Ni av ti styremedlemmer bryter loven

Mange styrer bruker fortsatt papirer, e-post og usystematiske mapper. Det øker risikoen for brudd på personvern og svekker tillit og beslutningskvalitet fordi dokumenter håndteres, deles og slettes uten tilstrekkelig kontroll. Her får du vite hvorfor, og hva styret kan gjøre for å redusere risikoen.

Sammendrag (TLDR)

Styrearbeid har endret seg mye de siste årene, men arbeidsmetodene har ikke alltid fulgt med. Mange styrer risikerer lovbrudd fordi de bruker e-post og lokale mapper til å håndtere sensitive dokumenter med personopplysninger. Denne praksisen gjør at styret mangler kontroll over tilgang, versjoner og historikk. Konsekvensene kan være alt fra juridisk risiko og personlig ansvar til svekket beslutningskvalitet og tillitstap. Ansvar for sikker og forsvarlig styring ligger hos styret, spesielt styreleder og daglig leder. Det er viktig å gå gjennom styrets egne rutiner og praksis for å redusere risikoen.

Er styrearbeidet deres fortsatt som i 1999?

I 1999 fryktet mange en digital dommedag. Frykten skyldtes teknisk gjeld og manglende tilpasning til den digitale virkeligheten. Over 25 år senere arbeider mange styrer fortsatt på samme måte som da, med papirer sendt på e-post, signert på papir og lagret i permer eller på tilfeldige mapper på den enkeltes PC. Internasjonale undersøkelser viser at få styrer har tatt i bruk verktøy som ivaretar styreansvarets krav til kontroll og etterprøvbarhet. 1999-spørsmålet fungerer som et speil. Dersom rutinene minner om en tid med svak tilgangskontroll, mangelfull logging og tilfeldig sletting, er det et tydelig faresignal.

E24 har publisert en kronikk fra Ernst & Young (EY) Norge som påpeker at ni av ti styremedlemmer risikerer brudd på personvernlovgivningen. En hovedårsak er svak kontroll på hvordan styredokumenter håndteres, deles, lagres og slettes. Selv i digitalt modne virksomheter er e-post, vedlegg og spredte mapper fortsatt utbredt. Det gjør tilgang, versjoner og historikk krevende å styre.

Veilederen forklarer hvilke praksiser som skaper risiko, årsakene bak og hvilke følger manglende kontroll har for etterlevelse, kvalitet og tillit. Den er skrevet for styremedlemmer, daglig leder, styresekretærer og kandidater til slike roller.

Hvorfor dette gjelder mange styrer

Den praktiske hverdagen i mange styrer er preget av verktøy og rutiner som oppleves som raske og kjente. E-post, Word og spredte mapper gir en følelse av kontroll, men i praksis mangler styret helhetlig oversikt, sporbarhet og etterprøvbarhet. Når møteinnkallinger, agendaer og protokoller sendes som vedlegg, når historikk blir liggende i personlige innbokser, og når tilgang for tidligere styremedlemmer ikke fjernes, oppstår det et strukturelt avvik mellom faktisk praksis og lovens krav. Det er ikke unikt for et fåtall. Det er den daglige realiteten for mange.

Selv i virksomheter med høy digital modenhet skjer styrearbeidet ofte i kanaler som ikke er designet for sensitiv behandling. Styredokumenter vil, med høy sannsynlighet, inneholde personopplysninger om ansatte, kandidater, kunder, eiere og partnere. Når slike data deles via e-post og lagres i private mapper, er det lett å miste kontroll på hvem som har tilgang, hvor lenge informasjonen lagres og om sletting faktisk skjer. Dette gapet mellom praksis og krav er kjernen i advarselen E24 løfter frem.

E-post gjør styrearbeidet mindre sikkert og effektivt

Styreverv er personlig, og mange bruker én e-postadresse for alle verv. Når dokumenter fra ulike styrer samles i samme innboks og ofte i like tråder, øker risikoen for feil mottaker, feil vedlegg, sammenblanding av taushetsbelagt informasjon og manglende etterprøvbarhet. Dette er vanskelig å oppdage i etterkant og gjør hendelser krevende å dokumentere.

I tillegg til sikkerhetsutfordringene bidrar e-post til ustrukturert og fragmentert kommunikasjon. Viktig informasjon forsvinner lett i lange tråder eller overses i overfylte innbokser. For styremedlemmer med flere verv blir det krevende å holde oversikten, og det finnes ingen garanti for at alle jobber i samme versjon.

