Dataopbevaringspolitik

Dataopbevaringspolitikken (P14) fastlægger omfattende krav til opbevaring og sikker bortskaffelse af alle organisatoriske data gennem hele deres livscyklus for at sikre overholdelse, reducere risiko og understøtte driftsmæssig effektivitet. Denne politik gælder i hele organisationen og omfatter alle fysiske og digitale informationsaktiver, der ejes, behandles eller opbevares af virksomheden, herunder dem, der administreres af tredjepartstjenesteudbydere, datterselskaber og outsourcingpartnere. Dækkede aktiver spænder fra digitale filer, databaser, e-mails og systemer for sikkerhedskopiering til papirregistreringer og udtjente enheder. Det primære formål med P14-politikken er at definere strenge kontroller for, hvor længe data opbevares baseret på retlige, reguleringsmæssige og driftsmæssige behov, og at sikre permanent, sikker sletning, når data ikke længere er påkrævet. Ved at håndhæve klare opbevaringsplaner og stringente bortskaffelsesprocedurer understøtter politikken ISO/IEC 27001:2022-krav, muliggør sporbar registreringsstyring og beskytter fortrolighed, integritet og tilgængelighed af data. Vigtigt er det, at politikken hjælper organisationen med at forhindre unødvendig dataakkumulering, der kan medføre brud på databeskyttelse, ineffektivitet eller øget forretningsrisiko. Roller og ansvar er tydeligt afgrænset i politikken: Direktion godkender og fører tilsyn med overholdelse; informationssikkerhedschef (CISO) ejer, definerer og overvåger implementeringen af politikken; Data Protection Officer (DPO) rådgiver om databeskyttelse og validerer personoplysningshåndtering; og Information Owners sikrer, at planer er begrundede og autoriserede. IT-teams er ansvarlige for at implementere tekniske kontroller, mens alle medarbejdere, kontrahenter og relevante tredjepartstjenesteudbydere er forpligtet til at følge instruktioner for opbevaring og bortskaffelse. Udliciterede leverandører og cloud-udbydere skal overholde kontraktlige sikkerhedsklausuler og levere revisionsbevis for bortskaffelse efter anmodning. Styringskrav fastsætter oprettelse og vedligeholdelse af en Master Data Retention Schedule (MDRS), som gennemgås mindst årligt, samt godkendelse af bortskaffelsesmetoder og certifikater for alle udløbne data. Politikken håndhæver klassificeringsdrevne opbevaringsperioder, der er knyttet til forretningsbehov og retlige grundlag, og den forbyder udtrykkeligt ubegrænset, forældreløs eller ikke-godkendt dataopbevaring. Særlige bestemmelser adresserer opbevaring af sikkerhedskopier og arkiver og sikrer tilpasning til katastrofegenopretningsmål samt understøttelse af sletning af data efter anmodning i henhold til GDPR eller andre databeskyttelseslove. Bortskaffelseskontroller håndhæves i henhold til NIST SP 800-88 eller tilsvarende standarder og kræver irreversible og dokumenterede destruktionsmetoder for både digitale og papirbaserede medier. Legal hold og sletningssuspension tilsidesætter normale sletteplaner i tilfælde af retssager eller undersøgelser, og alle undtagelser fra planlagt opbevaring kræver risikovurdering og ledelsesgodkendelse. Håndhævelse og efterlevelse omfatter periodiske audits, compliance-kontroller, hændelsesrapportering og disciplinære foranstaltninger efter behov. Politikken kræver også løbende sikkerhedsbevidsthedstræning for personale og aktiverer Politik for hændelseshåndtering (P30) ved ethvert brud eller bortskaffelseshændelse. Ved at gennemgå og opdatere politikken periodisk og synkronisere tilknyttede dokumenter som Adgangskontrolpolitik og Aktivstyringspolitikker sikrer organisationen en forsvarlig, effektiv og reguleringsmæssigt tilpasset tilgang til styring af datalivscyklus.