Personvernombudsundersøkelsen 2020/21

Personvernombud - Undersøkelse 2020/21

Med innføringen av personvernforordningen, ble det obligatorisk for en rekke virksomheter å opprette personvernombud. Ombudene er sentrale i virksomhetenes etterlevelse av personvernlovgivningen. Vi har gjennomført en undersøkelse der vi har sett nærmere på erfaringene deres med dette arbeidet, og presenterer her funn og anbefalinger.

Innledning

I løpet av de siste tiårene har få reguleringer påvirket norske virksomheter i like stor grad som personvernforordningen (General Data Protection Regulation – GDPR) fra 2018. Regelverket har styrket innbyggernes personvernrettigheter, samtidig som det har skjerpet virksomhetenes ansvar. For å etterleve regelverket har både offentlige og private virksomheter sett seg nødt til å gjennomgå rutiner og praksis knyttet til behandlingen av personopplysninger.

Norske virksomheter blir stadig mer dataintensive. De fleste virksomheter samler inn store mengder opplysninger om grupper som ansatte, kunder, medlemmer og innbyggere, og det er varierende tillit knyttet til hvordan virksomheter behandler personopplysninger. Datatilsynets personvernundersøkelse (2019/2020) viste at nordmenn generelt har høy tillit til hvordan offentlige virksomheter behandler personopplysninger, mens det er utbredt usikkerhet knyttet til hvordan private aktører behandler opplysninger. 

Ny forordning – nye plikter

I personvernforordningen stilles det mange krav til virksomhetenes behandling av personopplysninger. I tillegg til å forsikre seg om at de har lovlig grunnlag for i det hele tatt å behandle opplysningene, må de ivareta personopplysningssikkerheten. De må også vurdere henvendelser fra brukere og innbyggere som vil utøve sine personvernrettigheter.

Ordningen med personvernombud (PVO) har eksistert i Norge helt siden 2001, men med innføringen av personvernforordningen ble innholdet i ombudsrollen betydelig styrket. Ombudsordningen ble gjort obligatorisk for de fleste statlige etater og kommuner, og for en rekke private virksomheter og organisa­sjoner. Ved utgangen av 2020 var det registrert 1 341 personvernombud som representerte 1 891 virk­somheter i Norge.

Personvernombudene er sentrale i virksomhetenes etterlevelse av personvernlovgivningen. Ombudets rolle er å gi råd om hvordan personverninteressene kan best mulig ivaretas, i tillegg til å kontrollere etterlevelsen av regelverket.

Det er imidlertid foreløpig lite kunnskap om personvernombudenes erfaringer med arbeidet. I november og desember 2020 gjennomførte derfor Datatilsynet en spørreundersøkelse blant personvernombudene.

Om undersøkelsen

Opinion utførte undersøkelsen på vegne av Datatilsynet i 2020, mellom 25. november og 17. desember. Undersøkelsen ble sendt til 1 082 personvernombud i Norge, og vi fikk inn 632 svar. Respondentene svarte på web.

Den forrige kartleggingen i Datatilsynets regi om personvernombudenes arbeidsvilkår, ble utført i 2011 av markedsanalyseselskapet Synovate.

Det vi ønsket svar på, var:

  • Hvem er personvernombudene, og hvordan opplever de sine arbeidsvilkår?
  • Hvordan erfarer ombudene virksomhetenes etterlevelse av personvernregelverket?

Her presenterer vi de viktigste funnene fra undersøkelsen. Vi gir også noen råd om hvordan ombudsrollen bedre kan ivaretas i virksomhe­tene.

Oppsummering

Personvernforordningen har styrket personvernombudsrollen i norske virksomheter

68 prosent av ombudene i undersøkelsen, har mellom ett og tre års erfaring med rollen som personvernombud, noe som betyr at opprettelsen kan sees i sammenheng med innføringen av personvernforordningen.

Stor variasjon i hvor mye tid som brukes i rollen

Av alle som svarte på undersøkelsen, jobber bare 17 prosent fulltid i rollen som personvernombud. Så mye som halvparten av alle ombudene oppgir at de bruker mindre enn 20 prosent av tiden på rollen, og over én av ti (11 prosent) oppgir at de ikke bruker tid på rollen i det hele tatt.

Flere opplever manglende ledelsesforankring og tilgang til ressurser

Nesten tre av ti ombud opplever at de ikke får satt av tilstrekkelig tid til arbeidet som ombud. Over halvparten av ombudene som svarte i undersøkelsen, har ikke faste møter med ledelsen. Mange ombud oppgir at ledelsen holder seg orientert og viser interesse for deres roller og ansvar, men likevel er det 31 prosent av ombudene som erfarer at ledelsen i liten, eller svært liten, grad holder seg orientert og viser interesse. Dette indikerer at ledelsen i en del virksomheter i Norge, ikke er oppdatert om personvernombudets virke og personvernarbeidet i virksomheten.  

Ombudene opplever at virksomhetene etterlever personvernregelverket

I snitt svarer nesten åtte av ti personvernombud (77 prosent) at virksomhetene etterlever personvernregelverket i stor eller svært stor grad. De ombudene som i størst grad opplever at regelverket etterleves, jobber innenfor rådgivning, konsulentvirksomheter eller advokatbyråer. Det er ombudene som jobber i kommuner og fylkeskommuner som i minst grad opplever at virksomhetene etterlever regelverket.

Ofte er konkrete lovkrav på plass, men mange sliter med manglende kompetanseheving og opplæring av ansatte

Det ser ut til at de fleste virksomhetene har konkrete lovkrav som databehandleravtaler, protokoller, rutiner for innsyn og system for å rapportere brudd på personopplysningssikkerheten på plass. Det virksomhetene i minst grad har på plass, er knyttet til kompetanseheving og opplæring i personvern. Konsekvensene kan da være at styringssystemer for personvern og informasjonssikkerhet er formelt etablert, men at de ansatte ikke er gjort bevisste på dem.

Menneskelige ressurser, og fungerende rutiner og prosesser er de største utfordringene, mens få opplever at regelverket er til hinder for gode løsninger

Rundt halvparten av ombudene opplever at mangel på menneskelige ressurser og fungerende rutiner og prosesser, i stor grad er en utfordring for etterlevelsen av dagens personvernlovgivning. Men dagens personvernlovgivning oppleves i liten grad som et hinder for innovasjon og etablering av gode, tekniske løsninger.

Personvernombud i Norge

I Norge har vi hatt en personvernombudsordning siden 2001. Statistisk Sentralbyrå var den første som opprettet et personvernombud i 2002. Det var også flere kommuner som var tidlig ute med å utpeke personvernombud.

I den forrige personopplysningsloven hadde alle virksomheter plikt til å melde all behandling av personopplysninger til Datatilsynet. Dersom en virksomhet søkte om å opprette personvernombud, søkte den samtidig om unntak fra denne meldeplikten. Å opprette et personvernombud var en frivillig ordning hvor den behandlingsansvarlige kunne vise at man tok et større ansvar selv.

