– Det er viktig å være klar over at ledelsen tar avgjørelsene
Det nye personvernombudet ved landets største sykehus understreker behovet for integritet og uavhengighet. Og at det alltid er ledelsen som har siste ord.
Denne artikkelen er mer enn fem år gammel.
Nylig ble det klart at Oslo universitetssykehus (OUS) får et nytt personvernombud. Jurist Tor Åsmund Martinsen har de siste fem årene vært personvernrådgiver i direktørens stab.
– Hvorfor ønsket du å bli personvernombud ved OUS?
– «Ønsket» er vel kanskje å ta litt hardt i, omstendighetene tatt i betraktning. Jeg ble bedt om å ta stillingen og antar at min bakgrunn har vært årsaken til det. Men når det er sagt, er jeg veldig motivert for jobben. Personvern og personvernombudsrollen er en spennende utfordring. Jeg begynte ved OUS for å bli en del av et større fagmiljø innen personvern, og for å jobbe med vårt fremste medisinske fagmiljø og yte støtte mot forskning. Dette har ikke endret seg. OUS er en stor og flott virksomhet, som leverer solide tjenester og med omfattende forskning av høy klasse.
Sendte skriftlig varsel
Bakgrunnen for at Martinsen overtar rollen som personvernombud, er lengre tids diskusjon om personvern ved OUS. I midten av februar sendte 22 profilerte leger og forskere et skriftlig varsel til ledelsen. I varselet anførte legene at personen som frem til nå har innehatt rollen som både personvernombud og informasjonssikkerhetsleder «i en årrekke har opptrådt på et vis som rammer pasientsikkerheten ved OUS».
Etter at varselet ble sendt inn, ble det klart at administrerende direktør Bjørn Erikstein endrer staben slik at det ikke lenger vil være samme person som er både personvernombud og informasjonssikkerhetsleder. Heidi Thorstensen, som til nå har hatt begge stillinger, beholder jobben som informasjonssikkerhetsleder.
– Må finne en balanse
Martinsen har nærmere 20 års erfaring med å jobbe med personvern, blant annet som personvernombud ved Folkehelseinstituttet.
– Du tar over som personvernombud i kjølvannet av en større konflikt. Hva tenker du om at personvern skaper et så sterkt engasjement og så skarpe fronter?
– Når det gjelder akkurat varselsaken, vil jeg ikke kommentere den spesielt. Den gjelder komplekse forhold, som også går utover det rent «personvernmessige». Men det stemmer at saken vitner om et sterkt engasjement.
Det er ikke noe nytt at personvern skaper debatt, mener Martinsen.
– Det vil alltid være diskusjoner om balansen mellom for eksempel forskning og personvern. Dette gjelder også i andre sektorer, for eksempel når det gjelder politi, skatt og telekom. Man må finne en balanse, men rammevilkårene er det ikke personvernombudene som definerer. Vi skal forvalte regelverket.
– Ledelsen tar avgjørelsene
Engasjement rundt personvern er ikke noe nytt for Martinsen, som har lang erfaring fra feltet.
– Det er ikke så overraskende at ulike syn gjør seg gjeldende. Men styrken og formen har kanskje vært litt overraskende. Det er en kjent problemstilling at grensen for hva som er tillatt, blir utfordret. Det er snakk om legitime hensyn og gode motiver. Det har jeg opplevd mange ganger. Da gjelder det å få satt seg ned og diskutert og drøftet problemstillinger grundig. Det er også viktig å være klar over hvem som til sist tar avgjørelsene. Det må være ledelsen, som i alle andre sammenhenger, sier Martinsen.
Han mener at størrelse er et stikkord for å forstå den høye temperaturen i debatten.
– OUS er en stor virksomhet, med flere tusen ansatte, et stort nedslagsfelt og et viktig samfunnsoppdrag. Det gjør at ting får større omfang. Ting vokser kanskje ut av proporsjoner og enkeltsaker får oppmerksomhet, men det er ikke et kjennemerke på virksomheten at det er mye strid.
Skal ha integritet og avstand
– Det har blitt pekt på at det er problematisk at samme person er både informasjonssikkerhetsleder og personvernombud. Hva tenker du om kritikken?
– Arbeidsgiver skal organisere virksomheten på en måte som arbeidsgiver finner hensiktsmessig. Skillet mellom de to rollene er basert på en prosess over en viss tid. Det er også anført fra ledelsen at GDPR tydeliggjør personvernombudsrollen i større grad enn tidligere. Dette er en konsekvens av diskusjonen. Men begge rollene vil videreføres i ulike linjer.
– Hva er egentlig oppgavene til personvernombudet og infosikkerhetslederen?
– Personvernombudet har en rådgivende og kontrollerende rolle, og skal bidra til å overholde personvernregelverket på en uavhengig måte. Det er ikke min oppgave å definere rollen til informasjonssikkerhetsleder, men det innebærer for eksempel å jobbe dedikert med informasjonssikkerhetsløsninger.
– Ikke et markant brudd
Endringene i staben vil få følger, mener Martinsen, men en total omlegging er det ikke snakk om:
– Vi må finne ut hvordan vi skal innrette oss, så det er klart at det blir en endring, men et markant brudd blir det neppe. Samtidig skal personvernombudet har en nødvendig integritet og avstand fra for eksempel de som skal implementere informasjonssikkerhetsløsninger.
– Det vil si informasjonssikkerhetslederen?
– Informasjonssikkerhetslederen har ikke totalansvaret, men vedkommende har en betydelig rolle, ja. Uten at jeg skal definere hva som ligger i den rollen. Men det er vanlig at informasjonssikkerhetsleder gjør dette.
Ser ingen konflikt med juristene
Varslerne ved OUS kritiserer også mangel på involvering av jurister i arbeidet med personvern og informasjonssikkerhet. I det skriftlige varselet står det at: «Juridisk avdeling ved OUS må gis en mer sentral rolle i tolkningen av innholdet i helselovgivningen og personvernlovgivningen, og av vektingen mellom dem i konkrete situasjoner».
– Kan din juridiske bakgrunn ha noe å si for at du fikk jobben som personvernombud? Og har det vært et problem med mangel på kontakt mellom avdelingen deres og juristene?
– Jeg vil ikke gå inn i kritikken, men vi har ulike miljøer i sykehuset og fremover er det viktig å bruke kompetansen som finnes internt. Jeg ser ingen konfliktlinje opp mot juridisk avdeling.
Vil gjøre seg bedre kjent
– Hva mener du vil være viktigst i ditt arbeid når du nå tar over personvernrollen?
– Det er viktig å gjøre seg bedre kjent, møte ulike miljø, sikre dialog og samarbeid med den kliniske linjen, forskningsmiljøet og øvrige fagmiljø som forskningsstøtte og juridiske tjenester. Vi skal opprettholde rask saksbehandling og god service på samme måte som tidligere.