Dataskyddsombudets roll, revisor eller rådgivare

2018-09-19T20:05:35+00:0017 september, 2018|

Vilken arbetsbeskrivning du har som dataskyddsombud är inte självklart. Många av uppgifterna som rollen skall utföra finns inskrivet i lagtexten. Problemet med hur lagen är skriven är att arbetsuppgifterna är så breda att många som hamnar på rollen arbetar inom beskrivningen men men har fokus på olika saker.

En tydlig skiljelinje som i längden kommer bli svår att hantera är dataskyddsombudets dubbla roll som granskare och rådgivare.

Den rådgivande delen

För att få fram budskapet om dataskydd är det otroligt viktigt att agera i organisationen och bygga förtroende, kultur och utbilda kring de frågor som rör dataskydd. Genom att bygga en organisation för dataskydd från befintliga processer och utöka dem där det krävs kan man bygga en hel organisation och en kultur som tar hänsyn till dataskyddsfrågor och agerar innan incidenter inträffar.  För att lyckas med ett sådant engagemang blir krävs det ofta av individen som har rollen att ett helhjärtat deltagande i bolagets samtliga processer.

Den granskande delen

Dataskydssombudets granskande roll beskrivs tydligt i artikel 29. Dataskyddsombudet förväntas agera i individens intresse och presentera dataskyddets nivå till organisationens högsta beslutande organ. För att detta skall kunna ske finns åtgärder inskrivna i lagen för att underlätta dataskyddets oberoende. Dessa åtgärder är bland annat krav på egen budget, att personen som innehar rollen inte får inneha en beslutande position inom företaget och att personen som innehar rollen inte han bli avsatt på grund av hur rollen utövas.

Problembild

Eftersom mängden arbetsuppgifter i en organisation kring dataskydd ofta är stora och resurserna få hamnar dataskyddsombudet lätt i en roll där den rådgivande delen har övervikt till den granskande.  Om rollen som dataskyddsombud har för stor karaktär av rådgivande verksamhet riskerar man att revidera sina egna åtgärder, vilket givetvis inte är bra.

fta ett resultat av förvaltningsarbetet

Internt eller externt skyddsombud

Det externa dataskydssombudet har i detta fall en direkt fördel då den granskande rollen kommer naturligt med uppdraget och är ofta en förutsättning för att komma in i en ny organisation. Genom en väl genomförd granskning får det externa dataskydssombudet en bra uppfattning om vad som fungerar i organisationen och vilka delar som måste åtgärdas. Genom att vara extern har man även möjlighet att se många olika organisationer och dra nytta av hur man arbetar mellan olika organisationer.

Det interna dataskyddsombudet har däremot ofta lättare att hitta beslutsvägar och få beslut förankrade i organisationen. Ett internt ombud har även en mer naturlig tillgång till information om vad som händer i organisationen och kan agera snabbare och enklare på saker som händer.

Resultat

Genom att granska organisationen utifrån givna ramverk kan man enklare ta på sig den granskande hatten. ISO 27001 kan vara ett bra ramverk att använda när granskning skall ske. Det finns även andra ramverk att använda sig av om man vill tydliggöra den granskande delen av dataskyddsomubudets roll.

För att lyckas som dataskyddsombud i längden behöver man kunna stå på både det granskande och det rådgivande benet. Ett dataskyddsombud som enbart granskar organisationen har goda förutsättningar att leva upp till lagens skrivelser om rollen, men riskerar att inte få tillgång till all information som gör att ett dataskyddsombud kan arbeta snabbt och effektivt för att proaktivt hindra att incidenter uppstår i organisationen.

En lösning kan vara att kombinera olika roller som externa dataskyddsomsbud med dataskyddssamordnare inom organisationen som tydligt rådger och agerar ambassadörer i organisationen för att sprida kunskap kring hur man agerar på bästa sätt.

Fyll gärna i vår undersökning och rösta hur du upplever din befattning som dataskyddsombud, kommentera gärna i artikeln kring hur ni löser problemställningen kring den dubbla rollen

Om författaren:

Fredrik Jonasson är delägare i IT-säkerhetsbolaget och föreläser och utbildar kring GDPR. Certifierad CIPM, Verksamhetsarkitekt, ITIL-Expert. Fredrik är en civilingenjör i Teknisk Fysik.
  • Sven skriver:

    Min bedömning:

    Som DSO är jag väldigt noga med att inte utbilda personalen efter den 25 maj 2018, eftersom jag har att kontrollera att utbildningen är adekvat.

    Å andra sidan sysslar jag en hel del med att lämna information. Mest omvärldsbevakning.

    Rådgivning lämnar jag bara på begäran eftersom jag måste kontrollera om uppdragsgivaren följer mina råd. GDPR ställer krav på dokumentation av de fall då min rådgivning inte följs.

  • >