Norge var et av få land som hadde en slik ordning før 2018. Historisk sett har ordningen vært svakt forankret i personvernregelverket, men da den europeiske personvernforordningen (GDPR) ble innført, ble ordningen gjort obligatorisk for mange virksomheter både i Norge og i Europa. Forordningen inneholder flere bestemmelser om hvem som må ha personvernombud, personvernombudets stilling og personvernombudets oppgaver. Antall personvernombud i Norge har steget fra 173 i 2010, til 1 341 ved utgangen av 2020.

Ifølge personvernforordningen skal personvernombudet jobbe sammen med ledelsen for at personvernregelverket etterleves. Dette medfører også at ombudet skal være personvernets ambassadør i virksomheten. Men selv om personvernombudet er sentral i overholdelsen av personvernregelverket, er det virksomheten selv som står ansvarlig for brudd på regelverket.

Ombudets oppgaver er nærmere beskrevet i personvernforordningen artikkel 39:

1. Personvernombudet skal minst ha følgende oppgaver:

a) informere og gi råd til den behandlingsansvarlige eller databehandleren og de ansatte som utfører behandlingen, om de forpliktelsene de har i henhold til denne forordning, og i henhold til andre av Unionens eller medlemsstatenes bestemmelser om vern av personopplysninger,
b) kontrollere overholdelsen av denne forordning, av andre av Unionens eller medlemsstatenes personvernregler og den behandlingsansvarliges eller databehandlerens personvernretningslinjer, herunder fordeling av ansvar, holdningsskapende tiltak og opplæring av personellet som er involvert i behandlingsaktivitetene, og tilhørende revisjoner,
c) på anmodning gi råd om vurderingen av personvernkonsekvenser og kontrollere gjennomføringen av den i henhold til artikkel 35,
d) samarbeide med tilsynsmyndigheten,
e) fungere som kontaktpunkt for tilsynsmyndigheten ved spørsmål om behandlingen, herunder forhåndsdrøftingene nevnt i artikkel 36, og ved behov rådføre seg med tilsynsmyndigheten om eventuelle andre spørsmål.

2. Personvernombudet skal ved utførelsen av sine oppgaver ta behørig hensyn til risikoene forbundet med behandlingsaktivitetene, idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i.

Personvernombudenes bakgrunn og hvor de jobber

Personvernforordningen gir føringer for hvem som kan være personvernombud. Personen skal utpekes på grunnlag av faglige kvalifikasjoner, dybdekunnskap om loven og praksis på området. Det er ikke krav om formell fagutdanning, autorisasjon eller sertifisering. Likevel er det en forutsetning at personen har evne, motivasjon og kjennskap både til virksomheten og dens behandling av personopplysninger.

Etter at virksomheten har utpekt et personvernombud, skal ombudet registreres hos Datatilsynet. Etter at personvernforordningen trådte i kraft, har Datatilsynet opplevd en mangedobling av registrerte ombud. Veksten i antallet medfører at det ikke bare er de mest dataintensive virksomhetene som har ombud, men at ombudene representerer et større spenn av virksomheter og fagmiljøer. Registeret over personvernombud viser en jevn kjønnsfordeling av ombudene, med en liten overvekt kvinner (52 prosent).

Erfaring i ombudsrollen

Noen ombud har personvernrelevant erfaring fra tidligere, mens andre ombud har liten erfaring med personvernarbeid når de trer inn i rollen. Vi har spurt hvor lang erfaring personvernombudene har i sin rolle.

Hvor lang erfaring.jpg

Svarene viser at 68 prosent av ombudene har mellom ett og tre år med erfaring. Dette betyr at mange ble ombud rundt samme tidspunkt som innføringen av personvernforordningen. Det er rimelig å anta at dette har sammenheng med at regelverket gjorde det tydelig hvilke virksomheter som burde ha personvernombud, samtidig som ordningen ble gjort pliktig for mange. Svarene viser at personvernforordningen har støttet opp om etablering av personvernombud i Norge.

Utdanning

Det stilles ikke spesifikke krav til ombudenes utdanningsbakgrunn i regelverket. Likevel legges det til grunn at personvernombudet har dybdekunnskap om personvernlovgivningen, og at de har en god forståelse for behandlingsaktivitetene og IKT-systemene i virksomheten, samt informasjonssikkerhet og praksis på området. Personvernombudet trenger ikke være ekspert på alle disse feltene, men det er viktig å kunne etablere et godt samarbeid og god dialog med fagpersoner i virksomheten. Fagbakgrunn kan likevel ha betydning for hvilken inngang man har til personvernombudsrollen. Vi har derfor spurt om formell studiebakgrunn hos ombudene.

Utdanning.jpg

Svarene viser at personvernombudene har ulike utdanningsbakgrunner, men at gruppen som dominerer er jurister (34 prosent av alle ombud). Dette kan ha sammenheng med at spørsmål om regelverksetterlevelse tradisjonelt har blitt håndtert av jurister. Vi ser også at det i større virksomheter er mer vanlig at personvernombudet er jurist. I virksomhetene med flere enn 250 ansatte, er hele 43 prosent av personvernombudene jurister.

Det er størst andel jurister i statlig administrasjon (64 prosent), mens bare 13 prosent av ombudene innenfor rådgivning- og konsulentvirksomheter og advokatfirma er jurister. I telekom og IT-bedrifter er det derimot en overvekt av ombud med utdanning innenfor IT/ ingeniør/informasjonssikkerhet (39 prosent). Vi ser altså at ombudenes utdanning varierer noe ut i fra hvilken bransje ombudene jobber innen.

En av fire personvernombud har studert samfunnsfag/arkiv/annet, og én av ti har studert IT, ingeniør eller informasjonssikkerhet, mens én av ti har ikke høyere utdanning.

Hvordan ble de personvernombud?

Vi spurte også ombudene hvordan de fikk rollen sin.

Hvordan ble de ombud.jpg

Svarene viser at:

  • Over halvparten (56 prosent) ble spurt av ledelsen om å påta seg rollen.
  • Én av ti ble ombud uten å egentlig ha blitt spurt.
  • Mange ombud gikk inn i rollen uten at det ble åpnet for konkurranse med andre. Bare to av ti fikk rollen etter en intern eller ekstern utlysning.

Det er bekymringsverdig at én av ti personvernombud ble utpekt uten å ha blitt spurt om å påta seg rollen. Når en medarbeider får tildelt rollen som ombud uten å ha blitt spurt, kan det påvirke ombudets motivasjon for å oppfylle oppgavene som er definert i regelverket, og for å være en pådriver for personvernet på arbeidsplassen, på en negativ måte.

