get_queried_object(); $id = $cu->ID; ?>
Ove Skåra

Kloke råd fra ett personvernombud til oss 1 700 andre

I mine to roller som henholdsvis Datatilsynets eget personvernombud og kontaktperson for de over 1 700 personvernombudene «der ute», har jeg fått god kjennskap til hvor spennende, men også utfordrende, ombudsrollen kan være. Personvernombudene opplever å ha veldig forskjellige rammebetingelser for å kunne gjøre en god jobb, og har ulike tilnærminger til sin rolle og sine oppgaver. For det er jo ikke småtteri som forventes av oss som er personvernombud. I følge veiledningen om personvernombudsordningen fra Personvernrådet i EU utgjør personvern­ombudene en hjørnestein i virksomhetenes etterlevelse av ansvarlighetsprin­sippet etter personvernforordningen (GDPR). Man kan få prestasjonsangst av mindre…

Jeg har imidlertid gleden av å møte mange svært kompetente personvernombud som entusiastisk har kastet seg over oppgaven og som jeg ikke kan forstå annet enn at virkelig utgjør en forskjell når gjelder å ivareta personvernet for virksomhetens kunder (eller «de registrerte», som vi noe fremmedgjørende gjerne kaller dem). Ett av disse ombudene er Hanne Steen Lindstad, personvernombud i SpareBank 1 Utvikling.

Hannes fem råd for å lykkes som personvernombud ble for en tid siden publisert på SpareBank 1 sin interne nyhetskanal. De rådene er så gode at de fortjener et større publikum, og uten at jeg tukler med dem. Jeg formidler disse derfor herved videre i sin ordrette form, med min fulle tilslutning:

—-

Fem råd for å lykkes som personvernombud

Personvernombudet er tillagt en sentral rolle i det nye personvernregelverket (GDPR). Oppgavene er mange og fallhøyden for virksomheten er potensielt stor. Slik lykkes du i jobben som personvernets vokter.

Listen over personvernombudets arbeidsoppgaver er lang, men kort sagt skal personvernombudet bistå med at virksomheten holder seg innenfor personvernregelverket. Her er fem enkle råd for å lykkes i dette arbeidet: 

(1) Vær løsningsorientert

For å kunne gjøre en god jobb som personvernombud er det en forutsetning at du er løsningsorientert. Det kan skje at personvernregelverket ikke fullt ut tillater de ansatte å gjøre det de ønsker. Da er det viktig at du ikke bare setter deg på bakbeina og sier “Nei, dette går ikke”, men heller evner å komme med alternative forslag som lar seg gjennomføre. Et eksempel kan være: «Dette tillater nok ikke GDPR, men hvis dere dropper x og heller gjør y, da vil det gå». Hvis du blir kjent som en nei-person i selskapet, risikerer du å sette deg selv ut av spill og at de ansatte velger å ikke spørre deg neste gang. Det er ingen tjent med, verken selskapet, de ansatte og/eller kundene. 

(2) Skaff deg oversikt over selskapets behandlinger

Personvernombudets innsats skal rettes mot områder der risikoen for personvernet anses størst. For å jobbe risikobasert er det en forutsetning at du har god oversikt over selskapets behandlinger av personopplysninger. I større selskaper med mange behandlinger kan dette være svært krevende. En naturlig start er å bidra til at selskapet får etablert en behandlingsprotokoll, både for rollen som behandlingsansvarlig og som databehandler. Uten gode rutiner for oppdatering av protokollen, mister den imidlertid raskt sin funksjon. Du må derfor sørge for at organisasjonen oppdaterer protokollen når nye behandlinger kommer til eller det skjer endringer i eksisterende behandlinger. I tillegg må du etablere rutiner som sikrer at du blir informert om og koblet på nye prosesser. Aller helst så tidlig som mulig, slik at du kan gi råd og veilede før prosessen har kommet for langt. Ellers kan du raskt bli møtt med argumenter om at det er for dyrt eller teknisk krevende å gjøre endringer på det aktuelle stadiet. 

