Som styresekretær (med mindre du også er daglig leder, naturligvis) har du i utgangspunktet ikke noe særskilt ansvar for at styreorganisasjonen overholder lover og regler, utover ditt personlige ansvar, som vi alle har. Du er likevel både godt plassert for å bidra til at styreorganisasjonen etterlever lovverket, og du håndterer ofte sensitivt materiale.
For deg bunner ansvaret stort sett ut i å ha et aktivt forhold til informasjonssikkerheten i hvordan du håndterer din styresekretærrolle. Er du god her, vil du samtidig hjelpe styret med å ivareta sitt ansvar, og nedsiden kan i tillegg bli stor for hele organisasjonen hvis du (eller styret) trår feil på disse områdene.
Her skiller vi mellom hva vi mener du bør bidra med, og hva vi mener du kan bidra med. Dette er basert på antakelser om, og erfaringer med, styresekretærrollen vi har opparbeidet oss gjennom flere tiår i tett kontakt med norske styresekretærer.
Dine bidrag rundt compliance (etterlevelse av lover og regler) og informasjonssikkerhet, og ditt spillerom her, avhenger av din stilling, din organisasjon, dine oppgaver og ansvarsområder. Med andre ord, kan det hende at noe vi sier du kan bidra med, er noe som akkurat du bør bidra med!
Som styresekretær tilrettelegger du både for god kommunikasjon rundt møter og informasjonsflyt utenom møtene, slik vi allerede har snakket om i tidligere kapitler i Styresekretærens styrebok.
Det er også her du kan utgjøre den største forskjellen når det kommer til informasjonssikkerheten: sørg for at du håndterer styredokumenter og informasjonsdeling på sikkert og oversiktlig vis.
Den praktiske siden av dette snakket vi mye om i Kapittel 2 – Protokoller, protokoller, så de går vi ikke mer inn på her. Du kan og bør være en naturlig pådriver for økt informasjonssikkerhet og compliance i og rundt styret ditt.
I dette kapittelet fokuserer vi på det underliggende argumentet for hvorfor god dokumenthåndtering er viktig: korrekt nedtegnet, oppbevart, og tilgjengelig dokumentasjon bidrar til tilfredsstillende informasjonssikkerhet.
Hva er informasjonssikkerhet?
Gjemt i ordet informasjonssikkerhet ligger det store mengder ansvar, jobb, konsekvenser, risiko – men også muligheter, verdiskaping, trygghet, og godt omdømme. Vi har jobbet hardt med å lage definisjonen så kort som mulig:
Informasjonssikkerhet
Å opprettholde og ivareta informasjonens konfidensialitet, integritet, og tilgjengelighet (forkortet til KIT), både når det gjelder organisasjonens egen informasjon, og eventuell annen informasjon – som ansattes og kunders personopplysninger.
Praktisk eksempel på informasjonssikkerhet
I Styreplan tilgjengeliggjør du protokollen for signering (tilgjengelighet) på en måte som sikrer at den ikke er tilgjengelig for uvedkommende (konfidensialitet), og der styret kan være trygge på at dokumentet de signerer er korrekt og ikke blir endret etter signering (integritet), tilfredsstiller KIT-kravene.
Protokoller, agenda- og saksdokumenter, vedtekter, styreinstruks, avtaler, policyer og retningslinjer – alt som skal være tilgjengelig for styret, vil sannsynligvis passere over ditt skrivebord.
Hvis ikke du (og resten av styreorganisasjonen) håndterer disse dokumentene på en trygg måte, kan konsekvensene bli store både juridisk, konkurransemessig, og med tanke på omdømme.
Det er egentlig en selvfølge at man skal behandle data/informasjon slik at de (og kun de) som skal ha tilgang faktisk har tilgang til informasjonen. Og det er like naturlig at data/informasjon ikke blir endret uten at det er meningen. Det er hva informasjonssikkerhet handler om.
Enkelt i teorien, ikke alltid like enkelt i praksis (tenk bare på håndtering av ulike versjoner av det samme dokumentet, lagret både her og der)!
Sikker digital lagring (og deling) av styrets dokumenter bør være det selvpålagte minstekravet for enhver profesjonell styresekretær. Husk at datainnbrudd rammer stadig flere, og er ikke lenger forbeholdt de største børsnoterte selskapene.
Enten du bruker en dedikert skylagringstjeneste som Dropbox eller Google Drive (G-Suite), eller en styreportal som Styreplan, sørg for sikker innlogging – minimum 2FA med SMS eller autentiseringsapp, aller helst BankID – og oppbevar maskinen din trygt.
Det viktigste du kan gjøre for din egen del, er å sørge for at du håndterer styrets dokumenter på betryggende vis, og at du i ditt arbeid etterlever KIT-prinsippene.
