Skip to content

Del 5: Gi slipp på siloene

I de tidligere delene av bloggserien har vi sett på hva som kjennetegner et modent personvernarbeid: tydelig ansvar, oppfølging og kontroll,  struktur og systematikk samt kultur. Allerede i første del av bloggserien var vi inne på viktigheten av å samarbeide med andre deler av virksomheten, ikke minst for å unngå at personvernarbeidet blir tildelt en jurist alene, uten forankring i linjen. I dette blogginnlegget utdyper vi det perspektivet.

Selv med ansvar, kontroll og struktur på plass, kan personvernarbeidet komme til kort, dersom det lever i en silo. Personvern kan ikke utvikles i isolasjon. Det må flettes inn i eksisterende prosesser.

Et vanlig problem: Parallelle spor

Mange sliter med at ulike deler av virksomheten jobber med de samme spørsmålene – men uten at arbeidet er koordinert.

For eksempel:

  • Juridisk vurderer det rettslige grunnlaget – mens IT allerede har utviklet løsningen
  • Informasjonssikkerhet gjør en risikovurdering – men den benyttes ikke i arbeidet med DPIA-en
  • Compliance har en kontrollplan – som ikke inkluderer personvern
  • AI-teamet driver innovasjon – men etikk, regelverk og rammer kommer først inn som en ettertanke

Resultatet?

  • Mangler oppdages for sent
  • Prosjekter må starte på nytt og mister fremdrift
  • Roller overlapper eller mangler
  • Ingen ser hele bildet

Samarbeid er ikke mer arbeid – det er bedre arbeid

Å integrere personvern med andre styringsområder handler ikke om flere møter eller flere dokumenter. Det handler om økt effektivitet og kvalitet og innebærer at vi:

  • Bruker samme verktøy der det er mulig (f.eks. for risikovurderinger)
  • Forstår hverandres prosesser og involveres på riktig tidspunkt
  • Bygger løsninger sammen, med respekt for hverandres kompetanse
  • Unngår dobbeltarbeid og hull

Et godt koordinert samarbeid reduserer friksjon og bygger tillit.
 

Slik kan tverrfaglig samarbeid se ut i praksis

Område

Et integrert personvern kan innebære:

Informasjonssikkerhet

Risikovurderinger er samordnet med DPIA. Vi benytter felles begreper og prosesser

IT og systemutvikling

Personvern er inkludert i utviklingsmodellen og i beslutningspunkter

AI og innovasjon

Dialog om etikk, transparens og lovlig grunnlag etableres tidlig

Compliance/ internkontroll

Personvern er inkludert i kontrollplaner og i revisjoner

Virksomhetsstyring

Ansvar for personvern er tydelig definert i rollebeskrivelser og i delegeringsmodeller

 

“Men jeg er bare én person…”

Det er en helt rimelig innvending – og en realitet for mange. I store konsern er det ikke uvanlig at personvern håndteres av én jurist eller et lite team, selv om området berører hundrevis av prosesser og initiativer.

Nettopp derfor er samarbeid ikke “nice to have” – det er en nødvendighet.

Når ressursene er knappe:

  • blir det enda viktigere å fordele ansvar i linjen
  • er struktur nødvendig så flere vet hva de skal gjøre – og når
  • trengs dialog så personvern tas hensyn til tidlig – ikke som en sluttkontroll
  • må personvernarbeid leve i virksomheten, ikke kun hos én funksjon

Personvernarbeid er ikke et sololøp. Det er et virksomhetsansvar.

Tenk som en organisasjonsutvikler: bygg kompetanse og kapasitet i virksomheten.
 

Samarbeid styrker de andre byggesteinene

Samarbeid gjør at:

  • Ansvar speiler reelle roller og oppgavefordeling
  • Kontroll gjennomføres i fellesskap – med flere perspektiver
  • Systematikk blir en del av prosessene – ikke noe “på siden”
  • Kulturen styrkes – fordi folk ser at personvern gjelder oss alle

Personvernet styrkes når det slutter å være et spesialfelt og blir en naturlig del av hvordan virksomheten styres.

Hva kan du gjøre som jurist eller personvernombud?

Du kan være en drivkraft for bedre samarbeid, uavhengig av hvem som eier prosessene:

1. Gjør deg kjent med andres arbeidsmetoder
Hvordan jobber informasjonssikkerhet med risiko? Hvilke kontrollpunkter er etablert i prosjektene? Har virksomheten en plan for internkontroll?

2. Bygg relasjoner – ikke avhengigheter
Ta en kaffeprat med compliance, prosjektledere eller IT-arkitekter. Vær nysgjerrig. Del perspektiver.

3. Tilby koordinering

Har du en etablert DPIA-prosess? La sikkerhet eller IT-utvikling være med å påvirke og forme prosessen. Eller tilby deg å bidra i utformingen av deres prosesser.

4. Unngå “juridisk sier nei”
Engasjer deg tidlig i prosjekter. Vis at du vil bidra til å skape gode løsninger, ikke være en kontrollør i etterkant.

5. Løft frem felles mål
Personvern, sikkerhet, AI og compliance har samme mål: Å skape trygge, bærekraftige løsninger. Løft det frem – ofte.

Neste innlegg: Fra etterlevelse til forbedring

I den avsluttende delen av bloggserien ser vi hvordan modne virksomheter ikke bare etterlever regelverk, men også lærer av erfaringer og utvikler organisasjonen over tid. Hvordan ser forbedring ut i praksis? Hva gjør vi med innsikt fra kontroller, hendelser, revisjoner og signaler fra omverden?

Vi avslutter serien der langsiktighet begynner: i evnen til å tilpasse, utvikle og bli bedre – sammen.