Utøvelse av ombudsrollen

Hvilke typer oppgaver har de?

I denne undersøkelsen har vi lagt til et spørsmål om hvilke typer oppgaver ombudene utfører. Det har vi ikke hatt med tidligere. Målet er få et inntrykk av i hvilken grad personvernombudene jobber med utøvende oppgaver som kan utfordre deres uavhengige rolle.

Svarene viser:

• De fleste ombudene bidrar med å utvikle rutiner og å gjennomføre DPIA.
• Halvparten av de som har besvart, har et ansvar når det gjelder å saksbehandle henvendelser fra de registrerte på vegne av den behandlingsansvarlige.
• Henholdsvis 35 og 31 prosent har ansvar for lovlighet av behandling og fatter beslutninger om behandling av personopplysninger.

89 prosent av ombudene som jobber i forsikrings- og finansvirksomheter, utvikler virksomhetens rutiner for håndtering av personopplysninger, mot et gjennomsnitt på 79 prosent. I samme sektor er det færre (34 prosent) som sier at de utarbeider eller forhandler kontrakter enn gjennomsnittet (44 prosent).

Blant ombudene i kommuner og fylkeskommuner, er det en generelt en lavere andel som utfører oppgavene på listen. 21 prosent sier de ikke utfører noen av disse oppgavene, mot et gjennomsnitt på 14 prosent.

Innen telekom eller i IT-bedrifter gjør ombudene i større grad flere av oppgavene på listen enn i de andre sektorene. Det er størst utslag på å utarbeide og forhandle kontrakter (67 prosent), mot et gjennomsnitt på 44 prosent.

Ombud i små virksomheter utfører også i større grad flere av oppgavene enn i større virksomheter. De opplever også i større grad (45 prosent) å ha ansvaret for lovligheten av behandlingen av personopplysningene enn i store virksomheter (25 prosent).

I store virksomheter har ombudene i mindre grad et bredt spekter av oppgaver, og i denne gruppen gjør 19 prosent av ombudene som har svart ingen av oppgavene på listen.

I følge regelverket skal ombudet gir råd til ledelse og medarbeidere i virksomheten om hvordan kravene i regelverket kan følges i praksis. I tillegg skal ombudet kontrollere etterlevelse. I praksis kan det være krevende å balansere i hvilken grad ombudet skal være utøvende og kontrollerende i utførelsen av oppgavene sine.

Med ombudenes egne ord

I fokusgruppen fortalte ombudene at de praktiserte rollene sine litt forskjellig. Noen var mer prinsipielle i å ikke delta i utøvelse av aktiviteter på grunn av sin uavhengige og kontrollerende rolle, mens andre deltok mer aktivt i relevante prosesser av praktiske årsaker. Det var enighet om at ombudet må være operativt for å lykkes, men at ombudets rolle er å gi råd og informasjon – ikke å gjøre selve vurderingen, eller å ta beslutninger på vegne av virksomheten.

Flere av ombudene i fokusgruppen kjente seg igjen i tallene ved at de blir bedt om å gjøre oppgaver som faller utenfor ombudsrollen fordi de har erfaring og innsikt. Dette kan for eksempel være at et ombud blir bedt om å forhandle en kontrakt med en leverandør, eller at ombudet blir bedt om å utføre selve DPIAen på egenhånd.

I et åpent svar på spørsmålet om hvilke utfordringer ombudene opplever, svarer et ombud at det er en utfordring å bistå ledelsen på en riktig måte når rollen som personvernombud er rådgivende, mens det virksomheten ofte ønsker seg er utførende.

Blir ombudene spurt om råd?

Å gi råd i viktige prosesser som har med personvern å gjøre, er en av kjerneoppgavene til ombudet. Vi ville derfor vite i hvilken grad ombudene opplever å bli spurt om råd.

Svarene viser at:

• 59 prosent av ombudene opplever å bli spurt om råd i viktige og relevante prosesser. Dette er en liten oppgang siden sist (3 prosent).
• To av ti opplever at de i liten eller svært liten grad blir spurt om råd.
• 21 prosent svarer «verken eller».

Selv om undersøkelsen viser at nesten 60 prosent av ombudene opplever å bli spurt om råd i viktige og relevante prosesser, er det verdt å merke seg at de resterende 40 prosent svarer «verken eller» eller at de i liten eller svært liten grad blir spurt om råd. Det viser at det fremdeles er en vei å gå for å sikre at personvernet ivaretas på en god måte i prosesser som involverer bruk av personopplysninger.

