Alle norske virksomheter håndterer personopplysninger, enten om ansatte, kunder eller brukere. I en stadig mer digitalisert hverdag, blir personvern stadig viktigere for å sørge for at person­opplysningene våre blir brukt på en god måte. I virksomheter som behandler store mengder eller sensitive personopplysninger, spiller personvernombudet en nøkkelrolle i å hjelpe virksomheten til å etterleve personvernlovgivingen.

Personvernombudet skal støtte den behandlingsansvarlige i å oppfylle pliktene virksomheten har etter personvernregelverket. Det innebærer i første rekke å gi uavhengige råd til ledelse og ansatte, men også å kontrollere etterlevelse. De registrerte, altså de individene opplysningene gjelder, skal på sin side kunne kontakte personvernombudet med spørsmål om behandlingen av opplysninger, og om utøvelsen av rettighetene de har i henhold til personvernlovgivningen.

Målet med undersøkelsen er å få innsikt i arbeidshverdagen til ombudet. Denne innsikten kan hjelpe oss til å forstå hvordan virksomheter, ombud og myndigheter kan legge til rette for at personvern­ombudene bidrar til best mulig personvern i norske virksomheter.

Kort oppsummert ønsket vi svar på:

• Hvem er personvernombudene, og hvordan opplever de forutsetningene for å kunne utøve rollen sin?
• Hvordan erfarer ombudene virksomhetenes etterlevelse av personvernregelverket?

Oppsummering

Økt profesjonalisering av ombudsrollen

Vi ser tegn til økt profesjonalisering av rollen siden forrige undersøkelse. Det er blitt flere fulltidsombud, langt flere har en rollebeskrivelse og rapporterer fast til ledelsen enn tidligere, og mulighetene til å bygge nettverk er blitt bedre. Det er naturlig nok en langt større andel av ombudene som har lenger erfaring i rollen i dag enn i 2020, noe som også slår positivt ut i spørsmål om utøvelsen av rollen.

En av tre mangler tid og ressurser

41 prosent av ombudene oppgir at de har fått satt av tilstrekkelig med tid og ressurser til å kunne gjøre en tilfredsstillende jobb. Ombud som mener å ha nok tid og ressurser, opplever også i større grad at andre rammebetingelser er på plass, slik som nødvendig kompetanse og at de har en rollebeskrivelse å forholde seg til.

Ett av tre ombud opplever imidlertid ikke å ha tilstrekkelig med tid og ressurser. Disse jobber i større grad i små stillinger eller har i realiteten ikke tid til å utøve rollen i det hele tatt, og svarer i større grad negativt på spørsmål om rammevilkår og forhold til ledelse.

Ombud i forskning og høyere utdanning oppgir i større grad å ha nok tid og ressurser enn andre sektorer, mens situasjonen er motsatt blant ombudene i helse og omsorgsektoren, og i kommuner og fylkeskommuner.

Varierende interesse fra ledelsens side – men den lytter til personvernombudets råd

59 prosent av ombudene opplever å bli spurt om råd av ledelsen, og en enda større andel oppgir at rådene de gir faktisk blir fulgt. Dette tyder på at ledelsen i norske virksomheter gjennomgående har respekt for den rollen og den kompetansen som personvernombudet representerer. Samtidig opplever kun 37 prosent at ledelsen holder seg orientert om, og viser interesse for personvernombudets gjøremål. Det betyr at ombudene må ta en proaktiv rolle og gjøre seg synlige og relevante overfor ledelsen og i organisasjonen for øvrig for å lykkes.

De aller fleste opplever at virksomheten etterlever regelverket

76 prosent av ombudene svarte at virksomheten de jobber i, etterlever regelverket i stor og svært stor grad. Andelen personvernombud som mener at deres virksomhet etterlever personvernregelverket, er høyest i forsikring- og finansvirksomhetene, og lavest i kommuner og fylkeskommuner.

Personvernombud som jobber fulltid eller i store virksomheter, opplever i mindre grad at virksomheten etterlever regelverket enn deltidsombud eller ombud i små virksomheter. Dette kan ha en sammenheng med at store virksomheter behandler en større mengde personopplysninger og har flere systemer enn de mindre virksomhetene, eller kanskje også at ombud som jobber fulltid har andre forventninger enn et deltidsombud.

Mange lovkrav er på plass, mens kompetanseheving og opplæring kommer dårligst ut

De fleste virksomhetene ser ifølge personvernombudene ut til å ha rutiner for å oppdage og håndtere brudd på personopplysningssikkerheten og krav om innsyn i personopplysninger. Dette gjelder også å ha på plass behandlingsprotokoll og databehandleravtaler. Tiltak som gjelder kompetanse og kultur, slik som løpende kompetanseheving og opplæring, blir i mindre grad implementert og fulgt opp.

Vi registrerer også at tiltak for å ivareta informasjonssikkerhet, blir prioritert i større grad enn tiltak som gjelder personvern. Det gjelder både på spørsmål om virksomheten arbeider systematisk og kontinuerlig, og når det kommer til opplæring og kompetanseheving. En ting er å ha rutiner på plass, mens det ser ut til å være mer krevende å få tilstrekkelig tilgang på menneskelige ressurser og å implementere rutinene.

Personvernforordningen gir føringer for hvem som kan være personvernombud. Ombudet skal utpekes på grunnlag av faglige kvalifikasjoner, dybdekunnskap om personvernlovgivningen og praksis på området. Dette er faktorer som kan påvirke hvorvidt et personvernombud lykkes i arbeidet.

Vi vil i de følgende kapitlene se nærmere på om disse bakgrunnsvariablene har en sammenheng med svarene ombudene gir på de ulike spørsmålene.

Utdanning

Det stilles ikke spesifikke krav til ombudenes utdanningsbakgrunn i regelverket. Likevel legges det til grunn at personvernombudet har dybdekunnskap om personvernlovgivningen, og at de har en god forståelse for behandlingsaktivitetene og IKT-systemene i virksomheten.

Fagbakgrunn kan likevel ha betydning for hvilken tilnærming man har til personvernombudsrollen. Vi har derfor spurt ombudene om hvilken utdanningsbakgrunn de har.

Svarene viser at:

• Den mest vanlige studieretningen blant ombudene er jus, etterfulgt av samfunnsfag, arkiv eller annet.
• 91 prosent av ombudene har høyere utdanning.

Tallene viser at ombudene har variert utdanningsbakgrunn. Enkelte lesere vil kanskje være overrasket over at de fleste ombudene i undersøkelsen har høyere utdanning i andre fag enn jus, men kan det være slik at ombudene har ulik faglig bakgrunn i ulike sektorer?

Vi ser av grafen at juristene utgjør den største faggruppen i de aller fleste sektorene, med enkelte unntak.

Forskning og høyere utdanning er sektoren med lavest andel (30 prosent) jurister i ombudsrollen. Her har over halvparten (54 prosent) av respondentene bakgrunn i samfunnsfag, arkiv eller annet. Også innen helse og omsorg har mange bakgrunn i samfunnsfag (49 prosent).

Sektoren med høyest andel jurister i ombudsrollen, er statlig administrasjon der 71 prosent har denne bakgrunnen.

Forsikring og finansvirksomheter har den største andelen av ombud med utdanning innenfor økonomi eller administrasjon (37 prosent), mens bedrifter innen telekom og IT skiller seg fra andre sektorer ved å i større grad (26 prosent) ha ombud med bakgrunn i IT, ingeniør og informasjonssikkerhet.

Små virksomheter har i større grad ombud med bakgrunn i økonomi og administrasjon (25 prosent) enn det store virksomheter har (11 prosent). Store virksomheter har i større grad ombud med bakgrunn i jus (49 prosent) enn små virksomheter (25 prosent).

Hvordan fikk de rollen?

Vi vet fra tidligere undersøkelser at det er variasjon i hvordan virksomheter går frem for å besette ombudsrollen, og at dette kan ha en sammenheng med i hvilken grad den enkelte opplever å lykkes i arbeidet. Vi har derfor stilt ombudene spørsmål om hvordan de fikk rollen.

