Forholdet til ledelsen
Vi ønsket å vite om rapportering og kontakt med ledelsen, samt ledelsens interesse og engasjement for personvernombudets gjøremål.
Personvernombudets oppgaver er ikke bare å gi råd til ledelsen og andre i virksomheten, men også å kontrollere etterlevelsen av regelverket. Virksomhetens øverste ledelse er behandlingsansvarlig, og dermed også ansvarlig for etterlevelse. For å lykkes som personvernombud, men også med praktisk personvern i virksomheten, er ledelsens bevissthet og kunnskap om personvern avgjørende.
Hvem rapporterer ombudene til?
Ifølge personvernregelverket skal personvernombudet rapportere direkte til det høyeste ledelsesnivået. Siden det er virksomhetens øverste ledelse som har det endelige og formelle ansvaret for at personvernregelverket etterleves, er det viktig at ledelsen har tilgang til ombudets vurderinger i enkeltsaker og i mer overordnede spørsmål om virksomhetens etterlevelse av regelverket.
For å finne ut hvordan rapporteringen fungerer i praksis, har vi stilt ombudene spørsmål om hvem de rapporterer til i virksomheten.
Svarene viser at:
- De fleste ombudene rapporterer til det øverste administrative leder (57 prosent) eller styret (10 prosent) – til sammen 67 prosent.
- 24 prosent rapporterer til en annen leder i virksomhetens øverste ledelse.
- Tre prosent rapporterer til en leder på et lavere nivå, og like mange rapporterer ikke til noen.
Vi ser altså at de fleste ombudene, og i de fleste sektorer, rapporterer til øverste administrative leder eller til styret. Ombudene i kommuner og fylkeskommuner rapporterer i større grad enn i andre sektorer til øverste administrative leder (68 prosent). Forsikrings- og finansvirksomheter, samt forskning og høyere utdanning, skiller seg ut fra andre sektorer ved at en større andel rapporterer til virksomhetens styre eller politiske ledelse, med henholdsvis 31 og 38 prosent.
En av fire svarer at de rapporterer til en annen leder i virksomhetens øverste administrative ledelse. Det er mulig at noen av respondentene valgte dette svaralternativet fordi de er organisatorisk plassert under en annen leder enn øverste administrative leder, men at de likevel rapporterer formelt og i kraft av sin rolle til øverste leder. Ulike virksomheter organiserer ombudsrollen forskjellig og etter eget behov. Uavhengig av organisering er det viktig at ombudet rapporterer direkte til det øverste ledelsesnivået når det kommer til virksomhetskritiske personvernspørsmål.
Med ombudenes egne ord
Personvernombudene i fokusgruppen mente at det i tilfeller der ombudet er organisert administrativt under en avdelingsleder eller tilsvarende, er det viktig at virksomheten har klare prosedyrer for å unngå at denne lederen legger føringer for personvernombudets prioritering av oppgaver og skjønnsutøvelse.
Fra de åpne svarene om hva ombudene opplever som utfordrende, forteller et ombud om uklar tolkning fra ledelsens side når det gjelder hva det innebærer å rapportere til dem. I vedkommendes virksomhet anser ledelsen at rapporteringsplikten er overholdt så lenge personvernombudet har en samtale med øverste leder i løpet av året. Ombudet ser også dette i sammenheng med manglende forståelse for at rapporteringsplikten har betydning for hvor og hvordan ombudet er plassert på organisasjonskartet.
Et annet ombud etterlyser klarere retningslinjer for hvor et personvernombud bør plasseres i organisasjonen. Hen opplever at praksisen i dag er at det er tilfeldig hvor i organisasjonen ombudet havner, og at den ressursen ombudene skal være for virksomheten og de registrerte, dermed blir spilt ut på sidelinjen.
Skriftlig rapportering og møter med ledelsen
Vi ønsket å få vite mer om hvordan personvernombudene interagerer med ledelsen. Vi ville derfor finne ut om ombudene har fast skriftlig eller muntlig rapportering til ledelsen.
Svarene viser at:
- Rundt halvparten rapporterer fast skriftlig til virksomhetens ledelse, men det er store sektorvise forskjeller.
- Det er en nærmere 20 prosent større andel som rapporterer skriftlig og fast til ledelsen enn i 2020.
At det er en stor økning i skriftlig rapportering siden 2020, kan tyde på at flere virksomheter har formalisert ombudsrollen og rapporteringsrutinene. Vi ser imidlertid enkelte sektorvise forskjeller. 77 prosent av ombudene i forsikrings- og finansvirksomhetene, sier at de har fast skriftlig rapportering, mens det i helse- og omsorgssektoren kun er 34 prosent som sier det samme.
Vi ser også at store virksomheter i større grad har fast skriftlig rapportering enn mindre. 63 prosent av ombudene som jobber i store virksomheter, rapporterer skriftlig til ledelsen, mens en tilsvarende andel i små virksomheter sier at de ikke har fast skriftlig rapportering. Dette kan også henge sammen med at store virksomheter i større grad har ombud i fulltidsstilling enn det små virksomheter har.
Hvem ombudene rapporterer til, ser ut til å ha en sammenheng med hvor vidt det foregår skriftlig eller ikke. Blant de som rapporterer til styret eller politisk ledelse, er det 84 prosent som gjør dette skriftlig og fast, mot 55 prosent blant de som rapporterer til øverste administrative leder.
Blant de som har en rollebeskrivelse, er det langt flere som sier de har fast skriftlig rapportering til ledelse (66 prosent) enn blant de som ikke har en slik formalisering av rollen (31 prosent).
