GDPR Learning Hub

Menu
  • Köp kurser
  • Köp mallar
  • GDPR-quiz
  • Ladda ner guider
  • GDPR-kurserna är under konstruktion

GDPR - Dokument

Upprätta en IT-säkerhetspolicy

Det är bra för företag att upprätta en IT-säkerhetspolicy, vilket är ett centralt styrdokument som utgör en bra organisatorisk säkerhetsåtgärd. 

Vad är en policy?

En policy är ett övergripande styrdokument, till skillnad från en rutin som beskriver hur arbetet ska bli utfört i praktiken. Det kan finnas flera rutiner som kompletterar varande, för att uppfylla målen i en policy. En policy anger riktningen, målen och visionen. Med andra ord, vad företaget vill uppnå och vikten av det. Tänk på att en policy ska vara:

Övergripande: En policy ska ange de övergripande mål och visioner som företaget har på området. Den beskriver inte exakt hur företaget ska göra, utan vad som gäller. Om företaget upprättar exempelvis en integritetspolicy och en IT-säkerhetspolicy, utgör det en bra grund för att följa reglerna i GDPR.

Strategisk: Rutiner är mer troliga att förändras över tid, eftersom det är mer dagliga instruktioner och praktisk information. Medan en policy är mer långsiktig och strategisk. Det hjälper bland annat att peka ut ambitionen för ett specifikt område. Det finns utrymme för anpassning, men den strategiska riktningen brukar inte ändras.

Enkel att förstå och kortfattad: En policy ska inte vara lång och komplicerad att förstå, eftersom då riskerar man att tappa hela syftet med policyn. Det ska vara utformat på ett enkelt sätt, så att alla medarbetare förstår den. Dessutom är det enklare att komma ihåg den när den är kortare, vilket minskar risken för fel. En policy bör därför ha några centrala principer och sedan en eller flera rutiner för att följa dem. 

En rutin beskriver hur personalen ska göra för att uppfylla det som gäller enligt en policy. 

What breaches of the GDPR can lead to an administrative fine?

En IT-säkerhetspolicy utgör en organisatorisk säkerhetsåtgärd

En IT-säkerhetspolicy är ett dokument som utgör ett ramverk för hur företaget ska arbeta i IT-miljön i enlighet med GDPR. Observera att det inte är en manual, såsom en rutin, utan mer ett strategiskt styrdokument som är mer övergripande. Företag måste vidta tekniska och organisatoriska åtgärder för att följa GDPR och en IT-säkerhetspolicy utgör en bra organisatorisk säkerhetsåtgärd. 

Fördelar med att upprätta en IT-säkerhetspolicy

  • Enklare för medarbetare att förstå vad företaget strävar efter. 
  • Minskar risken för personuppgiftsincidenter.
  • Tydliggör vem som ska få vilka behörigheter.
  • Hjälper företaget att förstå vilka rutiner som kan vara lämpliga att ha för att uppfylla visionen i policyn. 
  • Ett sätt att visa efterlevnad av GDPR vid en eventuell tillsyn.

Rutiner som är bra för företag att ha för att följa IT-säkerhetspolicyn i praktiken

  • Delning av data internt.
  • Onboarding och offboarding av personal.
  • Gallring av personuppgifter.
  • Lösenordshantering. 

Centrala delar som är bra att ha med i en IT-säkerhetspolicy

Sensitive personal data according to GDPR

Syfte

Förklara syftet med IT-säkerhetspolicyn och varför det är viktigt att ha en bra IT-säkerhet. Dessutom är det bra att inkludera hur företaget ska skydda personuppgifter under hela livscykeln, från inhämtning till gallring. Inkludera också att riskbedömningar och ”privacy by design” ligger som grund för säkerheten.

What is the definition of anonymised data?

Roller och ansvar

Det är bra att vara tydlig i policyn om rollerna och ansvaret inom företaget. Exempelvis vilka avdelningar som ansvarar för vad, vilket ansvar medarbetarna har för att följa policyn, ledningens ansvar och roll m.m. Genom att ha tydliga roller, minskar risken för säkerhetsluckor samt effektiviserar arbetet.

