Integritetspolicy
Informationssäkerhetspolicy & Personuppgiftsbehandling
Inledning
Information och personuppgifter behöver hanteras på ett säkert sätt. Detta för att skapa ett förtroende hos både anställda, kunder, leverantörer och samarbetspartners. Var och en som lämnar eller tar emot information ska kunna förlita sig på att den informationen är riktig, konfidentiell, tillgänglig och spårbar för rätt personer. Det kan innebära stora negativa konsekvenser för Danis Städ AB om information eller personuppgifter går förlorad eller inte finns till hands när den behövs. Det kan också få stora konsekvenser om information eller personuppgifter som är känsliga eller omfattas av sekretess röjs för obehöriga.
Arbetet med informationssäkerhet och dataskyddsreformen (GDPR) skall vara långsiktigt och kontinuerligt, omfatta alla delar av Danis Städs AB´s verksamheter. Policyn gäller alla de informationstillgångar eller personuppgifter som Danis Städ AB äger och hanterar. Personalen ska få fortlöpande utbildning och uppdateringar för att förstå hur informationssäkerheten och efterlevnad av dataskyddsförordningen (GDPR) fungerar.
Denna policy beskriver de övergripande principerna som gäller för informationssäkerhetsarbetet och efterlevnad av dataskyddsförordningen (GDPR) inom Danis Städ AB.
Begreppsförklaring
Informationstillgångar. Allt som innehåller information och personuppgifter samt allt och alla som bär på information. Ex företagstelefoner, systemverktyg, personal.
Informationssäkerhet. Den säkerhet som omfattar våra informationstillgångar och förmågan att upprätthålla önskad konfidentialitet, riktighet och tillgänglighet.
Konfidentiell. Information som inte får nås eller avslöjas för någon obehörig. Oftast gäller det innehållet i en informationstillgång men ibland även tillgångens existens hemlig.
Riktighet. Innebär att informationen inte får förändras av obehöriga, inte av misstag och inte på grund av en funktionsstörning.
Tillgänglighet. Innebär att informationen går att nyttjas av behörig användare när det behövs så mycket som det behövs.
Spårbarhet. Aktiviteter ska kunna härledas i efterhand. Vem som har utfört aktiviteten, vad som har skett samt var aktiviteten har utförts. I möjlig mån skall det även kunna spåras hur aktiviteten utförts.
Verksamhetssystem. Är de system som samlar in, lagrar, bearbetar eller distribuerar och presenterar information och personuppgifter.
Mål
Målet med Danis Städ AB informationssäkerhetspolicy är att upprätthålla önskad konfidentialitet, riktighet, tillgänglighet och spårbarhet för informationstillgångar och personuppgifter. Detta skall ske på ett enkelt och lättöverskådligt sätt. Varje medarbetare skall vara involverad i informationssäkerhetsarbetet och efterleva dataskyddsförordningen (GDPR) samt ta det ansvar som krävs för efterlevnad.
Syfte
Syftet med informationssäkerhetspolicyn är att beskriva hur Danis Städ AB skall arbeta med informationssäkerhet och efterlevnad av dataskyddsförordningen (GDPR). Danis Städ AB skall värna om kundens integritet och samtliga kunder skall känna sig trygga i sin kontakt med oss.
Ansvar och organisation
VD
Beslutar om Danis Städ AB informationssäkerhetspolicy samt om långsiktiga mål för informationssäkerhetsarbetet samt efterlevnad av dataskyddsförordningen (GDPR).
Dataskyddsombudet (personuppgiftsombudet)
Dataskyddsombudets uppgifter är enligt dataskyddsförordningen bland annat att informera och ge råd om vilka skyldigheter som gäller enligt såväl dataskyddsförordningen som nationella bestämmelser. Ombudet skall också bevaka att dessa regler följs och ge råd om den konsekvensbedömning avseende dataskydd som skall göras enligt förordningen (GDPR). Slutligen skall ombudet fungera som kontaktpunkt för dataskyddsmyndigheten och samarbeta med denna. Dataskyddsombudet har en självständig position och ska i frågor som rör behandling av personuppgifter kunna rapportera direkt till den del av organisationen som dataskyddsombudet bedömer vara lämpligt för att möjliggöra sin uppgift.
Medarbetare
Varje medarbetare är utifrån denna policy och riktlinjer, ansvarig för informationssäkerheten inom sitt arbetsområde. VD tillsammans med dataskyddsombudet ska löpande planera och följa upp informationssäkerhetsarbetet och efterlevnaden av dataskyddsförordningen (GDPR) och vidta de åtgärder som krävs för att uppnå och upprätthålla tillräcklig intern kontroll. Ansvaret för informationssäkerheten och efterlevnaden av dataskyddsförordningen (GDPR) följer medarbetaransvaret. Alla medarbetare har ett ansvar för att följa informationssäkerhetspolicyn och följa uppställda säkerhetsregler. Det samma gäller när tillfällig personal eller extern aktör/uppdragsgivare anlitas. Den som upptäcker brister i informationssäkerheten eller i efterlevnaden av dataskyddsförordningen (GDPR) måste uppmärksamma sin närmaste chef om detta. Alla medarbetare skall kunna rapportera händelser som kan göra att informationstillgångar utsätts för risker.
Arbetssätt och skyddsåtgärder
I den mån det är möjligt ska alla på Danis Städ AB arbeta enligt instruktioner och föreskrifter som berör informationssäkerhet och efterlevnad av dataskyddsförordningen (GDPR).
Danis Städ AB skall arbeta med att alltid identifiera informationstillgångar och system som hanterar personuppgifter och dess flöden. Personuppgifter skall klassificeras enligt angivna föreskrifter.
Alla verksamhetssystem skall ha en systemägare. Systemägaren ansvarar för klassificeringen och ställer de säkerhetskrav som behövs för att nå önskad säkerhet.
Danis Städ AB skall omvärldsbevaka och genomföra risk-och sårbarhetsanalyser vid införandet av nya verksamhetssystem, förändringar samt vid inträffade incidenter. Vid behov skall Danis Städ AB vidta nödvändiga åtgärder för att se till att verksamhetssystem och personuppgifter har rätt skydd.
Danis Städ AB skall ställa krav på informationssäkerhet vid upphandling, utveckling, användning och avveckling av verksamhetssystem. De krav som ställts ska även följas upp. Relevanta säkerhetskrav ska gälla vid såväl intern som extern drift av verksamhetssystem.
Skyddsåtgärder skall vara kostnadseffektiva och stå i proportion till värdet av informationen eller personuppgifterna och de negativa konsekvenser som en otillräcklig säkerhet kan medföra. Danis Städ AB skall följa upp att beslutade åtgärder är genomförda, att uppsatta mål är uppfyllda och att regler och riktlinjer följs.
Uppföljning, revidering och förbättring
Informationssäkerhetspolicyn skall revideras vart annat år eller vid behov. I samband med revideringen skall tillhörande riktlinjer revideras och förbättras på motsvarande sätt.