Data-tab i skyen, er det bestyrelsens ansvar?

Af Frank Stott, Stott.dk

Som bestyrelsesmedlem har vi et stort ansvar overfor virksomhedens kunder og ejere, og mange er klar over at man skal forholde sig til Selskabslovens § 115, og har derfor etableret økonomiske kontrolforanstaltninger i bestyrelserne. Et meget overset punkt er, at bestyrelsens ansvar overfor tab af virksomhedens data, samt det ansvar vi har, ikke blot er økonomisk men også i henhold til persondatalovgivningen…

Et ansvarsområde område, som det bliver vigtigere og vigtigere at vi, som ledelse og bestyrelse, har styr på!

Der er i dag ved at ske et teknologiskifte i virksomhederne. Et skifte, som er drevet dels af nye teknologiske muligheder og dels af finansielle nøgletal. De danske virksomheder begynder at lægge deres IT drift ud i skyen…

Dette er drevet af producenterne af IT, som (næsten) alle i dag tilbyder deres produkter ”As A Service” , men det er også drevet af de økonomiske nøgletal i virksomhederne. Ved at omlægge vores IT drift fra CAPEX til OPEX (anlægsomkostninger til driftomskostninger, red.) opnår vi en umiddelbar forbedring af en række økonomiske nøgletal.

Dette er ikke nyt, det har vi gjort i flere år ved at lade IT driften blive flyttet ud i hostingcentre og derved høste de økonomiske fordele. 
Det nye er, at nu flytter vi vores IT drift og applikationer ud i skyen.

Skyen (Cloud) tilbyder en lang række IT ydelser ”As a Service” som det er tillokkende at benytte sig af som virksomhed, og indtil nu har vi ladet dette være en drift opgave/beslutning. Dette er en stor fejl, med mindre vi som bestyrelse har sikret os, ved at virksomheden har en IT drift- og sikkerhedsplan, der også involverer håndteringen af data – ikke blot egne data, men også virksomhedens kundedata.

Udviklingen går hurtigt

Grunden til at dette er så vigtigt, er den udvikling som skyen har været igennem de senere år. I dag lægger virksomheder alle mulige typer data ud i skyen, tænk blot på produkter som: Salesforce, Office365, SAP, HANA, diverse regnskabsprogrammer, dropbox, osv. osv. Kendetegnende for disse applikationer er at virksomhederne lægger økonomiske nøgletal, strategiplaner, person og kundedata og meget mere ud i skyen, uden nødvendigvis at forholde sig til, hvor de opbevares fysisk og hvem, der kan have adgang til disse.

EU er i gang med at revidere en del af det lovgrundlag, som ligger til grund for, hvordan virksomheder skal og må opbevare data (EU’s datalovgivning, som er fra 1996). Denne ændring vil givet vis også påvirke de danske data og persondatalovgivninger.

Det er i sidste ende bestyrelsens ansvar

Som bestyrelsesmedlem har vi det endelige ansvar for at virksomheden drives efter gældende lovgivning, og vi kan drages til ansvar for 3’de parts misbrug af data og eventuelle økonomiske tab, som de kunder virksomheden har, måtte lide. Derfor er det vigtigt at gå ned i maskinrummet og kigge på, hvordan virksomheden behandler og opbevarer sine og kundernes data, et område vi tidligere har overladt til den daglige ledelse.

Husk, at de lovgivninger, som vi i dag er underlagt omkring disse områder, er fra den tid, hvor vi kun lige havde stiftet bekendtskab med PC´en og hvor strategiplaner, regnskaber m.m. blev ført på analoge medier (også kaldet papir). I dag ligger alt dette elektronisk og kun i ganske få virksomheder er der styr på IT- sikkerheden, når det gælder opbevaring og adgang til data.

Frank Stott, har i mange år arbejdet med salg/implementering af IT-løsninger for virksomheder som IBM, Cisco m.fl. Er idag coach og mentor for en række virksomheder.