Kort svar
Når et brudd rammer personopplysninger eller sentrale systemer, må styret forstå både håndteringen av hendelsen og hva den sier om selskapets styring og kontroll.
Styret bør tidlig avklare når og hvordan styret skal involveres i en hendelse, hvilke spørsmål styret bør stille til ledelsen og hvordan læring og forbedringer følges opp etterpå.
Når dette blir aktuelt
- når virksomheten har hatt eller frykter større sikkerhetsbrudd
- når styret er usikkert på når det skal involveres
- når personvern og sikkerhet håndteres i ulike siloer i ledelsen
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Når og hvordan styret skal involveres i en hendelse | avgjør om alvorlige avvik får riktig forankring |
| Hvilke spørsmål styret bør stille til ledelsen | er viktig for å teste om håndteringen er god nok |
| Hvordan læring og forbedringer følges opp etterpå | reduserer risikoen for gjentakelse |
Slik bør dere gå fram
- Avklar hvilke terskler som gjør at hendelser skal rapporteres til styret umiddelbart.
- Still spørsmål om omfang, berørte verdier, meldeplikt og midlertidige tiltak.
- Be om tydelig plan for kommunikasjon, håndtering og gjenoppretting.
- Følg opp etterpå med fokus på årsak, læring og styringssvakheter.
Dokumenter og spor som bør være på plass
Styresaker blir sjelden enklere av å vente; tydelig agenda, dokumentasjon og oppfølging er ofte det som reduserer risikoen.
- hendelsesrapport eller styrenotat om bruddet
- vurdering av meldeplikt og berørte personer
- kommunikasjons- og beredskapsplan under hendelsen
- oppfølgingsplan med forbedringstiltak og ansvarlige
Typiske feil
- styret får høre om hendelsen for sent eller for overordnet
- oppfølgingen stopper når driften er oppe igjen
- ingen kobler hendelsen til svakheter i styring, leverandørbruk eller internkontroll
Når bør dere få konkret hjelp?
Når hendelsen er alvorlig eller viser systemsvakheter, bør styrets rolle og oppfølging kvalitetssikres tidlig i forløpet.
Slik bruker dere guiden i praksis
For en bedrift er ikke målet å lese seg opp på styrets ansvar ved personvern- og sikkerhetsbrudd i seg selv. Målet er å avklare hva som må besluttes, hvem som eier oppfølgingen, og hvilke dokumenter som bør tåle en senere kontroll, tvist eller intern gjennomgang.
Bruk derfor guiden som en arbeidsliste: start med grunnlag, vurdering, beslutning og oppfølging, og fordel deretter oppgavene mellom styreleder, daglig leder og styremedlemmene som trenger et forsvarlig beslutningsgrunnlag. Da blir vurderingen mer konkret enn en generell regelavklaring, og dere reduserer risikoen for svakt beslutningsgrunnlag, uklare protokoller og manglende oppfølging av risiko.
Spørsmål som gir bedre avklaring
- Hvilket beslutningsgrunnlag trenger styret før saken kan behandles?
- Hvilke alternativer, risikoer og økonomiske konsekvenser bør fremgå tydelig?
- Hva skal protokollen vise om vurderingen, uenighet og videre oppfølging?
- Hvem eier tiltakene etter styremøtet, og når skal styret få ny status?
- Er saken så vesentlig at eiere, revisor eller ekstern rådgiver bør involveres?
Et godt beslutningsgrunnlag bør vise
| Del | Hva bør stå klart |
|---|---|
| Grunnlag | hvilke tall, risikovurderinger og alternativer styret faktisk har fått |
| Vurdering | hva styret har diskutert, prioritert og eventuelt bedt ledelsen følge opp |
| Sporbarhet | hvordan beslutning, uenighet og videre kontroll fremgår av protokollen |
Denne typen oversikt gjør det enklere å prioritere riktig nivå på arbeidet. Den hjelper også bedriften å skille mellom det som kan løses med bedre intern rutine, det som bør avklares med motpart eller leverandør, og det som bør vurderes før dere tar neste formelle steg.
Relaterte guider
- Styrets oppfølging av likviditetsprognoser: hva bør rapporteres?
- Styrets rolle ved låneopptak, garantier og sikkerhetsstillelse
- Styrets ansvar for forsvarlig egenkapital og likviditet