Svarene viser at:

• Over halvparten (53 prosent) ble spurt av ledelsen om å påta seg rollen.
• Kun 20 prosent ble rekruttert gjennom ekstern utlysning.
• Én av ti (12 prosent) ble ombud uten å egentlig ha blitt spurt.
• Det er lite endringer fra undersøkelsen fra 2020.

Vi ser at de aller fleste ombudene blir rekruttert internt, og at over halvparten blir spurt av ledelsen om å ta på seg rollen. Dette kan henge sammen med at mange ombud har deltidsstilling, og blir bedt om å ta på seg ombudsrollen som en del av stillingen sin. Det er også mulig at virksomheter ønsker et ombud som kjenner virksomheten godt, og derfor rekrutterer internt istedenfor å lyse ut eksternt.

Det er bekymringsverdig at én av ti personvernombud ble utpekt uten egentlig å ha blitt spurt om å ta på seg rollen. Når en medarbeider får tildelt rollen på denne måten, ser vi at dette slår negativt ut i andre spørsmål i undersøkelsen. Disse ombudene har blant annet i mindre grad fått utarbeidet noen form for rollebeskrivelse, og oppgir i mindre grad å ha tilstrekkelig kompetanse enn ombud som har fått rollen på andre måter.

Det er en betydelig større andel (22 prosent) i helse og omsorgsektoren som ble utpekt uten å ha blitt spurt enn i andre sektorer. I motsatt ende av skalaen finner vi telekom- og IT-bedrifter der kun 8 prosent sier det samme.

Statlig administrasjon skiller seg ut fra de andre sektorene ved at det er mindre vanlig å bli spurt av ledelsen om å ta på seg rollen enn i andre sektorer, og at det er mer vanlig å få jobben gjennom ekstern og intern utlysning.

Dette kan også ses i sammenheng med at store virksomheter i større grad ansetter ombud i fulltidsstilling enn det mindre virksomheter gjør, noe vi ser nærmere på senere i rapporten.

Erfaring i ombudsrollen

I 2018 ble mange virksomheter pålagt å ha personvernombud som en del av kravene i personvernforordningen. Det medførte en stor økning i antall ombud, og de første årene etter at regelverket trådte i kraft, var det mange som gikk inn i rollen for første gang. I forrige undersøkelse var det få som hadde noe særlig erfaring som ombud. Hvordan ser bildet ut i 2025?

Svarene viser at:

• De fleste ombudene (57 prosent) har hatt rollen mer enn tre år.
• Det er en stor økning i ombud med mer enn tre års erfaring.

I 2020 var det 17 prosent som sa de hadde hatt rollen i mer enn tre år. Den store økningen i andelen ombud med mer en tre års erfaring, henger naturlig nok sammen med at mange virksomheter opprettet en ordning med personvernombud rundt 2018 da nytt regelverk trådte i kraft.

43 prosent har mindre enn tre års erfaring i ombudsrollen. Blant ombud med mer enn tre års erfaring, har så mange som 30 prosent hatt rollen mellom fem og ti år, og fem prosent har hatt den i mer enn ti år.

Det er særlig ombudene i kommuner og fylkeskommuner som har lang erfaring. 45 prosent av disse har sittet i rollen i fem år eller lenger. I helse og omsorgsektoren finner vi den laveste andelen (25 prosent) av ombudene som har like lang erfaring.

Personvernombud i små virksomheter har sittet kortere i rollen enn de i store virksomheter. 40 prosent av ombud i små virksomheter har hatt rollen i to år eller mindre, mens kun 23 prosent sier de samme i store virksomheter.

Sektortilhørighet

Hvilke sektorer har personvernombud? Undersøkelsen fra 2020 viste stor variasjon mellom sektorer, og det er interessant å se om det har vært noen endringer i de sektorene som ikke er lovpålagt å ha en slik rolle.

Svarene viser at:

• Nærmere fire av ti ombud som besvarte undersøkelsen, er ombud for enten kommune- og fylkeskommunal sektor, eller statlig administrasjon.
• Det er få personvernombud som representerer håndverk- og serviceyrker slik som varehandel og butikk, industri og produksjon, eller i sektoren som tilbyr rådgivning og konsulentvirksomhet.
• Fordelingen mellom sektorer er ikke nevneverdig endret siden 2020.

Etter regelverket skal alle offentlige myndigheter og organer ha personvernombud. Det er derfor ikke overraskende at nærmere fire av ti av respondentene i undersøkelsen jobber innenfor kommunal, fylkeskommunal eller statlig sektor.

Tallene viser også at det er langt færre respondenter som representerer varehandel og butikk, industri og produksjon, og rådgivning og konsulentvirksomhet. Dette gir oss en indikasjon om at der det ikke er obligatorisk med ombud, er det mange som lar være å opprette denne rollen.

Enkelte sektorer er utelatt fra den videre analysen fordi det er for få respondenter til å beregne svarandeler. Disse bransjene er «overnattings- og serveringsvirksomheter», «bygg- og anleggsvirksomhet», «rådgivning og konsulentvirksomhet», «industri og produksjon» og «varehandel og butikk».

Størrelse på virksomheten

Er det enklere å utøve rollen som personvernombud i en mindre virksomhet, eller kan forholdene være bedre i de store? For å undersøke om virksomhetens størrelse påvirker hvordan ombudene utøver rollen sin, stilte vi dem spørsmål om hvor mange ansatte det er i virksomheten de er ombud for.

Svarene viser at:

• Halvparten av ombudene jobber i virksomheter med flere enn 250 ansatte.
• Den andre halvparten jobber i mellomstor (29 prosent) eller liten (22 prosent) virksomhet.
• Det er ingen nevneverdige endringer siden undersøkelsen fra 2020.

Selv om antall ansatte ikke er utslagsgivende for om en virksomhet er pålagt å ha personvernombud, kan det gi en indikasjon på mengden personopplysningene virksomheten behandler.

Fordelingen kan imidlertid også ha en sammenheng med hvilke sektorer de ulike virksomhetstørrelsene representerer. Blant de som oppgir at de jobber i små virksomheter, finner vi den største andelen innen telekom eller i IT-bedrifter. De fleste ombudene som jobber i forsikring- og finansvirksomheter, oppgir at det er mellomstore virksomheter, mens de som jobber i store virksomheter hovedsakelig jobber i kommunal eller fylkeskommunal sektor.

Heltid eller deltid?

Virksomheter har forskjellige behov for hvor mye tid personvernombudene bruker i ombudsrollen. Omfang og type personopplysninger, samt kompleksiteten som for eksempel type behandlinger eller antall IT-systemer, kan være førende for hvor mye ressurser virksomheten bruker på ombudsrollen.

Vi spurte ombudene om hvor stor andel av full stilling de har benyttet i rollen.

Svarene viser at:

• 23 prosent jobber som ombud på fulltid. Det er en økning på 6 prosent siden 2020.
• Halvparten (49 prosent) har jobbet mindre enn 20 prosent eller har i realiteten ikke brukt tid i rollen som ombud det siste året.

Økningen i ombud som jobber fulltid, kan tolkes i lys av en profesjonalisering av rollen i noen virksomheter, og særlig i store virksomheter. Det er imidlertid interessant å se på det store bildet, og vi merker oss at halvparten av ombudene jobber mindre enn 20 prosent eller bruker i realiteten nesten ikke tid som ombud. I praksis betyr det at arbeidshverdagen til veldig mange ombud består av andre oppgaver og roller enn som personvernombud.

Vi har sett litt nærmere på hva som kjennetegner de ombudene som jobber fulltid. Personvern­ombud i store virksomheter, jobber i større grad heltid (41 prosent), sammenlignet med gjennomsnittet (23 prosent). Vi ser også at ombud med jusbakgrunn i større grad jobber fulltid, sammenlignet med ombud med andre utdanningsbakgrunner. Blant de som jobber fulltid som ombud har 69 prosent fått rollen gjennom ekstern eller intern utlysning. Hvilken sektor ombudet jobber i ser også ut til å ha en sammenheng med størrelsen på stillingen.

