I løpet av de siste tiårene har få reguleringer påvirket norske virksomheter i like stor grad som personvernforordningen (General Data Protection Regulation – GDPR) fra 2018. Regelverket har styrket innbyggernes personvernrettigheter, samtidig som det har skjerpet virksomhetenes ansvar. For å etterleve regelverket har både offentlige og private virksomheter sett seg nødt til å gjennomgå rutiner og praksis knyttet til behandlingen av personopplysninger.

Norske virksomheter blir stadig mer dataintensive. De fleste virksomheter samler inn store mengder opplysninger om grupper som ansatte, kunder, medlemmer og innbyggere, og det er varierende tillit knyttet til hvordan virksomheter behandler personopplysninger. Datatilsynets personvernundersøkelse (2019/2020) viste at nordmenn generelt har høy tillit til hvordan offentlige virksomheter behandler personopplysninger, mens det er utbredt usikkerhet knyttet til hvordan private aktører behandler opplysninger. 

Ny forordning – nye plikter

I personvernforordningen stilles det mange krav til virksomhetenes behandling av personopplysninger. I tillegg til å forsikre seg om at de har lovlig grunnlag for i det hele tatt å behandle opplysningene, må de ivareta personopplysningssikkerheten. De må også vurdere henvendelser fra brukere og innbyggere som vil utøve sine personvernrettigheter.

Ordningen med personvernombud (PVO) har eksistert i Norge helt siden 2001, men med innføringen av personvernforordningen ble innholdet i ombudsrollen betydelig styrket. Ombudsordningen ble gjort obligatorisk for de fleste statlige etater og kommuner, og for en rekke private virksomheter og organisa­sjoner. Ved utgangen av 2020 var det registrert 1 341 personvernombud som representerte 1 891 virk­somheter i Norge.

Personvernombudene er sentrale i virksomhetenes etterlevelse av personvernlovgivningen. Ombudets rolle er å gi råd om hvordan personverninteressene kan best mulig ivaretas, i tillegg til å kontrollere etterlevelsen av regelverket.

Det er imidlertid foreløpig lite kunnskap om personvernombudenes erfaringer med arbeidet. I november og desember 2020 gjennomførte derfor Datatilsynet en spørreundersøkelse blant personvernombudene.

Det vi ønsket svar på, var:

• Hvem er personvernombudene, og hvordan opplever de sine arbeidsvilkår?
• Hvordan erfarer ombudene virksomhetenes etterlevelse av personvernregelverket?

Her presenterer vi de viktigste funnene fra undersøkelsen. Vi gir også noen råd om hvordan ombudsrollen bedre kan ivaretas i virksomhe­tene.

Oppsummering

Personvernforordningen har styrket personvernombudsrollen i norske virksomheter

68 prosent av ombudene i undersøkelsen, har mellom ett og tre års erfaring med rollen som personvernombud, noe som betyr at opprettelsen kan sees i sammenheng med innføringen av personvernforordningen.

Stor variasjon i hvor mye tid som brukes i rollen

Av alle som svarte på undersøkelsen, jobber bare 17 prosent fulltid i rollen som personvernombud. Så mye som halvparten av alle ombudene oppgir at de bruker mindre enn 20 prosent av tiden på rollen, og over én av ti (11 prosent) oppgir at de ikke bruker tid på rollen i det hele tatt.

Flere opplever manglende ledelsesforankring og tilgang til ressurser

Nesten tre av ti ombud opplever at de ikke får satt av tilstrekkelig tid til arbeidet som ombud. Over halvparten av ombudene som svarte i undersøkelsen, har ikke faste møter med ledelsen. Mange ombud oppgir at ledelsen holder seg orientert og viser interesse for deres roller og ansvar, men likevel er det 31 prosent av ombudene som erfarer at ledelsen i liten, eller svært liten, grad holder seg orientert og viser interesse. Dette indikerer at ledelsen i en del virksomheter i Norge, ikke er oppdatert om personvernombudets virke og personvernarbeidet i virksomheten.  

Ombudene opplever at virksomhetene etterlever personvernregelverket

I snitt svarer nesten åtte av ti personvernombud (77 prosent) at virksomhetene etterlever personvernregelverket i stor eller svært stor grad. De ombudene som i størst grad opplever at regelverket etterleves, jobber innenfor rådgivning, konsulentvirksomheter eller advokatbyråer. Det er ombudene som jobber i kommuner og fylkeskommuner som i minst grad opplever at virksomhetene etterlever regelverket.

Ofte er konkrete lovkrav på plass, men mange sliter med manglende kompetanseheving og opplæring av ansatte

Det ser ut til at de fleste virksomhetene har konkrete lovkrav som databehandleravtaler, protokoller, rutiner for innsyn og system for å rapportere brudd på personopplysningssikkerheten på plass. Det virksomhetene i minst grad har på plass, er knyttet til kompetanseheving og opplæring i personvern. Konsekvensene kan da være at styringssystemer for personvern og informasjonssikkerhet er formelt etablert, men at de ansatte ikke er gjort bevisste på dem.

Menneskelige ressurser, og fungerende rutiner og prosesser er de største utfordringene, mens få opplever at regelverket er til hinder for gode løsninger

Rundt halvparten av ombudene opplever at mangel på menneskelige ressurser og fungerende rutiner og prosesser, i stor grad er en utfordring for etterlevelsen av dagens personvernlovgivning. Men dagens personvernlovgivning oppleves i liten grad som et hinder for innovasjon og etablering av gode, tekniske løsninger.

Etter at virksomheten har utpekt et personvernombud, skal ombudet registreres hos Datatilsynet. Etter at personvernforordningen trådte i kraft, har Datatilsynet opplevd en mangedobling av registrerte ombud. Veksten i antallet medfører at det ikke bare er de mest dataintensive virksomhetene som har ombud, men at ombudene representerer et større spenn av virksomheter og fagmiljøer. Registeret over personvernombud viser en jevn kjønnsfordeling av ombudene, med en liten overvekt kvinner (52 prosent).

