Blogg | Knowit

Del 3: Ad hoc eller systematikk?

Skrevet av Johanna Grundberg og Silje Stevenson | Sep 12, 2025 1:25:59 PM

I de to første delene av denne bloggserien har vi snakket om ansvar og kontroll. Vi har sett hvordan ansvar kan bli symbolsk dersom det ikke er forankret, og hvordan kontroll kan bli lite effektivt hvis den ikke tar utgangspunkt i det operative arbeidet. Men det er først når vi kobler ansvar og kontroll til struktur, planlegging og kontinuitet at personvernarbeidet virkelig blir bærekraftig. Systematikk er det som gjør ansvar reelt – og kontroll meningsfylt.

Fra enkeltstående tiltak til langsiktighet

Mange virksomheter jobber med personvern ad hoc:

  • DPIA gjennomføres når noen husker det
  • Hendelser fører til endringer i rutiner – i beste fall
  • Et personvernprosjekt avsluttes uten en plan for hvordan personvernarbeidet skal følges opp videre
  • Revisjoner skaper panikk, men i ettertid blir lærdommen glemt

Alt dette er nødvendig (også panikk i noen tilfeller). Men det er ikke tilstrekkelig. Et modent personvernarbeid krever struktur, god planlegging og en langsiktig tilnærming.

Hva menes med systematikk?

Personvernarbeidet bør være systematisk og strukturert. Det innebærer at arbeidet er:

  • Forutsigbart: det finnes en plan
  • Repeterbart: det er ikke personavhengig
  • Sporbart: vi vet hva som er gjort (og hva som ikke er gjort)
  • Lærende: vi utvikler oss over tid, basert på erfaringer og behov

Hva skjer uten struktur?

Uten en struktur i bunn skjer ofte følgende:

  • Ansvar finnes, men tas ikke
  • Kontroll utføres, men identifiserte mangler følges ikke opp
  • Prosjekter går fremover, men personvern adresseres for sent
  • Ledelsen reagerer, men det settes ikke inn tiltak
  • Medarbeidere spør seg: “Hvem eier egentlig dette?”

Vi får en illusjon av kontroll, men ingen stabilitet.

Hvordan kan struktur bygges?

Systematikk og struktur i personvernarbeidet kan se slik ut:

  • Årshjul med planlagte aktiviteter tilpasset ulike ledere: DPIA-gjennomgang, opplæring og avtaleoppfølging
  • Personvernplan med mål, ansvar, aktiviteter og oppfølging
  • Integrer personvern i relaterte prosesser: IT-utvikling, innkjøp og HR-prosesser
  • Tydelig støttestruktur: maler, kontaktpunkter og veiledninger
  • Forbedringssløyfer: det vi har lært fra hendelser og kontroller brukes aktivt

Det viktigste er ikke perfeksjon, men at man har en retning og kontinuitet.

Systematikk er ikke byråkrati – det er trygghet

Vi vegrer oss ofte for å snakke om begreper som “struktur” – det høres tungt ut. Men i praksis handler det om å:

  • Gjøre det lettere å gjøre rett
  • Gi virksomheten støtte og forutsigbarhet
  • Skape rom for forbedringer
  • Redusere avhengighet til nøkkelpersoner

Systematikk frigjør kapasitet og skaper trygghet – både for virksomheten og den enkelte.

Ansvar og kontroll krever struktur

Vi startet denne bloggserien med å snakke om å fordele ansvar. Men uten struktur blir ansvar raskt symbolsk. Vi fortsatte med å snakke om kontroll. Men kontroll uten planlegging blir ineffektivt og vilkårlig.

I en travel hverdag er det struktur som gjør at prinsippene blir mer enn ord – de blir handling.

Hva kan du gjøre som personvernjurist?

Du styrer kanskje ikke hele organisasjonens struktur, men du kan ta initiativ og skape momentum. Her er fire konkrete forslag:

1. Skissér et årshjul
Visualiser hvilke aktiviteter som allerede gjennomføres – og hvilke som bør gjennomføres – hvert kvartal eller halvår.

2. Lag en enkel personvernplan
Lag en A4-side med mål, ansvar, oppgaver og når disse skal gjennomføres.

3. Knytt det opp mot det som allerede finnes

Personvernarbeidet bør ta utgangspunkt i eksisterende arbeidsprosesser for IT-utvikling, innkjøp, rekruttering m.m.

4. Inviter til samarbeid

Sett deg ned med IT, informasjonssikkerhet, compliance, HR, innkjøp eller prosjektleder. Start en samtale om struktur – sammen.

5. Begynn i det små
Du trenger ikke lage et omfattende eller helt fullstendig opplegg. Start i det små og la forbedring skje over tid.

Du må ikke eie strukturen, men du kan være den som tar det første steget.

Neste innlegg: Kultur og atferd

I neste blogginnlegg retter vi blikket mot det som ikke fanges opp i prosesskart og styringsmodeller – men som likevel er avgjørende.

Hvordan oppfører vi oss i hverdagen? Hvordan bygger vi en kultur der det oppleves trygt å stille spørsmål, ta ansvar og gjøre det som er rett?
Vis hele posten