Svarene viser relativt store forskjeller mellom sektorer. I kommunene og fylkeskommunene finner vi, i likhet med i 2020, den største andelen som svarer at de i svært liten eller liten grad blir spurt om råd (26 prosent) – tett fulgt av statlig administrasjon (24 prosent). I motsatt ende av skalaen er det 13 prosent av ombudene innen telekom eller i IT-bedrifter som sier det samme. 

Svarene kan tyde på at det er krevende for virksomheter med stor oppgavebredde og omfang av behandling av personopplysninger, som for eksempel i kommuner og fylkeskommuner. Det er utfordrende å ha fungerende rutiner for involvering av ombudet på tvers av organisasjonen.

Med ombudenes egne ord

Ombudene i fokusgruppen erfarte at det ofte er stor variasjon i kultur i ulike avdelinger eller forretningsområder internt når det kommer til om de blir bedt om råd eller ikke. Ombudene påpekte at både rutiner for involvering av ombud og kultur for å gjøre dette i praksis er viktige forutsetninger for å lykkes med personvernarbeidet i praksis.

Blir rådene fra ombudet fulgt?

Er det slik at personvernombudene opplever at rådene de gir blir fulgt? Dette spørsmålet er nytt og vi har derfor ikke sammenligningsgrunnlag fra undersøkelsen i 2020.

Svarene viser at:

• 76 prosent opplever at rådene de gir i stor eller svært stor grad blir fulgt.
• 4 prosent opplever at de i liten eller svært liten grad blir fulgt.
• 16 prosent svarer verken eller.

I all hovedsak opplever de fleste personvernombud at råd de gir blir fulgt, uavhengig av virksomhetsstørrelse og sektorer.

Det er positivt at personvernombud i stort opplever at rådene de gir blir fulgt. Det er heller ikke et regelverkskrav at ombudets råd alltid følges, men at ombudet skal gi råd der det er relevant og at dette blir tatt med i vurderingen når beslutninger om bruk av personopplysninger tas av virksomheten.

Når i prosessen involveres ombudet?

Å ta hensyn til personvern helt fra starten av prosesser som kan involvere personopplysninger, er et regelverkskrav for å etterleve bestemmelsen om innebygd personvern. Vi har derfor spurt om når i slike prosesser personvernombudene vanligvis opplever å bli tatt med. Dette er også ett nytt spørsmål vi ikke har stilt i tidligere undersøkelser.

Svarene viser at:

• De aller fleste (55 prosent) svarer at de involveres i løpet av prosessen.
• 12 prosent involveres fra start, og en noe større andel involveres i sluttfasen.
• 4 prosent involveres etter at prosessen er over, og 10 prosent involveres ikke i det hele tatt.

De fleste svarer at de involveres «i løpet av prosessen». Dette svaralternativet kan tolkes ganske vidt, og presiserer ikke hvorvidt det er tidlig eller sent i prosessen. Det er viktig å inkludere personvernombudet fra start, også i de tilfellene der ny eller endret bruk av personopplysninger først avdekkes underveis i prosessen. Manglende rutiner eller kultur for å involvere personvernombudet fra start, kan også være en medvirkende årsak til senere involvering.

Virksomhetsstørrelse har tydelig noe å si for tidspunkt for involvering. I små virksomheter svarer 19 prosent av ombudene at de blir involvert fra start, mens 8 prosent i store virksomheter sier det samme. Trolig er det lettere å være synlig, og å ha oversikt over hvilke prosesser det er relevant å delta i, i mindre virksomheter.

Det ser også ut til å være ulik praksis mellom enkelte av sektorene. I telekom og IT-bedrifter er det en langt større andel (78 prosent) enn gjennomsnittet som involveres i løpet av prosessen, mens det er mer utbredt (26 prosent) å involvere ombud i sluttfasen i helse og omsorgssektoren enn i andre sektorer. I kommuner og fylkeskommuner er det størst andel (16 prosent) av ombudene som sier at de normalt ikke blir involvert i innovasjons-, utviklings- eller endringsprosesser.

Med ombudenes egne ord

Personvernombudene i fokusgruppen kjente seg igjen i svarene her. En utfordring som ble pekt på, var at de aktuelle miljøene i virksomheten ikke kjenner til hvilken kompetanse ombudet kan bidra med i startfasen av en prosess, og at de derfor involveres senere enn de burde. Noen ombud opplever å bli involvert etter at beslutningen er tatt, og blir bedt om å «fikse» personvernet – for eksempel når et system allerede er anskaffet.

I flere av de åpne svarene på spørsmålet om hva ombudene opplever som utfordrende, forteller ombudene at de kobles på mot slutten av prosessen, og at personvern derfor oppleves som en brems blant de ansatte, snarere enn en integrert del av prosjekter.