Svarene viser at:

• Sektorene med størst andel fulltidsansatte ombud, er forskning og høyere utdanning (32 prosent), telekom- eller IT-bedrifter (28 prosent), kommuner og fylkeskommuner og statlig administrasjon (27 prosent).
• Sektorene med størst andel ombud som i realiteten ikke bruker tid på stillingen, er frivillige organisasjoner og helse og omsorg.

De som jobber mindre enn 20 prosent, jobber hovedsakelig i små virksomheter (79 prosent). Frivillige organisasjoner ser ut til å ha den største andelen ombud som i realiteten ikke bruker tid på rollen, og har den minste andelen av fulltidsstillinger.

De fleste ombudene med lav stillingsprosent blir i liten grad rekruttert ved utlysning internt eller eksternt, og de fleste av dem (66 prosent) ble spurt av ledelsen om de kunne påta seg rollen. Blant de som ble utpekt til rollen uten egentlig å ha blitt spurt, er det en langt større andel (29 prosent) som i realiteten ikke bruker tid på rollen enn blant dem som har fått rollen på andre måter.

Får ombudene nødvendig med tid og ressurser?

For at ombudene skal kunne ivareta oppgavene sine på en god måte, må de ha tilstrekkelig med tid og ressurser. Opplever ombudene at ledelsen sørger for at de har det?

Svarene viser at:

• 41 prosent opplever at de får satt av tilstrekkelig med tid og ressurser.
• Hele 30 prosent svarer at de ikke opplever å få avsatt tilstrekkelig med tid og ressurser, og like mange svarer verken eller.
• Det er lite endring fra 2020.

At tre av ti ombud opplever at de ikke får satt av nok tid og ressurser, er bekymringsverdig. Konsekvensen av å ikke ha de nødvendige rammebetingelsene, er at ombudene ikke får gjennomført oppgavene sine,  eller at kvaliteten på det de gjør ikke blir god nok.

Blant dem som ikke opplever å få tilstrekkelig med tid og ressurser, skiller ombudene i helse og omsorgsektoren seg negativt ut fra de andre sektorene. Hele 43 prosent svarer dette. En noe lavere andel (39 prosent) av ombudene i kommuner og fylkeskommuner, sier også at de ikke har tilstrekkelig tid og ressurser. I den andre enden av skalaen har vi forsikring og finanssektoren der kun 17 prosent sier det samme.

Vi ser også at de som sier de har nok tid og ressurser i større grad jobber fulltid enn de som har dette som deltidsrolle. Det er en større andel av ombud i store virksomheter som svarer at de ikke har fått tilstrekkelig med tid og ressurser enn blant ombud i små virksomheter.

Med ombudenes egne ord

Ombudene i fokusgruppen bekreftet Datatilsynets inntrykk av at personvernombudene ofte ikke har eget budsjett. Dette er ikke et regelverkskrav eller nødvendigvis en forutsetning for lykkes som ombud. Samtidig erfarte ombudene i fokusgruppen at det kunne være utfordrende å få finansiert kompetansehevende tiltak fordi de konkurrerer med andre kollegaer om slike midler. Slike ressurser kan også gjelde tilgang til faglige ressurser innen for eksempel juss eller teknologi.

Fra de åpne svarene i spørsmålet om hvilke utfordringer ombudene opplever, forteller enkelte at det legges for mye vekt på at ombudet skal løse alle de personvernrelaterte oppgavene i virksomheten, uten å sørge for at andre ansatte er innforstått med ansvaret sitt. Dette gjør det krevende for personvernombudet å få tid til å legge innsatsen der de selv mener er riktig, ut fra en selvstendig risikobasert tilnærming, som for eksempel kontroll av etterlevelse.

Opplever ombudene å ha tilstrekkelig kompetanse?

For at ombudene skal kunne utøve rollen sin på en god måte må de ha dybdekunnskap om personvernlovgivning og praksis på området til virksomheten. Vi har spurt ombudene om de føler at de har den kompetansen som er nødvendig for å ivareta personvernombudsrollen.

Svarene viser at:

• 66 prosent svarer at de i stor eller svært stor grad har nødvendig kompetanse. Dette ser ut til å være uavhengig av sektor.
• 12 prosent svarer at de i liten eller svært liten grad har tilstrekkelig kompetanse, noe som er en økning på fem prosent siden 2020.

Det er litt overraskende at ombudene ikke opplever at egen kompetanse har økt, fem år etter sist vi spurte. Vi ser heller motsatt tendens, nemlig at en større andel av ombudene sier de i liten grad har den nødvendige kompetansen. En mulig forklaring er at det skjer mye på personvernfeltet, både teknisk og juridisk, og at det kan være krevende å oppdatere seg i takt med utviklingen.  

De som har lengre erfaring opplever i større grad også å ha nødvendig kompetanse. 81 prosent av de som har jobbet mer enn fem år, sier at de i stor eller svært stor grad har kompetanse, mot 49 prosent av de som har jobbet to år eller mindre.

Vi ser også at personvernombud i store virksomheter i større grad (76 prosent) oppgir at de har nødvendig kompetanse enn de som jobber i små virksomheter (49 prosent). Dette sammenfaller også med at ombudene i større virksomheter i større grad jobber fulltid.

Vi ser dessuten forskjeller basert på hvordan ombudene ble rekruttert. Blant dem som fikk stillingen gjennom ekstern utlysning, er det 91 prosent som sier de i stor eller svært stor grad opplever å ha tilstrekkelig kompetanse, sammenlignet med snittet på 66 prosent. Blant de som ble utpekt til ombud uten egentlig å ha blitt spurt, er det derimot 35 prosent som opplever at de har tilstrekkelig kompetanse. Dette er en nedgang fra 2020 da 46 prosent av de som var utpekt til rollen, følte de hadde tilstrekkelig kompetanse.

Med ombudenes egne ord

Fra de åpne svarene på spørsmålet om hvilke utfordringer ombudene opplever, er det flere som peker på utfordringen ved å holde seg oppdatert på to så kompliserte og ulike fagområder som jus og teknologi. Når den teknologiske utviklingen går så raskt, er det vanskelig å henge med, noe som for eksempel går ut over kvaliteten på risikovurderingene.

Andre løfter frem ledelsens manglende kompetanse som en utfordring, noe som resulterer i mangelfull prioritering og planlegging av kompetansehevende tiltak i organisasjonen. Med mangelfulle og lite konkrete krav til kompetansebygging, forteller et ombud at vedkommende stadig må gjøre et større innsalg overfor ledelsen, for å sikre at det brukes tilstrekkelige ressurser på området.

I enkelte små virksomheter der personvernombudet har en liten deltidsstilling og mange oppgaver i andre roller, ser det det rett og slett ut til å kunne være vanskelig å få nok erfaring i rollen til å bygge kompetanse.

Et ombud i en liten kommune påpeker at hen er den eneste som har juridisk kompetanse i kommunen, noe som gjør det vanskelig å gjøre konkrete vurderinger som grunnlag for beslutninger og risikoaksept. Resultatet er at de sjelden blir gjort, eller blir av dårlig kvalitet. At ombudet har tilstrekkelig kompetanse er vel og bra, men hen etterlyser drahjelp fra flere.

Kompetanseheving

I forrige spørsmål så vi at mange opplever at det kan være krevende å henge med i utviklingen. Det skjer mye på personvernfeltet, både innen jus, teknologi og samfunn. Vi spurte derfor ombudene om de har deltatt på kompetansehevende aktiviteter i løpet av det siste året.

Svarene viser at:

• Rundt halvparten har deltatt på eksterne utdanningstilbud, kurs, seminarer eller nettverksmøter det siste året.
• Åtte prosent flere deltar på nettverksmøter sammenlignet med 2020.
• En av fire har ikke deltatt på kompetansehevende aktiviteter i løpet av det siste året.

Det er positivt å se at mange ombud fremdeles er aktive med å ta etterutdanning, eller deltar i nettverk med andre personvernombud. Økningen i andelen ombud som deltar i nettverk kan være et resultat av at ulike nettverk har blitt tydeligere etablert siden 2020. Foreningen Personvernombudene er et eksempel på et formelt nettverk som har vokst de siste årene, og hvor det er mye aktivitet.