Erfaring i ombudsrollen

Noen ombud har personvernrelevant erfaring fra tidligere, mens andre ombud har liten erfaring med personvernarbeid når de trer inn i rollen. Vi har spurt hvor lang erfaring personvernombudene har i sin rolle.

Svarene viser at 68 prosent av ombudene har mellom ett og tre år med erfaring. Dette betyr at mange ble ombud rundt samme tidspunkt som innføringen av personvernforordningen. Det er rimelig å anta at dette har sammenheng med at regelverket gjorde det tydelig hvilke virksomheter som burde ha personvernombud, samtidig som ordningen ble gjort pliktig for mange. Svarene viser at personvernforordningen har støttet opp om etablering av personvernombud i Norge.

Utdanning

Det stilles ikke spesifikke krav til ombudenes utdanningsbakgrunn i regelverket. Likevel legges det til grunn at personvernombudet har dybdekunnskap om personvernlovgivningen, og at de har en god forståelse for behandlingsaktivitetene og IKT-systemene i virksomheten, samt informasjonssikkerhet og praksis på området. Personvernombudet trenger ikke være ekspert på alle disse feltene, men det er viktig å kunne etablere et godt samarbeid og god dialog med fagpersoner i virksomheten. Fagbakgrunn kan likevel ha betydning for hvilken inngang man har til personvernombudsrollen. Vi har derfor spurt om formell studiebakgrunn hos ombudene.

Svarene viser at personvernombudene har ulike utdanningsbakgrunner, men at gruppen som dominerer er jurister (34 prosent av alle ombud). Dette kan ha sammenheng med at spørsmål om regelverksetterlevelse tradisjonelt har blitt håndtert av jurister. Vi ser også at det i større virksomheter er mer vanlig at personvernombudet er jurist. I virksomhetene med flere enn 250 ansatte, er hele 43 prosent av personvernombudene jurister.

Det er størst andel jurister i statlig administrasjon (64 prosent), mens bare 13 prosent av ombudene innenfor rådgivning- og konsulentvirksomheter og advokatfirma er jurister. I telekom og IT-bedrifter er det derimot en overvekt av ombud med utdanning innenfor IT/ ingeniør/informasjonssikkerhet (39 prosent). Vi ser altså at ombudenes utdanning varierer noe ut i fra hvilken bransje ombudene jobber innen.

En av fire personvernombud har studert samfunnsfag/arkiv/annet, og én av ti har studert IT, ingeniør eller informasjonssikkerhet, mens én av ti har ikke høyere utdanning.

Hvordan ble de personvernombud?

Vi spurte også ombudene hvordan de fikk rollen sin.

Svarene viser at:

• Over halvparten (56 prosent) ble spurt av ledelsen om å påta seg rollen.
• Én av ti ble ombud uten å egentlig ha blitt spurt.
• Mange ombud gikk inn i rollen uten at det ble åpnet for konkurranse med andre. Bare to av ti fikk rollen etter en intern eller ekstern utlysning.

Det er bekymringsverdig at én av ti personvernombud ble utpekt uten å ha blitt spurt om å påta seg rollen. Når en medarbeider får tildelt rollen som ombud uten å ha blitt spurt, kan det påvirke ombudets motivasjon for å oppfylle oppgavene som er definert i regelverket, og for å være en pådriver for personvernet på arbeidsplassen, på en negativ måte.

Sektorrtilhørighet

For å finne mer ut om hvor ombudene jobber, har vi spurt hva slags virksomhet eller sektor de er ombud for.

Svarene viser at:

• Fire av ti ombud som besvarte undersøkelsen, er ombud for enten kommune- og fylkeskommunal sektor, eller statlig administrasjon.
• Det er relativt færre personvernombud innenfor håndverk- og serviceyrker slik som bygg og anlegg, varehandel og butikk, industri og produksjon, samt overnatting og servering.

Ifølge regelverket skal alle offentlige myndigheter og organer opprette et personvernombud. Det er derfor ikke overraskende at fire av ti personvernombud jobber innenfor kommunal, fylkeskommunal eller statlig sektor.

Svarene viser også at det er relativt færre personvernombud innenfor varehandel og butikk, og bygg- og anleggsvirksomhet. Grunnen til dette kan være sammensatt, men en viktig faktor er nok at mange virksomheter innenfor disse sektorene behandler forholdsmessig færre personopplysninger, og at det derfor ikke er obligatorisk for de fleste av disse å ha ombud.

Virksomhetsstørrelse

Størrelse på virksomheten kan ha mye å si for ombudenes arbeidsbetingelser. Større virksomheter har ofte et behov for nøkkelpersoner som kan holde oversikt over arbeidet med personopplysninger. Vi har derfor spurt ombudene hvor mange ansatte det er i virksomhetene de er ombud for.

Svarene viser at nesten halvparten av alle ombudene jobber i virksomheter med flere enn 250 ansatte. Det er også i de største virksomhetene at vi finner flest som er ombud på fulltid (33 prosent), og som har fått denne rollen etter ekstern eller intern utlysing (31 prosent).

Store virksomheter har andre utfordringer enn små- og mellomstore virksometer, og er derfor ofte avhengige av å ha gode systemer for å ivareta regelverksetterlevelse og for å se ulike prosesser i sammenheng. Et personvernombud vil kunne være en viktig ressurs for disse virksomhetene.

Hvor mye tid brukes på ombudsrollen?

Omfang og type personopplysninger, samt kompleksiteten (for eksempel type behandlinger eller antall IT-systemer), kan være førende for hvor mye ressurser virksomheten bruker på ombudsrollen. Noen virksomheter vil ha behov for et personvernombud på fulltid, mens andre ikke har et behov som tilsier at det er nødvendig å ha et ombud som bruker hele tiden sin på dette arbeidet.

Vi spurte ombudene hvor stor andel av full stilling de har benyttet i rollen som personvernombud de siste tolv månedene.

