Personvernombud - Undersøkelse 2020/21

Fem råd for å styrke personvernombudets arbeid i virksomheten

Basert på funnene i denne undersøkelsen, har vi laget noen råd til personvernombudene og virksomhetens ledelse for å styrke ombudsrollen, og dermed personvernarbeidet i virksomhetene.

Ombudene har en nøkkelrolle i virksomhetenes arbeid med personvern og informasjonssikkerhet, og i etterlevelsen av personvernforordningen. Samtidig har ledelsen ansvaret for å lage gode rammer for at ombudene skal kunne gjøre sine oppgaver.

Her er våre fem råd til personvernombudene og deres ledelse:

  1. Etabler en arbeids- og rollebeskrivelse som forankres hos øverste leder i virksomheten
    Det er ledelsens ansvar å legge til rette for at ombudet kan utføre sine oppgaver. For å unngå å komme i en situasjon der det er misforståelser om rollen eller interessekonflikter kan oppstå, er det lurt å ha en rollebeskrivelse eller arbeidsinstruks som tydelig definerer arbeidsoppgavene og ansvarsforholdet mellom ombudet og ledelsen. Like viktig er det å samstemme forventningene om hvilke oppgaver det ikke er naturlig at personvernombudet har ansvar for. Hvis ombudet også skal ha andre oppgaver, bør det avklares hvor mye tid (for eksempel andel av fulltidsstilling) som skal settes av til å være personvernombud.
  2. Etabler formelle strukturer som sikrer forankring og dialog mellom personvernombudet og ledelsen.
    For å skape gode rammer for dialog, er det lurt å etablere formelle rapporteringsstrukturer. Øverste leder burde avtale med ombudet (gjerne i rollebeskrivelsen) at det skal gjennomføres regelmessige møter, for eksempel kvartalsvis eller halvårlig. Avtal også at personvernombudet skal utarbeide skriftlige rapporter til ledelsen om status for personvernarbeidet, utfordringer som er identifisert og ombudets vurderinger og råd. Lag også rutiner for hvilke andre møter og prosesser i virksomheten det er naturlig at personvernombudet skal involveres i. Arbeidet burde sees i lys av at det er ledelsen, og ikke personvernombudet, som er ansvarlig for at personvernregelverket etterleves.
  3. Styrk bevisstheten og kompetansen om personvern i virksomheten
    Kompetansebygging, opplæring og bevisstgjøring er sentralt for arbeidet med personvern i virksomhetene. For at etablerte rutiner og systemer skal ha effekt, er virksomheten helt avhengig av at ansatte kjenner til dem og har kompetansen til å følge dem opp. Ledelsen og personvernombudet burde derfor ta initiativ til kompetansehevende tiltak. De ansatte bør få grunn­leggende bevissthet om hva personvern faktisk innebærer og hvilke rutiner og systemer som finnes i virksomheten, samt heve kompetansen om informasjons­sikkerhet og personvernombudets rolle i virksomheten. Ombudet må også gjøre kontaktinformasjonen sin tilgjengelig slik at ansatte (og eksterne) vet hvem de kan henvende seg til ved spørsmål om personvern. Sist, men ikke minst; tonen settes på toppen. Ledelsen må vise engasjement og interesse for personvern for at resten av virksomheten skal utvikle god personvernkultur.
  4. Ombudet bør etablere kontakt og samarbeid med andre personvernombud Personvernombud bør delta i nettverk og å ha dialog med andre ombud. Dette vil både heve ombudets kompetanse og gi mulighet for å diskutere personvernproblematikk og utfordringer i ombudsrollen med likesinnede. Ombud kan for eksempel melde seg inn i Foreningen personvernombudene (pvo.no), eller knytte seg til et av de mange andre nettverkene for personvernombud. For å heve egen kompetanse, kan det også være nyttig å prioritere eksterne kurs og seminarer som gir muligheten til å få oppdatert kunnskap om personvern og informasjonssikkerhet.
  5. Bruk Datatilsynet for veiledning og råd
    Datatilsynet tilbyr veiledning på nett, og har en veiledningstelefon der personvernproblematikk kan diskuteres med tilsynets ansatte. Datatilsynet har også en egen kontaktperson og koordinator for personvernombudsordningen som du kan søke råd hos når det gjelder spørsmål som har med personvernombudsrollen å gjøre.