Det er hovedsakelig de som har en betydelig andel av stillingen som ombud, som deltar på kompetansehevende tiltak. 80 prosent av de som jobber fulltid har deltatt på kompetansehevende tiltak, mens 33 prosent av de som jobber mindre enn 20 prosent har gjort det samme.

Ett av fire ombud har ikke deltatt på noen av aktivitetene i løpet av det siste året. Blant disse er det 42 prosent som sier at de i stor eller svært stor grad opplever at de har tilstrekkelig kompetanse, sammenlignet med snittet på 66 prosent. Med andre ord ser vi en sterk sammenheng mellom å delta på slike aktiviteter, og hvorvidt ombudene oppfatter at de har kompetansen de trenger.

Det er en langt større andel ombud i små virksomheter som sier de ikke har deltatt på kompetansehevende tiltak i det hele tatt (38 prosent) enn i store virksomheter (14 prosent). Dette kan henge sammen med at det er flere ombud som jobber deltid i små virksomheter.

Ombud som jobber i kommuner og fylkeskommuner, i statlig administrasjon og forsikring og finans deltar i noe større grad på kompetansehevende tiltak enn snittet. Andelen i helse- og omsorgssektoren er noe lavere, der 38 prosent sier de ikke har deltatt på kompetansehevende aktiviteter, mot et gjennomsnitt på 24 prosent.

Rollebeskrivelse

Vi spurte ombudene om de har en rollebeskrivelse, instruks eller avtale som avklarer oppgavene og ansvaret deres. En slik beskrivelse kan være hensiktsmessig for å gi både personvernombudet og resten av virksomheten forutsigbarhet og klarhet om hvem som har ansvar for hva, når det kommer til behandling av personopplysninger og etterlevelse av personvernregelverket.

Svarene viser at:

• 62 prosent av personvernombudene har en beskrivelse av hvilke oppgaver og ansvar de har.
• Det er en liten økning (6 prosent) siden 2020 i ombud som oppgir at de har en rollebeskrivelse.
• I mellomstore virksomheter mangler over halvparten av ombudene en rollebeskrivelse/instruks eller avtale.

Ombud i store virksomheter har i større grad (70 prosent) en rollebeskrivelse sammenlignet med ombud i mellomstore virksomheter (49 prosent). I små virksomheter er det 62 prosent som svarer positivt på dette spørsmålet. De store og de små virksomhetene har altså i større grad rolleskrivelser enn virksomheter i mellomsjiktet.  

Det er også sektorvise forskjeller. 84 prosent av ombudene i forsikrings- og finansvirksomhetene, sier de har en slik beskrivelse. Til sammenligning er det 51 prosent innen helse og omsorg, og kommuner og fylkeskommuner, som svarer positivt på dette spørsmålet.

Jo lenger et ombud har vært i rollen, desto større sannsynlighet er det for at de har en slik beskrivelse. Tilsvarende ser vi at stillingsprosent til ombudene spiller inn. 80 prosent av de som jobber mer enn 40 prosent som personvernombud, sier de har en slik beskrivelse, mens kun halvparten av de som jobber mindre enn 20 prosent sier det samme. Det at personvernombud som bruker store deler av arbeidstiden sin på andre oppgaver i mindre grad har definert rollebeskrivelse, kan gjøre det krevende å unngå ressursskvis og rollekonflikt.

Med ombudenes egne ord

Er det viktig å ha en rollebeskrivelse i praksis? Da vi spurte fokusgruppen med ombud om dette, var svaret «Ja, veldig!». Ombudene fortalte at en rollebeskrivelse er nyttig i det daglige arbeidet fordi det gir konkrete føringer for hva ombudet skal gjøre og hva det ikke skal gjøre. Dette gjelder for eksempel når et ombud blir involvert i en prosess og blir bedt om å ta en utførende rolle. Da er det nyttig å ha en rollebeskrivelse som sikrer at ombudet er konsekvent i utøvelsen av rollen sin.

I de åpne svarene om hva ombudene opplever som utfordrende, peker et ombud på konsekvensene av manglende rollebeskrivelse. Dette fører til løse føringer for arbeidet, både med hensyn til hvor stor rollen skal være, men også for hva som kan forventes. Ett ombud opplever for eksempel at de ansatte tror at hen kan svare på spørsmål som går langt utover vedkommendes mandat og kompetanse, og utfordrer uavhengigheten i rollen.

Hvilke typer oppgaver har de?

I denne undersøkelsen har vi lagt til et spørsmål om hvilke typer oppgaver ombudene utfører. Det har vi ikke hatt med tidligere. Målet er få et inntrykk av i hvilken grad personvernombudene jobber med utøvende oppgaver som kan utfordre deres uavhengige rolle.

Svarene viser:

• De fleste ombudene bidrar med å utvikle rutiner og å gjennomføre DPIA.
• Halvparten av de som har besvart, har et ansvar når det gjelder å saksbehandle henvendelser fra de registrerte på vegne av den behandlingsansvarlige.
• Henholdsvis 35 og 31 prosent har ansvar for lovlighet av behandling og fatter beslutninger om behandling av personopplysninger.

89 prosent av ombudene som jobber i forsikrings- og finansvirksomheter, utvikler virksomhetens rutiner for håndtering av personopplysninger, mot et gjennomsnitt på 79 prosent. I samme sektor er det færre (34 prosent) som sier at de utarbeider eller forhandler kontrakter enn gjennomsnittet (44 prosent).

Blant ombudene i kommuner og fylkeskommuner, er det en generelt en lavere andel som utfører oppgavene på listen. 21 prosent sier de ikke utfører noen av disse oppgavene, mot et gjennomsnitt på 14 prosent.

Innen telekom eller i IT-bedrifter gjør ombudene i større grad flere av oppgavene på listen enn i de andre sektorene. Det er størst utslag på å utarbeide og forhandle kontrakter (67 prosent), mot et gjennomsnitt på 44 prosent.

Ombud i små virksomheter utfører også i større grad flere av oppgavene enn i større virksomheter. De opplever også i større grad (45 prosent) å ha ansvaret for lovligheten av behandlingen av personopplysningene enn i store virksomheter (25 prosent).

I store virksomheter har ombudene i mindre grad et bredt spekter av oppgaver, og i denne gruppen gjør 19 prosent av ombudene som har svart ingen av oppgavene på listen.

I følge regelverket skal ombudet gir råd til ledelse og medarbeidere i virksomheten om hvordan kravene i regelverket kan følges i praksis. I tillegg skal ombudet kontrollere etterlevelse. I praksis kan det være krevende å balansere i hvilken grad ombudet skal være utøvende og kontrollerende i utførelsen av oppgavene sine.

Med ombudenes egne ord

I fokusgruppen fortalte ombudene at de praktiserte rollene sine litt forskjellig. Noen var mer prinsipielle i å ikke delta i utøvelse av aktiviteter på grunn av sin uavhengige og kontrollerende rolle, mens andre deltok mer aktivt i relevante prosesser av praktiske årsaker. Det var enighet om at ombudet må være operativt for å lykkes, men at ombudets rolle er å gi råd og informasjon – ikke å gjøre selve vurderingen, eller å ta beslutninger på vegne av virksomheten.

Flere av ombudene i fokusgruppen kjente seg igjen i tallene ved at de blir bedt om å gjøre oppgaver som faller utenfor ombudsrollen fordi de har erfaring og innsikt. Dette kan for eksempel være at et ombud blir bedt om å forhandle en kontrakt med en leverandør, eller at ombudet blir bedt om å utføre selve DPIAen på egenhånd.

I et åpent svar på spørsmålet om hvilke utfordringer ombudene opplever, svarer et ombud at det er en utfordring å bistå ledelsen på en riktig måte når rollen som personvernombud er rådgivende, mens det virksomheten ofte ønsker seg er utførende.

Blir ombudene spurt om råd?

Å gi råd i viktige prosesser som har med personvern å gjøre, er en av kjerneoppgavene til ombudet. Vi ville derfor vite i hvilken grad ombudene opplever å bli spurt om råd.