Opplever personvernombudene rollekonflikt?

Personvernombudene har i første rekke en rådgivende og en kontrollerende rolle. I noen tilfeller kan imidlertid personvernombudsrollen komme i konflikt med andre oppgaver eller roller knyttet til forretningsdrift. Vi spurte derfor ombudene om de har opplevd utfordrende rollekonflikter.

Svarene viser:

• De fleste ombudene (66 prosent) har ikke opplevd å være i en utfordrende rollekonflikt
• Det er en liten økning (7 prosent) som sier de har opplevd en rollekonflikt sammenlignet med i 2020.
• Til sammen er det 33 prosent som har opplevd rollekonflikt.

Det er noen sektorvise forskjeller i svarene. Ombud i helse- og omsorgssektoren oppgir i større grad å ha opplevd en rollekonflikt ganske ofte (23 prosent), sammenlignet med gjennomsnittet på 11 prosent. Ombudene i statlig administrasjon opplever også dette i større grad enn i andre sektorer (18 prosent).

Personvernombudene i små virksomheter opplever i mindre grad enn i store virksomheter å komme i en rollekonflikt. Vi ser også at de som jobber mer enn 60 prosent eller fulltid som personvernombud, opplever slike konflikter i større grad enn de som jobber 40 prosent eller mindre. Det ser altså ut til at ombud i deltidsstillinger i små virksomheter i mindre grad opplever rollekonflikter enn det ombud i full stilling i store virksomheter gjør. Dette er interessant fordi deltidsombud har andre oppgaver som potensielt kan komme i konflikt med ombudsrollen. Svarene kan indikere at de fleste som opplever rollekonflikt, ikke opplever konflikt mellom ombudsrollen og andre roller de selv har i virksomheten, men snarere at de opplever rollekonflikt mellom ombudsrollen og andre hensyn i virksomheten.

Med ombudenes egne ord

Tolkningen over fikk støtte i fokusgruppen. Ombudene bekreftet at det ikke er så vanlig å oppleve en utfordrende rollekonflikt. Flere sa at de kjente mer på et krysspress. For eksempel kunne ombudene oppleve press for å endre sine råd i tilfeller der det ville ha store konsekvenser for omdømmet eller bety merkostnader for virksomheten. Andre ombud hadde opplevd å ha etterspurt noe, for eksempel en behandlingsprotokoll eller en DPIA, og at svaret da var at de selv måtte lage det.

Uavhengighet og selvstendighet

Personvernombudet skal utføre oppgavene sine på en uavhengig måte. Det betyr at ombudet ikke skal få instrukser om utførelsen av oppgavene sine, eller når det gjelder hva utfallet av en sak som er til vurdering hos ombudet skal være. I hvilken grad opplever ombudene at de har en slik uavhengighet? Spørsmålet er endret siden 2020 og kan derfor ikke sammenlignes.

Svarene viser at:

• 80 prosent opplever at de i stor eller svært stor grad kan utøve personvernombudsrollen på en selvstendig og uavhengig måte.
• 7 prosent opplever det motsatte.

Det er positivt at de aller fleste ombudene opplever at de kan utøve rollen sin på en selvstendig og uavhengig måte. Det er ingen nevneverdige forskjeller på svarene mellom virksomheter av ulik størrelse eller mellom ulike sektorer.

Blant de som fikk stillingen gjennom ekstern utlysning, er det imidlertid en større andel (14 prosent) som sier at de i liten eller svært liten grad kan utøve rollen på en selvstendig og uavhengig rolle, enn blant dem som fikk rollen på andre måter. Motsatt finner vi de som selv har tatt initiativ til ombudsrollen, der samtlige opplever at de i stor grad kan utøve rollen selvstendig.

Med ombudenes egne ord

Personvernombudene i fokusgruppen trakk frem erfaring og helhetlig tenking som forutsetninger for å kunne praktisere uavhengigheten. Personvernet henger tett sammen med mye av det som skjer i virksomheten, som for eksempel arkiv, internt og eksternt kommunikasjonsarbeid, informasjonssikkerhet og etterlevelse av andre regelverk. Det å kunne se helheten og hjelpe virksomheten med å avveie hensyn og finne den beste veien frem, er kjernen i det personvernombudet driver med.

Flere av ombudene pekte på at det å jobbe fulltid, ha erfaring og kjenne virksomheten godt, er gode forutsetninger for å utøve rollen selvstendig, og kunne gi et godt bidrag til virksomhetens personvernetterlevelse.