Sektorrtilhørighet

For å finne mer ut om hvor ombudene jobber, har vi spurt hva slags virksomhet eller sektor de er ombud for.

Hva slags virksomhet.jpg

Svarene viser at:

  • Fire av ti ombud som besvarte undersøkelsen, er ombud for enten kommune- og fylkeskommunal sektor, eller statlig administrasjon.
  • Det er relativt færre personvernombud innenfor håndverk- og serviceyrker slik som bygg og anlegg, varehandel og butikk, industri og produksjon, samt overnatting og servering.

Ifølge regelverket skal alle offentlige myndigheter og organer opprette et personvernombud. Det er derfor ikke overraskende at fire av ti personvernombud jobber innenfor kommunal, fylkeskommunal eller statlig sektor.

Svarene viser også at det er relativt færre personvernombud innenfor varehandel og butikk, og bygg- og anleggsvirksomhet. Grunnen til dette kan være sammensatt, men en viktig faktor er nok at mange virksomheter innenfor disse sektorene behandler forholdsmessig færre personopplysninger, og at det derfor ikke er obligatorisk for de fleste av disse å ha ombud.

Virksomhetsstørrelse

Størrelse på virksomheten kan ha mye å si for ombudenes arbeidsbetingelser. Større virksomheter har ofte et behov for nøkkelpersoner som kan holde oversikt over arbeidet med personopplysninger. Vi har derfor spurt ombudene hvor mange ansatte det er i virksomhetene de er ombud for.

Virksomhetsstørrelse.jpg

Svarene viser at nesten halvparten av alle ombudene jobber i virksomheter med flere enn 250 ansatte. Det er også i de største virksomhetene at vi finner flest som er ombud på fulltid (33 prosent), og som har fått denne rollen etter ekstern eller intern utlysing (31 prosent).

Store virksomheter har andre utfordringer enn små- og mellomstore virksometer, og er derfor ofte avhengige av å ha gode systemer for å ivareta regelverksetterlevelse og for å se ulike prosesser i sammenheng. Et personvernombud vil kunne være en viktig ressurs for disse virksomhetene.

Om ombudsrollen

Det kan være forskjellige behov for hvor mye tid personvernombudene bruker i ombudsrollen, om de opplever å ha den nødvendige kompetansen og om virksomhetene legger til rette for kompetanseheving. Vi ønsket derfor å finne litt mer ut om dette.

Hvor mye tid brukes på ombudsrollen?

Omfang og type personopplysninger, samt kompleksiteten (for eksempel type behandlinger eller antall IT-systemer), kan være førende for hvor mye ressurser virksomheten bruker på ombudsrollen. Noen virksomheter vil ha behov for et personvernombud på fulltid, mens andre ikke har et behov som tilsier at det er nødvendig å ha et ombud som bruker hele tiden sin på dette arbeidet.

Vi spurte ombudene hvor stor andel av full stilling de har benyttet i rollen som personvernombud de siste tolv månedene.

Andel stilling.jpg

Svarene viser at:

  • 17 prosent av ombudene jobber fulltid i rollen som ombud.
  • Halvparten av ombudene (50 prosent) har benyttet mindre enn 20 prosent av full stilling i rollen som personvernombud.
  • Hele 11 prosent av ombudene oppgir at de i realiteten nesten ikke har brukt tid på ombudsrollen det siste året.

Svarene viser at det er stor variasjon i hvor mye tid som benyttes i ombudsrollen, men så mye som halvparten av alle personvernombudene bruker mindre enn 20 prosent av full stilling på rollen.

Virksomhetene som har utpekt personvernombud, har gjort det fordi de behandler personopplysninger i et stort omfang, eller fordi de er et offentlig organ. At mer enn hvert tiende ombud i undersøkelsen oppgir å ikke ha brukt tid i denne rollen det siste året, er derfor illevarslende. Det kan indikere at etterlevelsen av personvernregelverket i virksomhetene ikke er fullstendig, og at ombudsrollen i disse virksomhetene ikke har en aktiv betydning i virksomhetens behandling av personopplysninger.

Opplever ombudene å ha tilstrekkelig kompetanse?

For at ombudene skal kunne oppfylle rollen sin, er de nødt til å ha en viss kompetanse. Vi har derfor spurt ombudene om de føler at de har kompetansen som er nødvendig for å ivareta personvernombudsrollen som forutsatt i personvernforordningen.

Nødvendig kompetanse.jpg

Svarene viser at:

  • Syv prosent i liten eller svært liten grad har den kompetansen som er nødvendig for å ivareta personvernombudsrollen.
  • 68 prosent svarer at de i stor eller i svært stor grad har nødvendig kompetanse.

Det store flertallet svarer altså at de har den nødvendige kompetansen for å ivareta personvernombudsrollen i «stor» eller «svært stor» grad. Vi ser imidlertid at en del ombud ikke føler at de har tilstrekkelig kompetanse.

Personvernombudet trenger naturlig nok ikke å være ekspert på alle felt. Det er imidlertid viktig å kunne å etablere et godt samarbeid og dialog med de som har denne kompetansen, og at ombudene har interesse for å tilegne seg ny kunnskap. Deltagelse i kurs og nettverksmøter kan derfor være nyttig.

Undersøkelsen viser også at prosessen rundt opprettelsen av ombudene, har betydning for hvorvidt ombudene føler at de har den nødvendige kompetansen. Blant de som fikk stillingen etter en ekstern utlysning, svarer hele 88 prosent at de i stor eller svært stor grad har den nødvendig kompetansen. Tilsvarende gjelder for 85 prosent av dem som fikk stillingen gjennom intern utlysning. Det er derimot under halvparten (46 prosent) av dem som ble utpekt til ombudsrollen uten egentlig å ha blitt spurt, som svarer at de opplever å ha den nødvendige kompetansen.

Kompetanseheving

For å heve egen kompetanse, og for å bli kjent med andre personer å diskutere personvernproblematikk med, kan det det være nyttig å delta på eksterne kurs, seminarer eller nettverksmøter. Dette gir muligheten til å få oppdatert kunnskap om personvern og informasjonssikkerhet, og å få innblikk i hvordan andre løser rollen sin. Vi har derfor spurt ombudene om de har deltatt på noe slikt det siste året.

Kompetansehevingstiltak.jpg

Halvparten av ombudene har deltatt på eksterne utdanningstilbud, kurs eller seminarer, og litt under halvparten har deltatt på nettverksmøter med andre personvernombud. Det er de ombudene som jobber i virksomheter innenfor forskning og høyere utdanning at flest har deltatt på eksterne utdanningstilbud, kurs eller seminarer (83 prosent), mens det er flest ombud i frivillige organisasjoner og foreninger som har deltatt på nettverksmøter (70 prosent).