Svarene viser at:

• 59 prosent av ombudene opplever å bli spurt om råd i viktige og relevante prosesser. Dette er en liten oppgang siden sist (3 prosent).
• To av ti opplever at de i liten eller svært liten grad blir spurt om råd.
• 21 prosent svarer «verken eller».

Selv om undersøkelsen viser at nesten 60 prosent av ombudene opplever å bli spurt om råd i viktige og relevante prosesser, er det verdt å merke seg at de resterende 40 prosent svarer «verken eller» eller at de i liten eller svært liten grad blir spurt om råd. Det viser at det fremdeles er en vei å gå for å sikre at personvernet ivaretas på en god måte i prosesser som involverer bruk av personopplysninger.

Svarene viser relativt store forskjeller mellom sektorer. I kommunene og fylkeskommunene finner vi, i likhet med i 2020, den største andelen som svarer at de i svært liten eller liten grad blir spurt om råd (26 prosent) – tett fulgt av statlig administrasjon (24 prosent). I motsatt ende av skalaen er det 13 prosent av ombudene innen telekom eller i IT-bedrifter som sier det samme. 

Svarene kan tyde på at det er krevende for virksomheter med stor oppgavebredde og omfang av behandling av personopplysninger, som for eksempel i kommuner og fylkeskommuner. Det er utfordrende å ha fungerende rutiner for involvering av ombudet på tvers av organisasjonen.

Med ombudenes egne ord

Ombudene i fokusgruppen erfarte at det ofte er stor variasjon i kultur i ulike avdelinger eller forretningsområder internt når det kommer til om de blir bedt om råd eller ikke. Ombudene påpekte at både rutiner for involvering av ombud og kultur for å gjøre dette i praksis er viktige forutsetninger for å lykkes med personvernarbeidet i praksis.

Blir rådene fra ombudet fulgt?

Er det slik at personvernombudene opplever at rådene de gir blir fulgt? Dette spørsmålet er nytt og vi har derfor ikke sammenligningsgrunnlag fra undersøkelsen i 2020.

Svarene viser at:

• 76 prosent opplever at rådene de gir i stor eller svært stor grad blir fulgt.
• 4 prosent opplever at de i liten eller svært liten grad blir fulgt.
• 16 prosent svarer verken eller.

I all hovedsak opplever de fleste personvernombud at råd de gir blir fulgt, uavhengig av virksomhetsstørrelse og sektorer.

Det er positivt at personvernombud i stort opplever at rådene de gir blir fulgt. Det er heller ikke et regelverkskrav at ombudets råd alltid følges, men at ombudet skal gi råd der det er relevant og at dette blir tatt med i vurderingen når beslutninger om bruk av personopplysninger tas av virksomheten.

Når i prosessen involveres ombudet?

Å ta hensyn til personvern helt fra starten av prosesser som kan involvere personopplysninger, er et regelverkskrav for å etterleve bestemmelsen om innebygd personvern. Vi har derfor spurt om når i slike prosesser personvernombudene vanligvis opplever å bli tatt med. Dette er også ett nytt spørsmål vi ikke har stilt i tidligere undersøkelser.

Svarene viser at:

• De aller fleste (55 prosent) svarer at de involveres i løpet av prosessen.
• 12 prosent involveres fra start, og en noe større andel involveres i sluttfasen.
• 4 prosent involveres etter at prosessen er over, og 10 prosent involveres ikke i det hele tatt.

De fleste svarer at de involveres «i løpet av prosessen». Dette svaralternativet kan tolkes ganske vidt, og presiserer ikke hvorvidt det er tidlig eller sent i prosessen. Det er viktig å inkludere personvernombudet fra start, også i de tilfellene der ny eller endret bruk av personopplysninger først avdekkes underveis i prosessen. Manglende rutiner eller kultur for å involvere personvernombudet fra start, kan også være en medvirkende årsak til senere involvering.

Virksomhetsstørrelse har tydelig noe å si for tidspunkt for involvering. I små virksomheter svarer 19 prosent av ombudene at de blir involvert fra start, mens 8 prosent i store virksomheter sier det samme. Trolig er det lettere å være synlig, og å ha oversikt over hvilke prosesser det er relevant å delta i, i mindre virksomheter.

Det ser også ut til å være ulik praksis mellom enkelte av sektorene. I telekom og IT-bedrifter er det en langt større andel (78 prosent) enn gjennomsnittet som involveres i løpet av prosessen, mens det er mer utbredt (26 prosent) å involvere ombud i sluttfasen i helse og omsorgssektoren enn i andre sektorer. I kommuner og fylkeskommuner er det størst andel (16 prosent) av ombudene som sier at de normalt ikke blir involvert i innovasjons-, utviklings- eller endringsprosesser.

Med ombudenes egne ord

Personvernombudene i fokusgruppen kjente seg igjen i svarene her. En utfordring som ble pekt på, var at de aktuelle miljøene i virksomheten ikke kjenner til hvilken kompetanse ombudet kan bidra med i startfasen av en prosess, og at de derfor involveres senere enn de burde. Noen ombud opplever å bli involvert etter at beslutningen er tatt, og blir bedt om å «fikse» personvernet – for eksempel når et system allerede er anskaffet.

I flere av de åpne svarene på spørsmålet om hva ombudene opplever som utfordrende, forteller ombudene at de kobles på mot slutten av prosessen, og at personvern derfor oppleves som en brems blant de ansatte, snarere enn en integrert del av prosjekter.

Opplever personvernombudene rollekonflikt?

Personvernombudene har i første rekke en rådgivende og en kontrollerende rolle. I noen tilfeller kan imidlertid personvernombudsrollen komme i konflikt med andre oppgaver eller roller knyttet til forretningsdrift. Vi spurte derfor ombudene om de har opplevd utfordrende rollekonflikter.

Svarene viser:

• De fleste ombudene (66 prosent) har ikke opplevd å være i en utfordrende rollekonflikt
• Det er en liten økning (7 prosent) som sier de har opplevd en rollekonflikt sammenlignet med i 2020.
• Til sammen er det 33 prosent som har opplevd rollekonflikt.

Det er noen sektorvise forskjeller i svarene. Ombud i helse- og omsorgssektoren oppgir i større grad å ha opplevd en rollekonflikt ganske ofte (23 prosent), sammenlignet med gjennomsnittet på 11 prosent. Ombudene i statlig administrasjon opplever også dette i større grad enn i andre sektorer (18 prosent).

Personvernombudene i små virksomheter opplever i mindre grad enn i store virksomheter å komme i en rollekonflikt. Vi ser også at de som jobber mer enn 60 prosent eller fulltid som personvernombud, opplever slike konflikter i større grad enn de som jobber 40 prosent eller mindre. Det ser altså ut til at ombud i deltidsstillinger i små virksomheter i mindre grad opplever rollekonflikter enn det ombud i full stilling i store virksomheter gjør. Dette er interessant fordi deltidsombud har andre oppgaver som potensielt kan komme i konflikt med ombudsrollen. Svarene kan indikere at de fleste som opplever rollekonflikt, ikke opplever konflikt mellom ombudsrollen og andre roller de selv har i virksomheten, men snarere at de opplever rollekonflikt mellom ombudsrollen og andre hensyn i virksomheten.

Med ombudenes egne ord

Tolkningen over fikk støtte i fokusgruppen. Ombudene bekreftet at det ikke er så vanlig å oppleve en utfordrende rollekonflikt. Flere sa at de kjente mer på et krysspress. For eksempel kunne ombudene oppleve press for å endre sine råd i tilfeller der det ville ha store konsekvenser for omdømmet eller bety merkostnader for virksomheten. Andre ombud hadde opplevd å ha etterspurt noe, for eksempel en behandlingsprotokoll eller en DPIA, og at svaret da var at de selv måtte lage det.

Uavhengighet og selvstendighet

Personvernombudet skal utføre oppgavene sine på en uavhengig måte. Det betyr at ombudet ikke skal få instrukser om utførelsen av oppgavene sine, eller når det gjelder hva utfallet av en sak som er til vurdering hos ombudet skal være. I hvilken grad opplever ombudene at de har en slik uavhengighet? Spørsmålet er endret siden 2020 og kan derfor ikke sammenlignes.

