styremedlemmer og daglig leder har ansvar for digitale verdier

Ikke alle styremedlemmer, eller daglige ledere, er klar over at de står personlig ansvarlig for bedriftens it-sikkerhet og digitale verdier. Om et hackerangrep gjør stor skade, og har vært mulig på grunn av manglende kontroll med it-sikkerheten, kan du holdes økonomisk ansvarlig.
Advokat advarer: Du kan stilles personlig ansvarlig

Styreansvar innebærer at styremedlemmer i et selskap er personlig ansvarlig for tap selskapet – eller andre – blir påført dersom styret har opptrådt uforsvarlig. På samme grunnlag kan daglig leder bli ansvarlig.

Det tradisjonsrike advokatfirmaet har til enhver tid en eller flere klienter som er involvert i en løpende styreansvarssak enten i egenskap av styremedlemmer det er reist krav mot eller fra noen som mener at de er påført tap som følge av at styret har opptrådt uforsvarlig.

Datakriminalitet

Uforsvarligheten kan ligge i flere forhold enn mange tenker over. Manglende kontroll med bedriftens IT-sikkerhet er et typisk eksempel. Selv om det kanskje føles fjernt for styrerommet, har opp mot halvparten av norske bedrifter blitt utsatt for en form for datakriminalitet, og slik kriminalitet koster ifølge beregningene til Center for Strategic Studies Norge hele 19 milliarder kroner i året.

– Mange som sitter i et styre, er ikke klar over ansvaret det medfører, sier Steinberg.

Spesielt gjelder dette i mindre bedrifter, både gründerbedrifter eller familiebedrifter, hvor styrene gjerne består av familie, ansatte og venner/bekjente - og i liten grad profesjonelle styremedlemmer.

Huset kan ryke

Faktum er at nettopp styremedlemmer og daglig leder er svært utsatt hvis noe går galt med selskapet, og de kan lastes for det som skjedde.

– Som aksjonær hefter du kun for det beløpet du har investert i selskapet. Som styremedlem eller daglig leder er du derimot ansvarlig med hele din personlige økonomi. Ansvaret er lik det økonomiske tapet noen blir påført. Og det tapet kan være ubegrenset. Det kan i ekstreme tilfeller komme opp i mange hundre millioner kroner, sier Geir Steinberg.

Folkelig sagt kan du altså måtte gå fra hus og hjem, og alt annet, hvis noe går galt.

Styrets plikter

Styreansvar kan bli aktuelt ved alle tap som kan måles i penger, og du kan bli ansvarlig for alle typer handlinger og forsømmelser. Både at du har gjort noe du ikke burde ha gjort, eller at du har latt være å gjøre noe du burde.

– Det som typisk utløser styreansvar, er at styret ikke har hatt nok oversikt over risikofaktorene, sier Steinberg, og nevner alt fra skattetrekk og HMS til digitale verdier som eksempler på ting styret har ansvar for å følge med på.

Og nettopp digitale verdier er etter Steinberg mening noe mange undervurderer. I dagens digitaliserte hverdag kan nemlig tapet bli enormt hvis hackere angriper bedriftens datasystemer. For hva skjer hvis kunde- og ordrelister, tilbud, regnskaper eller strategiske planer og forretningshemmeligheter forsvinner – eller kommer i feil hender?

– Sannsynligvis vil kravet til styrets oppfølging av IT-sikkerheten bli strengere og strengere. At bedriften taper data er jo svært alvorlig. Kontroll av rutinene for forvaltning av de digitale ressursene, faller typisk innunder styreansvaret, sier den erfarne advokaten.

Anbefaler årshjul

Ifølge Steinberg, som holder foredrag om styrearbeid og har bred styreerfaring selv, er det svært viktig for et styre å ha gode rutiner. Han anbefaler å lage et årshjul, en kalender hvor man setter opp en plan for styrearbeidet for hele året, med hvilke temaer som skal behandles.

Noen temaer vil gå igjen i hvert møte. Andre spørsmål som strategi, datasikkerhet, HMS og så videre, kan settes opp på enkelte av møtene. På nettet fins det eksempler på slike årshjul for styrearbeidet.

– Hvis man gjør dette skikkelig, vil styret dekke alle temaene det skal i løpet av året, sier Geir Steinberg.

Forsikring kan redde deg

Bedriften kan også kjøpe en forsikring mot følgene av datakriminalitet. I USA er det en vanlig forsikring for firmaer, men i Norge er If Skadeforsikring det første forsikringsselskapet som tilbyr denne typen forsikring. Den dekker både økonomiske tap og tapte inntekter – samt erstatningskrav fra kunder som blir påført tap – som følge av at bedriften utsettes for datakriminalitet.

Forsikringen vil dermed kunne sikre både daglig leder og styrets medlemmer mot økonomisk ruin hvis hackere skulle angripe bedriften.

– For å ha et økonomisk ansvar krever det jo at noen har hatt et økonomisk tap. Hvis forsikringen gjør at ingen har tapt, har du heller ikke noe å erstatte, konstaterer advokaten. Det er imidlertid viktig for styret å sjekke forsikringens omfang slik at den passer til selskapets behov.

Se hva det koster å forsikre bedriften mot datakriminalitet

Frisørsalong hacket

Da en ansatt klikket på en e-post som utga seg for å komme fra pakkeleverandøren UPS, låste samtlige datamaskiner hos frisøren seg.

Presset for 40 000 kroner

Myter om datakriminalitet

En undersøkelse gjort av Ipsos MMI for If viser at norske ledere av små og mellomstore bedrifter ikke bekymrer seg for datakriminalitet.

Myter om datakriminalitet

Norske bedrifter er ikke forberedt på dataangrep

Få bedrifter vet hvordan de skal håndtere et dataangrep mot bedriften, og hvilke konsekvenser det fører med seg.

Dette kan lede til store tap