Skip to content
  • Det finnes ingen forslag fordi søkefeltet er tomt.

Del 1: Hvem eier egentlig personvernet?

Har du blitt “hen som håndterer GDPR-spørsmålene”? Du vet, den personen som kolleger sender e-poster til, som skal svare på spørsmål om samtykke, hendelser og AI-løsninger, og som plutselig skal stoppe eller godkjenne beslutninger som allerede er fattet. Kanskje er du den eneste juristen i en stor virksomhet, kanskje ny i rollen – men uansett: det forventes at du holder styr på alt, uten reell styring i ryggen.

Kjenner du deg igjen? Da er dette innlegget for deg.

Bloggserien: Byggesteiner for et modent personvern

Dette er første del i en serie der vi går gjennom seks sentrale aspekter som sammen danner grunnlaget for en moden organisasjon innen personvern og etterlevelse.

Målet er å hjelpe deg som jurist eller ekspert med å:

  • Gjenkjenne hvor din organisasjon befinner seg
  • Finne måter å påvirke – selv uten fullt mandat
  • Få praktiske verktøy for å bygge struktur, tydelighet og samarbeid

Hvis du jobber i en organisasjon der personvern allerede er en integrert del av styringen bli gjerne med videre. I neste innlegg går vi dypere inn i kontroll og oppfølging, og du vil kjenne igjen både styrker og mulige forbedringsområder.

Men først: Hva skjer når ansvar mangler eller er uklart?

Hvem har ansvaret for personvern – egentlig?

I teorien er det enkelt: det behandlingsansvarlige selskapet har det overordnede ansvaret. Men i praksis? Ofte er det slik:

  • Juristen har “fått” GDPR-ansvaret, men uten noen reell myndighet
  • Personvernombudets uavhengige og rådgivende rolle forveksles med et faktisk ansvar for etterlevelse
  • Virksomheten tror det er juristens oppgave å godkjenne alt
  • Ingen vet hvem som faktisk skal ta beslutninger om behandlinger og risikoer

Resultatet? Alle venter på noen andre – og ingenting skjer. Eller, det skjer masse uten at vi forstår hvor vi er på vei.


Når ansvar er utydelig øker risikoen

Når ansvar ikke er tydelig:

  • Faller spørsmål mellom stolene
  • Arbeidet blir reaktivt i stedet for forebyggende
  • Øker avhengigheten av deg som jurist – selv om du mangler de nødvendige verktøyene
  • Risikoen for regelbrudd og tapt tillit øker

Det forventes at du vinner Monaco Grand Prix i en Volvo 240.


Slik kan du skape endring – selv uten formelt mandat

  1. Lag et enkelt ansvarsbilde
    Spør deg selv: Hvem bør gjøre hva i praksis? Knytt ansvar til konkrete aktiviteter i din organisasjon – for eksempel kundeservice, IT-utvikling, anskaffelse av nye systemer og hendelseshåndtering. Hold det konkret og virksomhetsnært.

  2. Samarbeid med de som allerede jobber med styring
    Du trenger ikke bygge hele strukturen selv. Samarbeid med de som arbeider med:
  • Compliance – ofte vant til å fordele og følge opp ansvar
  • Risikostyring – kan sette personvern inn i et risikoperspektiv
  • Informasjonssikkerhet – har ofte god innsikt i systemer, kontroller og forvaltning
  • Intern styring – kanskje finnes det allerede en beslutningsmodell, kontrollplan eller delegasjonsordning du kan koble på; finn den som er ansvarlig for det

Personvern trenger ikke sitt eget styringssystem – det må bygges inn i det som allerede finnes.

  1. Bytt språk: fra “ansvarlig” til “utførende”
    Mange kvier seg for å ta ansvar. Men de sier ofte ja til å utføre noe. Spør: Hvem er best egnet til å utføre denne oppgaven, for eksempel å svare på spørsmål om de registrertes rettigheter, utføre sletting av data, sende spørreskjema til nye leverandører eller kontrollere tilgang til et system?

Da får du fremdrift – selv uten formell delegering.
 

  1. Løft ansvaret som en risikofaktor
    Når ansvaret ikke er fordelt:
  • Risikerer spørsmål å falle mellom to stoler
  • Risikerer tiltak å utebli
  • Risikerer du å stå alene med et ansvar du ikke kan bære

Det er et budskap ledelsen lytter til - særlig hvis det kobles til risiko for overtredelsesgebyr og tap av tillit til virksomheten.

Til slutt: Du trenger ikke vente på mandat

Det er vanlig å tenke: “Jeg kan ikke utpeke ansvar – det bør ledelsen gjøre.” Og det er delvis riktig. Men du kan:

  • Forberede en struktur ledelsen kan godkjenne
  • Identifisere nøkkelpersoner og situasjoner der ansvar bør avklares
  • Vise hvordan personvern kan integreres i eksisterende styringssystemer, i stedet for å konkurrere med dem

Når det blir konkret, relevant og koblet til virksomheten – da er det sjelden vanskelig å fordele ansvar.

Neste innlegg: Hvordan vet du at reglene følges?

I del 2 av bloggserien ser vi nærmere på kontroll og oppfølging. For selv om ansvaret er avklart – hvordan kan du være sikker på at personvernarbeidet faktisk fungerer i praksis?

Vi sees der.

Relaterte innlegg