Ett av fire ombud har ikke deltatt på noen av aktivitene i løpet av det siste året. Innenfor rådgivnings- og konsulentvirksomheter og advokatbyrå svarte over halvparten av ombudene (53 prosent) at de ikke har deltatt på slike aktiviteter.

Ombudenes forhold til ledelsen

Det kan ofte oppstå spenninger mellom personvern og andre interesser i virksomheter. Blant annet kan ledelsen og ombudet være uenige i viktige vurderinger som påvirker arbeidet med personvern og informasjonssikkerhet. Begge har imidlertid nytte av å ivareta et godt forhold.

Ombudet er avhengig av å få delegert tid og ressurser for å ivareta rollen sin, og ledelsen er avhengig av ombudets fagkompetanse, rådgivning og kontroll for å etterleve personvernregelverket best mulig.

I virksomheter som behandler store mengder data, må ledelsen også ha grunnleggende personvernkompetanse for å kunne vurdere ombudets råd og gjøre avveiinger opp mot andre hensyn. Denne kompetansen er spesielt viktig ettersom ledelsen, og ikke personvernombudet, er ansvarlig for at personvernregelverket følges.

Får ombudene nødvendig med tid og ressurser?

For at ombudene skal kunne gjennomføre jobben sin, må de ha tilstrekkelig med tid og ressurser. Vi har derfor spurt ombudene om de opplever at de får satt av tid og ressurser slik at de kan ivareta rollen som personvernombud på en tilfredsstillende måte.

Ressurssituasjonen.jpg

Svarene viser at:

  • Kun 40 prosent av ombudene opplever at de får satt av tilstrekkelig med tid og ressurser.
  • 28 prosent svarer at de ikke får dette.

At nesten tre av ti ombud opplever at de ikke får satt av nok tid og ressurser, betyr at mange ombud ikke får utøvd oppgavene sine som personvernombud i så stor grad som de ønsker. Samtidig er alle virksomheter i en posisjon hvor de må vurdere hvordan interne ressurser skal disponeres og der ulike behov må veies opp mot hverandre. Spesielt i situasjoner der ledelsen opplever knapphet på menneskelige ressurser, og der mange oppgaver skal utføres, kan det hende at personvernarbeidet blir nedprioritert. Det er likevel essensielt at personvernombudene får gjort oppgavene sine, slik at de kan fungere som den støttefunksjonen de er tiltenkt i arbeidet med å ivareta personvernhensyn og etterleve regelverket.

At 33 prosent av ombudene svarer «verken eller» til spørsmålet, kan ha ulike årsaker. Men en av forklaringene kan være at virksomheten ikke har tydelige rollebeskrivelser og forventninger om tidsbruk. I mange virksomheter skal også personvernrelaterte oppgaver håndteres når det oppstår et behov, og det er derfor kanskje ikke godt forankrede rutiner for bruk av tid og ressurser.

Hvem rapporterer ombudene til?

Ifølge personvernregelverket skal personvernombudet rapportere direkte til det høyeste ledelsesnivået. For å finne ut hvordan rapporteringen fungerer i praksis, har vi spurt ombudene hvem konkret i virksomheten de rapporterer til.

Hvem rapporterer de til.jpg

Svarene viser at:

  • Over halvparten av ombudene (57 prosent) rapporterer til virksomhetens øverste administrative leder.
  • 26 prosent rapporterer til en annen leder i virksomhetens øverste ledelse.
  • Åtte prosent oppgir å rapportere til virksomhetens styre, eller politisk ledelse.
  • Tre prosent av ombudene rapporterer til en leder på et lavere nivå. Dette er ikke i tråd med kravene i personvernforordningen.
  • Til sammen fem prosent har uklare rapporteringslinjer, hvor de ikke har noen å rapportere til, de vet ikke hvem de skal rapporterer til, de rapporterer til andre eller de sitter selv som øverste leder.

Siden det er virksomhetens øverste ledelse som har det endelige og formelle ansvaret for at personvernregelverket etterleves, er det viktig at de får ombudenes vurderinger presentert slik at de kan ta stilling til rådene og vurdere dem opp mot andre hensyn. Det er derfor avgjørende hvem ombudene rapporterer til. Svarene viser at majoriteten av ombudene rapporterer til det øverste ledelsesnivået, noe som tilsier at ledelsen ofte er orientert om personvernombudets arbeid.

Det er likevel problematisk at mange ombud ikke rapporterer til øverste ledelse. Konsekvensen kan være at ledelsen ikke blir orientert om arbeidet med det regelverket som de er selv ansvarlige for å opprettholde. Det betyr også at øverste ledelse ikke nødvendigvis har kunnskapsgrunnlaget de trenger for å ta informerte beslutninger om bruk av personopplysninger i virksomheten.

Rapporteringer til og møter med ledelsen

At ombudet har god dialog med ledelsen er viktig for at arbeidet med personvern skal kunne prioriteres i virksomheten. Det å rapportere og gjennomføre møter er en indikasjon på i hvilken grad virksomheten er bevisst oppgavene og betydningen av ombudets rolle. For å skape gode rammer for dialog, kan det være nødvendig å etablere formelle rapporteringsstrukturer. Vi har derfor spurt ombudene om de har noen form for fast skriftlig rapportering til virksomhetens ledelse.

Skriftlig rapportering.jpgSkriftlig rapportering-ansatte.jpg

Svarene viser at:

  • De fleste ombudene ikke har fast skriftlig rapportering til virksomhetens ledelse, men det er store sektorvise forskjeller.
  • Selv om det er mer vanlig med skriftlig rapportering blant de største virksomhetene enn de mindre, svarer bare 42 prosent av ombudene i virksomheter med mer enn 250 ansatte at de har fast skriftlig rapportering til ledelsen.

Ved å utarbeide skriftlige rapporter til ledelsen der det gis status for personvernarbeidet, og rapporteres om utfordringer som er identifisert og ombudets vurderinger og råd, ansvarliggjøres både ledelsen og personvernombudet. Gjennom disse rapportene kan også andre deler av virksomheten bli kjent med hva personvernombudet engasjerer seg i, og de rådene ombudet gir. Hele virksomheten vil også kunne bli mer bevisst på oppgavene til ombudet og betydningen av ombudsrollen. At så mange som 65 prosent av ombudene ikke har fast skriftlig rapportering til ledelsen, kan indikere at personvernombudets arbeid ikke blir tilstrekkelig vektlagt eller dokumentert i mange virksomheter.

I undersøkelsen kommer det også frem at innen forskning og høyere utdanning rapporterer hele 67 prosent av ombudene skriftlig, og tilsvarende 61 prosent av ombudene innen forsikring og finans. Aller minst skriftlig rapportering er det blant ombudene innen rådgivnings- og konsulentvirksomheter og advokatbyråene (13 prosent).

Skriftlig rapportering kan benyttes i forbindelse med forberedelser til, og gjennomføring av, faste møter med ledelsen. Vi har derfor også spurt om det gjennomføres faste møter mellom ledelsen og personvernombudet.