Svarene viser at:

• 17 prosent av ombudene jobber fulltid i rollen som ombud.
• Halvparten av ombudene (50 prosent) har benyttet mindre enn 20 prosent av full stilling i rollen som personvernombud.
• Hele 11 prosent av ombudene oppgir at de i realiteten nesten ikke har brukt tid på ombudsrollen det siste året.

Svarene viser at det er stor variasjon i hvor mye tid som benyttes i ombudsrollen, men så mye som halvparten av alle personvernombudene bruker mindre enn 20 prosent av full stilling på rollen.

Virksomhetene som har utpekt personvernombud, har gjort det fordi de behandler personopplysninger i et stort omfang, eller fordi de er et offentlig organ. At mer enn hvert tiende ombud i undersøkelsen oppgir å ikke ha brukt tid i denne rollen det siste året, er derfor illevarslende. Det kan indikere at etterlevelsen av personvernregelverket i virksomhetene ikke er fullstendig, og at ombudsrollen i disse virksomhetene ikke har en aktiv betydning i virksomhetens behandling av personopplysninger.

Opplever ombudene å ha tilstrekkelig kompetanse?

For at ombudene skal kunne oppfylle rollen sin, er de nødt til å ha en viss kompetanse. Vi har derfor spurt ombudene om de føler at de har kompetansen som er nødvendig for å ivareta personvernombudsrollen som forutsatt i personvernforordningen.

Svarene viser at:

• Syv prosent i liten eller svært liten grad har den kompetansen som er nødvendig for å ivareta personvernombudsrollen.
• 68 prosent svarer at de i stor eller i svært stor grad har nødvendig kompetanse.

Det store flertallet svarer altså at de har den nødvendige kompetansen for å ivareta personvernombudsrollen i «stor» eller «svært stor» grad. Vi ser imidlertid at en del ombud ikke føler at de har tilstrekkelig kompetanse.

Personvernombudet trenger naturlig nok ikke å være ekspert på alle felt. Det er imidlertid viktig å kunne å etablere et godt samarbeid og dialog med de som har denne kompetansen, og at ombudene har interesse for å tilegne seg ny kunnskap. Deltagelse i kurs og nettverksmøter kan derfor være nyttig.

Undersøkelsen viser også at prosessen rundt opprettelsen av ombudene, har betydning for hvorvidt ombudene føler at de har den nødvendige kompetansen. Blant de som fikk stillingen etter en ekstern utlysning, svarer hele 88 prosent at de i stor eller svært stor grad har den nødvendig kompetansen. Tilsvarende gjelder for 85 prosent av dem som fikk stillingen gjennom intern utlysning. Det er derimot under halvparten (46 prosent) av dem som ble utpekt til ombudsrollen uten egentlig å ha blitt spurt, som svarer at de opplever å ha den nødvendige kompetansen.

Kompetanseheving

For å heve egen kompetanse, og for å bli kjent med andre personer å diskutere personvernproblematikk med, kan det det være nyttig å delta på eksterne kurs, seminarer eller nettverksmøter. Dette gir muligheten til å få oppdatert kunnskap om personvern og informasjonssikkerhet, og å få innblikk i hvordan andre løser rollen sin. Vi har derfor spurt ombudene om de har deltatt på noe slikt det siste året.

Halvparten av ombudene har deltatt på eksterne utdanningstilbud, kurs eller seminarer, og litt under halvparten har deltatt på nettverksmøter med andre personvernombud. Det er de ombudene som jobber i virksomheter innenfor forskning og høyere utdanning at flest har deltatt på eksterne utdanningstilbud, kurs eller seminarer (83 prosent), mens det er flest ombud i frivillige organisasjoner og foreninger som har deltatt på nettverksmøter (70 prosent).

Ett av fire ombud har ikke deltatt på noen av aktivitene i løpet av det siste året. Innenfor rådgivnings- og konsulentvirksomheter og advokatbyrå svarte over halvparten av ombudene (53 prosent) at de ikke har deltatt på slike aktiviteter.

Ombudet er avhengig av å få delegert tid og ressurser for å ivareta rollen sin, og ledelsen er avhengig av ombudets fagkompetanse, rådgivning og kontroll for å etterleve personvernregelverket best mulig.

I virksomheter som behandler store mengder data, må ledelsen også ha grunnleggende personvernkompetanse for å kunne vurdere ombudets råd og gjøre avveiinger opp mot andre hensyn. Denne kompetansen er spesielt viktig ettersom ledelsen, og ikke personvernombudet, er ansvarlig for at personvernregelverket følges.

Får ombudene nødvendig med tid og ressurser?

For at ombudene skal kunne gjennomføre jobben sin, må de ha tilstrekkelig med tid og ressurser. Vi har derfor spurt ombudene om de opplever at de får satt av tid og ressurser slik at de kan ivareta rollen som personvernombud på en tilfredsstillende måte.

Svarene viser at:

• Kun 40 prosent av ombudene opplever at de får satt av tilstrekkelig med tid og ressurser.
• 28 prosent svarer at de ikke får dette.

At nesten tre av ti ombud opplever at de ikke får satt av nok tid og ressurser, betyr at mange ombud ikke får utøvd oppgavene sine som personvernombud i så stor grad som de ønsker. Samtidig er alle virksomheter i en posisjon hvor de må vurdere hvordan interne ressurser skal disponeres og der ulike behov må veies opp mot hverandre. Spesielt i situasjoner der ledelsen opplever knapphet på menneskelige ressurser, og der mange oppgaver skal utføres, kan det hende at personvernarbeidet blir nedprioritert. Det er likevel essensielt at personvernombudene får gjort oppgavene sine, slik at de kan fungere som den støttefunksjonen de er tiltenkt i arbeidet med å ivareta personvernhensyn og etterleve regelverket.

At 33 prosent av ombudene svarer «verken eller» til spørsmålet, kan ha ulike årsaker. Men en av forklaringene kan være at virksomheten ikke har tydelige rollebeskrivelser og forventninger om tidsbruk. I mange virksomheter skal også personvernrelaterte oppgaver håndteres når det oppstår et behov, og det er derfor kanskje ikke godt forankrede rutiner for bruk av tid og ressurser.

