Datatilsynet har gjennomført en undersøkelse blant personvernombud – syv år etter at ordningen trådte i kraft. Svarene viser at ledelsen er medium interessert, men at rådene personvernombudene gir, blir lyttet til.
Over 2000 norske virksomheter har personvernombud. Ordningen ble gjort obligatorisk for offentlige organer og noen private virksomheter da personvernforordningen (GDPR) trådte i kraft i 2018.
Personvernombudet skal støtte den behandlingsansvarlige i å oppfylle pliktene virksomheten har etter personvernregelverket.
– Personvernombudene gjør en viktig jobb med å bidra til operativt personvern i norske virksomheter. De sitter på unik kunnskap om både personvern og forholdene i virksomheten de er ombud for, sier seksjonssjef i Datatilsynet Kari Laumann.
6 av 10 ombud svarer at de i stor eller svært stor grad blir spurt om råd i viktige og relevante prosesser i virksomheten, og enda flere (76 prosent) opplever at rådene de gir blir fulgt.
Vi ser også at over halvparten av ombudene har fast skriftlig rapportering til ledelsen (53 prosent). Det er 20 prosent flere enn for fem år siden.
Samtidig svarer kun 37 prosent at ledelsen i stor eller svært stor grad holder seg orientert og viser interesse for personvernombudets gjøremål.
Datatilsynet fikk hjelp av en fokusgruppe med personvernombud til å tolke svarene. Inntrykket fra samtaler med denne gruppen er at mange ombud jobber aktivt for å bli en del av relevante prosesser og for å få til faste rapporteringspunkter til ledelsen.
– Vi tror proaktive ombud bidrar til at personvern blir hensyntatt i relevante prosesser i virksomhetene. Interesse og forankring i ledelsen er nøkkelen til å lykkes med personvern i praksis, og vårt inntrykk er at personvernombudene spiller en viktig rolle her, sier Laumann.
I tillegg til å stille spørsmål om hvordan det er å være personvernombud, spurte vi ombudene om deres inntrykk av etterlevelse av personvernregelverket i virksomheten de er ombud for. Hele 76 prosent av ombudene i undersøkelsen svarte at de opplever at virksomheten i stor eller svært stor grad etterlever personvernregelverket.
Virksomhetene får best score på å ha rutiner for å avdekke brudd, og arbeide med informasjonssikkerhet og behandlingsprotokoll. Områdene med lavest etterlevelse er ifølge ombudene, kompetanseheving for ansatte og innebygd personvern.
På spørsmål om hvilke utfordringer personvernombudene ser for etterlevelse, ser flest ut til å oppleve at det er krevende å få til fungerende rutiner og prosesser, at det er mangel på menneskelige ressurser, og at det mangler engasjement i ledelsen.
Undersøkelsen ble utført av Opinion på vegne av Datatilsynet i tidsrommet 19. mars til 7. april 2025. 1127 personvernombud mottok invitasjon til å delta, og 588 svarte (svarrespons på 52 prosent).