Politik for databeskyttelse og privatliv

Politik for databeskyttelse og privatliv (P17) fastlægger et omfattende rammeværk for beskyttelse af personoplysninger og implementering af privacy-by-design-principper på tværs af organisationen. Denne politik etablerer de obligatoriske organisatoriske og tekniske krav, der er nødvendige for at overholde internationale standarder og udviklende regulatoriske rammer, og sikrer, at personoplysninger håndteres lovligt, sikkert og transparent gennem hele deres livscyklus. Dækningen omfatter alle organisatoriske enheder, alt personale og alle systemer, der behandler personoplysninger, uanset om de findes på fysiske eller digitale medier, og inkluderer cloud-tjenester, SaaS-platforme og mobile enheder. Politikken er eksplicit i sit omfang og præciserer, at alle medarbejdere, kontrahenter og tredjeparter er underlagt dens krav. Alle miljøer, hvor personoplysninger findes, herunder produktions-, udviklings-, test- eller backupmiljøer, er omfattet. Politikken adresserer ikke kun indsamling, opbevaring og brug af personoplysninger, men også opbevaring, bortskaffelse, grænseoverskridende overførsler og håndtering af registreredes rettigheder. Et centralt formål med politikken er at sikre overholdelse af førende reguleringer og standarder: GDPR (artikler 5, 6, 12–23, 25, 28, 30, 32–34; betragtning 78), EU NIS2, EU DORA, ISO/IEC 27001:2022 (klausuler 5.1, 6.1.3, 8.1, 10.1), ISO/IEC 27002:2022 (kontroller 5.34, 8.10, 8.11), NIST SP 800-53 Rev. 5 (forskellige kontroller) og COBIT 2019 (APO12, DSS01, DSS05, MEA). Med dette for øje pålægger den tildeling af roller og ansvarlighedsstrukturer: Direktionen sikrer strategisk tilsyn; DPO koordinerer complianceprocesser, håndhævelse af registreredes rettigheder og interaktion med tilsynsmyndigheder; og Sikkerhed, Juridisk, Dataejere og IT implementerer i fællesskab tekniske og organisatoriske sikkerhedsforanstaltninger, vedligeholder registre og håndterer brud. Politikken kræver et formelt Privacy Governance Framework integreret med organisationens ledelsessystem for informationssikkerhed for ensartet håndhævelse. Den afgrænser processer for vedligeholdelse af registre over databeskyttelsesrisici, gennemførelse af DPIA'er for behandling med høj risiko og sikring af, at databeskyttelseskontroller (fra dataminimering og pseudonymisering til planlægning af opbevaring og sikker bortskaffelse) er dybt indlejret. Lovlig behandling og dokumenterede retsgrundlag er fundamentale, med eksplicit styring af samtykke, datafortegnelser og grænseoverskridende datastrømme. Anmodninger fra registrerede håndteres inden for fastsatte frister og logges for sporbarhed, og robuste rammer for håndtering af brud, undtagelseshåndtering og tredjepartstilsyn beskrives i detaljer. Regelmæssige gennemgange, revisionsspor og et krav om årlige (eller ad hoc) interne revisioner hjælper med at sikre, at politikken forbliver effektiv og reagerer på regulatoriske ændringer, revisionskonstateringer eller større hændelser. Hver væsentlig opdatering skal godkendes af direktionen og dokumenteres i ledelsessystemet for informationssikkerhed. Denne politik udgør en integreret del af organisationens bredere informationssikkerheds- og risikostyringssystem og knytter tæt an til supplerende politikker om hændelseshåndtering, risikostyring, klassificering, opbevaring, datamaskering og revisionsovervågning.