Politik for sociale medier og ekstern kommunikation

Politik for sociale medier og ekstern kommunikation (P36) fungerer som et omfattende rammeværk for styring af al offentlig kommunikation, der involverer organisationen, dens personale og dens brand. Dokumentet indeholder klare retningslinjer og obligatoriske procedurer, der er udformet til at forebygge omdømmeskade, regulatoriske overtrædelser, lækage af immaterielle rettigheder og uautoriserede videregivelser via sociale og digitale mediekanaler. Politikken gælder for alle medarbejdere, kontrahenter, praktikanter og tredjepartsrepræsentanter, der kommunikerer på vegne af organisationen, omtaler den i offentlige sammenhænge eller bruger konti af enhver type (personlige eller virksomheds-) til at deltage i drøftelser relateret til organisationen. Omfattede kanaler inkluderer almindelige sociale medieplatforme, blogs, fora, offentlige e-mails, medieinterviews, offentlige taler og onlinefællesskaber. Alle former for både forhåndsplanlagt og realtidskommunikation fra enhver enhed er omfattet af politikkens anvendelsesområde. De primære mål er at: forebygge utilsigtet eller bevidst frigivelse af følsomme eller regulerede data; sikre, at officielle udtalelser er autoriserede, korrekte og i overensstemmelse med brandstandarder; undgå omdømmeskade gennem konsistent kommunikation; opfylde gældende retlige og reguleringsmæssige forpligtelser; samt beskrive klare ansvarsområder, anvendelsestilfælde og håndhævelsesforanstaltninger for alle, der deltager i offentlig kommunikation. Politikken beskriver specifikke roller: Marketing-/kommunikationsansvarlige varetager godkendelse af indhold og online overvågning; IT- og sikkerhedsteams overvåger lækager, angreb og efterligning; juridisk og compliance gennemgår indholdets overholdelse og håndterer regulatoriske underretninger; afdelingschefer håndhæver politikken på teamniveau; mens alt personale har personligt ansvar for enhver reference til organisationen. Blandt styringskravene er regler, der fastslår, at kun autoriserede talspersoner afgiver officielle udtalelser, at alle virksomhedskonti anvender flerfaktorautentificering (MFA) og stærk adgangskodestyring, og at upassende eller uautoriseret ekstern kommunikation er strengt forbudt. Politikken kræver centraliseret revisionslogning af adgang til sociale konti, regelmæssige gennemgange af adgangsrettigheder og godkendelse af indhold for planlagte opslag. Brandomtaler, uautoriserede eller efterlignende konti samt pludselige stigninger i negativt sentiment overvåges af marketing-/informationssikkerhedsteamet, med krav til eskalering og håndtering af sikkerhedshændelser ved enhver mistanke om brud eller misbrug. Protokoller for håndtering af sikkerhedshændelser er klart defineret og kræver øjeblikkelig inddæmning (sletning, dokumentation, hændelsesrapportering), aktivering af Politik for hændelseshåndtering (P30), hvor personoplysninger eller følsomme data er involveret, underretning af juridisk og compliance og DPO samt indberetningspligtige brud inden for fastsatte frister (for eksempel GDPR’s 72-timersregel). Efterhændelsesgennemgang, korrigerende handlinger og revisionslogning er integrerede dele af politikkens håndhævelsesmekanisme. Undtagelser kan kun gives i stramt kontrollerede scenarier, såsom krisekommunikation eller godkendte medieinterviews, og skal dokumenteres formelt, afgrænses og gennemgås. Håndhævelsesforanstaltninger omfatter mulige formelle advarsler, suspendering af adgang, disciplinære foranstaltninger eller retssager ved manglende overholdelse, mens revision og compliance-overvågning er løbende. Gennemgange er obligatoriske mindst årligt og efter væsentlige regulatoriske, driftsmæssige eller strukturelle ændringer. Denne politik er tilpasset en bred vifte af rammeværk, herunder ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev. 5, EU GDPR, NIS2, DORA og COBIT 2019, hvilket sikrer, at organisationens kommunikation forbliver sikker, compliant og konsistent i et stadig mere komplekst digitalt landskab.