Etterlevelse av personvernregelverket
I undersøkelsen spurte derfor vi ombudene hvordan de opplever etterlevelsen i virksomheten de er ombud for, og hva de opplever som mest utfordrende for å få til etterlevelse i praksis.
I 2025 er det sju år siden personvernforordningen (GDPR) trådte i kraft i Norge. Personvernombudene sitter med en unik innsikt i hvordan etterlevelsen i virksomhetene er. Fem år etter siste undersøkelse var vi spente på å se om det er endringer i opplevelse av etterlevelse.
Vi ba her også ombudene om å fortelle om utfordringene med sine egne ord i et åpent svar.
Hvordan opplever ombudene at virksomhetene etterlever regelverket?
Svarene viser at:
- I gjennomsnitt opplever de fleste ombudene i undersøkelsen (76 prosent) at virksomheten i stor eller svært stor grad etterlever personvernregelverket.
- Bildet er i liten grad endret fra 2020.
Personvernombudene som deltok i undersøkelsen opplever i stor grad at virksomhetene de representerer etterlever personvernregelverket. Kun syv prosent opplever at virksomheten deres i liten eller svært liten grad etterlever personvernregelverket. Det er imidlertid verdt å merke seg at 17 prosent svarer «verken eller».
At de fleste ombudene opplever at virksomhetene har god kontroll på etterlevelsen av forordningen, harmonerer godt med inntrykket Datatilsynet har ellers også. Vi må imidlertid være oppmerksom på at tallene fra denne undersøkelsen ikke nødvendigvis er et representativt bilde av alle norske virksomheter. Virksomheter med ombud behandler ofte store mengder, eller sensitive, personopplysninger, og har trolig større fokus på etterlevelse enn virksomheter som ikke har ombud.
Vi ser forskjeller i etterlevelse blant sektorene. Andelen ombud som mener at deres virksomhet i stor eller svært stor grad etterlever personvernregelverket, er høyere i forsikrings- og finansvirksomhetene (86 prosent) enn i andre sektorer, og lavest i kommuner og fylkeskommuner (56 prosent). Grunnen til at etterlevelsen oppleves lavere i kommuner og fylkeskommuner, er nok sammensatt. En forklaring kan være at kompleksiteten og mengden opplysninger disse behandler, gjør etterlevelse på tvers av alle tjenester og behandlinger utfordrende.
Virksomhetens størrelse spiller også inn, og henger nok sammen med forskjeller i sektorene. 89 prosent av personvernombudene i små virksomheter oppgir at virksomheten i stor eller svært stor grad etterlever personvernregelverket. 65 prosent som jobber i store virksomheter sier det samme. I store virksomheter er det en langt større andel som svarer «verken eller» enn i mindre virksomheter.
Det er positivt og kanskje litt overraskende at små virksomheter opplever større grad av etterlevelse. Store virksomheter har ofte mer erfaring og ressurser til personvernarbeidet. Samtidig er det enklere å etterleve regelverket hvis det er begrenset omfang av behandling av personopplysninger, noe som nok er tilfelle i en del av de små virksomhetene. En alternativ forklaring er at ombudene i små virksomheter ikke har samme oppfatning av hva som faktisk kreves med tanke på etterlevelse. Ettersom de bruker mindre tid på ombudsrollen, i større grad oppgir at de ikke har tilstrekkelig kompetanse, og i mindre grad deltar på kurs- og nettverksmøter sammenlignet med ombud i store virksomheter, kan dette påvirke synet på etterlevelse.
Med ombudenes egne ord
I de åpne svarene på hva ombudene opplever som utfordrende, kan vi få et innblikk i hvorfor store virksomheter opplever mindre grad av etterlevelse enn de små. Et ombud i en stor virksomhet forteller at det er mange, til dels lite oversiktlige ansvars- og instruksjonslinjer, og at det derfor er vanskelig å vite hvordan det egentlig står til med etterlevelsen i praksis. Det er ikke dermed sagt at virksomheten ikke etterlever regelverket, men ombudet mangler den nødvendige oversikten for å vite det, noe hen anser som en etterlevelsesutfordring i seg selv. Vedkommende kobler også denne utfordringen med en annen, nemlig manglende forståelse for personvern blant ansatte i virksomheten. Når ansatte ikke kjenner betydningen av personvern, kobles personvernombudet også i mindre grad på i relevante prosesser.
