Styredokumenter kan inneholde noe av det mest sensitive en virksomhet har. Planer, budsjetter, avtaler og personopplysninger. Likevel blir mye fortsatt sendt på e-post, lagret i vedlegg og delt i mapper der det ikke alltid er tydelig hvem som faktisk har tilgang.
Når styret jobber med slike opplysninger, må de ha kontroll på hvor informasjonen ligger, hvem som ser den, og hva som skjer med den over tid.
Hvorfor sikkerhet er en styresak
Styret skal følge opp virksomheten på en forsvarlig måte. Det gjelder også måten styret selv håndterer informasjon på.
Når styret diskuterer økonomi, strategi, risiko eller personalsaker, sitter det samtidig med opplysninger som kan få store konsekvenser hvis de deles feil eller blir liggende tilgjengelig for lenge.
For mange blir sikkerhet først et tema når noe allerede har gått galt. Et dokument er sendt til feil person. En tidligere møtedeltaker har fortsatt tilgang. Da kan det allerede være for sent å lage rutiner.
Gamlemåten er risikabel
E-post, vedlegg og delte mapper er kjent og enkelt å bruke. Men etter hvert blir det vanskelig å holde oversikt over hvem som har fått hva, og hvilken versjon som faktisk gjelder.
Dokumenter sendes i flere runder. Ulike versjoner havner i ulike innbokser. Filer lastes ned og blir liggende lokalt på PC-er, nettbrett og telefoner. Når et styremedlem bytter telefon, mister en laptop eller går ut av styret, finnes det ingen enkel måte å hente tilbake det som allerede er lastet ned.
Slik sikrer du styrets dokumenter og kommunikasjon bedre
Det viktigste grepet dere kan gjøre er å samle styrearbeidet på ett sted. Når dokumenter, kommunikasjon, møter og protokoller er tilgjengelig på samme system blir det også lettere å holde oversikt.
Det bør også være enkelt å styre hvem som får se hva. De som sitter i styret skal ha tilgang til det de trenger. De som går ut av styret, bør miste tilgangen med en gang. Eksterne rådgivere bør bare få se det som er relevant for oppdraget deres.
Sikker innlogging
Tofaktorautentisering er et minstekrav for innlogging. I tillegg bør det være mulig å logge på med eksisterende kontoer en bruker i jobbsammenheng fra f.eks. Microsoft eller Google.
Kommunikasjon mellom møtene
Også diskusjoner mellom møtene bør skje i samme løsning som dokumentene ligger i. Da er det enkelt å holde samtalene samlet og skjerme sensitiv informasjon fra kanaler som ikke er laget for det.
Historikk og sporing
Styret bør kunne se hva som har skjedd i etterkant. Hvem som har skrevet hva i diskusjoner, når møter ble gjennomført, og når dokumenter ble signert. Slik historikk gjør det lettere å jobbe ryddig, og lettere å dokumentere det om det noen gang blir nødvendig.
Hva GDPR betyr i praksis for styret
Mye av det styret jobber med inneholder personopplysninger. Kontaktinformasjon, signaturer, aksjonæroversikter, opplysninger om ansatte eller vurderinger av personalsaker.
Personvernforordningen (GDPR) sier at virksomheten må ha en legitim grunn til å bruke og oppbevare slike opplysninger, og at de skal håndteres med den kontrollen det krever.
I praksis koker det ned til noen få spørsmål: Hvem trenger tilgang, og hvem har fortsatt tilgang over tid? Hvor deles opplysningene? Og hvor lenge blir de liggende?
Sletting og oppbevaring
GDPR krever at personopplysninger ikke lagres lenger enn nødvendig. Gamle sakspapirer, aksjonærlister eller dokumenter fra avsluttede personalsaker kan ikke bare bli liggende. Samtidig krever aksjeloven at styreprotokoller oppbevares gjennom hele selskapets levetid. Derfor bør det være tydelig hva som skal beholdes og hva som kan slettes.
Innsynsrett
Registrerte personer kan be om innsyn i egne personopplysninger. Hvis styret behandler opplysninger om ansatte eller aksjonærer, bør det være enkelt å finne ut hva som er lagret og hvor.
Hva om noe går galt?
Ved personvernbrudd skal virksomheten som hovedregel varsle Datatilsynet uten ugrunnet opphold, og der det er mulig innen 72 timer. Styret bør vite at det finnes en plan for slike hendelser, og at verktøyene gjør det mulig å dokumentere hva som har skjedd.
Databehandleravtale
Når styret bruker en styreportal eller annen tredjepart til å håndtere personopplysninger, krever GDPR en databehandleravtale mellom virksomheten og leverandøren.
Avtalen regulerer hva leverandøren kan gjøre med dataene, hvordan de sikres, og hva som skjer ved brudd. Uten en slik avtale vil virksomheten typisk være i brudd med GDPR. Sjekk at den er på plass og oppdatert.
Hva du bør se etter i en styreportal
Hvis styret vurderer en styreportal, bør sikkerhet og personvern være en del av vurderingen fra start. Se etter tilgangsstyring, sikker innlogging med tofaktor, trygg deling av dokumenter, historikk, og en løsning der det er enkelt å fjerne tilgang når det trengs.
Se også på hvor data lagres, og om leverandøren har dokumenterte rutiner for informasjonssikkerhet. En ISO 27001-sertifisering betyr for eksempel at arbeidet med risiko, tilgang og rutiner er kontrollert av en uavhengig part, ikke bare av leverandøren selv.
Når styret har kontroll på verktøyene, blir det også enklere å ha kontroll på informasjonen.