Faste møter.jpg

viser at:

  • Over halvparten av ombudene (56 prosent) har ikke faste møter med ledelsen.
  • 30 prosent av ombudene har hatt to eller flere faste møter med ledelsen i året.
  • 14 prosent oppgir at det gjennomføres ett fast møte i året.

Sett i sammenheng med at mange ombud ikke har fast skriftlig rapportering til ledelsen, viser dette at det ikke er gode nok rutiner i mange virksomheter for dialog mellom ombudet og ledelsen. Konsekvensene av manglende rapportering og møter mellom ledelsen og ombudet, kan være at ledelsen ikke har god nok innsikt i personvernarbeidet i virksomheten eller at ledelsen ikke tar de nødvendige vurderingene knyttet til vern av personopplysningene virksomheten behandler.

Dette er problematisk ettersom det er ledelsen selv som er ansvarlig for at personvernregelverket etterleves. For at ledelsen skal være bevisst på personvernarbeidet i virksomheten, kan det være hensiktsmessig å planlegge enten kvartalsvise eller halvårlige møter.

Engasjement og interesse fra ledelsen

Engasjement og interesse fra ledelsen er viktig for å sikre et gode faglige meningsutvekslinger og en positiv kultur rundt personvern i virksomheten. Mangel på engasjement og interesse kan derimot føre til nedprioritering av personvernarbeidet, og mindre motiverte personvernombud. Vi har derfor spurt om i hvilken grad ombudene opplever at ledelsen holder seg orientert og viser interesse for personvernombudets gjøremål.

Interesse for gjøremål.jpg

Svarene viser at:

  • Bare 36 prosent opplever at ledelsen holder seg orientert om og viser interesse for deres gjøremål.
  • Hele 31 prosent opplever at ledelsen i liten eller svært liten grad holder seg orientert og viser interesse.

For å få til et systematisk og kontinuerlig arbeid med informasjonssikkerhet og personvern, er det avgjørende at det er engasjement for det i ledelsen. Ledelsen setter i stor grad standarden for hvordan en virksomhet skal jobbe. Hvis det er lite engasjement og eierskap til personvern i ledelsen vil dette ofte gjenspeiles i resten av organisasjonen. Sterke signaler fra toppen er ikke bare en forutsetning for regelverketterlevelse, men også for å skape tillit blant ansatte, kunder og innbyggere slik at disse er villige til å ta i bruk løsninger og dele opplysningene sine på en trygg måte. Tallene fra undersøkelsen viser at ombudene opplever varierende interesse fra ledelsen. At bare 36 prosent av ombudene opplever at ledelsen holder seg orientert og viser interesse, er illevarslende.

Svarene fra ombudene i forsikring- og finansvirksomheter er mest positive. Blant disse rapporterer 58 prosent at de i stor eller svært stor grad opplever interesse fra ledelsens side. Dette er en bransje hvor behandlingen av personopplysninger må være god for å bevare et godt tillitsforhold til kundene. Slike eksterne insentiver kan bidra til å øke prioriteringen av personvern i virksomhetene.

Dårligst stilt er det hos noen av de offentlige virksomhetene. Bare 26 prosent av ombudene i statlig administrasjon svarer at ledelsen viser interesse, mens hos kommuner og fylkeskommuner er den tilsvarende andelen 27 prosent. Her svarer også hele 41 prosent at de opplever at ledelsen i liten eller svært liten grad viser interesse.

Blir ombudene spurt om råd?

Manglende interesse fra ledelsen og andre i virksomheten, kan i verste tilfelle føre til at ombudene ikke blir inkludert i viktige prosesser som har med personvern å gjøre, og at de ikke får anledningen til å fremme viktige vurderinger og råd.  Vi har derfor spurt om i hvilken grad ombudene opplever å bli spurt om råd i viktige og relevante prosesser i virksomheten.

Spurt om råd.jpg

Svarene viser at:

  • Over halvparten av ombudene (56 prosent) opplever å bli spurt om råd i viktige og relevante prosesser.
  • To av ti (20 prosent) opplever at de i liten eller svært liten grad blir spurt om råd.
  • I tillegg svarer 23 prosent "verken eller".

Undersøkelsen viser altså at relativt mange personvernombud opplever at de ikke bli spurt om råd i viktige og relevante prosesser. Dette er selvsagt uheldig da en av kjernefunksjonene til personvernombudet er å gi råd knyttet til bruk av personopplysninger i virksomheten. Hvis det i virksomheten er i ferd med å tas avgjørelser som kan være i strid med personvernlovgivningen, bør ombudet få mulighet til å legge fram sine vurderinger overfor de som skal ta avgjørelsen, og om nødvendig virksomhetens øverste ledelse.

Det er i kommunene og fylkeskommunene at den største andelen ombud svarer at de i svært liten eller i liten grad blir spurt om råd (29 prosent). Det samme gjelder for ombudene innen samferdsel og transport (25 prosent). Ved å kryssjekke svar fra undersøkelsen, ser vi også at de som ble utpekt til ombudsrollen fra ledelsen uten å ha blitt spurt om det, også er de som i minst grad blir spurt om råd i kraft av sin rolle som personvernombud (35 prosent svarte i liten eller svært liten grad).

Samtidig svarer det store flertallet (56 prosent) at de blir spurt om råd i viktige og relevante prosesser. Tallene burde selvsagt vært enda høyere, men de viser likevel at selv om en del virksomheter mangler rutiner for faste rapporteringer og møter, ønsker flertallet å høre ombudenes råd.

Ombudets uavhengighet og selvstendighet

Personvernombudet skal ikke motta instrukser om utførelsen av oppgavene sine, hverken fra virksomheten eller andre. Dette innebærer at ombudet ikke skal instrueres om hvilke oppgaver som skal prioriteres, hvordan regelverket skal tolkes, eller hva utfallet av en sak som er til vurdering hos ombudet skal bli. Denne uavhengigheten og selvstendigheten er essensiell for at ombudet skal kunne utføre sin funksjon i tråd med forutsetningene i lovgivningen. Vi har derfor spurt i hvilken grad ombudene opplever at ledelsen har forståelse for ombudets selvstendige og uavhengige rolle.

Forståelse for rolle.jpg

Svarene viser at:

  • De fleste opplever at ledelsen har samme forståelse av den selvstendige og uavhengige rollen som ombudet i stor eller svært stor grad (58 prosent).
  • 13 prosent opplever imidlertid at ledelsen har i liten eller svært liten grad rolleforståelse.

Svarene viser at det gjennomgående er en god, felles forståelse i de fleste virksomheter når det gjelder ombudets uavhengighet og selvstendighet. Det er likevel et betydelig antall (13 prosent) som ikke opplever den samme forståelsen. Dette vil kunne skape utfordringer for utførelsen av ombudets oppgaver.