Subjektivt integritetskänsliga personuppgifter

Behörighetsstyrning

Det är bra att tydliggöra att åtkomstbehörigheter ska utgå från principen ”need-to-know”, inte ”good-to-know”. Med andra ord, enbart personer som behöver åtkomst till personuppgifter för att sköta sina arbetsuppgifter, ska ges åtkomst.

Hantering av olika enheter

En IT-säkerhetspolicy bör inkludera hantering av mobila enheter, såsom användning av privata mobiltelefoner eller laptops för arbetsrelaterade ändamål. Det är viktigt att tänka på att mobila enheter är en vanlig anledning till personuppgiftsincidenter. Därför är det bra att inkludera vikten av korrekt användning i enlighet med de interna rutinerna och övergripande målen i policyn.

Measures that companies need to take to comply with GDPR

Hantering av personuppgiftsincidenter

Företag måste hantera personuppgiftincidenter på ett korrekt sätt enligt GDPR, eftersom företaget riskerar att få betala sanktionsavgift annars. Därför är det bra att inkludera vikten av detta, vad som utgör personuppgiftsincidenter är, hur rapportering ska ske, intern och extern rapportering m.m.

Subjektivt integritetskänsliga personuppgifter

Loggning

Loggning är en bra åtgärd som de flesta företag bör vidta. Exempelvis loggning av åtkomsten till olika IT-system. Dessutom är det viktigt att skydda loggarna från manipulation.

Tekniska säkerhetsåtgärder

Lösenordshantering

Lösenordshantering är en viktig säkerhetsåtgärd som alla företag bör arbeta med. IT-säkerhetspolicyn bör därför inkludera vikten av säker lösenordshantering.

Kryptering

Om företaget krypterar personuppgifter, bör det framgå i IT-säkerhetspolicyn. Det brukar framförallt ske vid behandling av känsliga personuppgifter eller andra integritetskänsliga personuppgifter.

Antivirus och brandväggar

Antivirus-skydd och brandväggar är vanliga tekniska säkerhetsåtgärder och bör inkluderas i IT-säkerhetspolicy om de används.

Backup

Backup-filer är en vanlig teknisk säkerhetsåtgärd för att förebygga att personuppgifter förstörs. En IT-säkerhetspolicy bör inkludera intervall för säkerhetskopiering, ansvarsfördelning och vilka backuplösningar som företaget har.

Organisatoriska säkerhetsåtgärder

Personuppgiftsbiträdesavtal

Företag överför ofta personuppgifter till en tredjepart. Dessutom kan det i vissa fall vara en aktör i ett tredjeland. Det är viktigt att se till att det sker i enlighet med GDPR. Det innebär bland annat att företaget som är personuppgiftsansvarig, behöver ingå ett skriftligt personuppgiftsbiträdesavtal när de anlitar ett biträde.

Utbildning

Medarbetare bör få någon form av utbildning, för att kunna sköta sina arbetsuppgifter korrekt och i enlighet med tillämplig lag. Dessutom bör de få vidareutbildning när de till exempel ska få en ny arbetsroll. IT-säkerhetspolicyn bör inkludera vilka roller som kan behöva vilken utbildning.

Riktlinjer för internetanvändning

De flesta medarbetarna brukar använda internet i sina arbetsuppgifter. Exempelvis skicka e-postmeddelanden eller söka information online. Det är viktigt att lära medarbetarna hur de ska använda internet på ett säkert sätt genom skriftliga riktlinjer, så att de kan undvika phishingbedrägerier och besök av farliga hemsidor.

Mer info om åtgärder

Lösenordsrutiner som kan vara bra för företag att ha

Det är bra att medarbetare använder starka lösenord, eftersom det utgör en god grund för att skydda personuppgifterna som företaget behandlar från obehörig åtkomst. Ju viktigare personuppgifter som behandlas, desto bättre lösenordshantering krävs. Exempelvis kan det vara lämpligt att implementera tvåstegsautentisering eller inlogg genom biometriska personuppgifter. 

Vill du lära dig mer?

Klicka här
Rulla till toppen