Orden i eget hus sikrer etterlevelse – som igjen er helt sentralt for å håndtere risiko
Et system for etterlevelse er ikke en øvelse for skrivebordsskuffen.
– Arbeidet med etterlevelse – eller compliance – innebærer å sikre systematisk fokus på at virksomheten etterlever lover og regler som treffer den. Det handler om å bygge et system som sikrer at ansatte følger reglene som gjelder for virksomheten, sier Line Coll, direktør i Datatilsynet. Det å sikre ivaretakelsen av personvernet til ansatte og eksterne er gjerne en helt sentral del av dette arbeidet for mange virksomheter, og Coll legger ikke skjul på at dette arbeidet kommer med en kostnad. Samtidig innebærer mangelfull etterlevelse risiko på flere plan.
– Det å holde orden i eget hus er et så stort pluss og en verdi i driften av virksomheter at det for de fleste vil være utenkelig å si at man ikke skal prioritere det, sier Coll.
Coll vil under konferansen DND2023 gi et innblikk i hvordan ledere og styret bør jobbe med forebygging, risikovurdering, hendelseshåndtering og tillit for å bygge god etterlevelses-kultur.
Etterlevelse sikrer riskohåndtering
– Et operasjonelt system for etterlevelse forutsetter at styret og ledelse aktivt uttrykker krav og forventninger til egen virksomhet som støtter opp under arbeidet med etterlevelse av regelverk. Samtidig må styre og ledelse prioritere ressurser til denne typen arbeid, og erkjenne at arbeidet krever ressurser og at det tar tid. Forståelse for merarbeid og det å bygge kultur og motivasjon for etterlevelse hos de ansatte er grunnstenen i et vellykket system. Risikohåndtering har en kostnad og er en investering både i omdømme, og i forsvarlig og etisk drift som krever kontinuerlig etterlevelse, sier Coll.
Hvilke regler skal etterleves
– Det er mange sett med regler som treffer virksomheter, som dermed må jobbes med innenfor et slikt system. Det første som må på plass, er å kjenne regelverkene virksomheten treffes av, det være seg personvern, hvitvasking, miljø og bærekraft eller finansregulatoriske krav. Det å skaffe oversikt over reglene er første bud, deretter må man finne ut hvordan virksomheten skal etterleve reglene.
Coll understreker at det her ikke gjelder en «one size fits all», og at man ikke bør adoptere noe uten å tilpasse det til egen virksomhet.
– Hvis man bare adopterer et system som har fungert for andre, blir det vanskelig. Man må ta utgangspunkt i egne regulatoriske krav i forhold til systemer og prosesser virksomheten har, og starte der. Nøkkelen til å lykkes, er at alle nivåer kjenner til reglene og systemet ledelsen eller styret vedtar, og at det operasjonaliseres som en integrert del av arbeidshverdagen.
Avdekke risiko
– Ved å benytte en risikomatrise vil man finne ut hva som er de mest fremtredende risikoene for virksomheten. Når det gjelder personvern avhenger det av typen virksomhet, og i hvilket omfang virksomheten behandler personopplysninger. For en skole vil det ha store konsekvenser om personvern brytes, mens dette ikke vil være en like fremtredende risiko for en produksjonsbedrift, sier Coll.
Risikokartet som tegnes bør ofte være oppe på styre- og ledelsesmøter, og ikke henvises til skrivebordsskuffen. Oppmerksomhet må være på løpende risiko man må jobbe for å møte.
– EU og lovgiver griper mer og mer inn i virksomhetens drift gjennom regulatoriske krav. Det kan derfor være nødvendig med juridisk kompetanse og bistand i en startfase, og med jevne mellomrom for å kalibrere. Man kommer imidlertid langt ved å starte selv. Datatilsynet har mange gode verktøy som kan brukes, som overordnede maler innenfor personvern, internkontrollsystem og databehandleravtaler, sier Coll.
Hvordan unngå fatigue
– Etterlevelses-fatigue er en risiko som kan inntreffe når det oppleves som for vanskelig eller tungvint å følge systemet som er etablert. De ansatte kan gå lei, og ikke orke mer. Derfor er det viktig at ledelsen og styret er med på å etablere og opprettholde en kultur og forståelse for at systemet er etablert for at virksomheten skal være lovlydige, og at det ikke skapes slingringsmonn for glipper. Signalene styret sender er viktige – at de viser forståelse for at arbeidsoppgaver kan ta mer tid, men at systemet skal følges, avrunder Coll.