Centrala principer för ett effektivt compliance-arbete?
Vad utmärker ett effektivt compliance-arbete? Den frågan har vi fått många gånger och den är alltid lika svårt att svara på. Det finns en mängd olika förklaringar till varför vissa lyckas och andra misslyckas. För det första beror det på vad compliance-arbetet går ut på och komplexiteten i regelverken. Det är skillnad på efterlevnad av de finansiella regelverken och dataskyddsförordningen för att ge ett exempel. För det andra är vissa organisationer mer mottagliga för central styrning, uppföljning och kontroll. Det är min erfarenhet att hierarkiska och lite trögare organisationer har lättare att hantera regelverkskrav än decentraliserade organisationer. För det tredje påverkar kulturen i organisationen i stor utsträckning. En kreativ och innovationspräglad kultur är i regel en större utmaning ur ett compliance-perspektiv än en förvaltande verksamhet.
Samtidigt finns det många saker som förenar ett effektivt compliance-arbete. Det vi främst syftar på är ansvarsfördelningen i tre försvarslinjer.
Tre försvarslinjer
Inom regulatorisk compliance brukar det talas om de tre försvarslinjerna (eller ansvarslinjer) och tar sin utgångspunkt i verksamhetens hantering av finansiella risker. Motsvarande modell appliceras med fördel även på andra risker, inte minst integritets- och dataskyddsrisker. Dataskyddsförordningen ger, om än implicit, stöd för en modell om tre försvarslinjer. Den här artikeln redogör för hur modellen med tre försvarslinjer tillämpas i förhållande till dataskyddsförordningen (GDPR), men kan likaväl appliceras på andra regelverk.
Den första försvarslinjen
Den första försvarslinjen utgörs av ledningen av affärsverksamheten som genom sitt linjeansvar äger riskerna. Det yttersta ansvaret för att hantera riskerna faller på linjeorganisationen som även ansvarar för styrning och kontroll av verksamheten. Den första försvarslinjen är i stort ett resultat av organisationens formella hierarkier.
Ur ett dataskyddsperspektiv ägs riskerna av den som faktiskt har möjlighet att utöva kontroll över dessa, nämligen den personuppgiftsansvarige. För att uppnå ett effektivt dataskyddsarbete på denna flank krävs en tydlig ansvarskedja och inte minst ett tydligt ansvarsutkrävande. Min erfarenhet är att det finns betydligt större utmaningar att upprätta en ansvarskultur i platta organisationer och verksamheter präglade av stort inflytande av medarbetarna, hög innovationstakt och kreativitet. Vi har också noterat att vissa företag och myndigheter har försökt delegera personuppgiftsansvaret till andra funktioner, inte sällan till juristfunktionen eller HR. Resultatet blir inte sällan att riskerna placeras hos någon som saknar effektiva möjligheter att kontrollera dessa.
Den andra försvarslinjen
Den andra försvarslinjen är mer funktionellt orienterad. Här avses funktioner som är satta att övervaka första försvarslinjens förmåga att hantera riskerna och efterleva det aktuella regelverket. Till skillnad från den första försvarslinjen är den andra försvarslinjen uteslutande stödjande och kontrollerande och bör inte blanda sig i beslut som påverkar riskerna och risktagande.
Ur ett dataskyddsperspektiv utgörs den andra försvarslinjen av dataskyddsombudet och den organisation denne har till sitt förfogande för att bedriva uppföljning och kontroll samt att bedriva en stödjande verksamhet. I sammanhanget är det viktigt att betona dataskyddsombudets självständiga ställning och roll som väktare. Dataskyddsombudet bör därför hålla sig borta från beslut som har påverkan på såväl integritetsrisker som risker förknippade med bristfällig regelefterlevnad. Det är även viktigt att dataskyddsombudet har de resurser som krävs för att göra sitt jobb och att de resurser som står till dennes förfogande intar ett mer neutralt förhållningssätt till affärsverksamheten än vad som är brukligt för exempelvis en intern juristfunktion. Det kan dock finnas en pedagogisk utmaning att förklara nyttan med ett oberoende dataskyddsombud i verksamheter med låg compliance-mognad.
Enligt vår mening bör dataskyddsombudet i första hand fokusera på regelbunden uppföljning av integritets- och dataskyddsrisker. Dataskyddsombudet bör även vidta kontroll- och stödåtgärder som främjar ett effektivt riskarbete utan att ta på sig ett eget ansvar för riskerna. I omogna organisationer kan utbildning och vägledningar vara effektiva verktyg medan pekpinnar och granskningsåtgärder lämpar sig bättre i mogna verksamheter. Det gäller att anpassa åtgärderna efter behov och vad som ger mest pang för pengarna.
Den tredje försvarslinjen
Den tredje försvarslinjen utgörs av funktionen för internrevision. Internrevisionen arbetar i regel på styrelsens uppdrag och granskar första och andra försvarslinjens sätt att utföra sina uppdrag. Revisorn har inget ansvar för affärsverksamheten eller för styrning och kontroll. En förutsättning för att kunna utföra en effektiv granskning krävs såväl revisionsmetodik som kunskap i ämnet. Viss interngranskning kan förvisso utföras av dataskyddsombudet men inte helt sällan uppstår intressekonflikter som kan vara svåra att förena med en helt oberoende granskning. Därför är en externt anlitad revisor att föredra.
Varför behövs dessa försvarslinjer?
I de bästa av världar är den andra och tredje försvarslinjen överflödiga om den första försvarslinjen fungerar som den ska. Hade affärsverksamheten haft förmåga att hantera sina risker utan stöd och kontroll av andra funktioner hade detta varit att föredra. Men så är sällan fallet, varken i näringslivet eller på fotbollsplanen. Såväl backlinje som målvakt är överflödiga om vi har ett tillräckligt starkt mittfält och forwards. Men verkligheten är ofta en annan. De flesta organisationer behöver minst tre försvarslinjer för att bedriva ett effektivt compliance-arbete, oavsett om det rör dataskydd, penningtvätt eller efterlevnad av konkurrensregler. I vissa fall kan även en fjärde och femte försvarslinje att behöva upprättas. I händelse av en incident kan man som företag eller myndighet även behöva hantera media och allmänhet som en fjärde försvarslinje. Och vid en efterföljande rättsprocess behövs en femte försvarslinje bestående av skickliga jurister som kan föra ens sak.
Hur kan Bonde Barzey Advokatbyrå hjälpa?
Bonde Barzey Advokatbyrå kan bistå med att bygga och leda compliance-arbetet inom dataskydd i organisationer som vill rusta sig för framtiden.
Nina Barzey är advokat, grundare och partner hos Bonde Barzey Advokatbyrå.
Hans-Peter Erlingsson är Senior Specialist hos Bonde Barzey Advokatbyrå med inriktning specialisering inom Governance, Risk och Compliance med AI, integritet och dataskydd och IT-rätt som specialitet.