Politik for sociale medier og ekstern kommunikation - SMV

Politik for sociale medier og ekstern kommunikation (P36S) fastlægger et omfattende, praktisk rammeværk til at beskytte små og mellemstore virksomheder (SMV'er) ved offentlig kommunikation. Den dækker alle eksterne referencer til virksomheden, herunder aktivitet på sociale medier, blogindlæg, deltagelse i arrangementer, mediekontakt og offentlig deling af billeder fra arbejdsmiljøer, for at håndtere de særlige compliance-, retlige og omdømmemæssige risici, der i dag er forbundet med digital kommunikation. Denne politik er særligt tilpasset som en SMV-politik, hvilket fremgår af, at rollen som administrerende direktør anvendes som primær politikejer og compliance-ansvarlig frem for dedikerede IT-ledere eller sikkerhedschefer. Denne tilgang sikrer, at selv organisationer uden en informationssikkerhedschef (CISO) eller et sikkerhedsoperationscenter (SOC) kan implementere robuste kontroller i overensstemmelse med ISO/IEC 27001:2022-krav. Alle tilknyttede personer, herunder medarbejdere, kontrahenter, freelancere, leverandører og midlertidigt personale, er omfattet, og reglerne regulerer også brug af personlige konti eller enheder, både inden for og uden for arbejdstid. Dette er afgørende for SMV'er med begrænset tilsyn og varierede, fleksible arbejdsformer. Politikkens kerneformål er klart defineret: at forebygge omdømmeskade fra ikke-godkendte eller vildledende udtalelser, beskytte følsomme virksomheds- og kundedata, opretholde løbende overholdelse af lovgivningen (f.eks. GDPR) og fremme professionel og ansvarlig onlineadfærd. Styringskravene er meget handlingsorienterede; de fastsætter f.eks. klare regler for acceptabelt og forbudt indhold, obligatoriske godkendelser ved offentlige aktiviteter, brug af ansvarsfraskrivelser ved kommentarer om brancheemner samt stærk adgangskontrol, såsom flerfaktorautentificering (MFA), for officielle konti. Tredjeparts marketing- eller PR-leverandører skal desuden overholde politikken strengt under eksplicitte kontrakter og må ikke poste indhold uden den administrerende direktørs godkendelse. Implementeringen er gjort praktisk for SMV'er: Årlig genopfriskning og onboarding-træning er påkrævet for alt personale, alt foreslået offentligt indhold skal sendes til den administrerende direktør til godkendelse med dokumentation, og der er retningslinjer for arkivering af opslag og logning af godkendelser, også ved brug af regneark. Politikken foreskriver aktiv risikostyring, herunder regelmæssige gennemgange af den administrerende direktør for eksponeringer relateret til social kommunikation, krav til håndtering og rapportering af utilsigtede videregivelser (med henvisninger til den dedikerede Politik for hændelseshåndtering (P30)) samt en struktureret proces for undtagelser og ændringer. Håndhævelsen er robust men afbalanceret; overtrædelser udløser klare disciplinære foranstaltninger og håndteres proportionalt efter alvor og hensigt. Alle interessenter, herunder leverandører, er omfattet, hvilket fremmer en helhedsorienteret og ensartet ekstern tilstedeværelse. Politikken understøttes af direkte links til relaterede SMV-kontroller om Politik for acceptabel brug, sikkerhedsbevidsthedstræning, databeskyttelse, hændelseshåndtering og retlige krav, hvilket sikrer en stærk integreret compliance-profil.