Det er innen forskning og høyere utdanning, samt og i helse- og omsorgsektoren, at personvernombudene opplever størst grad av felles rolleforståelse. Her svarer syv av ti at de i stor eller svært stor grad opplever forståelse. Det er de personvernombudene som har gått inn i rollen "uten egentlig ha blitt spurt", som opplever en lavest grad av forståelse. Nesten hvert fjerde av disse ombudene (24 prosent) svarer "i liten eller svært liten grad" på dette spørsmålet.

Ombudenes rolle i virksomheten

Det er virksomhetenes ansvar å legge til rette for at personvernombudet kan utføre oppgavene sine.

For å unngå å komme i en situasjon der det er misforståelser om rollen eller oppgavene til ombudet, er det lurt å ha en rollebeskrivelse eller arbeidsinstruks som tydelig definerer arbeidsoppgavene og ansvarsforholdet mellom ombudet og virksomheten.

Vi spurte ombudene om de har en rollebeskrivelse, instruks eller avtale som avklarer oppgavene og ansvaret deres.

Rollebeskrivelse.jpgRollebeskrivelse antall ansatte.jpg

Svarene viser at:

  • 44 prosent av ombudene har ikke en rollebeskrivelse/instruks eller avtale.
  • Blant virksomheter med én til ni ansatte, mangler nærmere seks av ti ombud en rollebeskrivelse/instruks eller avtale.

At under halvparten har en rollebeskrivelse eller instruks for hvordan de skal jobbe som personvernombud, er bekymringsverdig. Vi ser at andelen som har fått utarbeidet en rollebeskrivelse er høyest i de største virksomhetene (61 prosent), mens i virksomheter med færre enn 10 ansatte, har bare drøyt fire av ti en slik beskrivelse. Det er rimelig å tro at dette kan skyldes at forholdene i store virksomheter krever tydeligere rutiner og ansvarsforhold.

Det er særlig innen forsikring og finans at ombudene har en rollebeskrivelse (87 prosent), dernest kommer statlig administrasjon og frivillige organisasjoner (61 prosent). De ombudene som i størst grad svarer at de ikke har en rollebeskrivelse, jobber i rådgivning- og konsulentvirksomheter og advokatfirma.

Av de som gikk inn i ombudsrollen etter ekstern utlysning, har hele 72 prosent en rollebeskrivelse som de og ledelsen kan forholde seg til. Det tilsvarende tallet for de som gikk inn i rollen uten egentlig å ha blitt spurt, er 45 prosent. Dette kan ha sammenheng med at disse jobber i virksomheter som kan ha viet mindre oppmerksomhet til ombudsrollen og hvilke oppgaver rollen medfører.

Rollekonflikter

Et personvernombud kan ha andre oppgaver og roller i virksomheten i tillegg til oppgavene som ombud. Som denne undersøkelsen har vist, kombinerer hele 83 prosent ombudsrollen med andre oppgaver. I de tilfellene må virksomheten sikre at de andre oppgavene og rollene ikke fører til en interessekonflikt. Dette er knyttet opp til forutsetningen om at ombudet skal kunne utføre sine oppgaver på en uavhengig måte.

Vi spurte personvernombudene om de har opplevd utfordrende rollekonflikter mellom sin egen stilling og ombudsrollen.

Rollekonflikt.jpg

Svarene viser:

  • De fleste ombudene ikke har opplevd en rollekonflikt (74 prosent).
  • En av fire ombud har opplevd å minst én gang ha kommet i en utfordrende rollekonflikt (25 prosent).

Gitt at de som har svart på undersøkelsen har en god forståelse for rollen sin, viser undersøkelsen at de fleste ombudene sjelden kommer i situasjoner hvor de utfordres på uavhengigheten sin i forhold til andre oppgaver i virksomheten.

Rollekonflikter kan for eksempel gjelde situasjoner hvor ombudet også har andre roller, slik som å bestemme formålet til behandlingen av personopplysninger, eller måten behandlingen skal skje på. Denne type situasjon vil for eksempel kunne oppstå hvis ombudet selv er leder eller har ansvar for IT-sikkerhet eller regelverksetterlevelse på andre områder. Tydelige rollebeskrivelser og rutiner for hvordan virksomheten håndterer interessekonflikter, er essensielt for å kunne håndtere denne type situasjoner på en god måte.

Ombudets rolle i forbindelse med brudd på personopplysningssikkerheten

Ved brudd på personopplysningssikkerheten (avvik) skal den behandlingsansvarlige melde bruddet til Datatilsynet (avviksmelding). Dette gjelder med mindre bruddet etter all sannsynlighet ikke vil medføre en risiko for fysiske personers rettigheter og friheter.

Å oppdage og følge opp mulige brudd på personopplysningssikkerheten, er en viktig del av virksomhetens internkontroll og informasjonssikkerhetsarbeid. Personvernombudet bør spille en naturlig rolle i dette arbeidet. I personvernforordningen er det derfor også tatt inn et krav om at personvernombudets kontaktopplysninger skal oppgis i meldingene som sendes inn til Datatilsynet. Det er imidlertid virksomheten som er ansvarlig for de vurderingene som gjøres i avviksmeldingen, ikke personvernombudet.

Vi har sett nærmere på hvilken rolle personvernombudet har når det gjelder selve innsendingen av meldingen om brudd på personopplysningssikkerheten til Datatilsynet.

avviksmeldinger.jpgavvviksmelding hvem sender.jpg

Svarene viser at:

  • Annenhver virksomhet har meldt om brudd til Datatilsynet.
  • Det er i første rekke personvernombudet (64 prosent) som står for utformingen og innsendingen av meldingen til Datatilsynet. Innen forsikring og finans, er tallet 88 prosent.
  • To av ti ombud (20 prosent) oppgir at den sikkerhetsansvarlige eller systemansvarlige står for utforming og innsending.
  • Seks prosent av ombudene svarer at de ikke vet hvem som normalt står for innsendingen av slike meldinger. Denne svarprosenten er høyest innen statlig administrasjon hvor ti prosent av ombudene svarer at de ikke vet.

Det at personvernombudet melder inn et brudd på personopplysningssikkerheten på vegne av virksomheten, kan lett føre til at ombudets integritet og uavhengighet blir utfordret. Ved brudd på personopplysningssikkerheten kan det være at ombudet har andre vurderinger enn ledelsen når det gjelder årsak og konsekvenser av et brudd, samt hvilke tiltak som bør gjennomføres. Dette gjelder ikke minst også når det gjelder vurdering av risikoen for de registrertes rettigheter og friheter. Ombudet skal likevel alltid informeres når det er sendt inn en avviksmelding til Datatilsynet.

Etterlevelse av personvernregelverket

Personvernombudene sitter med en unik innsikt i hvordan virksomheten behandler personopplysninger. Vi ønsket derfor å finne litt mer ut om hvilken erfaring de har med implementeringen av personvernforordningen i virksomhetene de jobber for.

