Fra og med mai neste år blir ordningen med personvernombud obligatorisk for en del virksomheter. Det nye regelverket gir ombudet en viktig rolle som kunnskapsressurs og pådriver for at virksomheten har god personvernpraksis. For å få til det er virksomheten avhengig av et kompetent og kunnskapsrikt personvernombud. Hvilke krav stiller så regelverket til kvalifikasjoner hos personvernombudet?
Regelverket stiller ingen spesifikke krav når det kommer til utdanningsbakgrunn eller sertifiseringer, men det stilles tydelige krav til kompetanse og egnethet. Ombudet skal velges på grunnlag av:
- Faglige kvalifikasjoner. Ombudets faglige kvalifikasjoner bør stå i forhold til hvor omfattende behandling av personopplysninger virksomheten har, og hvor sensitive og komplekse opplysningene er. Hvis en virksomhet behandler store mengder personopplysninger eller overfører data i stor skala til tredjeland er det ekstra viktig å utnevne et personvernombud med sterk faglig tyngde.
- Dybdekunnskap om personvernlovgivning og praksis på området. Personvernombudet forventes å ha oversikt over, og å gi råd om, rammene for etterlevelse av både forordningen og annet personvernrelevant regelverk med betydning for virksomheten. Behovet for dybdekunnskap om tilstøtende regelverk vil naturlig nok variere. I noen tilfeller vil det ikke være annet relevant regelverk, mens det i andre vil det være sektorspesifikk lovgivning som kan ha bestemmelser av betydning for personvernet. Det er også en fordel at ombudet har erfaring fra og kjennskap til sektoren. Ombudet bør også ha en god forståelse av behandlingsaktivitetene, IT-systemene, informasjonssikkerhet og personvernbehovene i virksomheten.
- Evne til å utføre oppgavene sine. Dette referer både til personlige egenskaper og kunnskap, men også til ombudets posisjon i virksomheten. Når det kommer til personlige egenskaper er det relevant å vurdere integritet og evne til å gjøre etiske vurderinger, samt evnen til å stimulere resten av virksomheten til å behandle personopplysninger i tråd med regelverket.
Hva slags utdanningsbakgrunn bør personvernombudet ha?
Regelverket setter ingen krav til hva slags type utdanningsbakgrunn et personvernombud skal ha. I dagens ordning ser vi at ombudene kommer fra mange ulike slags bakgrunner. Men det er kanskje en overvekt av jurister, IT-rådgivere, HR-personell, revisorer og personell som jobber med compliance, organisasjonsstruktur, sikkerhet og regelverketterlevelse.
Som nevnt over er det viktig at personvernombudet har en god forståelse av behandlingsaktivitetene, IT-systemene, informasjonssikkerhet og personvernbehovene i virksomheten. I tillegg er god forståelse av regelverket avgjørende. Et godt personvernombud trenger ikke nødvendigvis å være ekspert på alle disse feltene. Det viktige her er at det er en person som evner å tilknytte seg de personene og den kunnskapen hun eller han trenger i organisasjonen.
Hva slags kurs eller utdanning trenger et personvernombud?
Noen nye personvernombud vil ha med seg personvernrelevant erfaring fra tidligere, mens andre ombud vil være helt ferske og kanskje ikke ha noen erfaring med personvern. Virksomheten og ombudet må sammen se på hva slags kompetanseheving og kursing ombudet trenger for å kunne ivareta oppgavene sine på en god måte.
Vi anbefaler alle personvernombud å ta kurs eller utdanning som er relevant for sin oppgave. De aller fleste vil trenge det, eller i hvert fall ha stor glede av denne måten å tilegne seg kunnskap på. I dag er den mange som tilbyr kurs eller seminarer, med ulik profil og med ulik varighet. Kanskje finnes det også samlinger eller kurs som er spesifikk rettet mot en ønsket bransje, eller mot en bruk av personopplysninger som er særlig relevant for deres virksomhet?
Det viktige er at den enkelte finner en vei som passer dem samt utfordringen som virksomheten står overfor i sin bruk av personopplysninger. For noen er det naturlig å ta litt av gangen, eller å kombinere forskjellige kurs. For andre vil det beste være å finne en generell opplæring av en varighet som gjør det mulig å gå mer i dybden, typisk et større kurs som er ment for å gi et god fundament for personvernombud. For de som stiller på bar bakke kunnskapsmessig, anbefaler vi å ta kurs utover en dag eller to for å få kunnskapen og oversikten som trengs for å utføre ombudsoppgavene.
Datatilsynet tilbyr to dager med kurs for personvernombud i høst – disse er dessverre fullbooket, men vi vurderer å sette opp nye kurs våren 2018. Mer info kommer på Datatilsynets nettsiderdette er endelig bestemt. Våre kurs gir en innføring, men er ikke omfattende nok som fundament for et personvernombud med stort kunnskapsbehov.
Det er i tillegg en rekke personvernkurs på markedet som er relevante for personvernombudene.
Les mer
Vår samleside om personvernombudsordningen
Veiledere og annen informasjon om det nye personvernregelverket