Ombudenes forhold til ledelsen
Det kan ofte oppstå spenninger mellom personvern og andre interesser i virksomheter. Blant annet kan ledelsen og ombudet være uenige i viktige vurderinger som påvirker arbeidet med personvern og informasjonssikkerhet. Begge har imidlertid nytte av å ivareta et godt forhold.
Ombudet er avhengig av å få delegert tid og ressurser for å ivareta rollen sin, og ledelsen er avhengig av ombudets fagkompetanse, rådgivning og kontroll for å etterleve personvernregelverket best mulig.
I virksomheter som behandler store mengder data, må ledelsen også ha grunnleggende personvernkompetanse for å kunne vurdere ombudets råd og gjøre avveiinger opp mot andre hensyn. Denne kompetansen er spesielt viktig ettersom ledelsen, og ikke personvernombudet, er ansvarlig for at personvernregelverket følges.
Får ombudene nødvendig med tid og ressurser?
For at ombudene skal kunne gjennomføre jobben sin, må de ha tilstrekkelig med tid og ressurser. Vi har derfor spurt ombudene om de opplever at de får satt av tid og ressurser slik at de kan ivareta rollen som personvernombud på en tilfredsstillende måte.
Svarene viser at:
- Kun 40 prosent av ombudene opplever at de får satt av tilstrekkelig med tid og ressurser.
- 28 prosent svarer at de ikke får dette.
At nesten tre av ti ombud opplever at de ikke får satt av nok tid og ressurser, betyr at mange ombud ikke får utøvd oppgavene sine som personvernombud i så stor grad som de ønsker. Samtidig er alle virksomheter i en posisjon hvor de må vurdere hvordan interne ressurser skal disponeres og der ulike behov må veies opp mot hverandre. Spesielt i situasjoner der ledelsen opplever knapphet på menneskelige ressurser, og der mange oppgaver skal utføres, kan det hende at personvernarbeidet blir nedprioritert. Det er likevel essensielt at personvernombudene får gjort oppgavene sine, slik at de kan fungere som den støttefunksjonen de er tiltenkt i arbeidet med å ivareta personvernhensyn og etterleve regelverket.
At 33 prosent av ombudene svarer «verken eller» til spørsmålet, kan ha ulike årsaker. Men en av forklaringene kan være at virksomheten ikke har tydelige rollebeskrivelser og forventninger om tidsbruk. I mange virksomheter skal også personvernrelaterte oppgaver håndteres når det oppstår et behov, og det er derfor kanskje ikke godt forankrede rutiner for bruk av tid og ressurser.
Hvem rapporterer ombudene til?
Ifølge personvernregelverket skal personvernombudet rapportere direkte til det høyeste ledelsesnivået. For å finne ut hvordan rapporteringen fungerer i praksis, har vi spurt ombudene hvem konkret i virksomheten de rapporterer til.
Svarene viser at:
- Over halvparten av ombudene (57 prosent) rapporterer til virksomhetens øverste administrative leder.
- 26 prosent rapporterer til en annen leder i virksomhetens øverste ledelse.
- Åtte prosent oppgir å rapportere til virksomhetens styre, eller politisk ledelse.
- Tre prosent av ombudene rapporterer til en leder på et lavere nivå. Dette er ikke i tråd med kravene i personvernforordningen.
- Til sammen fem prosent har uklare rapporteringslinjer, hvor de ikke har noen å rapportere til, de vet ikke hvem de skal rapporterer til, de rapporterer til andre eller de sitter selv som øverste leder.
Siden det er virksomhetens øverste ledelse som har det endelige og formelle ansvaret for at personvernregelverket etterleves, er det viktig at de får ombudenes vurderinger presentert slik at de kan ta stilling til rådene og vurdere dem opp mot andre hensyn. Det er derfor avgjørende hvem ombudene rapporterer til. Svarene viser at majoriteten av ombudene rapporterer til det øverste ledelsesnivået, noe som tilsier at ledelsen ofte er orientert om personvernombudets arbeid.
Det er likevel problematisk at mange ombud ikke rapporterer til øverste ledelse. Konsekvensen kan være at ledelsen ikke blir orientert om arbeidet med det regelverket som de er selv ansvarlige for å opprettholde. Det betyr også at øverste ledelse ikke nødvendigvis har kunnskapsgrunnlaget de trenger for å ta informerte beslutninger om bruk av personopplysninger i virksomheten.