De som har fast skriftlig rapportering oppgir også i større grad å ha tilstrekkelig med tid og ressurser til å ivareta rollen som ombud, enn de som ikke har slik fast rapportering.
Med ombudenes egne ord
I samtale med fokusgruppen fikk vi inntrykk av at det er ganske vanlig at ledelsen ikke har forventinger eller etterspør rapportering i stor grad, og at det ofte er ombudene selv som må ta initiativ til fast rapportering. Flere ombud tipset om at det kan være hensiktsmessig å gjøre personvernrapporteringen som en del av allerede etablerte prosesser og rutiner i virksomheten.
Faste møter med ledelsen
En annen måte å rapportere på, er å møtes regelmessig. Har ombudene faste møter med ledelsen?
Svarene viser at:
- Siden 2020 er det en økning på 9 prosent i andelen ombud som har faste møte med ledelsen.
- Halvparten av ombudene (52 prosent) har faste møter med ledelsen én eller flere ganger i året.
I likhet med skriftlig rapportering, er det en positiv utvikling i andelen ombud som har faste møter med ledelsen. Nesten ti prosent flere har faste møter med ledelsen sammenlignet med undersøkelsen i 2020. Det styrker antakelsen om at det har vært en formalisering av rapportering og dialogen mellom ombud og ledelse.
Vi ser ingen nevneverdige forskjeller mellom sektorer på dette området, men ombudene i store virksomheter har i større grad faste møter med ledelse enn i mindre virksomheter.
Blant de som har en rollebeskrivelse, er det langt flere som sier de har faste møter med ledelsen (63 prosent) enn blant de som ikke har en slik formalisering av rollen på plass (36 prosent). I likhet med de som rapporterer fast skriftlig til ledelsen, ser vi også at de som har faste møter i større grad opplever å ha tilstrekkelig med tid og ressurser til å utføre arbeidet sitt, enn de som ikke har slike møter.
Med ombudenes egne ord
Personvernombudene i fokusgruppen mente at det ikke nødvendigvis var et problem at det ikke er faste møter, så lenge virksomheten har gode rutiner og kultur for rapportering og for å involvere ombudet når det er nødvendig.
Engasjement og interesse fra ledelsen
For å få til et systematisk og kontinuerlig arbeid med personvern, er det sentralt at det er engasjement og interesse for det i ledelsen. Sterke signaler fra toppen er ikke bare en forutsetning for regelverketterlevelse, men også for å skape tillit blant ansatte, kunder og innbyggere, slik at disse er villige til å ta i bruk løsninger og dele opplysningene sine på en trygg måte. En måte å signalisere et slikt engasjement på, er gjennom å holde seg orientert og vise interesse for ombudets gjøremål.
Svarene viser at:
- 37 prosent av ombudene opplever at ledelsen viser interesse og holder seg orientert om personvernombudets gjøremål, men det er også mange (34 prosent) som oppfatter det motsatte.
- Det er stabile tall sammenlignet med 2020.
Vi ser en jevn fordeling av svar når det kommer til ledelsens interesse for ombudets gjøremål. Den største andelen (37 prosent) opplever at ledelsen i stor eller svært stor grad er interessert og holder seg orientert. Nesten like mange svarer imidlertid negativt (34 prosent) eller «verken eller» (28 prosent). Kort oppsummert viser svarene fra personvernombudene at de fleste ikke opplever interessen fra ledelsen sin side som særlig overveldende.
Vi ser forskjeller i sektorer på dette spørsmålet. 48 prosent av ombudene innen telekom eller IT-bedrifter opplever at ledelsen viser interesse for deres gjøremål. I kommuner og fylkeskommuner er det kun 28 prosent som svarer det samme. Resten av sektorene ligger tett opp mot gjennomsnittet.
I de minste virksomhetene opplever personvernombudene i større grad at ledelsen er interessert enn de mellomstore virksomhetene. I små virksomheter opplever 44 prosent at ledelsen i stor eller svært stor grad er interessert, mens 33 prosent av ombudene som jobber i mellomstore virksomheter sier det samme. I store virksomheter er det 36 prosent som sier at ledelsen viser interesse.
Hvorvidt ledelsen er orientert og viser interesse, henger sammen med hvor mye tid og ressurser som settes av til ombudenes arbeid. 57 prosent av de som ikke får tid og ressurser, sier også at ledelsen viser liten grad av interesse. At det er avsatt tid og ressurser, betyr imidlertid ikke alltid at ledelsen er engasjert. En av fire blant respondentene som opplever at det er avsatt tilstrekkelig med tid og ressurser, svarer «verken eller» på spørsmålet om engasjement fra ledelsen.
Med ombudenes egne ord
Ombudene i fokusgruppen sa at det ofte er mange konkurrerende hensyn og forretningsområder som kjemper om ledelsens oppmerksomhet. Personvern kan oppleves som litt diffust og komplekst fra ledelsens side. De erfarte at dersom det var konkrete hendelser eller aktiviteter, som for eksempel et tilsyn eller et GDPR-prosjekt, var det lettere å få og holde interessen fra ledelsen.
I de åpne svarene om hva ombudene opplever som utfordrende, forteller enkelte ombud at de opplever at personvern og informasjonssikkerhet ikke blir ivaretatt på en god nok måte fordi ledelsen ikke integrerer temaet i virksomhetens kjerneoppgaver. Ledelsen ser på personvern som noe som ligger «på siden», snarere enn å være en integrert del av virksomhetens oppgaver.