Hvem rapporterer ombudene til?

Ifølge personvernregelverket skal personvernombudet rapportere direkte til det høyeste ledelsesnivået. For å finne ut hvordan rapporteringen fungerer i praksis, har vi spurt ombudene hvem konkret i virksomheten de rapporterer til.

Svarene viser at:

• Over halvparten av ombudene (57 prosent) rapporterer til virksomhetens øverste administrative leder.
• 26 prosent rapporterer til en annen leder i virksomhetens øverste ledelse.
• Åtte prosent oppgir å rapportere til virksomhetens styre, eller politisk ledelse.
• Tre prosent av ombudene rapporterer til en leder på et lavere nivå. Dette er ikke i tråd med kravene i personvernforordningen.
• Til sammen fem prosent har uklare rapporteringslinjer, hvor de ikke har noen å rapportere til, de vet ikke hvem de skal rapporterer til, de rapporterer til andre eller de sitter selv som øverste leder.

Siden det er virksomhetens øverste ledelse som har det endelige og formelle ansvaret for at personvernregelverket etterleves, er det viktig at de får ombudenes vurderinger presentert slik at de kan ta stilling til rådene og vurdere dem opp mot andre hensyn. Det er derfor avgjørende hvem ombudene rapporterer til. Svarene viser at majoriteten av ombudene rapporterer til det øverste ledelsesnivået, noe som tilsier at ledelsen ofte er orientert om personvernombudets arbeid.

Det er likevel problematisk at mange ombud ikke rapporterer til øverste ledelse. Konsekvensen kan være at ledelsen ikke blir orientert om arbeidet med det regelverket som de er selv ansvarlige for å opprettholde. Det betyr også at øverste ledelse ikke nødvendigvis har kunnskapsgrunnlaget de trenger for å ta informerte beslutninger om bruk av personopplysninger i virksomheten.

Rapporteringer til og møter med ledelsen

At ombudet har god dialog med ledelsen er viktig for at arbeidet med personvern skal kunne prioriteres i virksomheten. Det å rapportere og gjennomføre møter er en indikasjon på i hvilken grad virksomheten er bevisst oppgavene og betydningen av ombudets rolle. For å skape gode rammer for dialog, kan det være nødvendig å etablere formelle rapporteringsstrukturer. Vi har derfor spurt ombudene om de har noen form for fast skriftlig rapportering til virksomhetens ledelse.

Svarene viser at:

• De fleste ombudene ikke har fast skriftlig rapportering til virksomhetens ledelse, men det er store sektorvise forskjeller.
• Selv om det er mer vanlig med skriftlig rapportering blant de største virksomhetene enn de mindre, svarer bare 42 prosent av ombudene i virksomheter med mer enn 250 ansatte at de har fast skriftlig rapportering til ledelsen.

Ved å utarbeide skriftlige rapporter til ledelsen der det gis status for personvernarbeidet, og rapporteres om utfordringer som er identifisert og ombudets vurderinger og råd, ansvarliggjøres både ledelsen og personvernombudet. Gjennom disse rapportene kan også andre deler av virksomheten bli kjent med hva personvernombudet engasjerer seg i, og de rådene ombudet gir. Hele virksomheten vil også kunne bli mer bevisst på oppgavene til ombudet og betydningen av ombudsrollen. At så mange som 65 prosent av ombudene ikke har fast skriftlig rapportering til ledelsen, kan indikere at personvernombudets arbeid ikke blir tilstrekkelig vektlagt eller dokumentert i mange virksomheter.

I undersøkelsen kommer det også frem at innen forskning og høyere utdanning rapporterer hele 67 prosent av ombudene skriftlig, og tilsvarende 61 prosent av ombudene innen forsikring og finans. Aller minst skriftlig rapportering er det blant ombudene innen rådgivnings- og konsulentvirksomheter og advokatbyråene (13 prosent).

Skriftlig rapportering kan benyttes i forbindelse med forberedelser til, og gjennomføring av, faste møter med ledelsen. Vi har derfor også spurt om det gjennomføres faste møter mellom ledelsen og personvernombudet.

viser at:

• Over halvparten av ombudene (56 prosent) har ikke faste møter med ledelsen.
• 30 prosent av ombudene har hatt to eller flere faste møter med ledelsen i året.
• 14 prosent oppgir at det gjennomføres ett fast møte i året.

Sett i sammenheng med at mange ombud ikke har fast skriftlig rapportering til ledelsen, viser dette at det ikke er gode nok rutiner i mange virksomheter for dialog mellom ombudet og ledelsen. Konsekvensene av manglende rapportering og møter mellom ledelsen og ombudet, kan være at ledelsen ikke har god nok innsikt i personvernarbeidet i virksomheten eller at ledelsen ikke tar de nødvendige vurderingene knyttet til vern av personopplysningene virksomheten behandler.

Dette er problematisk ettersom det er ledelsen selv som er ansvarlig for at personvernregelverket etterleves. For at ledelsen skal være bevisst på personvernarbeidet i virksomheten, kan det være hensiktsmessig å planlegge enten kvartalsvise eller halvårlige møter.

Engasjement og interesse fra ledelsen

Engasjement og interesse fra ledelsen er viktig for å sikre et gode faglige meningsutvekslinger og en positiv kultur rundt personvern i virksomheten. Mangel på engasjement og interesse kan derimot føre til nedprioritering av personvernarbeidet, og mindre motiverte personvernombud. Vi har derfor spurt om i hvilken grad ombudene opplever at ledelsen holder seg orientert og viser interesse for personvernombudets gjøremål.

Svarene viser at:

• Bare 36 prosent opplever at ledelsen holder seg orientert om og viser interesse for deres gjøremål.
• Hele 31 prosent opplever at ledelsen i liten eller svært liten grad holder seg orientert og viser interesse.

