Dokumentation uden styring – når governance bliver papirarbejde!

Artikel 3 i Dan Bjørnboe serie … det handler om: ”Dokumentation uden styring – når governance bliver papirarbejde”

 

Artikelintroduktion: Jesper Seidler:
I denne artikel 3 ser Dan Bjørnboe nærmere på spændingen mellem dokumentation og reel styring i arbejdet med compliance og governance. Mange organisationer har styr på databehandleraftaler, revisionserklæringer og risikovurderinger. Men dokumentation er ikke nødvendigvis det samme som aktiv styring.

Artiklen sætter fokus på, hvordan governance over tid kan udvikle sig til papirarbejde – særligt i overgangen fra projekt til drift – og hvorfor det skaber udfordringer i forhold til GDPR, informationssikkerhed og NIS2.

En relevant refleksion over, hvordan organisationer fastholder løbende risikovurdering og ansvar, når virkeligheden ændrer sig. Tilbage står igen blot at ønske rigtig god læselyst, Jesper

Artikel 3: Dokumentation uden styring – når governance bliver papirarbejde

 Artikel af Dan Bjørnboe

Offentlige organisationer har altid dokumenteret deres kontraktforhold. Det følger allerede af almindelige krav til økonomisk forsvarlig forvaltning. Med GDPR har EU og det danske Folketing gjort dokumentation til en selvstændig retlig forpligtelse på databeskyttelsesområdet.

Databehandleraftaler, behandlingsoversigter og risikovurderinger er blevet en fast del af arbejdet med anskaffelser og drift. Det er grundlæggende en styrke. Krav bliver synlige, og beslutninger kan genfindes.

Men dokumentation er ikke det samme som styring. Dokumentation fastholder os i et øjebliksbillede. Styring handler derimod om løbende at vurdere, om billedet stadig passer. Den spænding er ikke en organisatorisk fejl. Den er indbygget i compliance-begrebet selv.

Nogle gange opstår der en falsk tryghed, netop fordi dokumentationen er på plads.

NÅR DOKUMENTATION BLIVER MÅLET. Mange organisationer arbejder seriøst med compliance. Problemet er sjældent manglende vilje. Problemet opstår, når governance gradvist bliver reduceret til spørgsmålet om, hvorvidt dokumenterne findes.

De centrale GDPR-dokumenter findes, og sagen kan fremstå afsluttet. Men det er på papiret, den ser ordentlig ud.

Det siger ikke i sig selv, om styringen fungerer i praksis.

FRA PROJEKT TIL MAPPE. Mønsteret opstår ofte i overgangen fra projekt til drift. I projektfasen bliver dokumentationen brugt aktivt. Risici bliver diskuteret, og leverandørens sikkerhed bliver vurderet som en del af beslutningen.

Når løsningen går i drift, ændrer dokumentationen karakter. Databehandleraftalen bliver arkiveret, og revisionserklæringen bliver en del af den løbende dokumentation. Risikovurderingen ender som et bilag fra implementeringsfasen.

Dokumenterne findes stadig. Men de bliver ikke nødvendigvis brugt aktivt længere.

DOKUMENTET SOM AFSKÆRMNING. Dokumentationen kan også bruges aktivt. Ikke til styring, men til at lukke spørgsmålet. Ledelsen kan med rimelighed pege på, at de nødvendige complianceprocesser er gennemført, og at dokumentationen er på plads.

Driftens svar kan være, at procedurerne er fulgt, og dokumentationen opdateret. Ingen af delene er usande. Men tilsammen kan de skabe en kunstig sikkerhed. Ikke fordi nogen har handlet i ond tro, men fordi dokumentationen giver begge parter et legitimt grundlag for at betragte spørgsmålet som afsluttet.

NÅR VIRKELIGHEDEN ER I BEVÆGELSE. Virkeligheden har det med at bevæge sig videre! En kommune modtager hvert år en revisionserklæring fra en central leverandør. Erklæringen bliver journaliseret og registreret som en del af den løbende complianceproces.

Der er ikke umiddelbart alvorlige anmærkninger. Derfor bliver erklæringen let behandlet som dokumentation for, at forholdene fortsat er i orden. Samtidig ændrer leverandøren gradvist sin drift. Nye underleverandører kommer til. Funktionalitet ændrer karakter, og data flyttes mellem platforme.

Det samme sker ofte i organisationen selv. Opgaver flytter sig mellem enheder. Nye arbejdsgange opstår. Systemet bliver brugt bredere end oprindeligt forudsat. Dokumentationen kan derfor være et korrekt øjebliksbillede på tidspunktet for anskaffelsen eller revisionen. Men efter en periode i drift kan virkeligheden have bevæget sig videre.

Ændringerne fremgår måske enkeltvis forskellige steder i materialet. Men ingen vurderer samlet, om de har betydning for organisationens egen risikoprofil eller tilsynsforpligtelse. Ikke fordi nogen bevidst undlader det. Men fordi ingen længere ejer opgaven som en aktiv driftsopgave.

DET STRUKTURELLE PROBLEM. Problemet er ikke begrænset til GDPR. Det genfindes i informationssikkerhed, leverandørstyring og arbejdet med NIS2. Jo mere komplekse organisationerne bliver, desto større bliver risikoen for, at governance opdeles i spor, som ikke længere mødes i den daglige drift.

Jura håndterer forpligtelserne, mens drift sidder med systemet, og kontrakten ofte forvaltes et helt andet sted i organisationen.

Den løbende vurdering kræver tid, faglighed og et tydeligt placeret ansvar. Det gælder både spørgsmålet om, hvorvidt risikoen har ændret sig, om kontrollerne stadig fungerer, og om brugen af systemet svarer til det, man oprindeligt tog stilling til.

Den type vurderinger passer dårligere ind i faste complianceprocesser end selve dokumentationen. Og netop ansvaret for den vurdering bliver ofte uklart i driften. Ingen af delene er i sig selv forkert. Men sammenhængen bliver let svagere over tid.

FRA DOKUMENTATION
TIL AKTIV STYRING

God governance handler ikke kun om at kunne vise, hvad organisationen har besluttet. Den handler også om at kunne forklare, hvorfor beslutningen stadig gælder og hvem der følger op, når virkeligheden ændrer sig.

Det kræver ikke nødvendigvis flere dokumenter. Det kræver, at dokumentationen bliver brugt, når virkeligheden ændrer sig. Især i overgangen fra projekt til drift, hvor kontrakter og risikovurderinger ellers let bliver liggende som spor fra en afsluttet anskaffelse.

Vær OBS på, at det er i overgangene, depechen oftest bliver tabt.