Typiske forhold som skaper lovbrudd

Disse vanlige praksisene utgjør den største risikoen for lovbrudd. Hver for seg kan de virke uproblematiske, men sammen svekker de styrets kontroll, sporbarhet og etterlevelse.

• Bruk av e-post: Distribusjon av styrepapirer i e-posttråder. Vedlegg blir liggende i private innbokser og mapper, uten kontroll på videresending, lagringstid og sletting. E24-artikkelen peker på at nettopp distribusjon av styredokumenter er et svakt punkt.
• Taushetsplikt og innsyn: E-post øker faren for feiladressering, videresending og deling på tvers av verv. Når feil skjer, er det vanskelig å dokumentere hvem som gjorde hva, når og med hvilken versjon.
• Lokal lagring: Lokal lagring eller deling via personlige skyløsninger. Tilgang følger enkeltpersoner, ikke styrets funksjon, og sletting blir tilfeldig.
• Versjonsglidning: Det jobbes i ulike versjoner av samme dokument fordi endringer ikke styres og logges samlet. Dette kan typisk skje dersom flere versjoner av dokument er mottatt på e-post, og der man ved feil tar utgangspunkt i feil versjon.
• Tilgangskontroll: Vedvarende tilgang for tidligere styremedlemmer, konsulenter eller observatører. Manglende rutiner for bortfall av adgang gjør at gamle dokumenter kan leses lenge etter at vervet er avsluttet.
• Protokollkontroll: Protokoll sendes på høring og signering uten samlet sporbarhet. Det blir uklart hvem som har gitt innspill til justeringer, godkjente hva og på hvilket grunnlag.

Fellesnevneren er mangel på helhetlig struktur, samlet historikk og tydelig tilgangsstyring. Det gjør enkelthandlinger sårbare og hele styrets praksis vanskelig å etterprøve.

Hvorfor styret svikter

Når styret svikter handler sjelden om vond vilje, men om en kombinasjon av vaner, manglende kunnskap og uklart eierskap. Her er en oversikt over de vanligste årsakene.

• Vanens makt: Rutiner som "alltid har fungert" videreføres uten vurdering opp mot dagens krav.
• Sterke personligheter: Sterke preferanser låser praksis. En dominerende styreleder eller daglig leder kan holde fast ved gamle arbeidsmåter og utsette styret for unødig risiko.
• Gradvis økende kompleksitet: Virksomheten endrer seg litt etter litt, men styrets arbeidsmetodikk oppdateres ikke i samme tempo. Krav og risiko øker uten at noen merker det før avvikene blir tydelige.
• Manglende risikoforståelse og kompetanse: Styret undervurderer konsekvensene og mangler oppdatert kunnskap om krav til behandling, sletting, innsyn og logging.
• Svakt eierskap: Ingen opplever å ha ansvar for å endre praksis. Uten tydelig lederskap pulveriseres ansvaret, og tilfeldige løsninger sprer seg.

Samlet viser disse faktorene hvorfor styret ofte mangler den nødvendige kontrollen.

Konsekvenser når styret mangler kontroll

Når styret mister kontroll på tilgang, versjoner og historikk, får det følger som går langt utover tekniske detaljer. Konsekvensene rammer etterlevelse, kvalitet i beslutninger og tillit. Punktene under oppsummerer de vanligste utslagene du bør se etter.

• Økt sannsynlighet for lovbrudd og personlig ansvar: Manglende kontroll med distribusjon og lagring kan utløse brudd på personvernreglene, som kan føre til sanksjoner for selskapet og i verste fall personlig erstatningsansvar for styremedlemmer ved grov uaktsomhet og økonomisk tap. Styreansvarsforsikring dekker ikke alt, og ansvarlige kan stilles til ansvar etter selskapslovens
• Svekket kvalitet i styrearbeidet: Når dokumenter og kommunikasjon er fragmentert, blir det vanskeligere å sikre at alle jobber i samme versjon og på samme faktagrunnlag. Kvaliteten i styrebehandlingen faller.
• Tillitstap: Medieoppslag om styredokumenter på avveie kan gi tillitsbrudd og økonomiske konsekvenser som kan overstige bøter og sanksjoner. Uklare prosesser og svak etterprøvbarhet reduserer tilliten hos eiere, ansatte, kunder og andre interessenter.
• Manglende kontinuitet: Ved utskiftninger i styret går historikk og sammenhenger tapt fordi de ikke er samlet. Onboarding blir tyngre, og beslutningsminnet blir kort.