Rapporteringer til og møter med ledelsen
At ombudet har god dialog med ledelsen er viktig for at arbeidet med personvern skal kunne prioriteres i virksomheten. Det å rapportere og gjennomføre møter er en indikasjon på i hvilken grad virksomheten er bevisst oppgavene og betydningen av ombudets rolle. For å skape gode rammer for dialog, kan det være nødvendig å etablere formelle rapporteringsstrukturer. Vi har derfor spurt ombudene om de har noen form for fast skriftlig rapportering til virksomhetens ledelse.
Svarene viser at:
- De fleste ombudene ikke har fast skriftlig rapportering til virksomhetens ledelse, men det er store sektorvise forskjeller.
- Selv om det er mer vanlig med skriftlig rapportering blant de største virksomhetene enn de mindre, svarer bare 42 prosent av ombudene i virksomheter med mer enn 250 ansatte at de har fast skriftlig rapportering til ledelsen.
Ved å utarbeide skriftlige rapporter til ledelsen der det gis status for personvernarbeidet, og rapporteres om utfordringer som er identifisert og ombudets vurderinger og råd, ansvarliggjøres både ledelsen og personvernombudet. Gjennom disse rapportene kan også andre deler av virksomheten bli kjent med hva personvernombudet engasjerer seg i, og de rådene ombudet gir. Hele virksomheten vil også kunne bli mer bevisst på oppgavene til ombudet og betydningen av ombudsrollen. At så mange som 65 prosent av ombudene ikke har fast skriftlig rapportering til ledelsen, kan indikere at personvernombudets arbeid ikke blir tilstrekkelig vektlagt eller dokumentert i mange virksomheter.
I undersøkelsen kommer det også frem at innen forskning og høyere utdanning rapporterer hele 67 prosent av ombudene skriftlig, og tilsvarende 61 prosent av ombudene innen forsikring og finans. Aller minst skriftlig rapportering er det blant ombudene innen rådgivnings- og konsulentvirksomheter og advokatbyråene (13 prosent).
Skriftlig rapportering kan benyttes i forbindelse med forberedelser til, og gjennomføring av, faste møter med ledelsen. Vi har derfor også spurt om det gjennomføres faste møter mellom ledelsen og personvernombudet.
viser at:
- Over halvparten av ombudene (56 prosent) har ikke faste møter med ledelsen.
- 30 prosent av ombudene har hatt to eller flere faste møter med ledelsen i året.
- 14 prosent oppgir at det gjennomføres ett fast møte i året.
Sett i sammenheng med at mange ombud ikke har fast skriftlig rapportering til ledelsen, viser dette at det ikke er gode nok rutiner i mange virksomheter for dialog mellom ombudet og ledelsen. Konsekvensene av manglende rapportering og møter mellom ledelsen og ombudet, kan være at ledelsen ikke har god nok innsikt i personvernarbeidet i virksomheten eller at ledelsen ikke tar de nødvendige vurderingene knyttet til vern av personopplysningene virksomheten behandler.
Dette er problematisk ettersom det er ledelsen selv som er ansvarlig for at personvernregelverket etterleves. For at ledelsen skal være bevisst på personvernarbeidet i virksomheten, kan det være hensiktsmessig å planlegge enten kvartalsvise eller halvårlige møter.
Engasjement og interesse fra ledelsen
Engasjement og interesse fra ledelsen er viktig for å sikre et gode faglige meningsutvekslinger og en positiv kultur rundt personvern i virksomheten. Mangel på engasjement og interesse kan derimot føre til nedprioritering av personvernarbeidet, og mindre motiverte personvernombud. Vi har derfor spurt om i hvilken grad ombudene opplever at ledelsen holder seg orientert og viser interesse for personvernombudets gjøremål.
Svarene viser at:
- Bare 36 prosent opplever at ledelsen holder seg orientert om og viser interesse for deres gjøremål.
- Hele 31 prosent opplever at ledelsen i liten eller svært liten grad holder seg orientert og viser interesse.
For å få til et systematisk og kontinuerlig arbeid med informasjonssikkerhet og personvern, er det avgjørende at det er engasjement for det i ledelsen. Ledelsen setter i stor grad standarden for hvordan en virksomhet skal jobbe. Hvis det er lite engasjement og eierskap til personvern i ledelsen vil dette ofte gjenspeiles i resten av organisasjonen. Sterke signaler fra toppen er ikke bare en forutsetning for regelverketterlevelse, men også for å skape tillit blant ansatte, kunder og innbyggere slik at disse er villige til å ta i bruk løsninger og dele opplysningene sine på en trygg måte. Tallene fra undersøkelsen viser at ombudene opplever varierende interesse fra ledelsen. At bare 36 prosent av ombudene opplever at ledelsen holder seg orientert og viser interesse, er illevarslende.