Svarene viser at:

• 80 prosent opplever at de i stor eller svært stor grad kan utøve personvernombudsrollen på en selvstendig og uavhengig måte.
• 7 prosent opplever det motsatte.

Det er positivt at de aller fleste ombudene opplever at de kan utøve rollen sin på en selvstendig og uavhengig måte. Det er ingen nevneverdige forskjeller på svarene mellom virksomheter av ulik størrelse eller mellom ulike sektorer.

Blant de som fikk stillingen gjennom ekstern utlysning, er det imidlertid en større andel (14 prosent) som sier at de i liten eller svært liten grad kan utøve rollen på en selvstendig og uavhengig rolle, enn blant dem som fikk rollen på andre måter. Motsatt finner vi de som selv har tatt initiativ til ombudsrollen, der samtlige opplever at de i stor grad kan utøve rollen selvstendig.

Med ombudenes egne ord

Personvernombudene i fokusgruppen trakk frem erfaring og helhetlig tenking som forutsetninger for å kunne praktisere uavhengigheten. Personvernet henger tett sammen med mye av det som skjer i virksomheten, som for eksempel arkiv, internt og eksternt kommunikasjonsarbeid, informasjonssikkerhet og etterlevelse av andre regelverk. Det å kunne se helheten og hjelpe virksomheten med å avveie hensyn og finne den beste veien frem, er kjernen i det personvernombudet driver med.

Flere av ombudene pekte på at det å jobbe fulltid, ha erfaring og kjenne virksomheten godt, er gode forutsetninger for å utøve rollen selvstendig, og kunne gi et godt bidrag til virksomhetens personvernetterlevelse.

Personvernombudets oppgaver er ikke bare å gi råd til ledelsen og andre i virksomheten, men også å kontrollere etterlevelsen av regelverket. Virksomhetens øverste ledelse er behandlingsansvarlig, og dermed også ansvarlig for etterlevelse. For å lykkes som personvernombud, men også med praktisk personvern i virksomheten, er ledelsens bevissthet og kunnskap om personvern avgjørende. 

Hvem rapporterer ombudene til?

Ifølge personvernregelverket skal personvernombudet rapportere direkte til det høyeste ledelsesnivået. Siden det er virksomhetens øverste ledelse som har det endelige og formelle ansvaret for at personvernregelverket etterleves, er det viktig at ledelsen har tilgang til ombudets vurderinger i enkeltsaker og i mer overordnede spørsmål om virksomhetens etterlevelse av regelverket.

For å finne ut hvordan rapporteringen fungerer i praksis, har vi stilt ombudene spørsmål om hvem de rapporterer til i virksomheten.

Svarene viser at:

• De fleste ombudene rapporterer til det øverste administrative leder (57 prosent) eller styret (10 prosent) – til sammen 67 prosent.
• 24 prosent rapporterer til en annen leder i virksomhetens øverste ledelse.
• Tre prosent rapporterer til en leder på et lavere nivå, og like mange rapporterer ikke til noen.

Vi ser altså at de fleste ombudene, og i de fleste sektorer, rapporterer til øverste administrative leder eller til styret. Ombudene i kommuner og fylkeskommuner rapporterer i større grad enn i andre sektorer til øverste administrative leder (68 prosent). Forsikrings- og finansvirksomheter, samt forskning og høyere utdanning, skiller seg ut fra andre sektorer ved at en større andel rapporterer til virksomhetens styre eller politiske ledelse, med henholdsvis 31 og 38 prosent.

En av fire svarer at de rapporterer til en annen leder i virksomhetens øverste administrative ledelse. Det er mulig at noen av respondentene valgte dette svaralternativet fordi de er organisatorisk plassert under en annen leder enn øverste administrative leder, men at de likevel rapporterer formelt og i kraft av sin rolle til øverste leder. Ulike virksomheter organiserer ombudsrollen forskjellig og etter eget behov. Uavhengig av organisering er det viktig at ombudet rapporterer direkte til det øverste ledelsesnivået når det kommer til virksomhetskritiske personvernspørsmål. 

Med ombudenes egne ord

Personvernombudene i fokusgruppen mente at det i tilfeller der ombudet er organisert administrativt under en avdelingsleder eller tilsvarende, er det viktig at virksomheten har klare prosedyrer for å unngå at denne lederen legger føringer for personvernombudets prioritering av oppgaver og skjønnsutøvelse. 

Fra de åpne svarene om hva ombudene opplever som utfordrende, forteller et ombud om uklar tolkning fra ledelsens side når det gjelder hva det innebærer å rapportere til dem. I vedkommendes virksomhet anser ledelsen at rapporteringsplikten er overholdt så lenge personvernombudet har en samtale med øverste leder i løpet av året. Ombudet ser også dette i sammenheng med manglende forståelse for at rapporteringsplikten har betydning for hvor og hvordan ombudet er plassert på organisasjonskartet.

Et annet ombud etterlyser klarere retningslinjer for hvor et personvernombud bør plasseres i organisasjonen. Hen opplever at praksisen i dag er at det er tilfeldig hvor i organisasjonen ombudet havner, og at den ressursen ombudene skal være for virksomheten og de registrerte, dermed blir spilt ut på sidelinjen.

Skriftlig rapportering og møter med ledelsen

Vi ønsket å få vite mer om hvordan personvernombudene interagerer med ledelsen. Vi ville derfor finne ut om ombudene har fast skriftlig eller muntlig rapportering til ledelsen.

Svarene viser at:

• Rundt halvparten rapporterer fast skriftlig til virksomhetens ledelse, men det er store sektorvise forskjeller.
• Det er en nærmere 20 prosent større andel som rapporterer skriftlig og fast til ledelsen enn i 2020.

At det er en stor økning i skriftlig rapportering siden 2020, kan tyde på at flere virksomheter har formalisert ombudsrollen og rapporteringsrutinene. Vi ser imidlertid enkelte sektorvise forskjeller. 77 prosent av ombudene i forsikrings- og finansvirksomhetene, sier at de har fast skriftlig rapportering, mens det i helse- og omsorgssektoren kun er 34 prosent som sier det samme.

Vi ser også at store virksomheter i større grad har fast skriftlig rapportering enn mindre. 63 prosent av ombudene som jobber i store virksomheter, rapporterer skriftlig til ledelsen, mens en tilsvarende andel i små virksomheter sier at de ikke har fast skriftlig rapportering. Dette kan også henge sammen med at store virksomheter i større grad har ombud i fulltidsstilling enn det små virksomheter har.

Hvem ombudene rapporterer til, ser ut til å ha en sammenheng med hvor vidt det foregår skriftlig eller ikke. Blant de som rapporterer til styret eller politisk ledelse, er det 84 prosent som gjør dette skriftlig og fast, mot 55 prosent blant de som rapporterer til øverste administrative leder.

Blant de som har en rollebeskrivelse, er det langt flere som sier de har fast skriftlig rapportering til ledelse (66 prosent) enn blant de som ikke har en slik formalisering av rollen (31 prosent).

De som har fast skriftlig rapportering oppgir også i større grad å ha tilstrekkelig med tid og ressurser til å ivareta rollen som ombud, enn de som ikke har slik fast rapportering.

Med ombudenes egne ord

I samtale med fokusgruppen fikk vi inntrykk av at det er ganske vanlig at ledelsen ikke har forventinger eller etterspør rapportering i stor grad, og at det ofte er ombudene selv som må ta initiativ til fast rapportering. Flere ombud tipset om at det kan være hensiktsmessig å gjøre personvernrapporteringen som en del av allerede etablerte prosesser og rutiner i virksomheten.

Faste møter med ledelsen

En annen måte å rapportere på, er å møtes regelmessig. Har ombudene faste møter med ledelsen?

Svarene viser at:

• Siden 2020 er det en økning på 9 prosent i andelen ombud som har faste møte med ledelsen.
• Halvparten av ombudene (52 prosent) har faste møter med ledelsen én eller flere ganger i året.

I likhet med skriftlig rapportering, er det en positiv utvikling i andelen ombud som har faste møter med ledelsen. Nesten ti prosent flere har faste møter med ledelsen sammenlignet med undersøkelsen i 2020. Det styrker antakelsen om at det har vært en formalisering av rapportering og dialogen mellom ombud og ledelse. 

