Dataopbevarings- og bortskaffelsespolitik - SMV

Dataopbevarings- og bortskaffelsespolitik - SMV (Politik P14S) er udarbejdet specifikt til små og mellemstore virksomheder (SMV'er) og anerkender de begrænsninger og særlige ansvarsområder, som sådanne organisationer står over for. Denne politik er fuldt tilpasset SMV'er, hvilket fremgår af involveringen af den administrerende leder som politikejer, uden antagelse om specialiserede roller som sikkerhedsoperationscenter (SOC) eller informationssikkerhedschef (CISO), samtidig med at den sikrer overholdelse af førende rammeværk som ISO/IEC 27001:2022, GDPR og relateret regulering. Det primære formål med denne politik er at fastsætte klare, håndhævelige regler for opbevaring og sikker bortskaffelse af information, så registreringer kun opbevares så længe, som det kræves af lov, kontrakter eller forretningsbehov. Når disse krav er opfyldt, skal information destrueres irreversibelt. Politikken adresserer vigtigheden af at minimere retlig eksponering og operationel risiko ved at forhindre uautoriseret eller redundant dataopbevaring. Den fremhæver også fordelene ved velstyret opbevaring og bortskaffelse for revisionsparathed, reducerede omkostninger og forbedret systemydelse. For SMV'er fungerer politikken som et praktisk middel til ansvarligt at håndtere både digitale og papirbaserede dataaktiver, uanset IT-teamets størrelse. Det omfattende omfang inkluderer alle typer registreringer, forretningsdokumenter, driftslogfiler, finansielle filer og personoplysninger og gælder for alle lagringsmedier, fra lokale drev og cloudsystemer til papirarkivering og systemer for sikkerhedskopiering. Alle medarbejdere, kontraktansatte og tredjepartstjenesteudbydere, der håndterer organisationsdata, er omfattet af denne politik. Politikken dækker alle faser af datalivscyklussen, fra oprettelse til sikker bortskaffelse eller destruktion. En central egenskab er den klare afgrænsning af roller og ansvar. Den administrerende leder godkender, sikrer tilpasning til retlige og forretningsmæssige risici og håndterer undtagelser samt legal hold og sletningssuspension. Udpegede dataejere tildeles pr. datakategori og er ansvarlige for klassificering, fastlæggelse af opbevaringsperioder og autorisation af sletninger; de understøtter også revisionsprocesser. IT-supportleverandøren eller intern IT-ansvarlig har ansvar for at konfigurere systemer til opbevaringsregler, bortskaffelseslogning og sikker sletning, herunder for sikkerhedskopier og arkiver. Medarbejdere og kontraktansatte forventes at overholde politikken, undgå uhensigtsmæssig opbevaring, rapportere forældreløse konti/data og kun anvende godkendte systemer til datalagring. De centrale styringskrav omfatter vedligeholdelse af et detaljeret opbevaringsregister, der angiver registreringskategorier, tildelte perioder, bortskaffelsesmetoder, retligt grundlag og dataejere. Dette register skal gennemgås årligt eller ved relevante retlige eller forretningsmæssige udløsere. Bortskaffelsesmetoder vælges baseret på dataklassificering ved brug af sikre procedurer såsom krydsmakulering, kryptografisk sletning eller fysisk destruktion af medier. Legal hold og sletningssuspension er udtrykkeligt beskrevet; når det er anvendt, forhindrer det sletning uanset den planlagte opbevaringsperiode og kræver månedlig gennemgang. Politikken kræver også personaleuddannelse og årlige genopfriskninger for at sikre bevidsthed. Undtagelser er stramt kontrolleret med processer for dokumentation, godkendelse, gennemgang og begrundet udløb. Håndhævelsesmekanismer omfatter regelmæssige revisioner, stikprøvekontroller og strenge konsekvenser ved overtrædelser, op til og inklusive kontraktophør eller rapporteringsforpligtelser ved fejlhåndtering af personoplysninger. Samlet set sikrer denne politik, at en SMV kan operere på en retligt compliant, revisionsbar og ressourceeffektiv måde, selv når avancerede IT- og informationssikkerhedsroller ikke er til stede. Den er formålsudviklet til at være i overensstemmelse med ISO/IEC 27001:2022 og databeskyttelseslovgivning og giver SMV'er et robust grundlag for livscyklusstyring af data uden unødig kompleksitet.