I forbindelse med innføringen av personvernforordningen i 2018, brukte mange offentlige og private virksomheter tid og ressurser på å gjennomgå og få på plass rutiner og praksis knyttet til behandlingen av personopplysninger. Samtidig førte regelverket til noen betydelige forenklinger – for eksempel er det ikke lenger nødvendig å søke til Datatilsynet om konsesjon til å behandle sensitive personopplysninger.

EU-kommisjonen publiserte sin første evaluering av personvernforordningen i juni 2020. Deres vurdering var at forordningen generelt hadde nådd målene sine om å styrke borgernes individuelle rettigheter til personvern, og for å kunne garantere fri flyt av personinformasjon innenfor EU. De pekte likevel på at det var for tidlig til å konkludere om hvordan den praktiske innføringen av personvernforordningen har fungert.

Til tross for at det fortsatt er for tidlig å konkludere om hvordan implementering av forordningen har fungert i Europa, har enkelte utredninger gitt oss indikasjoner på hvordan det har gått. Det svenske datatilsynet (Integritetsskyddsmyndigheten) publiserte i 2019 en undersøkelse om hvordan virksomheter og personvernombud opplevde implementeringen av regelverket. Ifølge rapporten, opplevde tre av fire personvernombud at innføringen av personvernforordningen i Sverige hadde gått bra. Samtidig svarte flere av virksomhetene at de største hindrene var å få til fungerende rutiner og prosesser, og å tolke regelverket.

I Norge ser vi at mange virksomheter arbeider aktivt med å etterleve regelverket. Samtidig er det varierende tillit i befolkningen til hvordan virksomhetene behandler personopplysninger. I Datatilsynets personvernundersøkelse (2019/2020), fant vi som nevnt at nordmenn har gjennomgående høy tillit til hvordan offentlige myndigheter behandler personopplysningene deres, mens det er gjennomgående lav tillit til hvordan mange private virksomheter behandler og bruker personopplysningene. Over halvparten av befolkningen har også latt være å bruke en tjeneste eller et produkt som følge av at de er usikre på hvordan personopplysningene vil bli håndtert.

Hvordan opplever ombudene at virksomhetene etterlever regelverket?

Vi spurte ombudene om i hvilken grad de opplever at virksomhetene de jobber for etterlever regelverket. Svarene er kategorisert etter hvilke bransjer ombudene jobber innenfor. Noen bransjer er utelatt fra oversikten fordi det er for få respondenter til å beregne svarandeler. Disse bransjene er "varehandel og butikk", "overnattings- og serveringsvirksomhet", "grunnskole, videregående og barnehage" og "bygg- og anleggsvirksomhet".

Etterlevelse av regelverk.jpg

Svarene viser at:

  • I gjennomsnitt svarer nesten åtte av ti personvernombud (77 prosent) at virksomhetene de representerer etterlever personvernregelverket i stor eller svært stor grad. Bare fem prosent opplever at virksomhetene etterlever regelverket i svært liten eller liten grad.
  • Ombudene som er mest positivt til virksomhetenes etterlevelse, jobber innenfor rådgivnings- og konsulentvirksomheter og advokatbyråer, samt innenfor forsikring og finans.
  • Hos frivillige organisasjoner og foreninger, er det ingen av respondentene som oppgir at virksomhetene i liten eller svært liten grad etterlever regelverket. Det er heller ingen som svarer at de etterlever i svært stor grad.
  • Det er i kommuner og fylkeskommuner at færrest av personvernombudene opplever at virksomhetene deres etterlever regelverket. Hele 12 prosent av disse svarer at virksomhetene i svært liten eller i liten grad etterlever regelverket. Samtidig er det bare litt over halvparten (56 prosent) som svarer at regelverket etterleves i stor eller svært stor grad.

Den generelle oppfatningen er positiv. Svarene viser at personvernombudene i stor grad opplever at virksomhetene de representerer etterlever personvernregelverket. Det er likevel noen områder som skiller seg negativt ut, spesielt kommuner og fylkeskommuner.

Grunnen til at etterlevelsen oppleves lavere av personvernombudene i kommuner og fylkeskommuner, er nok sammensatt. Kommunene behandler store mengder informasjon om sine innbyggere, fra vugge og til grav, inkludert sensitive eller på andre måter beskyttelsesverdige personopplysninger. I tillegg er kommuner og fylkeskommuner komplekse virksomheter med svært stor bredde i oppgavene de skal utføre. Dette gjelder både i form av tjenester de skal levere, og myndighetsutøvelsen deres. Det kan også trekkes fram at mens ombudsordningen er frivillig for mange private virksomheter, har alle offentlige virksomheter plikt til å ha et personvernombud.

Svarene som er gitt i denne undersøkelsen, er i tråd med tendensen vi ser i Datatilsynets daglige veilednings- og saksbehandlingsarbeid. Vi har sett flere eksempler på at etterlevelsen av personvernregelverket har vært vanskelig for enkelte kommuner, og det har vært mange brudd på personopplysningssikkerheten i kommunene – noe som har ført til store bøter. I 2019 mottok både Bergen- og Oslo kommune overtredelsesgebyrer på over én million kroner. Flere andre kommuner har også fått betydelige bøter og andre vedtak rettet mot seg siden 2018.

Hvilke krav sliter virksomhetene med å etterleve?

Selv om mange personvernombud opplever at virksomhetene generelt sett etterlever regelverket, stilles det flere konkrete krav i regelverket som aktivt må overholdes. Vi spurte derfor om i hvilken grad ombudene opplever at sentrale krav og premisser for etterlevelse av personvernlovgivningen er på plass i virksomhetene de representerer.

Sentrale krav.jpg

Svarene viser at:

  • De fleste ombudene svarer at virksomhetene har fått databehandleravtaler på plass (75 prosent), har utarbeidet protokoller (74 prosent), og har etablert gode rutiner for å håndtere innsynskrav fra de registrerte (72 prosent).
  • Syv av ti ombud (70 prosent) oppgir også at det er etablert gode rutiner for å avdekke og rapportere brudd på personopplysningssikkerheten.
  • Nesten syv av ti ombud (68 prosent) oppgir at virksomheten etter deres oppfatning arbeider systematisk og kontinuerlig med personvern.
  • Det er i hovedsak få som svarer at virksomhetene i liten grad har innført de ulike tiltakene. Størst utfordringer ser ombudene når det gjelder arbeidet med kompetanseheving blant de ansatte om personvern og informasjonssikkerhet.

Tallene viser at ombudene oppfatter det som at mange av lovkravene er oppfylt. Konkrete krav som databehandleravtaler, protokoll, rutiner for innsyn og system for å rapportere brudd er i stor grad på plass.