Dette er ikke bare et juridisk problem. Det er et styringsproblem som direkte påvirker kvaliteten på styrets arbeid.

Sjekkliste: Er dere i risikosonen?

Sjekklisten under hjelper styret å vurdere hvor sårbar dagens praksis er. Les hvert punkt og svar ja eller nei, uten tolkning eller unntak. Tell antall ja-svar for en enkel risikovurdering, 0 til 2 lav, 3 til 5 moderat, 6 eller flere høy. Noter hvilke punkter som traff, og hvilke situasjoner som utløste ja. Hvis flere i styret svarer ulikt, tyder det på manglende felles forståelse og økt risiko. Bruk resultatet som grunnlag for en intern gjennomgang av praksis.

1. Sendes styrepapirer fortsatt som vedlegg i e-post?
2. Har tidligere styremedlemmer eller rådgivere fortsatt tilgang til dokumenter?
3. Finnes det ikke en samlet historikk for vedtak, dokumenter og oppfølging?
4. Er det uklart hvem som har tilgang til hva, og når tilganger fjernes?
5. Jobber dere ofte i ulike dokumentversjoner uten felles logg?
6. Sendes protokollen på høring uten at hele prosessen kan spores samlet?
7. Ligger personopplysninger lagret i personlige innbokser eller mapper?
8. Mottar og håndterer styrepapirer for flere verv i samme personlige e-postinnboks?
9. Er det uklart hvordan innsyn, sletting og lagring håndteres i praksis?
10. Varierer styrets praksis fra møte til møte, uten styrende prinsipper?

Svarene gir et direkte bilde av styrets risikobilde. En høy poengsum er et tydelig faresignal. Det viser at styret kan stå overfor alvorlige konsekvenser, ikke bare i form av lovbrudd, men også for kvaliteten på styrearbeidet og tilliten fra eiere, ansatte og andre interessenter.

Konkrete eksempler

Under ser du to scenarioer som viser hvordan e-postrutiner kan skape både sikkerhetsbrudd og svakere beslutninger.

Scenario 1: Feilsendt styredokument

En e-posttråd i styret pågår over flere dager. Et oppdatert dokument med personopplysninger sendes ved en feil til et tidligere styremedlem i konflikt med selskapet. Feilen oppdages først når vedkommende svarer i tråden. Da ligger dokumentet allerede i flere innbokser og på ulike enheter. Det tidligere styremedlemmet videresender e-posten til sin advokat for å synliggjøre at styret mangler kontroll. En intern gjennomgang avdekker at tilgangsstyring og sletting ikke følger regelverket. Resultatet er svekket omdømme og økt risiko for sanksjoner. Hendelsen viser at gamle rutiner ikke tåler dagens krav.

Scenario 2: Versjonsglidning i beslutningsgrunnlag

Styret skal beslutte en investering. Saksansvarlig sender et oppdatert beslutningsgrunnlag på e-post. I en eldre e-posttråd svarer et styremedlem med en tidligere versjon vedlagt. Flere styremedlemmer forbereder seg til møtet med ulike tall. I møtet viser det seg at deltakerne har ulike forutsetninger, og saken må utsettes. Etterpå bruker administrasjonen tid på å rydde i versjoner, journalføre korreksjoner og informere interessenter. Hendelsen viser hvordan versjonsglidning og manglende systemer direkte svekker kvaliteten i styrets beslutninger.

Oppsummering og ansvarslinje

Gapet mellom lovens krav og vanlig praksis er reelt for mange styrer. Personopplysninger behandles uten tilstrekkelig kontroll, dokumentflyten er uoversiktlig, og etterprøvbarhet er svak. Dette er ikke et rent IT-spørsmål. Det er en del av styrets kjerneansvar for forsvarlig organisering og kontroll.

Ansvaret ligger hos styret som kollegium, med særskilt ansvar hos styreleder og daglig leder. Samtidig er det ofte styresekretæren som ser svakhetene tydeligst, fordi vedkommende håndterer dokumenter og prosesser i praksis. Styret kan ikke individualisere ansvaret bort. Når praksis er utdatert, øker risikoen for brudd, bøter og svekket styring. Budskapet er enkelt. En kritisk gjennomgang av egen praksis er første og nødvendige steg for å redusere risiko og sikre etterlevelse.