Svarene fra ombudene i forsikring- og finansvirksomheter er mest positive. Blant disse rapporterer 58 prosent at de i stor eller svært stor grad opplever interesse fra ledelsens side. Dette er en bransje hvor behandlingen av personopplysninger må være god for å bevare et godt tillitsforhold til kundene. Slike eksterne insentiver kan bidra til å øke prioriteringen av personvern i virksomhetene.
Dårligst stilt er det hos noen av de offentlige virksomhetene. Bare 26 prosent av ombudene i statlig administrasjon svarer at ledelsen viser interesse, mens hos kommuner og fylkeskommuner er den tilsvarende andelen 27 prosent. Her svarer også hele 41 prosent at de opplever at ledelsen i liten eller svært liten grad viser interesse.
Blir ombudene spurt om råd?
Manglende interesse fra ledelsen og andre i virksomheten, kan i verste tilfelle føre til at ombudene ikke blir inkludert i viktige prosesser som har med personvern å gjøre, og at de ikke får anledningen til å fremme viktige vurderinger og råd. Vi har derfor spurt om i hvilken grad ombudene opplever å bli spurt om råd i viktige og relevante prosesser i virksomheten.
Svarene viser at:
- Over halvparten av ombudene (56 prosent) opplever å bli spurt om råd i viktige og relevante prosesser.
- To av ti (20 prosent) opplever at de i liten eller svært liten grad blir spurt om råd.
- I tillegg svarer 23 prosent "verken eller".
Undersøkelsen viser altså at relativt mange personvernombud opplever at de ikke bli spurt om råd i viktige og relevante prosesser. Dette er selvsagt uheldig da en av kjernefunksjonene til personvernombudet er å gi råd knyttet til bruk av personopplysninger i virksomheten. Hvis det i virksomheten er i ferd med å tas avgjørelser som kan være i strid med personvernlovgivningen, bør ombudet få mulighet til å legge fram sine vurderinger overfor de som skal ta avgjørelsen, og om nødvendig virksomhetens øverste ledelse.
Det er i kommunene og fylkeskommunene at den største andelen ombud svarer at de i svært liten eller i liten grad blir spurt om råd (29 prosent). Det samme gjelder for ombudene innen samferdsel og transport (25 prosent). Ved å kryssjekke svar fra undersøkelsen, ser vi også at de som ble utpekt til ombudsrollen fra ledelsen uten å ha blitt spurt om det, også er de som i minst grad blir spurt om råd i kraft av sin rolle som personvernombud (35 prosent svarte i liten eller svært liten grad).
Samtidig svarer det store flertallet (56 prosent) at de blir spurt om råd i viktige og relevante prosesser. Tallene burde selvsagt vært enda høyere, men de viser likevel at selv om en del virksomheter mangler rutiner for faste rapporteringer og møter, ønsker flertallet å høre ombudenes råd.
Ombudets uavhengighet og selvstendighet
Personvernombudet skal ikke motta instrukser om utførelsen av oppgavene sine, hverken fra virksomheten eller andre. Dette innebærer at ombudet ikke skal instrueres om hvilke oppgaver som skal prioriteres, hvordan regelverket skal tolkes, eller hva utfallet av en sak som er til vurdering hos ombudet skal bli. Denne uavhengigheten og selvstendigheten er essensiell for at ombudet skal kunne utføre sin funksjon i tråd med forutsetningene i lovgivningen. Vi har derfor spurt i hvilken grad ombudene opplever at ledelsen har forståelse for ombudets selvstendige og uavhengige rolle.
Svarene viser at:
- De fleste opplever at ledelsen har samme forståelse av den selvstendige og uavhengige rollen som ombudet i stor eller svært stor grad (58 prosent).
- 13 prosent opplever imidlertid at ledelsen har i liten eller svært liten grad rolleforståelse.
Svarene viser at det gjennomgående er en god, felles forståelse i de fleste virksomheter når det gjelder ombudets uavhengighet og selvstendighet. Det er likevel et betydelig antall (13 prosent) som ikke opplever den samme forståelsen. Dette vil kunne skape utfordringer for utførelsen av ombudets oppgaver.
Det er innen forskning og høyere utdanning, samt og i helse- og omsorgsektoren, at personvernombudene opplever størst grad av felles rolleforståelse. Her svarer syv av ti at de i stor eller svært stor grad opplever forståelse. Det er de personvernombudene som har gått inn i rollen "uten egentlig ha blitt spurt", som opplever en lavest grad av forståelse. Nesten hvert fjerde av disse ombudene (24 prosent) svarer "i liten eller svært liten grad" på dette spørsmålet.