5 tips för att skriva en dataskydds- och informationssäkerhetspolicy

Någonting som nämns mycket inom GDPR är policyer. Företag ska kunna demonstrera efterlevnad av GDPR genom exempelvis dokumentation och policyer, och det finns krav på att bland annat ha en dataskydds- och informationssäkerhetspolicy och integritetspolicy/privacy policy.

En dataskydds- och informationssäkerhetspolicy är ett dokument som handlar om organisationens hantering av information, och de övergripande processer och rutiner som finns vid hantering och skydd av personuppgifter.

Att utforma en policy är för det mesta tidskrävande och omfattande. Det finns en del som man bör tänka på när man ska ta fram en informationssäkerhetspolicy.

Vad en informationssäkerhetspolicy bör innehålla:

Det finns inte någon specifik mall man ska följa när man tar fram en policy för att följa GDPR. Vårt tips är att utgå från ISO 27001 och anpassa policyn till det som kommer att prioriteras enligt GDPR.

Inledningsvis ska dokumentet innehålla en allmän beskrivning av policyn, omfattningen, intressenter och deras krav. Dokumentet ska även innehålla följande punkter:

  • Organisation (intressenter, omfattning)
  • Ledarskap (ledningens inriktning, policy, ansvar)
  • Planering (risker/möjligheter, mål)
  • Stöd (resurser, kompetens, awareness, dokumentation)
  • Verksamhet (planering, bedömning/behandling av risker)
  • Utvärdering av prestanda (mätning, analys, utvärdering, revision)
  • Förbättringar (och avvikelser)

För att anpassa policyn till GDPR är det viktigt att dokumentera och specificera de saker som prioriteras i förordningen. Saker som åtkomstkontroll, Security by Design, tillgångar i form av en registerförteckning, och såklart incidenthantering då GDPR kräver snabb rapportering vid incidenter.

5 snabba tips

Kom överens om vilket språk som ska användas – Använd termer och benämningar som redan används inom er organisation. Alla ska kunna förstå innehållet i dokumentet.

Främja engagemang från hela organisationen – Detta gäller både före, under och efter utformningen av policyn. Även om informationssäkerhetspolicyn är ett ledningsdokument så tveka inte att involvera personer från alla delar av organisationen. Dessutom är det viktigt att kontinuerligt utbilda personal internt om policyn.

Återanvänd gamla policyer – Finns det gamla policyer? Var inte rädd att återanvända det som redan finns och fungerar. Delar av gamla policyer kan fungera jättebra!

Bli inte för detaljerad – På policy-nivå ska man vara bred och övergripande. Prata syfte och mål istället för detaljerade processer.

Var inte rädd för att ändra i en policy – En policy är ett levande dokument och, inte bara bör, utan måstehållas uppdaterad.

 

Kontakta

Vill du veta mer om Complior och våra lösningar?