Hvis du i tillegg får laget gode retningslinjer for resten av styreorganisasjonen, som legger føringer for hvordan hver enkelt skal håndtere dokumenter, har du plutselig lagt grunnmuren for videre informasjonssikkerhetsarbeid på toppnivå i organisasjonen, uavhengig av enkeltpersoner.
Her noen eksempler på utkast til retningslinjer for sikker dokumenthåndtering for styret, som du kan tilpasse din organisasjon:
Retningslinjene over er en formalisering av det arbeidet du allerede gjør, og i tillegg en bevisst- og ansvarliggjøring for resten av styreorganisasjonen. Kort oppsummert har du som styresekretær ansvar for at informasjonen er tilgjengelig, og alle har et ansvar for at informasjon ikke kommer på avveie.
I forrige kapittel av Styresekretærens styrebok, Kapittel 6 - Kompetanseheving i styret, ga vi noen praktiske råd om hvordan du kan bidra til at styret holder seg oppdatert på blant annet lovverk og reguleringer.
Du er en viktig støttespiller for ledelsen (styreleder og styret, daglig leder), og mange styresekretærer fungerer i praksis som en rådgiver i og mellom styremøtene. Ofte faller det på styresekretæren å sørge for at styret er oppdatert på, og etterlever, både etiske og juridiske forpliktelser i sitt arbeid.
Å inkludere informasjonssikkerheten i dette arbeidet er naturlig, og digital sikkerhet er viktigere enn noensinne. I tillegg er det naturlig at du fungerer som mentor og støttespiller for nyvalgte styremedlemmer, du som kjenner styreorganisasjonen og styrets prosesser godt.
Eksterne styremedlemmer må settes inn i retningslinjene for god dokumenthåndtering. Styremedlemmer rekruttert internt i organisasjonen har kanskje denne kunnskapen allerede, men kan likevel trenge en gjennomgang av retningslinjene, hvordan disse etterleves i praksis, og hvilke hjelpemidler som brukes (Teams, Styreplan, og lignende).
Nyansatte i administrasjonen som skal håndtere styredokumenter, må naturligvis få samme opplæring.
E-post er uoversiktlig og lite sikkert. Likevel ender mange opp med å bruke e-post som hovedkanal for dokumentdeling på styrenivå. Du skal likevel ikke ha vært styresekretær lenge før du innser hvor mye arbeid det faktisk krever av deg å opprettholde god informasjonsflyt over e-post.
Når e-post i tillegg er langt mindre sikkert enn alternativene (skylagring og styreportal) finnes det egentlig ingen gode grunner til å sende styrets dokumenter rundt på e-post…
Det beste alternativet vil være en dedikert styreportal. En god styreportal er et støttesystem både for styret og for deg som styresekretær, og ivaretar din organisasjons informasjons- og datasikkerhet på en tilfredsstillende måte.
To norske leverandører av styreportal er i dag sertifisert i henhold til den internasjonale standarden ISO 27001, den mest anerkjente og omfattende standarden for informasjonssikkerhet. De to er Vismas datterselskap Admincontrol AS, og oss her i Styreplan AS.
Andre norske styreportaler vil etter all sannsynlighet også gjøre ditt styrearbeid sikrere – vi jobbet for eksempel med ISO27001-standarden som grunnmur i flere år før vi ble sertifisert, noe vi enkelt kunne dokumentere på forespørsel.
I dette kapittelet har vi definert informasjonssikkerhet, og gitt deg noen gode råd til hvordan du som styresekretær bør og kan bidra til økt informasjonssikkerhet – for deg, og for hele din styreorganisasjon.
Først og fremst er du, som alle andre, ansvarlig for å ivareta informasjonssikkerheten når du håndterer styrets dokumenter. Sørg for at du håndterer dokumentene på betryggende vis, og at du etterlever KIT-prinsippene (konfidensialitet, integritet, tilgjengelighet).
Du kan hjelpe din styreorganisasjon med å heve nivået på informasjonssikkerheten, ved å få laget gode retningslinjer for alle i styreorganisasjonen, som legger føringer for hvordan hver enkelt skal håndtere dokumenter.
Sikker oppbevaring, god merking, og riktig tilgangsstyring av dokumenter, er noen av forslagene til retningslinjer vi gikk gjennom i dette kapittelet.
Som styresekretær kan du også stå for opplæring i informasjonssikkerhet, ikke minst for nye styremedlemmer og ansatte. Du kan også bidra – og slå to fluer i en smekk, ved å spare alle for tid og arbeid – med å la styret ta i bruk en styreportal, gjerne fra en norsk leverandør som er sertifisert innen informasjonssikkerhet.
Denne artikkelen er en del av vår serie Styresekretærens styrebok – for å få med deg fremtidige kapitler i serien, følg oss på LinkedIn!
Styreplan AS