Svarene viser imidlertid noen bekymringsfulle tendenser. Det virksomhetene i minst grad har på plass, er knyttet til kompetanse og kultur, slik som løpende kompetanseheving og opplæring. Konsekvensene kan være at systemer og rutiner er utarbeidet, men at ansatte ikke er bevisst på dette eller i tilstrekkelig grad har kompetanse til å gjennomføre tiltakene i praksis. Det er et hinder for god etterlevelse.

Hva mener ombudene er de største utfordringene for etterlevelse?

Undersøkelsen viser at mange ombud oppfatter at virksomhetene etterlever regelverket, men at det likevel er flere krav og premisser som ikke er på plass. I undersøkelsen ba vi også ombudene om å identifisere hvilke utfordringer de ser ved etterlevelsen av dagens personvernlovgivning.

Største utfordringer.jpg

Svarene viser at:

  • Halvparten av ombudene vurderer at mangel på menneskelige ressurser i stor grad er en utfordring for etterlevelsen av dagens personvernlovgivning. Det er spesielt i offentlig sektor (kommuner og fylkeskommuner og statlig administrasjon) og hos frivillige organisasjoner og foreninger, at dette oppleves som en stor utfordring.
  • Omtrent halvparten svarer at det er en utfordring å få til fungerende rutiner og prosesser (48 prosent).
  • 27 prosent opplever at det er uklart hvordan regelverket skal tolkes.
  • Noen viser til at manglende kompetanse og engasjement i virksomheten skaper utfordringer. 29 prosent ser utfordringer med manglende engasjement blant ledelsen, 22 prosent mener det er vanskelig å få medarbeidere til å jobbe i tråd med personvernregelverket.
  • Det som i minst grad ser ut til å være et problem, er selve personvernregelverket.

Slik ombudene ser det, er tilgang til menneskelige ressurser og å få til fungerende rutiner og prosesser, de to største utfordringene for virksomhetenes etterlevelse av regelverket. Selve personvernregelverket opplever de imidlertid ikke å være til hinder for gode løsninger.

Det er imidlertid 27 prosent av ombudene som mener at det er uklart hvordan regelverket skal tolkes. Dette kan sees i sammenheng med at det fortsatt er et relativt nytt regelverk, og at det i virksomhetene derfor må håndteres juridiske avklaringer som ikke er gjort før. Samtidig har undersøkelsen vist at 24 prosent av ombudene ikke har deltatt på kurs, seminarer eller har fått bygd kompetanse om personvernlovgivningen og/eller informasjonssikkerhet. Det kan derfor være et betydelig potensiale i å la flere ombud delta på kompetansehevende tiltak.

Fem råd for å styrke personvernombudets arbeid i virksomheten

Basert på funnene i denne undersøkelsen, har vi laget noen råd til personvernombudene og virksomhetens ledelse for å styrke ombudsrollen, og dermed personvernarbeidet i virksomhetene.

Ombudene har en nøkkelrolle i virksomhetenes arbeid med personvern og informasjonssikkerhet, og i etterlevelsen av personvernforordningen. Samtidig har ledelsen ansvaret for å lage gode rammer for at ombudene skal kunne gjøre sine oppgaver.

Her er våre fem råd til personvernombudene og deres ledelse:

  1. Etabler en arbeids- og rollebeskrivelse som forankres hos øverste leder i virksomheten
    Det er ledelsens ansvar å legge til rette for at ombudet kan utføre sine oppgaver. For å unngå å komme i en situasjon der det er misforståelser om rollen eller interessekonflikter kan oppstå, er det lurt å ha en rollebeskrivelse eller arbeidsinstruks som tydelig definerer arbeidsoppgavene og ansvarsforholdet mellom ombudet og ledelsen. Like viktig er det å samstemme forventningene om hvilke oppgaver det ikke er naturlig at personvernombudet har ansvar for. Hvis ombudet også skal ha andre oppgaver, bør det avklares hvor mye tid (for eksempel andel av fulltidsstilling) som skal settes av til å være personvernombud.
  2. Etabler formelle strukturer som sikrer forankring og dialog mellom personvernombudet og ledelsen.
    For å skape gode rammer for dialog, er det lurt å etablere formelle rapporteringsstrukturer. Øverste leder burde avtale med ombudet (gjerne i rollebeskrivelsen) at det skal gjennomføres regelmessige møter, for eksempel kvartalsvis eller halvårlig. Avtal også at personvernombudet skal utarbeide skriftlige rapporter til ledelsen om status for personvernarbeidet, utfordringer som er identifisert og ombudets vurderinger og råd. Lag også rutiner for hvilke andre møter og prosesser i virksomheten det er naturlig at personvernombudet skal involveres i. Arbeidet burde sees i lys av at det er ledelsen, og ikke personvernombudet, som er ansvarlig for at personvernregelverket etterleves.
  3. Styrk bevisstheten og kompetansen om personvern i virksomheten
    Kompetansebygging, opplæring og bevisstgjøring er sentralt for arbeidet med personvern i virksomhetene. For at etablerte rutiner og systemer skal ha effekt, er virksomheten helt avhengig av at ansatte kjenner til dem og har kompetansen til å følge dem opp. Ledelsen og personvernombudet burde derfor ta initiativ til kompetansehevende tiltak. De ansatte bør få grunn­leggende bevissthet om hva personvern faktisk innebærer og hvilke rutiner og systemer som finnes i virksomheten, samt heve kompetansen om informasjons­sikkerhet og personvernombudets rolle i virksomheten. Ombudet må også gjøre kontaktinformasjonen sin tilgjengelig slik at ansatte (og eksterne) vet hvem de kan henvende seg til ved spørsmål om personvern. Sist, men ikke minst; tonen settes på toppen. Ledelsen må vise engasjement og interesse for personvern for at resten av virksomheten skal utvikle god personvernkultur.
  4. Ombudet bør etablere kontakt og samarbeid med andre personvernombud Personvernombud bør delta i nettverk og å ha dialog med andre ombud. Dette vil både heve ombudets kompetanse og gi mulighet for å diskutere personvernproblematikk og utfordringer i ombudsrollen med likesinnede. Ombud kan for eksempel melde seg inn i Foreningen personvernombudene (pvo.no), eller knytte seg til et av de mange andre nettverkene for personvernombud. For å heve egen kompetanse, kan det også være nyttig å prioritere eksterne kurs og seminarer som gir muligheten til å få oppdatert kunnskap om personvern og informasjonssikkerhet.
  5. Bruk Datatilsynet for veiledning og råd
    Datatilsynet tilbyr veiledning på nett, og har en veiledningstelefon der personvernproblematikk kan diskuteres med tilsynets ansatte. Datatilsynet har også en egen kontaktperson og koordinator for personvernombudsordningen som du kan søke råd hos når det gjelder spørsmål som har med personvernombudsrollen å gjøre.