For å få til et systematisk og kontinuerlig arbeid med informasjonssikkerhet og personvern, er det avgjørende at det er engasjement for det i ledelsen. Ledelsen setter i stor grad standarden for hvordan en virksomhet skal jobbe. Hvis det er lite engasjement og eierskap til personvern i ledelsen vil dette ofte gjenspeiles i resten av organisasjonen. Sterke signaler fra toppen er ikke bare en forutsetning for regelverketterlevelse, men også for å skape tillit blant ansatte, kunder og innbyggere slik at disse er villige til å ta i bruk løsninger og dele opplysningene sine på en trygg måte. Tallene fra undersøkelsen viser at ombudene opplever varierende interesse fra ledelsen. At bare 36 prosent av ombudene opplever at ledelsen holder seg orientert og viser interesse, er illevarslende.

Svarene fra ombudene i forsikring- og finansvirksomheter er mest positive. Blant disse rapporterer 58 prosent at de i stor eller svært stor grad opplever interesse fra ledelsens side. Dette er en bransje hvor behandlingen av personopplysninger må være god for å bevare et godt tillitsforhold til kundene. Slike eksterne insentiver kan bidra til å øke prioriteringen av personvern i virksomhetene.

Dårligst stilt er det hos noen av de offentlige virksomhetene. Bare 26 prosent av ombudene i statlig administrasjon svarer at ledelsen viser interesse, mens hos kommuner og fylkeskommuner er den tilsvarende andelen 27 prosent. Her svarer også hele 41 prosent at de opplever at ledelsen i liten eller svært liten grad viser interesse.

Blir ombudene spurt om råd?

Manglende interesse fra ledelsen og andre i virksomheten, kan i verste tilfelle føre til at ombudene ikke blir inkludert i viktige prosesser som har med personvern å gjøre, og at de ikke får anledningen til å fremme viktige vurderinger og råd.  Vi har derfor spurt om i hvilken grad ombudene opplever å bli spurt om råd i viktige og relevante prosesser i virksomheten.

Svarene viser at:

• Over halvparten av ombudene (56 prosent) opplever å bli spurt om råd i viktige og relevante prosesser.
• To av ti (20 prosent) opplever at de i liten eller svært liten grad blir spurt om råd.
• I tillegg svarer 23 prosent "verken eller".

Undersøkelsen viser altså at relativt mange personvernombud opplever at de ikke bli spurt om råd i viktige og relevante prosesser. Dette er selvsagt uheldig da en av kjernefunksjonene til personvernombudet er å gi råd knyttet til bruk av personopplysninger i virksomheten. Hvis det i virksomheten er i ferd med å tas avgjørelser som kan være i strid med personvernlovgivningen, bør ombudet få mulighet til å legge fram sine vurderinger overfor de som skal ta avgjørelsen, og om nødvendig virksomhetens øverste ledelse.

Det er i kommunene og fylkeskommunene at den største andelen ombud svarer at de i svært liten eller i liten grad blir spurt om råd (29 prosent). Det samme gjelder for ombudene innen samferdsel og transport (25 prosent). Ved å kryssjekke svar fra undersøkelsen, ser vi også at de som ble utpekt til ombudsrollen fra ledelsen uten å ha blitt spurt om det, også er de som i minst grad blir spurt om råd i kraft av sin rolle som personvernombud (35 prosent svarte i liten eller svært liten grad).

Samtidig svarer det store flertallet (56 prosent) at de blir spurt om råd i viktige og relevante prosesser. Tallene burde selvsagt vært enda høyere, men de viser likevel at selv om en del virksomheter mangler rutiner for faste rapporteringer og møter, ønsker flertallet å høre ombudenes råd.

Ombudets uavhengighet og selvstendighet

Personvernombudet skal ikke motta instrukser om utførelsen av oppgavene sine, hverken fra virksomheten eller andre. Dette innebærer at ombudet ikke skal instrueres om hvilke oppgaver som skal prioriteres, hvordan regelverket skal tolkes, eller hva utfallet av en sak som er til vurdering hos ombudet skal bli. Denne uavhengigheten og selvstendigheten er essensiell for at ombudet skal kunne utføre sin funksjon i tråd med forutsetningene i lovgivningen. Vi har derfor spurt i hvilken grad ombudene opplever at ledelsen har forståelse for ombudets selvstendige og uavhengige rolle.

Svarene viser at:

• De fleste opplever at ledelsen har samme forståelse av den selvstendige og uavhengige rollen som ombudet i stor eller svært stor grad (58 prosent).
• 13 prosent opplever imidlertid at ledelsen har i liten eller svært liten grad rolleforståelse.

Svarene viser at det gjennomgående er en god, felles forståelse i de fleste virksomheter når det gjelder ombudets uavhengighet og selvstendighet. Det er likevel et betydelig antall (13 prosent) som ikke opplever den samme forståelsen. Dette vil kunne skape utfordringer for utførelsen av ombudets oppgaver.

Det er innen forskning og høyere utdanning, samt og i helse- og omsorgsektoren, at personvernombudene opplever størst grad av felles rolleforståelse. Her svarer syv av ti at de i stor eller svært stor grad opplever forståelse. Det er de personvernombudene som har gått inn i rollen "uten egentlig ha blitt spurt", som opplever en lavest grad av forståelse. Nesten hvert fjerde av disse ombudene (24 prosent) svarer "i liten eller svært liten grad" på dette spørsmålet.

For å unngå å komme i en situasjon der det er misforståelser om rollen eller oppgavene til ombudet, er det lurt å ha en rollebeskrivelse eller arbeidsinstruks som tydelig definerer arbeidsoppgavene og ansvarsforholdet mellom ombudet og virksomheten.

Vi spurte ombudene om de har en rollebeskrivelse, instruks eller avtale som avklarer oppgavene og ansvaret deres.

Svarene viser at:

• 44 prosent av ombudene har ikke en rollebeskrivelse/instruks eller avtale.
• Blant virksomheter med én til ni ansatte, mangler nærmere seks av ti ombud en rollebeskrivelse/instruks eller avtale.