(3) Hold deg oppdatert på internasjonal praksis

Et av formålene med GDPR er å harmonisere personvernreglene i Europa, og med noen praktiske unntak har de europeiske regelverkene blitt svært like. Det innebærer at uttalelser fra andre lands datatilsynsmyndigheter har stor betydning for hvordan vi skal forstå GDPR her i Norge. Mange av dem har dessuten større ressurser enn det norske tilsynet og flere av dem er svært aktive. Det kan derfor lønne seg å jevnlig sjekke andre europeiske tilsynsmyndigheters nettsider og holde seg oppdatert på deres uttalelser og saker. 

Jeg vil særlig anbefale det britiske datatilsynet (ICO), som er et av de største tilsynene i Europa, og det irske tilsynet (DPC), som er tilsynsmyndighet for store selskaper som Facebook og Google. I tillegg har Det europeiske personvernrådet (EDPB) mange nyttige ressurser på sine nettsider, og de legger jevnlig ut informasjon om større saker fra samtlige nasjonale datatilsyn. Abonner på nyhetsbrev og følg ulike personvernaktører på LinkedIn, så holder du deg lettere oppdatert og du forstår hvor du bør rette din egen innsats. 

(4) Skap en lav terskel for å ta kontakt 

Du må gjøre det så enkelt som mulig for kollegaene dine å ta kontakt med deg. I stor grad handler det om synlighet. Forsøk å delta på arenaer der kollegaene dine er, som deres avdelingsmøter, faglunsjer og foredrag, men så klart også sommerfesten og juleavslutningen. Involver deg og bli kjent med dem. Sørg for at de vet at det bare er å spørre hvis de lurer på noe, og at det er bedre å spørre en gang for mye enn en gang for lite. 

For min egen del har det vært vellykket å “hospitere” i andre avdelinger. På forsommeren hadde jeg en prøveordning der jeg hver fredag formiddag hadde kontorplass hos et av utviklingsteamene i selskapet. Målet var å bli bedre kjent med teamet og hva de jobber med, være en synlig påminnelse om at de må jobbe med personvern og ikke minst gjøre det svært enkelt for dem å ta kontakt. Dette har fungert såpass godt at begge parter ønsker å videreføre ordningen. I tillegg har flere andre i selskapet tatt kontakt fordi de ønsker en lignende ordning hos seg. I høst tar jeg derfor sikte på å være et slags omvandrende personvernombud flere dager i uka. 

(5) Etabler en ryggmargsrefleks for personvern 

Personvernregelverket er omfattende og vanskelig tilgjengelig for de fleste, selv jurister. For at de ansatte skal ha en reell sjanse til å etterleve regelverket, er det derfor viktig at du evner å kommunisere personvern på en enkel måte. Begynn i det små med det mest grunnleggende og gi de ansatte noen eksempler og knagger som de kan henge ting på. 

Du vil aldri klare å lære dem alt om personvern. (Det er heller ikke meningen at alle i selskapet skal kunne like mye om personvern som deg. Hvem trenger vel et ombud da?). Det viktigste er at kollegaene dine utvikler en ryggmargsrefleks for personvern. Hvis du får dem til å tenke “Her tror jeg det er noe personverngreier – best jeg undersøker litt”, ja, da har du kommet langt. 

—-

Hanne Steen Lindstad har personvernombudsrollen som fulltidsjobb, som hun fikk etter å ha konkurrert med andre kandidater om stillingen. Mange av oss er imidlertid blitt internt utpekt til personvernombud i kombinasjon med andre oppgaver, kanskje også uten at det er blitt avtalt hvor mye tid og ressurser vi skal bruke på selve personvernombudsrollen. Da kan vi stå overfor noen andre typer utfordringer enn Hanne gjør som PVO i Sparebank 1 Utvikling.