Hvilke krav er mer utfordrende enn andre?
De fleste personvernombud opplever at virksomhetene generelt sett etterlever regelverket. Kan det være slik at det likevel er enkelte deler av regelverket som i større grad etterleves enn andre?
Svarene viser at:
- Mange har på plass rutiner for brudd og innsyn, samt protokoll og databehandleravtaler.
- Tiltakene det ser ut til å være mer krevende å få til, er kompetanseheving og innebygd personvern.
Hvis vi sammenligner funnene med svarene fra 2020, er det ikke store forskjeller, med unntak av enkelte områder. I 2020 svarte 75 prosent av ombudene at de i stor grad hadde nødvendige databehandleravtaler på plass, mens 65 prosent sier det samme i 2025 – altså en nedgang på 10 prosent. Vi ser også en nedgang på fem prosent når det gjelder rutiner for innsyn, og om virksomheten har en protokoll over behandling av personopplysninger.
Hvilke tiltak som havner øverst og nederst på lista, er relativt stabilt siden forrige undersøkelse. Konkrete krav slik som rutiner for håndtering av brudd på personopplysningssikkerheten, innsynsretten, samt protokoll og databehandleravtaler, synes å være på plass. Tiltak som er knyttet til kompetanse og kultur, slik som løpende kompetanseheving og opplæring, kommer dårligst ut.
Det er også verdt å merke seg at tiltak for å ivareta informasjonssikkerheten, kommer høyere opp på listen enn tiltak som gjelder personvern. Det gjelder både på spørsmål om virksomheten jobber systematisk og kontinuerlig, og når det kommer til opplæring og kompetanseheving.
Personvernombudene innenfor forsikring og finans, samt telekom- eller IT-bedrifter, svarer i større grad enn andre positivt på de fleste av spørsmålene. I forsikrings- og finansvirksomhetene sier 61 prosent av ombudene at virksomheten i stor eller svært stor grad sørger for løpende kompetanseheving om personvern for ansatte, mot et snitt på 41 prosent. 87 prosent i begge bransjene mener at virksomheten har etablert gode rutiner for å avdekke og rapportere brudd på personopplysningssikkerheten til Datatilsynet, mot et gjennomsnitt på 71 prosent. Telekom- og IT-bedriftene skiller seg ut ved at 91 prosent sier de i stor eller svært stor grad har databehandleravtaler på plass, mot et gjennomsnitt på 65 prosent.
Blant personvernombudene i kommuner og fylkeskommuner svarer en gjennomgående lavere andel positivt på de fleste spørsmålene enn de andre sektorene. For eksempel sier 22 prosent av ombudene i kommuner og fylkeskommuner at de i stor eller svært stor grad sørger for løpende kompetanseheving om personvern for ansatte, mot et gjennomsnitt på 41 prosent.
Små virksomheter svarer i større grad positivt på disse spørsmålene enn det store virksomheter gjør. Unntaket er om de har gjennomført en eller flere utredninger av personvernkonsekvenser. 47 prosent av de små virksomhetene, mot 65 prosent av de store, svarer positivt på dette. En forklaring på dette kan selvsagt dels være at det er mindre behov for gjennomføring av personvernkonsekvensvurderinger i mindre virksomheter enn i de større.
Hva mener ombudene er de største utfordringene for etterlevelse?
Undersøkelsen viser at mange ombud oppfatter at virksomhetene i stor grad etterlever regelverket, men at det fremdeles er rom for forbedringer. Vi spurte derfor om hva ombudene ser på som de største hindringene i arbeidet med etterlevelse.
Svarene viser at:
- Å få rutiner og prosesser til å fungere i praksis, samt mangel på menneskelige ressurer, peker seg tydelig ut som de største opplevde hindrene for etterlevelse.
- Personvernreglene i seg selv, er det alternativet som i minst grad oppleves som et hinder for gode løsninger.
