När en stor kund, en investerare eller en revisor granskar er är det sällan er produkt som fördröjer affären: det är pappersarbetet. Rätt uppsättning compliancedokument för företaget kan skilja mellan en snabb affär och veckor av brandsläckning. Den här listan går igenom de sju dokument som betyder mest för svenska SME-bolag, i prioritetsordning, med en länk till en djupare guide för varje. Längst ner finns en checklista ni kan stämma av på fem minuter.
De flesta bolag har några av dokumenten och saknar andra, utan att veta vilka. Poängen är inte att producera pärmar, utan att ha rätt saker på plats när någon frågar. Varför det allt oftare avgör affärer beskriver vi i compliance som konkurrensfördel.
1. Registerförteckning (GDPR)
Grunddokumentet i allt dataskyddsarbete: en förteckning över hur ni behandlar personuppgifter. Den är obligatorisk för nästan alla bolag och det första IMY frågar efter. Så bygger ni en som håller: registerförteckning (GDPR): mall och vad som ska ingå.
2. Personuppgiftsbiträdesavtal (PUB-avtal)
Varje gång en extern leverantör behandlar personuppgifter åt er krävs ett PUB-avtal: lönesystem, CRM, molntjänster. Utan dem är ni exponerade om leverantören drabbas. De fem vanligaste felen: personuppgiftsbiträdesavtal (PUB): mall och 5 fallgropar.
3. Informationssäkerhetspolicy
Det övergripande dokumentet för hur ni skyddar information, system och data. Paraplyet som alla konkreta rutiner hänger under, och något större kunder nästan alltid efterfrågar. Vad den ska täcka: informationssäkerhetspolicy: mall och guide för SME.
4. Säkerhetspolicy för vardagen
Där informationssäkerhetspolicyn är ramen, är den här den korta, praktiska varianten som medarbetarna faktiskt läser: lösenord, enheter, e-post och phishing på en sida. Så skriver ni den: säkerhetspolicy på en sida: mall och resonemang.
5. Incidenthanteringsplan
När något händer avgör de första timmarna om konsekvenserna blir hanterbara. En plan talar om vem som gör vad och hur ni når 72-timmarsgränsen för rapportering. Mallflödet: incidenthantering på 72 timmar.
6. Personalhandbok
Arbetsrättens motsvarighet: dokumentet som samlar era regler och rutiner så att de går att kommunicera, och håller vid en facklig granskning. Struktur som fungerar: personalhandbok: mall och struktur som faktiskt läses.
7. Dataskydds- och integritetspolicy mot kunder
Den externa motsvarigheten till registerförteckningen: hur ni beskriver er personuppgiftshantering utåt, på webben och i kundavtal. Den bygger på samma grund som resten av ert GDPR-arbete: GDPR för småföretag: den praktiska guiden.
Checklista: har ni de 7 compliancedokumenten på plats?
Compliancedokument: snabbkoll
Kan ni bocka av alla sju har ni en stark grund. Saknas några är det sällan ett stort projekt att åtgärda: det är några veckors strukturerat arbete. Det som brukar utlösa behovet är en kunds säkerhetsenkät; hur ni svarar på den beskriver vi i leverantörskrav på säkerhet.
Vilka dokument saknar ni?
Tio frågor ger en färgkodad bild av var ni står, och vilka av de sju dokumenten som bör prioriteras först.