Vi ser ingen nevneverdige forskjeller mellom sektorer på dette området, men ombudene i store virksomheter har i større grad faste møter med ledelse enn i mindre virksomheter.

Blant de som har en rollebeskrivelse, er det langt flere som sier de har faste møter med ledelsen (63 prosent) enn blant de som ikke har en slik formalisering av rollen på plass (36 prosent). I likhet med de som rapporterer fast skriftlig til ledelsen, ser vi også at de som har faste møter i større grad opplever å ha tilstrekkelig med tid og ressurser til å utføre arbeidet sitt, enn de som ikke har slike møter.

Med ombudenes egne ord

Personvernombudene i fokusgruppen mente at det ikke nødvendigvis var et problem at det ikke er faste møter, så lenge virksomheten har gode rutiner og kultur for rapportering og for å involvere ombudet når det er nødvendig.

Engasjement og interesse fra ledelsen

For å få til et systematisk og kontinuerlig arbeid med personvern, er det sentralt at det er engasjement og interesse for det i ledelsen. Sterke signaler fra toppen er ikke bare en forutsetning for regelverketterlevelse, men også for å skape tillit blant ansatte, kunder og innbyggere, slik at disse er villige til å ta i bruk løsninger og dele opplysningene sine på en trygg måte. En måte å signalisere et slikt engasjement på, er gjennom å holde seg orientert og vise interesse for ombudets gjøremål.

Svarene viser at:

• 37 prosent av ombudene opplever at ledelsen viser interesse og holder seg orientert om personvernombudets gjøremål, men det er også mange (34 prosent) som oppfatter det motsatte.
• Det er stabile tall sammenlignet med 2020.

Vi ser en jevn fordeling av svar når det kommer til ledelsens interesse for ombudets gjøremål. Den største andelen (37 prosent) opplever at ledelsen i stor eller svært stor grad er interessert og holder seg orientert. Nesten like mange svarer imidlertid negativt (34 prosent) eller «verken eller» (28 prosent). Kort oppsummert viser svarene fra personvernombudene at de fleste ikke opplever interessen fra ledelsen sin side som særlig overveldende.

Vi ser forskjeller i sektorer på dette spørsmålet. 48 prosent av ombudene innen telekom eller IT-bedrifter opplever at ledelsen viser interesse for deres gjøremål. I kommuner og fylkeskommuner er det kun 28 prosent som svarer det samme. Resten av sektorene ligger tett opp mot gjennomsnittet.

I de minste virksomhetene opplever personvernombudene i større grad at ledelsen er interessert enn de mellomstore virksomhetene. I små virksomheter opplever 44 prosent at ledelsen i stor eller svært stor grad er interessert, mens 33 prosent av ombudene som jobber i mellomstore virksomheter sier det samme. I store virksomheter er det 36 prosent som sier at ledelsen viser interesse. 

Hvorvidt ledelsen er orientert og viser interesse, henger sammen med hvor mye tid og ressurser som settes av til ombudenes arbeid. 57 prosent av de som ikke får tid og ressurser, sier også at ledelsen viser liten grad av interesse. At det er avsatt tid og ressurser, betyr imidlertid ikke alltid at ledelsen er engasjert. En av fire blant respondentene som opplever at det er avsatt tilstrekkelig med tid og ressurser, svarer «verken eller» på spørsmålet om engasjement fra ledelsen.

Med ombudenes egne ord

Ombudene i fokusgruppen sa at det ofte er mange konkurrerende hensyn og forretningsområder som kjemper om ledelsens oppmerksomhet. Personvern kan oppleves som litt diffust og komplekst fra ledelsens side. De erfarte at dersom det var konkrete hendelser eller aktiviteter, som for eksempel et tilsyn eller et GDPR-prosjekt, var det lettere å få og holde interessen fra ledelsen.

I de åpne svarene om hva ombudene opplever som utfordrende, forteller enkelte ombud at de opplever at personvern og informasjonssikkerhet ikke blir ivaretatt på en god nok måte fordi ledelsen ikke integrerer temaet i virksomhetens kjerneoppgaver. Ledelsen ser på personvern som noe som ligger «på siden», snarere enn å være en integrert del av virksomhetens oppgaver.

I 2025 er det sju år siden personvernforordningen (GDPR) trådte i kraft i Norge. Personvernombudene sitter med en unik innsikt i hvordan etterlevelsen i virksomhetene er. Fem år etter siste undersøkelse var vi spente på å se om det er endringer i opplevelse av etterlevelse. 

Vi ba her også ombudene om å fortelle om utfordringene med sine egne ord i et åpent svar.

Hvordan opplever ombudene at virksomhetene etterlever regelverket?

Svarene viser at:

• I gjennomsnitt opplever de fleste ombudene i undersøkelsen (76 prosent) at virksomheten i stor eller svært stor grad etterlever personvernregelverket.
• Bildet er i liten grad endret fra 2020.

Personvernombudene som deltok i undersøkelsen opplever i stor grad at virksomhetene de representerer etterlever personvernregelverket. Kun syv prosent opplever at virksomheten deres i liten eller svært liten grad etterlever personvernregelverket. Det er imidlertid verdt å merke seg at 17 prosent svarer «verken eller».

At de fleste ombudene opplever at virksomhetene har god kontroll på etterlevelsen av forordningen, harmonerer godt med inntrykket Datatilsynet har ellers også. Vi må imidlertid være oppmerksom på at tallene fra denne undersøkelsen ikke nødvendigvis er et representativt bilde av alle norske virksomheter. Virksomheter med ombud behandler ofte store mengder, eller sensitive, personopplysninger, og har trolig større fokus på etterlevelse enn virksomheter som ikke har ombud.  

Vi ser forskjeller i etterlevelse blant sektorene. Andelen ombud som mener at deres virksomhet i stor eller svært stor grad etterlever personvernregelverket, er høyere i forsikrings- og finansvirksomhetene (86 prosent) enn i andre sektorer, og lavest i kommuner og fylkeskommuner (56 prosent). Grunnen til at etterlevelsen oppleves lavere i kommuner og fylkeskommuner, er nok sammensatt. En forklaring kan være at kompleksiteten og mengden opplysninger disse behandler, gjør etterlevelse på tvers av alle tjenester og behandlinger utfordrende.

Virksomhetens størrelse spiller også inn, og henger nok sammen med forskjeller i sektorene. 89 prosent av personvernombudene i små virksomheter oppgir at virksomheten i stor eller svært stor grad etterlever personvernregelverket. 65 prosent som jobber i store virksomheter sier det samme. I store virksomheter er det en langt større andel som svarer «verken eller» enn i mindre virksomheter.

Det er positivt og kanskje litt overraskende at små virksomheter opplever større grad av etterlevelse. Store virksomheter har ofte mer erfaring og ressurser til personvernarbeidet. Samtidig er det enklere å etterleve regelverket hvis det er begrenset omfang av behandling av personopplysninger, noe som nok er tilfelle i en del av de små virksomhetene. En alternativ forklaring er at ombudene i små virksomheter ikke har samme oppfatning av hva som faktisk kreves med tanke på etterlevelse. Ettersom de bruker mindre tid på ombudsrollen, i større grad oppgir at de ikke har tilstrekkelig kompetanse, og i mindre grad deltar på kurs- og nettverksmøter sammenlignet med ombud i store virksomheter, kan dette påvirke synet på etterlevelse. 

Med ombudenes egne ord

I de åpne svarene på hva ombudene opplever som utfordrende, kan vi få et innblikk i hvorfor store virksomheter opplever mindre grad av etterlevelse enn de små. Et ombud i en stor virksomhet forteller at det er mange, til dels lite oversiktlige ansvars- og instruksjonslinjer, og at det derfor er vanskelig å vite hvordan det egentlig står til med etterlevelsen i praksis. Det er ikke dermed sagt at virksomheten ikke etterlever regelverket, men ombudet mangler den nødvendige oversikten for å vite det, noe hen anser som en etterlevelsesutfordring i seg selv. Vedkommende kobler også denne utfordringen med en annen, nemlig manglende forståelse for personvern blant ansatte i virksomheten. Når ansatte ikke kjenner betydningen av personvern, kobles personvernombudet også i mindre grad på i relevante prosesser.

