Del 4: Kultur og atferd

Vi har tidligere sett på tre viktige byggesteiner i et modent personvernarbeid: tydelig ansvar, kontroll og oppfølging og struktur og systematikk. Men selv med klare roller, kontrollpunkter og årshjul kan noe skurre. For i praksis er det ikke maler og prosesser som skaper etterlevelse – det er mennesker.

Det er ikke det vi sier at vi skal gjøre - men det vi faktisk gjør - som skaper tillit.

Når verdier avgjør om personvern blir mer enn et fint ord

Et godt personvernarbeid handler ikke bare om struktur, roller eller dokumentasjon. Det handler om hva vi oppfatter som viktig. En nøye utarbeidet prosess betyr lite hvis ingen bryr seg om å følge den. Et ansvar mister sin kraft hvis ansvaret ikke oppleves som verdt å ta. Og en kontrollplan blir meningsløs hvis kontrollene ikke anses å tilføre verdi.

Det er her kulturen - altså våre felles verdier – kommer inn. I praksis er det den som avgjør om personvern blir prioritert – eller glemt bort.

Et modent personvernsarbeid krever at noen våger å si:

• “Bør vi gjøre en DPIA?”
• “Det føles som om vi går for fort frem”
• “Jeg tror vi lagrer data vi ikke trenger”
• “Jeg sendte dessverre en fil til feil person”

Vi sier ifra når vi opplever at det har betydning. Det vi ikke oppfatter som viktig, forblir usagt. Det blir elefanten i rommet.

Det er ikke mangel på regler som feller oss – det er mangel på engasjement. Kultur er derfor ikke et supplement til compliance, med selve kjernen: Hvor viktig er dette for oss – egentlig?
 

Kjennetegn på en moden personvernkultur

Hvordan bygge kultur?

Personvernkultur formes gjennom hvordan vi:

• Snakker om personvern i prosjektmøter
• Møter de som melder inn avvik
• Velger å dokumentere – eller ignorere – risiko

Og den formes av hvordan ledere, jurister og kollegaer svarer på spørsmål som:

• “Må vi virkelig gjøre en DPIA?”
• “Trenger vi å involvere juridisk i dette?”
• “Skal vi vente på svar før vi går videre?”

Det er i de små, uformelle øyeblikkene at kulturen dannes.

Slik påvirker du kulturen – gjennom ansvar, kontroll og struktur

De første tre byggesteinene, tydelig ansvar, kontroll og struktur, gir tyngde når kultur skal bygges.

• Når ansvar er tydelig, tør flere å ta initiativ
• Når kontroll fører til læring, tør flere å si fra
• Når struktur gir støtte, tør flere å stoppe opp og tenke en gang til

Kultur er derfor ikke en fluffy motsetning til struktur – det er effekten av struktur brukt på riktig måte. Når struktur og kultur forsterker hverandre, får vi et personvern som faktisk fungerer.

Hva kan du gjøre som jurist eller personvernrådgiver?

Selv om du ikke selv er ansvarlig for kulturen, påvirker du den. Hver dag.

Takk for spørsmål – også når de kommer “for sent”. Din holdning setter tonen.

Ikke nøy deg med å si: “gjør en DPIA”. Forklar hva det betyr for prosjektet, hvorfor det trengs og hvordan dere kan gjennomføre det sammen.

3. Vær nysgjerrig – still spørsmål tilbake
Når noen foreslår en ny løsning, spør: “Hvilke personopplysninger gjelder dette? Hvem får tilgang? Hvor lenge lagres de?”. Bidra til å spre et tankesett, ikke bare et krav.

4. Gjør det lett å gjøre rett
Del veiledere, maler og kontaktpunkter. Tilby støtte.

5. Løft frem gode eksempler
Del med andre når personvern har bidratt til bedre design, tryggere løsninger eller økt tillit. Kultur styrkes gjennom fortellinger.

Neste innlegg: Integrasjon og samarbeid

I neste del beveger vi oss fra menneskers atferd til hvordan personvern samspiller med andre områder som informasjonssikkerhet, IT, compliance og AI.

Personvern modnes ikke i en silo – det utvikles i samspill med øvrig styring i virksomheten.