At under halvparten har en rollebeskrivelse eller instruks for hvordan de skal jobbe som personvernombud, er bekymringsverdig. Vi ser at andelen som har fått utarbeidet en rollebeskrivelse er høyest i de største virksomhetene (61 prosent), mens i virksomheter med færre enn 10 ansatte, har bare drøyt fire av ti en slik beskrivelse. Det er rimelig å tro at dette kan skyldes at forholdene i store virksomheter krever tydeligere rutiner og ansvarsforhold.

Det er særlig innen forsikring og finans at ombudene har en rollebeskrivelse (87 prosent), dernest kommer statlig administrasjon og frivillige organisasjoner (61 prosent). De ombudene som i størst grad svarer at de ikke har en rollebeskrivelse, jobber i rådgivning- og konsulentvirksomheter og advokatfirma.

Av de som gikk inn i ombudsrollen etter ekstern utlysning, har hele 72 prosent en rollebeskrivelse som de og ledelsen kan forholde seg til. Det tilsvarende tallet for de som gikk inn i rollen uten egentlig å ha blitt spurt, er 45 prosent. Dette kan ha sammenheng med at disse jobber i virksomheter som kan ha viet mindre oppmerksomhet til ombudsrollen og hvilke oppgaver rollen medfører.

Rollekonflikter

Et personvernombud kan ha andre oppgaver og roller i virksomheten i tillegg til oppgavene som ombud. Som denne undersøkelsen har vist, kombinerer hele 83 prosent ombudsrollen med andre oppgaver. I de tilfellene må virksomheten sikre at de andre oppgavene og rollene ikke fører til en interessekonflikt. Dette er knyttet opp til forutsetningen om at ombudet skal kunne utføre sine oppgaver på en uavhengig måte.

Vi spurte personvernombudene om de har opplevd utfordrende rollekonflikter mellom sin egen stilling og ombudsrollen.

Svarene viser:

• De fleste ombudene ikke har opplevd en rollekonflikt (74 prosent).
• En av fire ombud har opplevd å minst én gang ha kommet i en utfordrende rollekonflikt (25 prosent).

Gitt at de som har svart på undersøkelsen har en god forståelse for rollen sin, viser undersøkelsen at de fleste ombudene sjelden kommer i situasjoner hvor de utfordres på uavhengigheten sin i forhold til andre oppgaver i virksomheten.

Rollekonflikter kan for eksempel gjelde situasjoner hvor ombudet også har andre roller, slik som å bestemme formålet til behandlingen av personopplysninger, eller måten behandlingen skal skje på. Denne type situasjon vil for eksempel kunne oppstå hvis ombudet selv er leder eller har ansvar for IT-sikkerhet eller regelverksetterlevelse på andre områder. Tydelige rollebeskrivelser og rutiner for hvordan virksomheten håndterer interessekonflikter, er essensielt for å kunne håndtere denne type situasjoner på en god måte.

Ombudets rolle i forbindelse med brudd på personopplysningssikkerheten

Ved brudd på personopplysningssikkerheten (avvik) skal den behandlingsansvarlige melde bruddet til Datatilsynet (avviksmelding). Dette gjelder med mindre bruddet etter all sannsynlighet ikke vil medføre en risiko for fysiske personers rettigheter og friheter.

Å oppdage og følge opp mulige brudd på personopplysningssikkerheten, er en viktig del av virksomhetens internkontroll og informasjonssikkerhetsarbeid. Personvernombudet bør spille en naturlig rolle i dette arbeidet. I personvernforordningen er det derfor også tatt inn et krav om at personvernombudets kontaktopplysninger skal oppgis i meldingene som sendes inn til Datatilsynet. Det er imidlertid virksomheten som er ansvarlig for de vurderingene som gjøres i avviksmeldingen, ikke personvernombudet.

Vi har sett nærmere på hvilken rolle personvernombudet har når det gjelder selve innsendingen av meldingen om brudd på personopplysningssikkerheten til Datatilsynet.

Svarene viser at:

• Annenhver virksomhet har meldt om brudd til Datatilsynet.
• Det er i første rekke personvernombudet (64 prosent) som står for utformingen og innsendingen av meldingen til Datatilsynet. Innen forsikring og finans, er tallet 88 prosent.
• To av ti ombud (20 prosent) oppgir at den sikkerhetsansvarlige eller systemansvarlige står for utforming og innsending.
• Seks prosent av ombudene svarer at de ikke vet hvem som normalt står for innsendingen av slike meldinger. Denne svarprosenten er høyest innen statlig administrasjon hvor ti prosent av ombudene svarer at de ikke vet.

Det at personvernombudet melder inn et brudd på personopplysningssikkerheten på vegne av virksomheten, kan lett føre til at ombudets integritet og uavhengighet blir utfordret. Ved brudd på personopplysningssikkerheten kan det være at ombudet har andre vurderinger enn ledelsen når det gjelder årsak og konsekvenser av et brudd, samt hvilke tiltak som bør gjennomføres. Dette gjelder ikke minst også når det gjelder vurdering av risikoen for de registrertes rettigheter og friheter. Ombudet skal likevel alltid informeres når det er sendt inn en avviksmelding til Datatilsynet.

I forbindelse med innføringen av personvernforordningen i 2018, brukte mange offentlige og private virksomheter tid og ressurser på å gjennomgå og få på plass rutiner og praksis knyttet til behandlingen av personopplysninger. Samtidig førte regelverket til noen betydelige forenklinger – for eksempel er det ikke lenger nødvendig å søke til Datatilsynet om konsesjon til å behandle sensitive personopplysninger.

EU-kommisjonen publiserte sin første evaluering av personvernforordningen i juni 2020. Deres vurdering var at forordningen generelt hadde nådd målene sine om å styrke borgernes individuelle rettigheter til personvern, og for å kunne garantere fri flyt av personinformasjon innenfor EU. De pekte likevel på at det var for tidlig til å konkludere om hvordan den praktiske innføringen av personvernforordningen har fungert.

