I mine to roller som henholdsvis Datatilsynets eget personvernombud og kontaktperson for de over 1 700 personvernombudene «der ute», har jeg fått god kjennskap til hvor spennende, men også utfordrende, ombudsrollen kan være. Personvernombudene opplever å ha veldig forskjellige rammebetingelser for å kunne gjøre en god jobb, og har ulike tilnærminger til sin rolle og sine oppgaver. For det er jo ikke småtteri som forventes av oss som er personvernombud. I følge veiledningen om personvernombudsordningen fra Personvernrådet i EU utgjør personvernombudene en hjørnestein i virksomhetenes etterlevelse av ansvarlighetsprinsippet etter personvernforordningen (GDPR). Man kan få prestasjonsangst av mindre…
Jeg har imidlertid gleden av å møte mange svært kompetente personvernombud som entusiastisk har kastet seg over oppgaven og som jeg ikke kan forstå annet enn at virkelig utgjør en forskjell når gjelder å ivareta personvernet for virksomhetens kunder (eller «de registrerte», som vi noe fremmedgjørende gjerne kaller dem). Ett av disse ombudene er Hanne Steen Lindstad, personvernombud i SpareBank 1 Utvikling.
Hannes fem råd for å lykkes som personvernombud ble for en tid siden publisert på SpareBank 1 sin interne nyhetskanal. De rådene er så gode at de fortjener et større publikum, og uten at jeg tukler med dem. Jeg formidler disse derfor herved videre i sin ordrette form, med min fulle tilslutning:
—-
Fem råd for å lykkes som personvernombud
Personvernombudet er tillagt en sentral rolle i det nye personvernregelverket (GDPR). Oppgavene er mange og fallhøyden for virksomheten er potensielt stor. Slik lykkes du i jobben som personvernets vokter.
Listen over personvernombudets arbeidsoppgaver er lang, men kort sagt skal personvernombudet bistå med at virksomheten holder seg innenfor personvernregelverket. Her er fem enkle råd for å lykkes i dette arbeidet:
(1) Vær løsningsorientert
For å kunne gjøre en god jobb som personvernombud er det en forutsetning at du er løsningsorientert. Det kan skje at personvernregelverket ikke fullt ut tillater de ansatte å gjøre det de ønsker. Da er det viktig at du ikke bare setter deg på bakbeina og sier “Nei, dette går ikke”, men heller evner å komme med alternative forslag som lar seg gjennomføre. Et eksempel kan være: «Dette tillater nok ikke GDPR, men hvis dere dropper x og heller gjør y, da vil det gå». Hvis du blir kjent som en nei-person i selskapet, risikerer du å sette deg selv ut av spill og at de ansatte velger å ikke spørre deg neste gang. Det er ingen tjent med, verken selskapet, de ansatte og/eller kundene.
(2) Skaff deg oversikt over selskapets behandlinger
Personvernombudets innsats skal rettes mot områder der risikoen for personvernet anses størst. For å jobbe risikobasert er det en forutsetning at du har god oversikt over selskapets behandlinger av personopplysninger. I større selskaper med mange behandlinger kan dette være svært krevende. En naturlig start er å bidra til at selskapet får etablert en behandlingsprotokoll, både for rollen som behandlingsansvarlig og som databehandler. Uten gode rutiner for oppdatering av protokollen, mister den imidlertid raskt sin funksjon. Du må derfor sørge for at organisasjonen oppdaterer protokollen når nye behandlinger kommer til eller det skjer endringer i eksisterende behandlinger. I tillegg må du etablere rutiner som sikrer at du blir informert om og koblet på nye prosesser. Aller helst så tidlig som mulig, slik at du kan gi råd og veilede før prosessen har kommet for langt. Ellers kan du raskt bli møtt med argumenter om at det er for dyrt eller teknisk krevende å gjøre endringer på det aktuelle stadiet.
(3) Hold deg oppdatert på internasjonal praksis
Et av formålene med GDPR er å harmonisere personvernreglene i Europa, og med noen praktiske unntak har de europeiske regelverkene blitt svært like. Det innebærer at uttalelser fra andre lands datatilsynsmyndigheter har stor betydning for hvordan vi skal forstå GDPR her i Norge. Mange av dem har dessuten større ressurser enn det norske tilsynet og flere av dem er svært aktive. Det kan derfor lønne seg å jevnlig sjekke andre europeiske tilsynsmyndigheters nettsider og holde seg oppdatert på deres uttalelser og saker.
Jeg vil særlig anbefale det britiske datatilsynet (ICO), som er et av de største tilsynene i Europa, og det irske tilsynet (DPC), som er tilsynsmyndighet for store selskaper som Facebook og Google. I tillegg har Det europeiske personvernrådet (EDPB) mange nyttige ressurser på sine nettsider, og de legger jevnlig ut informasjon om større saker fra samtlige nasjonale datatilsyn. Abonner på nyhetsbrev og følg ulike personvernaktører på LinkedIn, så holder du deg lettere oppdatert og du forstår hvor du bør rette din egen innsats.
(4) Skap en lav terskel for å ta kontakt
Du må gjøre det så enkelt som mulig for kollegaene dine å ta kontakt med deg. I stor grad handler det om synlighet. Forsøk å delta på arenaer der kollegaene dine er, som deres avdelingsmøter, faglunsjer og foredrag, men så klart også sommerfesten og juleavslutningen. Involver deg og bli kjent med dem. Sørg for at de vet at det bare er å spørre hvis de lurer på noe, og at det er bedre å spørre en gang for mye enn en gang for lite.
For min egen del har det vært vellykket å “hospitere” i andre avdelinger. På forsommeren hadde jeg en prøveordning der jeg hver fredag formiddag hadde kontorplass hos et av utviklingsteamene i selskapet. Målet var å bli bedre kjent med teamet og hva de jobber med, være en synlig påminnelse om at de må jobbe med personvern og ikke minst gjøre det svært enkelt for dem å ta kontakt. Dette har fungert såpass godt at begge parter ønsker å videreføre ordningen. I tillegg har flere andre i selskapet tatt kontakt fordi de ønsker en lignende ordning hos seg. I høst tar jeg derfor sikte på å være et slags omvandrende personvernombud flere dager i uka.
(5) Etabler en ryggmargsrefleks for personvern
Personvernregelverket er omfattende og vanskelig tilgjengelig for de fleste, selv jurister. For at de ansatte skal ha en reell sjanse til å etterleve regelverket, er det derfor viktig at du evner å kommunisere personvern på en enkel måte. Begynn i det små med det mest grunnleggende og gi de ansatte noen eksempler og knagger som de kan henge ting på.
Du vil aldri klare å lære dem alt om personvern. (Det er heller ikke meningen at alle i selskapet skal kunne like mye om personvern som deg. Hvem trenger vel et ombud da?). Det viktigste er at kollegaene dine utvikler en ryggmargsrefleks for personvern. Hvis du får dem til å tenke “Her tror jeg det er noe personverngreier – best jeg undersøker litt”, ja, da har du kommet langt.
—-
Hanne Steen Lindstad har personvernombudsrollen som fulltidsjobb, som hun fikk etter å ha konkurrert med andre kandidater om stillingen. Mange av oss er imidlertid blitt internt utpekt til personvernombud i kombinasjon med andre oppgaver, kanskje også uten at det er blitt avtalt hvor mye tid og ressurser vi skal bruke på selve personvernombudsrollen. Da kan vi stå overfor noen andre typer utfordringer enn Hanne gjør som PVO i Sparebank 1 Utvikling.
Det vil jeg komme tilbake til i et senere blogginnlegg.