Skip to content

Del 2: Følger vi faktisk reglene?

I forrige blogginnlegg i serien om seks byggesteiner for et modent personvernarbeid var temaet ansvar. At ingen skal behøve å være ensom jurist i en virksomhet der personvern er tildelt en person, men påvirker alle. At ansvar må fordeles, kobles til virkelige situasjoner og integreres i eksisterende styringssystemer. Men ansvar er ikke nok.   

Selv om ansvar er fordelt, hvordan vet vi at arbeidet faktisk blir gjort?  I denne delen av bloggserien ser vi på neste byggestein for et modent personvernarbeid: Kontroll og oppfølging. 


Fra gode intensjoner til faktisk etterlevelse
 

Kanskje har dere allerede: 

  • En DPIA-prosess
  • Rutiner for hendelseshåndtering
  • Informasjon til de registrerte
  • Rollebeskrivelser og policyer 

Men har dere undersøkt om det fungerer i praksis? Her er noen typiske kjennetegn på manglende kontroll: 

  • Mange sier de "har kontroll", men synes det er utfordrende å demonstrere hvordan
  • Ingen kontrollerer om DPIA`er er ferdigstilte og oppdaterte
  • Databehandleravtaler er signert, men databehandlernes etterlevelse av avtalene følges ikke opp
  • Personvernpolicy finnes, men ingen eier den eller kommuniserer innholdet 

Det ser ut som styring – men uten kontroll er det bare dokumentasjon.  

Men vent, vil vi ha kontroll? 

Ja. Og nei. Kontroll kan oppfattes som mistillit. Men kontroll handler ikke om å ta noen – det handler om å lære, forstå og forbedre. Kontroll viser: 

  • Om virksomheten forstår og ivaretar ansvaret sitt
  • Avdekker hindringer og misforståelser
  • Hvordan jurister, systemeiere og personvernombud kan gi bedre støtte
  • Om styringen fungerer – eller bør justeres
     

Personvernombudet har et særskilt oppdrag 

GDPR gir personvernombudet (PVO) et klart mandat: Å overvåke etterlevelsen av GDPR i virksomheten. Det innebærer ikke at PVO selv er ansvarlig for etterlevelsen, men at hen skal: 

  • Evaluere om arbeidet fungerer
  • Identifisere mangler og forbedringsområder
  • Rapportere til øverste ledelse
  • Foreslå tiltak og gi råd 

PVO er altså en uavhengig og rådgivende funksjon som skal kontrollere, støtte og bidra til forbedring – men ikke selv «lede arbeidet». 

Det krever samarbeid. PVO bør ha tett kontakt med de delene av virksomheten hvor det faktiske ansvaret for etterlevelse av personvernregelverket er plassert. Det innebærer ofte roller på tvers av hele virksomheten: prosesseiere, systemforvaltere, avdelingsledere, dataeiere, HR-sjef og IT-sjef. 

Jo mer forankret ansvaret er i linjeorganisasjonen, desto mer effektivt kan PVO: 

  • Stille spørsmål som faktisk får svar
  • Identifisere mønstre
  • Bidra til forbedring 

Det handler altså ikke om å ta over – men om å legge til rette for et ansvar som fungerer i praksis.  

Virksomheten må kontrollere seg selv 

Det er en vanlig misforståelse at PVO skal ha “kontroll på alt”. Ifølge styringsprinsipper (og indirekte GDPR) er det linjeorganisasjonen som har ansvaret for å etterleve regelverket. De er også ansvarlige for å kontrollere eget arbeid. 

Det betyr at linjeorganisasjonen trenger: 

  • Tydelige rutiner for hvordan oppfølging skal gjennomføres
  • En kontrollplan knyttet til egne behandlinger
  • Forståelse for hva det er behov for å kontrollere – og hvorfor
  • Samarbeid med compliance, informasjonssikkerhet og øvrige styringsfunksjoner 

Et velfungerende kontrollmiljø bygger på delt ansvar: PVO overvåker og virksomheten følger opp. 

Fire grep for meningsfull kontroll 

  1. Sjekk praksis – ikke bare dokumenter 
    Ikke nøy deg med: “Har dere en avtale?” Spør også: “Hvordan vet dere at leverandøren følger avtalen?

  2. Gjennomfør kontroller tett på dem som jobber med data
    Snakk med dem som faktisk håndterer personopplysninger og som jobber i etablerte prosesser. La dem vise hvordan de faktisk jobber.

  3. Bygg videre på det som allerede finnes
    Bygg videre på internkontroll, compliance-arbeid og informasjonssikkerhetsrevisjoner.

  4. Gi tilbakemelding på det dere ser
    Vis at kontroller bidrar til forbedring – og ikke til å plassere skyld. 

 

Hva kan du gjøre? 

Hvis du er jurist: 

  • Samarbeid med PVO. Bidra med å oversette juridiske krav til tiltak som kan følges opp. 
  • Løft frem oppfølging og kontroll som et verktøy for ledelsen – ikke bare et juridisk krav. 

Hvis du er PVO: 

  • Start i det små; velg én prosess eller et virksomhetsområde.
  • Samarbeid med de ansvarlige. Still spørsmål, lytt og tilby støtte.
  • Identifiser og rapporter mønstre, ikke kun enkelttilfeller. Og ikke minst; løft frem løsninger. 


Hvis du er leder eller prosesseier:
 

  • Still deg spørsmålet: Hvordan vet jeg at vi faktisk følger reglene?
  • Be om støtte, still spørsmål og forklar dine synspunkter. Vær en samarbeidspartner for PVO, i stedet for en passiv mottaker av råd. 

Til slutt: Kontroll gjør rettigheter reelle 

GDPR handler i bunn og grunn om å beskytte mennesker. Men uten kontroll: 

  • Vet vi ikke om tiltak har ønsket effekt.
  • Kan vi ikke forbedre det som ikke fungerer.  
  • Blir det vanskelig å stå opp for de rettighetene vi sier at vi verner om 

Ansvar er begynnelsen, men kontroll er beviset. 


Neste innlegg: Hvordan bygge struktur og systematikk – uten å bygge byråkrati?
 
I neste del ser vi på hvordan du kan skape et rammeverk, et årshjul og en systematikk som varer – uten å miste fleksibilitet og forankring underveis. Personvern skal ikke være et prosjekt – det skal være en naturlig del av måten vi jobber på. Vi sees der.