Tendensen er den samme som i den forrige undersøkelsen: Å få til fungerende rutiner og prosesser, samt mangel på menneskelige ressurser, er de to største utfordringene for virksomhetenes etterlevelse av regelverket, slik personvernombudene opplever det. Det å få til rutiner og prosesser, har rykket opp til topp, med en økning på fire prosent siden 2020. Manglende engasjement blant ledelsen, har også økt med fire prosent siden 2020. Økonomi oppleves nå som mer utfordrende enn tolkningen av regelverket.
Når vi sammenligner sektorer, ser vi at ombudene i statlig administrasjon i større grad enn andre sektorer oppgir at det er utfordrende å få til fungerende rutiner og prosesser (64 prosent). De sier også at gamle it-ressurser er en utfordring (40 prosent).
I likhet med i 2020, er det en relativt liten andel (17 prosent) som opplever at selve personvernregelverket er til hinder for gode løsninger. Det er imidlertid 27 prosent av ombudene som mener at det er uklart hvordan regelverket skal tolkes. Dette er også på samme nivå som i 2020, og det er verdt å legge merke til at opplevelse av uklarhet ikke har gått ned, fem år etter forrige undersøkelse.
Ombudene i kommuner og fylkeskommuner trekker i større grad frem utfordringer med mangel på menneskelige ressurser (62 prosent), at det er et manglende engasjement i ledelsen (47 prosent) og at det er mangel på økonomiske ressurser (41 prosent), enn i de andre sektorene.
I helse- og omsorgssektoren skiller svarene seg ut fra gjennomsnittet ved at de oppgir (49 prosent) at mangel på økonomiske ressurser og investeringer i stor eller svært stor grad utfordrer etterlevelsen.
Forsikrings- og finansvirksomheter oppgir i langt mindre grad at økonomi (12 prosent) og menneskelige ressurser (34 prosent) er en utfordring enn de andre sektorene.
Ombudene i små virksomheter svarer gjennomgående at økonomiske og menneskelige ressurser er et problem i mindre grad enn det store gjør. For eksempel opplever 62 prosent av ombudene i store virksomheter at mangel på menneskelige ressurser er utfordrende, mens bare 36 prosent blant ombudene i små virksomheter sier det samme.
Med ombudenes egne ord
Det å få til fungerende rutiner og prosesser, kan være utfordrende av ulike grunner. Mange av ombudene i fokusgruppen sa at de har rutiner, men at de kan være fragmenterte og lite gjennomgående. Det hjelper dessuten lite å ha rutiner på plass, dersom de ansatte ikke kjenner til dem.
At det er vanskelig å få til fungerende rutiner og prosesser, kan dessuten henge sammen med en annen og mer teknisk utfordring: gamle it-ressurser. Systemer som i sin tid ble anskaffet for ett formål, fungerer ikke nødvendigvis like godt for et nytt, slik som for eksempel systematisk sletting av data.
Fra de åpne svarene om hva ombudene opplever som utfordrende, peker enkelte på en sammenheng mellom et komplekst regelverk, behovet for ressurser og utfordringen med å spre kompetanse i organisasjonen. Når regelverket oppleves komplisert og vanskelig å forstå for ansatte, etterlyser ombudene mer kontinuitet i arbeidet med kompetanseheving for ansatte i virksomheten, noe som krever dedikerte ressurser utover personvernombudet.
Enkelte peker på konsekvensene av ansattes manglende kompetanseheving. Der medarbeidere ser personvernregelverket som et hinder for utvikling, vegrer de seg for å involvere personvernombudet fordi de vil spare tid, noe som fører til at ombudet selv må lete seg frem til hvilke behandlinger som er involvert i ulike prosjekter. Medarbeidernes holdninger fører til at det blir utfordrende å bli koblet på i rett tid.
Det er også mange som etterlyser arbeidskraft. Til tross for at det er vilje i ledelsen, oppdatert systemportefølje og rutiner er utarbeidet, ser personvernombudene behov for dedikert arbeidskraft for å nå over oppgaver slik som opplæring, ROS-analyser, DPIA og avviksbehandling.