitter med mengder informasjon om folks livsstil og treningsvaner. Dette kan være lukrativ informasjon for hackere å få tak i og videreselge.
For å sikre treningssenteret best mulig mot datainnbrudd, kan du gjøre følgende:
- Fokuser på å identifisere de viktigste ressurser i virksomheten og bygge opp sikkerheten rundt disse, for å hindre angrep best mulig.
- Sørg for å opprettholde og utvikle sikkerhetstiltakene når du først har fått dem på plass.
- Ha personvern og sikkerhet i tankene fra første stund i nye prosjekter, dette muliggjør vekst i virksomheten på lang sikt.
Sikkerhet er i likhet med personvernreglementet noe man må jobbe med kontinuerlig. Følger du med på utviklingen og etterlever disse tre punktene til enhver tid, kan dere i alle fall svare Arron Williams på at dere er forberedt på fremtidens treningssenter personvernsrettslig, uavhengig av hvordan fremtidens treningssenter kommer til å se ut.
Gratis guide: Sjekk dette før du velger betalingspartner for treningssenteret
