Kort svar

Når et brudd rammer personopplysninger eller sentrale systemer, må styret forstå både håndteringen av hendelsen og hva den sier om selskapets styring og kontroll.

Styret bør tidlig avklare når og hvordan styret skal involveres i en hendelse, hvilke spørsmål styret bør stille til ledelsen og hvordan læring og forbedringer følges opp etterpå.

Når dette blir aktuelt

  • når virksomheten har hatt eller frykter større sikkerhetsbrudd
  • når styret er usikkert på når det skal involveres
  • når personvern og sikkerhet håndteres i ulike siloer i ledelsen

Det bedriften bør avklare først

SpørsmålHvorfor det betyr noe
Når og hvordan styret skal involveres i en hendelseavgjør om alvorlige avvik får riktig forankring
Hvilke spørsmål styret bør stille til ledelsener viktig for å teste om håndteringen er god nok
Hvordan læring og forbedringer følges opp etterpåreduserer risikoen for gjentakelse

Slik bør dere gå fram

  1. Avklar hvilke terskler som gjør at hendelser skal rapporteres til styret umiddelbart.
  2. Still spørsmål om omfang, berørte verdier, meldeplikt og midlertidige tiltak.
  3. Be om tydelig plan for kommunikasjon, håndtering og gjenoppretting.
  4. Følg opp etterpå med fokus på årsak, læring og styringssvakheter.

Dokumenter og spor som bør være på plass

Styresaker blir sjelden enklere av å vente; tydelig agenda, dokumentasjon og oppfølging er ofte det som reduserer risikoen.

  • hendelsesrapport eller styrenotat om bruddet
  • vurdering av meldeplikt og berørte personer
  • kommunikasjons- og beredskapsplan under hendelsen
  • oppfølgingsplan med forbedringstiltak og ansvarlige

Typiske feil

  • styret får høre om hendelsen for sent eller for overordnet
  • oppfølgingen stopper når driften er oppe igjen
  • ingen kobler hendelsen til svakheter i styring, leverandørbruk eller internkontroll

Når bør dere få konkret hjelp?

Når hendelsen er alvorlig eller viser systemsvakheter, bør styrets rolle og oppfølging kvalitetssikres tidlig i forløpet.

Relaterte guider

Offentlige kilder og videre lesning