GDPR Learning Hub

Menu
  • Köp kurser
  • Köp mallar
  • GDPR-quiz
  • Ladda ner guider
  • GDPR-kurserna är under konstruktion

Artikel 32 i GDPR

Katastrofåterställningsplan

Företag bör upprätta en katastrofåterställningsplan som kompletterar kontinuitetsplanen. 

Katastrofåterställningsplan utgör ett komplement till en kontinuitetsplan

En katastrofåterställningsplan utgör den tekniska delen av en kontinuitetsplan och de båda går hand i hand. Kort sagt, ger kontinuitetsplanen medarbetarna en beskrivning av hur företaget ska fortsätta fungera vid en eventuell pågående kris.

Men en katastrofåterställningsplan beskriver istället hur IT-infrastrukturen och behandlingarna av personuppgifter ska återställas under eller efter en kris. Dessutom brukar en katastrofåterställningsplan vara mer detaljerad. 

What breaches of the GDPR can lead to an administrative fine?

En organisatorisk säkerhetsåtgärd

Enligt artikel 32 i GDPR måste företag implementera lämpliga tekniska och organisatoriska säkerhetsåtgärder, för att skydda de behandlade personuppgifterna. En katastrofåterställningsplan är en organisatorisk säkerhetsåtgärd som kan vara lämplig för många företag att vidta. Företag måste bland annat kunna återställa tillgängligheten och åtkomsten till personuppgifter vid en incident som innebär att de gått förlorade eller liknande. Det är något som en katastrofåterställningsplan hjälper företag att kunna göra.

Vilka frågor besvarar en katastrofåterställningsplan?

  • Vilka system är kritiska för företaget? 
  • Vad är återställningstiden för de olika systemen? 
  • Hur mycket data kan företaget förlora?
  • Hur hanterar företaget backup-filer och lagring? 
  • Vilka steg ska medarbetarna ta för att återställa IT-systemen? 
  • Vem ansvarar för att göra vad i återställningsarbetet? 
  • Hur ska företaget sköta kommunikationen, internt och externt?

Bra att känna till skillnaden mellan Recovery Time Objective och Recovery Point Objective

Recovery Time Objective (RTO)

Kort sagt, anger RTO den maximala tid en verksamhetskritisk process, IT-tjänst, applikation eller liknande får vara ur drift efter en inträffad incident, innan det leder till oacceptabla konsekvenser. Det huvudsakliga fokuset ligger i detta fall på tiden till återställning. Om RTO är 3 timmar, innebär det att systemet måste vara återställt och driftsatt igen senast 3 timmar efter avbrottet. Det är viktigt att tänka på att de olika systemen som företaget använder kan ha olika återställningstider. Till exempel kan det vara kritiskt för ett journalsystem inom vården att behöva återställas inom några minuter, medan ett HR-system kan ligga nere i flera timmar utan att det får en oacceptabel påverkan hos företaget. Ju lägre RTO, desto mer avancerade lösningar behöver företaget vidta.

Recovery Point Objective (RPO)

Detta mått anger mängden dataförust, uttryckt i tiden bakåt räknat från incidentens inträffande, som företaget maximalt kan gå miste om. Fokuset ligger i detta fall på datatolerans och dataförlust. Om RPO exempelvis är 15 minuter, innebär det att data som blivit skapad eller ändrad senast 15 minuter före incidentens inträffande, måste kunna bli återställd.

Nyckeln till en effektiv katastrofåterställningsplan är en bra backupstrategi

Det är viktigt att företaget säkerställer att inställningarna för backuptagning i de olika digitala systemen är konfigurerade på önskat sätt. Dessutom är det bra att testa om backup-filerna fungerar, kan återställa filer korrekt och innehåller korrekt mängd säkerhetskopierad data. Om det inträffar en incident som innebär att data går förlorad, kan företaget förhoppningsvis återskapa filerna genom backup-filerna. 

Steg för steg instruktioner för återställning

En katastrofåterställningsplan ska vara tydlig och inkludera praktiska instruktioner. Till exempel: 

  • Hur medarbetarna ska starta om servrarna. 
  • Hur medarbetarna ska återställa databaser från backup. 
  • Vilken ordning som de olika systemen som företaget använder ska återaktiveras i. 
  • Hur medarbetarna ska återskapa applikationer. 
  • Kontroll av loggar. 
  • Hur kontrollen av nätverkssäkerheten sker efter en inträffad incident.

Manual för varje system

Det är bra att skapa en skriftlig manual för varje system som företaget har identifierat som kritiskt. Exempelvis är det en god idé att i manualen  ha kontaktuppgifter till leverantören av systemet. 

Ansvar och rollfördelning

För att kunna hantera en kris så bra som möjligt är det bra att tydliggöra rollerna och ansvar om det uppstår en sådan situation. Till exempel vilka IT-tekniker som bär ansvar för att återställa vilka system. Genom att ha tydlig roll- och ansvarsfördelning är det större chans att återställningsprocessen sker fortare. Det kan hjälpa företaget att uppfylla kraven gällande tillgänglighet. 

Kommunikation vid eventuella incidenter

Kommunikation inom företag är oerhört viktig, speciellt under en kris. Det är bra att klargöra hur alla medarbetare ska informeras vid en kris om ordinarie kommunikationskanal inte fungerar. Dessutom bör företaget klargöra vem som ansvarar för att kontakta externa parter, såsom leverantörer, nationella dataskyddsmyndigheten och kunder. 

Testa planen regelbundet

Det bästa sättet för att kunna veta huruvida en katastrofåterställningsplan fungerar i praktiken vid en eventuell kris eller inte, är genom att testa den i praktiken. Dessutom är det ett tillfälle för att hitta förbättringsmöjligheter inför en riktig kris. Till exempel bör företaget testa att återställa delar av systemet och/eller hela systemet, träna medarbetarna genom olika övningar med verkliga scenarion, simulera intrång som leder till fiktiva personuppgiftsincidenter m.m. Observera att det är bra att dokumentera testerna och vidtagna åtgärder samt effektiviteten av dem. 

Dokumentera för att styrka regelefterlevnad

En katastrofåterställningsplan bör vara skriftlig eftersom företag behöver kunna visa att de följer GDPR i praktiken, enligt principen om ansvarsskyldighet i artikel 5(2) i GDPR. Det är också bra att ha kompletterande dokument till en katastrofåterställningsplan. Exempelvis rutiner för backup, rutiner för personuppgiftsincidenter och riskbedömningar. 

Uppdatera och förbättra

GDPR är ett kontinuerligt arbete som kräver uppdatering och förbättring regelbundet. Detsamma gäller för katastrofåterställningsplan. Planen bör uppdateras exempelvis när företaget inför nya system eller i takt med att företaget växer och får nya behov av åtgärder. Revision och genomgång av planen bör ske minst en gång per år, men för större företag bör det ske oftare. 

Mer info

Lösenordsrutiner är en annan organisatorisk säkerhetsåtgärd som kan vara bra att vidta

Det är bra för företag att upprätta lösenordsrutiner för medarbetare som organisatorisk säkerhetsåtgärd. Med andra ord, definiera hur medarbetarna ska skapa säkra lösenord, skydda dem från obehörig åtkomst, agera om det finns en misstanke om exponering m.m. Dessutom kan det vara lämpligt att ha tvåstegsautentisering eller inlogg via biometriska personuppgifter när det avser system som behandlar känsliga personuppgifter. 

Vill du lära dig mer?

Klicka här
Rulla till toppen