Til tross for at det fortsatt er for tidlig å konkludere om hvordan implementering av forordningen har fungert i Europa, har enkelte utredninger gitt oss indikasjoner på hvordan det har gått. Det svenske datatilsynet (Integritetsskyddsmyndigheten) publiserte i 2019 en undersøkelse om hvordan virksomheter og personvernombud opplevde implementeringen av regelverket. Ifølge rapporten, opplevde tre av fire personvernombud at innføringen av personvernforordningen i Sverige hadde gått bra. Samtidig svarte flere av virksomhetene at de største hindrene var å få til fungerende rutiner og prosesser, og å tolke regelverket.

I Norge ser vi at mange virksomheter arbeider aktivt med å etterleve regelverket. Samtidig er det varierende tillit i befolkningen til hvordan virksomhetene behandler personopplysninger. I Datatilsynets personvernundersøkelse (2019/2020), fant vi som nevnt at nordmenn har gjennomgående høy tillit til hvordan offentlige myndigheter behandler personopplysningene deres, mens det er gjennomgående lav tillit til hvordan mange private virksomheter behandler og bruker personopplysningene. Over halvparten av befolkningen har også latt være å bruke en tjeneste eller et produkt som følge av at de er usikre på hvordan personopplysningene vil bli håndtert.

Hvordan opplever ombudene at virksomhetene etterlever regelverket?

Vi spurte ombudene om i hvilken grad de opplever at virksomhetene de jobber for etterlever regelverket. Svarene er kategorisert etter hvilke bransjer ombudene jobber innenfor. Noen bransjer er utelatt fra oversikten fordi det er for få respondenter til å beregne svarandeler. Disse bransjene er "varehandel og butikk", "overnattings- og serveringsvirksomhet", "grunnskole, videregående og barnehage" og "bygg- og anleggsvirksomhet".

Svarene viser at:

• I gjennomsnitt svarer nesten åtte av ti personvernombud (77 prosent) at virksomhetene de representerer etterlever personvernregelverket i stor eller svært stor grad. Bare fem prosent opplever at virksomhetene etterlever regelverket i svært liten eller liten grad.
• Ombudene som er mest positivt til virksomhetenes etterlevelse, jobber innenfor rådgivnings- og konsulentvirksomheter og advokatbyråer, samt innenfor forsikring og finans.
• Hos frivillige organisasjoner og foreninger, er det ingen av respondentene som oppgir at virksomhetene i liten eller svært liten grad etterlever regelverket. Det er heller ingen som svarer at de etterlever i svært stor grad.
• Det er i kommuner og fylkeskommuner at færrest av personvernombudene opplever at virksomhetene deres etterlever regelverket. Hele 12 prosent av disse svarer at virksomhetene i svært liten eller i liten grad etterlever regelverket. Samtidig er det bare litt over halvparten (56 prosent) som svarer at regelverket etterleves i stor eller svært stor grad.

Den generelle oppfatningen er positiv. Svarene viser at personvernombudene i stor grad opplever at virksomhetene de representerer etterlever personvernregelverket. Det er likevel noen områder som skiller seg negativt ut, spesielt kommuner og fylkeskommuner.

Grunnen til at etterlevelsen oppleves lavere av personvernombudene i kommuner og fylkeskommuner, er nok sammensatt. Kommunene behandler store mengder informasjon om sine innbyggere, fra vugge og til grav, inkludert sensitive eller på andre måter beskyttelsesverdige personopplysninger. I tillegg er kommuner og fylkeskommuner komplekse virksomheter med svært stor bredde i oppgavene de skal utføre. Dette gjelder både i form av tjenester de skal levere, og myndighetsutøvelsen deres. Det kan også trekkes fram at mens ombudsordningen er frivillig for mange private virksomheter, har alle offentlige virksomheter plikt til å ha et personvernombud.

Svarene som er gitt i denne undersøkelsen, er i tråd med tendensen vi ser i Datatilsynets daglige veilednings- og saksbehandlingsarbeid. Vi har sett flere eksempler på at etterlevelsen av personvernregelverket har vært vanskelig for enkelte kommuner, og det har vært mange brudd på personopplysningssikkerheten i kommunene – noe som har ført til store bøter. I 2019 mottok både Bergen- og Oslo kommune overtredelsesgebyrer på over én million kroner. Flere andre kommuner har også fått betydelige bøter og andre vedtak rettet mot seg siden 2018.

Hvilke krav sliter virksomhetene med å etterleve?

Selv om mange personvernombud opplever at virksomhetene generelt sett etterlever regelverket, stilles det flere konkrete krav i regelverket som aktivt må overholdes. Vi spurte derfor om i hvilken grad ombudene opplever at sentrale krav og premisser for etterlevelse av personvernlovgivningen er på plass i virksomhetene de representerer.

Svarene viser at:

• De fleste ombudene svarer at virksomhetene har fått databehandleravtaler på plass (75 prosent), har utarbeidet protokoller (74 prosent), og har etablert gode rutiner for å håndtere innsynskrav fra de registrerte (72 prosent).
• Syv av ti ombud (70 prosent) oppgir også at det er etablert gode rutiner for å avdekke og rapportere brudd på personopplysningssikkerheten.
• Nesten syv av ti ombud (68 prosent) oppgir at virksomheten etter deres oppfatning arbeider systematisk og kontinuerlig med personvern.
• Det er i hovedsak få som svarer at virksomhetene i liten grad har innført de ulike tiltakene. Størst utfordringer ser ombudene når det gjelder arbeidet med kompetanseheving blant de ansatte om personvern og informasjonssikkerhet.

Tallene viser at ombudene oppfatter det som at mange av lovkravene er oppfylt. Konkrete krav som databehandleravtaler, protokoll, rutiner for innsyn og system for å rapportere brudd er i stor grad på plass.

Svarene viser imidlertid noen bekymringsfulle tendenser. Det virksomhetene i minst grad har på plass, er knyttet til kompetanse og kultur, slik som løpende kompetanseheving og opplæring. Konsekvensene kan være at systemer og rutiner er utarbeidet, men at ansatte ikke er bevisst på dette eller i tilstrekkelig grad har kompetanse til å gjennomføre tiltakene i praksis. Det er et hinder for god etterlevelse.

Hva mener ombudene er de største utfordringene for etterlevelse?