Det vil jeg komme tilbake til i et senere blogginnlegg.

Tobias Judin

Menneskerettigheter er ingen synsesak

(Dette innlegget sto på trykk i Dagens Næringsliv 7. oktober 2019.) Føyen og Langeland stiller seg kritiske til en mulig lovendring som de mener «vil gi Datatilsynet mer makt». De mistolker innholdet i lovendringen, unnlater å nevne bakgrunnen og hopper bukk over...

les mer
Bjørn Erik Thon

En personvernguide til Arendalsuka 2019

Et av årets personvernhøydepunkter nærmer seg, nemlig Arendalsuka! Datatilsynet har vært aktivt tilstede de siste årene, og 2019 blir intet unntak. Vi ser med glede at personvern er på agendaen i mange sesjoner, og selv om det ikke alltid er hovedtema, er personvern...

les mer
Tobias Judin

Ikke mulig å omgå personvernreglene

Tenk deg at virksomheter bestemte selv hvilke personopplysninger de kunne behandle. La oss for eksempel si at de digitale tjenestene du bruker hver dag, plutselig skrev inn i vilkårene sine at de vil spore deg overalt alltid, og så måtte du bare finne deg i det. Høres...

les mer
Bjørn Erik Thon

Foreldres eksponering av barn

Nylig avsa Hålogaland lagmannsrett en dom mot en mor for å ha delt bilder og videoer av datteren sin på en Facebook-gruppe. Bildene viste blant annet bilder av datteren som gråt. Gruppen var opprettet som et ledd i kvinnens kamp mot barnevernet. NRK har nylig skrevet...

les mer
Christine Dalebø Gjerdevik

Kunstig intelligens for enhver pris?

Morten Goodwin skriver at Kina vil vinne det digitale kappløpet fordi manglende personvern gir Kina store fordeler. Han mener at det trolig ikke vil bli noen norske algoritmer fordi norske forskere ikke har tilgang til data. Datatilsynet mener Goodwin ikke treffer...

les mer
Dag Mostuen Grytli

Søkemotorveien videre

Personvernorienterte søkemotorer blir stadig mer vanlig og får stadig bedre funksjonalitet. På tide å dukke unna Googles sporingsregime? Har du noen gang følt på et ubehag når du tenker på alt de store teknologiselskapene vet om deg? Har du innimellom tenkt at...

les mer
Jørgen Skorstad

Gebyr så det svir til Google

Dette innlegget sto på trykk i Dagens Næringsliv 30. januar 2019:  Mandag 21. januar ble blåmandag for Google LLC, da det franske datatilsynet (CNIL) ga selskapet en bot på 50 millioner euro. Dette er det fjerde overtredelsesgebyret som er skrevet ut i Europa etter at...

les mer
Bjørn Erik Thon

Privatliv langs veien

Denne kronikken sto på trykk i Dagsavisen 8. januar 2019 Dagens system for veiprising er basert på at bilistene betaler når de passerer et av de mange passeringspunkt. I en digitalisert verden med mulighet for satellittposisjonering og GPS i enhver bil, vil veiprising...

les mer
Bjørn Erik Thon

Det nye personvernet

Denne kronikken sto på trykk i Dagens Næringsliv 29. desember 2018.  20. juli i år trådte de nye personvernreglene i kraft. Dette gir oss en helt ny måte å tenke personvern på. Grunnen er ganske enkelt at personvernverdenen ser annerledes ut nå enn for bare noen få år...

les mer

Siste kommentarer

    Arkiv

    Følg oss:

    Ønsker du å motta e-post når nye innlegg postes på Personvernbloggen, kan du registrere din e-postadresse her.

    E-postadressen blir lagret på vår server og kun brukt til dette formålet. Om du velger å slutte å følge oss, vil e-postadressen bli slettet fra vår server. Du samtykker til denne bruken av din e-postadresse ved å registrere den her.