Säkerhetsåtgärder

Version: 1,0 Ändrad: 2024-08-29 


Bilaga: Säkerhetsåtgärder

Personuppgiftsbiträdet vidtar och implementerar följande organisatoriska och tekniska säkerhetsåtgärder:

Informationssäkerhet

  • Det har upprättats interna rutiner med instruktioner avseende Behandling av Personuppgifter. Bland annat intern rutin för gallring av Personuppgifter och hantering/dokumentation av Personuppgiftsincidenter.  
  • Interna rutiner, policys och instruktioner genomgås regelbundet, minst årligen samt vid behov, och godkänns av styrelsen i bolaget.
  • Personalen har kunskap om bestämmelserna i GDPR avseende Behandlingen av Personuppgifter samt instruktionerna i detta Biträdesavtal.

Roll- och uppgiftsfördelning

  • Specifikt namngivna personer har utsetts som ansvariga för att säkerställa efterlevnad av interna rutiner och policys sam tilldelats roller och uppgifter med avseende på säkerhetshanteringsprocesser.
  • Kontaktperson för Personuppgiftsärenden har utsetts, som även svarar direkt till bolagets högsta ledning.
  • Kontaktpersonen för Personuppgiftsärenden har inkluderats i alla processer kopplade till Behandlingen och har fått tillräcklig tillgång till all information och all dokumentation som är kopplad till Behandling av Personuppgifter.

Åtkomsträttigheter

  • Det har upprättats processer för att tilldela, övervaka och kontrollera åtkomsträttigheter avseende åtkomst till databaser, IT-system och delar av IT-infrastrukturen och nätverket.
  • Fysiska personer som är behöriga att Behandla Personuppgifter tilldelas med minsta åtkomsträttigheter, såvida inte ytterligare behörigheter är nödvändiga för arbetets utförande.
  • Det finns interna processer för att bevilja/återkalla åtkomsträtt till Personuppgifter, särskilt IT-system.
  • Individer som har behörighet att komma åt IT-systemet eller en del av IT-infrastrukturen eller nätverket tilldelas ett unikt ID som inte kan tilldelas någon annan.
  • Det genomförs åtkomstgranskningar av alla användare, systemkonton, testkonton och resultatet dokumenteras.
  • Det har införts en intern rutin för lösenordsbyten som samtliga medarbetare ska följa och lösenord ska bytas med förutbestämda intervall. Den interna rutinen innehåller anvisningar avseende att skapa säkra lösenord för IT-systemanvändare.

Tjänstens säkerhet

  • Det genomförs oberoende säkerhetstestning av sårbarheten hos IT-system som Behandlar Personuppgifter.
  • De leverantörer och underbiträden som anlitas garanterar en adekvat nivå av teknisk och organisatorisk säkerhet för de tjänster som tillhandahålls och de uppgifter som utförs.

Hantering av incidenter m.m.

  • Interna rutiner för att hantera och reagera på incidenter som omfattar Personuppgifter eller säkerhetsintrång har införts, för att medarbetarna ska vara medvetna om hantering och rapportering vid misstanke om incident eller inträffat incident.
  • Rutinerna är skriftliga och genomgås minst årligen samt vid behov.

Sekretess

  • Alla medarbetare som är behöriga att Behandla Personuppgifter har inkluderats i det interna utbildningsprogrammet för Personuppgiftssäkerhet och har tillgång till interna styrdokument och policys.
  • Alla medarbetare som är behöriga att Behandla Personuppgifter är skyldiga att respektera sekretess avseende Behandlade Personuppgifter under hela anställningstiden och därefter.

Lokaler

  • Byggnaderna och de rum som används för Behandling är säkrade mot obehörig åtkomst genom tillämpning av passersystem, inbrottsalarmsystem samt mekaniska eller kodlås.

Lagringsplats

  • Personuppgifter som lagras i datalagringsenheter är säkrade mot förlust av tillgänglighet och integritet genom mekanismer för att skapa säkerhetskopior av data vid förutbestämda tidsintervall (datasäkerhetskopiering).
  • Det tillämpas säkra åtkomstautentiseringsmetoder för tillgång till datorer, servrar, nätverksutrustning som används för Behandling.