Undersøkelsen viser at mange ombud oppfatter at virksomhetene etterlever regelverket, men at det likevel er flere krav og premisser som ikke er på plass. I undersøkelsen ba vi også ombudene om å identifisere hvilke utfordringer de ser ved etterlevelsen av dagens personvernlovgivning.

Svarene viser at:

• Halvparten av ombudene vurderer at mangel på menneskelige ressurser i stor grad er en utfordring for etterlevelsen av dagens personvernlovgivning. Det er spesielt i offentlig sektor (kommuner og fylkeskommuner og statlig administrasjon) og hos frivillige organisasjoner og foreninger, at dette oppleves som en stor utfordring.
• Omtrent halvparten svarer at det er en utfordring å få til fungerende rutiner og prosesser (48 prosent).
• 27 prosent opplever at det er uklart hvordan regelverket skal tolkes.
• Noen viser til at manglende kompetanse og engasjement i virksomheten skaper utfordringer. 29 prosent ser utfordringer med manglende engasjement blant ledelsen, 22 prosent mener det er vanskelig å få medarbeidere til å jobbe i tråd med personvernregelverket.
• Det som i minst grad ser ut til å være et problem, er selve personvernregelverket.

Slik ombudene ser det, er tilgang til menneskelige ressurser og å få til fungerende rutiner og prosesser, de to største utfordringene for virksomhetenes etterlevelse av regelverket. Selve personvernregelverket opplever de imidlertid ikke å være til hinder for gode løsninger.

Det er imidlertid 27 prosent av ombudene som mener at det er uklart hvordan regelverket skal tolkes. Dette kan sees i sammenheng med at det fortsatt er et relativt nytt regelverk, og at det i virksomhetene derfor må håndteres juridiske avklaringer som ikke er gjort før. Samtidig har undersøkelsen vist at 24 prosent av ombudene ikke har deltatt på kurs, seminarer eller har fått bygd kompetanse om personvernlovgivningen og/eller informasjonssikkerhet. Det kan derfor være et betydelig potensiale i å la flere ombud delta på kompetansehevende tiltak.

Ombudene har en nøkkelrolle i virksomhetenes arbeid med personvern og informasjonssikkerhet, og i etterlevelsen av personvernforordningen. Samtidig har ledelsen ansvaret for å lage gode rammer for at ombudene skal kunne gjøre sine oppgaver.

Her er våre fem råd til personvernombudene og deres ledelse:

1. Etabler en arbeids- og rollebeskrivelse som forankres hos øverste leder i virksomheten
   Det er ledelsens ansvar å legge til rette for at ombudet kan utføre sine oppgaver. For å unngå å komme i en situasjon der det er misforståelser om rollen eller interessekonflikter kan oppstå, er det lurt å ha en rollebeskrivelse eller arbeidsinstruks som tydelig definerer arbeidsoppgavene og ansvarsforholdet mellom ombudet og ledelsen. Like viktig er det å samstemme forventningene om hvilke oppgaver det ikke er naturlig at personvernombudet har ansvar for. Hvis ombudet også skal ha andre oppgaver, bør det avklares hvor mye tid (for eksempel andel av fulltidsstilling) som skal settes av til å være personvernombud.
2. Etabler formelle strukturer som sikrer forankring og dialog mellom personvernombudet og ledelsen.
   For å skape gode rammer for dialog, er det lurt å etablere formelle rapporteringsstrukturer. Øverste leder burde avtale med ombudet (gjerne i rollebeskrivelsen) at det skal gjennomføres regelmessige møter, for eksempel kvartalsvis eller halvårlig. Avtal også at personvernombudet skal utarbeide skriftlige rapporter til ledelsen om status for personvernarbeidet, utfordringer som er identifisert og ombudets vurderinger og råd. Lag også rutiner for hvilke andre møter og prosesser i virksomheten det er naturlig at personvernombudet skal involveres i. Arbeidet burde sees i lys av at det er ledelsen, og ikke personvernombudet, som er ansvarlig for at personvernregelverket etterleves.
3. Styrk bevisstheten og kompetansen om personvern i virksomheten
   Kompetansebygging, opplæring og bevisstgjøring er sentralt for arbeidet med personvern i virksomhetene. For at etablerte rutiner og systemer skal ha effekt, er virksomheten helt avhengig av at ansatte kjenner til dem og har kompetansen til å følge dem opp. Ledelsen og personvernombudet burde derfor ta initiativ til kompetansehevende tiltak. De ansatte bør få grunn­leggende bevissthet om hva personvern faktisk innebærer og hvilke rutiner og systemer som finnes i virksomheten, samt heve kompetansen om informasjons­sikkerhet og personvernombudets rolle i virksomheten. Ombudet må også gjøre kontaktinformasjonen sin tilgjengelig slik at ansatte (og eksterne) vet hvem de kan henvende seg til ved spørsmål om personvern. Sist, men ikke minst; tonen settes på toppen. Ledelsen må vise engasjement og interesse for personvern for at resten av virksomheten skal utvikle god personvernkultur.
4. Ombudet bør etablere kontakt og samarbeid med andre personvernombud Personvernombud bør delta i nettverk og å ha dialog med andre ombud. Dette vil både heve ombudets kompetanse og gi mulighet for å diskutere personvernproblematikk og utfordringer i ombudsrollen med likesinnede. Ombud kan for eksempel melde seg inn i Foreningen personvernombudene (pvo.no), eller knytte seg til et av de mange andre nettverkene for personvernombud. For å heve egen kompetanse, kan det også være nyttig å prioritere eksterne kurs og seminarer som gir muligheten til å få oppdatert kunnskap om personvern og informasjonssikkerhet.
5. Bruk Datatilsynet for veiledning og råd
   Datatilsynet tilbyr veiledning på nett, og har en veiledningstelefon der personvernproblematikk kan diskuteres med tilsynets ansatte. Datatilsynet har også en egen kontaktperson og koordinator for personvernombudsordningen som du kan søke råd hos når det gjelder spørsmål som har med personvernombudsrollen å gjøre.