Hvilke krav er mer utfordrende enn andre?

De fleste personvernombud opplever at virksomhetene generelt sett etterlever regelverket. Kan det være slik at det likevel er enkelte deler av regelverket som i større grad etterleves enn andre?

Svarene viser at:

• Mange har på plass rutiner for brudd og innsyn, samt protokoll og databehandleravtaler.
• Tiltakene det ser ut til å være mer krevende å få til, er kompetanseheving og innebygd personvern.

Hvis vi sammenligner funnene med svarene fra 2020, er det ikke store forskjeller, med unntak av enkelte områder. I 2020 svarte 75 prosent av ombudene at de i stor grad hadde nødvendige databehandleravtaler på plass, mens 65 prosent sier det samme i 2025 – altså en nedgang på 10 prosent. Vi ser også en nedgang på fem prosent når det gjelder rutiner for innsyn, og om virksomheten har en protokoll over behandling av personopplysninger.

Hvilke tiltak som havner øverst og nederst på lista, er relativt stabilt siden forrige undersøkelse. Konkrete krav slik som rutiner for håndtering av brudd på personopplysningssikkerheten, innsynsretten, samt protokoll og databehandleravtaler, synes å være på plass. Tiltak som er knyttet til kompetanse og kultur, slik som løpende kompetanseheving og opplæring, kommer dårligst ut.

Det er også verdt å merke seg at tiltak for å ivareta informasjonssikkerheten, kommer høyere opp på listen enn tiltak som gjelder personvern. Det gjelder både på spørsmål om virksomheten jobber systematisk og kontinuerlig, og når det kommer til opplæring og kompetanseheving.

Personvernombudene innenfor forsikring og finans, samt telekom- eller IT-bedrifter, svarer i større grad enn andre positivt på de fleste av spørsmålene. I forsikrings- og finansvirksomhetene sier 61 prosent av ombudene at virksomheten i stor eller svært stor grad sørger for løpende kompetanseheving om personvern for ansatte, mot et snitt på 41 prosent. 87 prosent i begge bransjene mener at virksomheten har etablert gode rutiner for å avdekke og rapportere brudd på personopplysningssikkerheten til Datatilsynet, mot et gjennomsnitt på 71 prosent. Telekom- og IT-bedriftene skiller seg ut ved at 91 prosent sier de i stor eller svært stor grad har databehandleravtaler på plass, mot et gjennomsnitt på 65 prosent.

Blant personvernombudene i kommuner og fylkeskommuner svarer en gjennomgående lavere andel positivt på de fleste spørsmålene enn de andre sektorene. For eksempel sier 22 prosent av ombudene i kommuner og fylkeskommuner at de i stor eller svært stor grad sørger for løpende kompetanseheving om personvern for ansatte, mot et gjennomsnitt på 41 prosent.

Små virksomheter svarer i større grad positivt på disse spørsmålene enn det store virksomheter gjør. Unntaket er om de har gjennomført en eller flere utredninger av personvernkonsekvenser. 47 prosent av de små virksomhetene, mot 65 prosent av de store, svarer positivt på dette. En forklaring på dette kan selvsagt dels være at det er mindre behov for gjennomføring av personvernkonsekvensvurderinger i mindre virksomheter enn i de større.

Hva mener ombudene er de største utfordringene for etterlevelse?

Undersøkelsen viser at mange ombud oppfatter at virksomhetene i stor grad etterlever regelverket, men at det fremdeles er rom for forbedringer. Vi spurte derfor om hva ombudene ser på som de største hindringene i arbeidet med etterlevelse.

Svarene viser at:

• Å få rutiner og prosesser til å fungere i praksis, samt mangel på menneskelige ressurer, peker seg tydelig ut som de største opplevde hindrene for etterlevelse.
• Personvernreglene i seg selv, er det alternativet som i minst grad oppleves som et hinder for gode løsninger.

Tendensen er den samme som i den forrige undersøkelsen: Å få til fungerende rutiner og prosesser, samt mangel på menneskelige ressurser, er de to største utfordringene for virksomhetenes etterlevelse av regelverket, slik personvernombudene opplever det. Det å få til rutiner og prosesser, har rykket opp til topp, med en økning på fire prosent siden 2020. Manglende engasjement blant ledelsen, har også økt med fire prosent siden 2020. Økonomi oppleves nå som mer utfordrende enn tolkningen av regelverket.

Når vi sammenligner sektorer, ser vi at ombudene i statlig administrasjon i større grad enn andre sektorer oppgir at det er utfordrende å få til fungerende rutiner og prosesser (64 prosent). De sier også at gamle it-ressurser er en utfordring (40 prosent).

I likhet med i 2020, er det en relativt liten andel (17 prosent) som opplever at selve personvernregelverket er til hinder for gode løsninger. Det er imidlertid 27 prosent av ombudene som mener at det er uklart hvordan regelverket skal tolkes. Dette er også på samme nivå som i 2020, og det er verdt å legge merke til at opplevelse av uklarhet ikke har gått ned, fem år etter forrige undersøkelse.

Ombudene i kommuner og fylkeskommuner trekker i større grad frem utfordringer med mangel på menneskelige ressurser (62 prosent), at det er et manglende engasjement i ledelsen (47 prosent) og at det er mangel på økonomiske ressurser (41 prosent), enn i de andre sektorene.

I helse- og omsorgssektoren skiller svarene seg ut fra gjennomsnittet ved at de oppgir (49 prosent) at mangel på økonomiske ressurser og investeringer i stor eller svært stor grad utfordrer etterlevelsen.

Forsikrings- og finansvirksomheter oppgir i langt mindre grad at økonomi (12 prosent) og menneskelige ressurser (34 prosent) er en utfordring enn de andre sektorene.

Ombudene i små virksomheter svarer gjennomgående at økonomiske og menneskelige ressurser er et problem i mindre grad enn det store gjør. For eksempel opplever 62 prosent av ombudene i store virksomheter at mangel på menneskelige ressurser er utfordrende, mens bare 36 prosent blant ombudene i små virksomheter sier det samme.

Med ombudenes egne ord

Det å få til fungerende rutiner og prosesser, kan være utfordrende av ulike grunner. Mange av ombudene i fokusgruppen sa at de har rutiner, men at de kan være fragmenterte og lite gjennomgående. Det hjelper dessuten lite å ha rutiner på plass, dersom de ansatte ikke kjenner til dem. 

At det er vanskelig å få til fungerende rutiner og prosesser, kan dessuten henge sammen med en annen og mer teknisk utfordring: gamle it-ressurser. Systemer som i sin tid ble anskaffet for ett formål, fungerer ikke nødvendigvis like godt for et nytt, slik som for eksempel systematisk sletting av data.

Fra de åpne svarene om hva ombudene opplever som utfordrende, peker enkelte på en sammenheng mellom et komplekst regelverk, behovet for ressurser og utfordringen med å spre kompetanse i organisasjonen. Når regelverket oppleves komplisert og vanskelig å forstå for ansatte, etterlyser ombudene mer kontinuitet i arbeidet med kompetanseheving for ansatte i virksomheten, noe som krever dedikerte ressurser utover personvernombudet. 

Enkelte peker på konsekvensene av ansattes manglende kompetanseheving. Der medarbeidere ser personvernregelverket som et hinder for utvikling, vegrer de seg for å involvere personvernombudet fordi de vil spare tid, noe som fører til at ombudet selv må lete seg frem til hvilke behandlinger som er involvert i ulike prosjekter. Medarbeidernes holdninger fører til at det blir utfordrende å bli koblet på i rett tid.

Det er også mange som etterlyser arbeidskraft. Til tross for at det er vilje i ledelsen, oppdatert systemportefølje og rutiner er utarbeidet, ser personvernombudene behov for dedikert arbeidskraft for å nå over oppgaver slik som opplæring, ROS-analyser, DPIA og avviksbehandling.