Hvem er denne pakke designet til?

Denne pakke er designet til SMV'er, der har behov for robuste, men forenklede politikker for databeskyttelse og databeskyttelse (privacy), tilpasset ISO/IEC 27001:2022, GDPR, NIS2 og andre førende standarder.

Gælder disse politikker, hvis vi ikke har et dedikeret IT-/sikkerhedsteam?

Ja, alle politikker er SMV-tilpassede til organisationer uden dedikerede roller til IT-drift eller sikkerhedsstyring, så den administrerende direktør kan varetage det primære tilsyn.

Hvilke områder af datalivscyklussen dækker denne pakke?

Politikkerne adresserer hele informationslivscyklussen, herunder dataklassificering, mærkning, dataopbevaring, sikker bortskaffelse, maskering, databeskyttelse, leverandørsikkerhed og compliance-audits.

Giver pakken krav til leverandørstyring?

Ja, politikken for tredjeparts- og leverandørsikkerhed kræver leverandør-due diligence, databehandleraftaleklausuler, adgangskontrol, overvågning, undtagelsesstyring og sikker fratrædelsesproces for alle leverandører.

Minipakke: Databeskyttelse og databeskyttelse (privacy)

Oversigt

Denne SMV-fokuserede pakke leverer seks indbyrdes forbundne politikker, der dækker dataklassificering, dataopbevaring, maskering, databeskyttelse, tredjepartssikkerhed og løbende overvågning af overholdelse, tilpasset ISO/IEC 27001:2022 og GDPR, med roller tilpasset organisationer uden dedikeret IT-/sikkerhedspersonale.

Integreret databeskyttelse

Samlede politikker for dataklassificering, dataopbevaring, databeskyttelse og leverandørstyring sikrer robust databeskyttelse for SMV'er.

27001:2022 SMV-overholdelse

Tilpasset SMV'er med forenklede roller; disse politikker er tilpasset ISO/IEC 27001:2022 og GDPR-krav.

End-to-end-kontroller for datalivscyklus

Kontroller dækker klassificering, mærkning, dataopbevaring, anonymisering og revision på tværs af alle formater og systemer.

Håndhævet tredjepartssikkerhed

Krav til leverandør- og leverandørstyring beskytter dine data mod ekstern risiko og sikrer kontraktlig overholdelse.

Klar til revision og sikkerhed

Omfatter gentagelige tjeklister og revisionskrav til driftsmæssig kontrol og eksterne certificeringer.

Læs fuld oversigt

"Minipakke: Databeskyttelse og databeskyttelse (privacy) – SMV" er en samlet pakke med seks tæt integrerede politikker, der er designet til små og mellemstore virksomheder for at opfylde centrale krav til databeskyttelse, databeskyttelse (privacy) og overholdelse. Alle politikker i denne pakke er eksplicit tilpasset SMV'er (som angivet ved politiknummereringen med "S" og brugen af den administrerende direktør som den primære rolle for beføjelser og ansvarlighed), med anerkendelse af begrænsede personaleressourcer eller fravær af store, dedikerede afdelinger for IT, sikkerhed eller compliance. På trods af disse strukturelle begrænsninger er politikkerne udarbejdet til at opfylde de strenge krav i ISO/IEC 27001:2022, ISO/IEC 27002:2022, EU GDPR, EU NIS2-direktivet, EU DORA-forordningen, NIST SP 800-53 Rev.5 og COBIT 2019. Denne pakke sikrer end-to-end-dækning af hele informationslivscyklussen. Politikken for dataklassificering og mærkning (P13S) etablerer en SMV-egnet, håndhævelig tredelt klassificeringsmodel, herunder krav til mærkning og tekniske kontroller. Den fastlægger klare roller for den administrerende direktør, dataansvarlige, IT-support (intern/udliciteret) og alt personale, med fokus på praktisk synlighed (sidehoveder, vandmærker, tags) og compliance-forpligtelser. Tæt koblet hertil kræver Politikken for dataopbevaring og bortskaffelse (P14S) juridisk- og forretningsdrevne opbevaringsperioder med et centralt administreret opbevaringsregister, eksplicitte teknikker til sikker bortskaffelse (makulering, fjernsletning, kryptografisk sletning) samt stringent dokumentation af undtagelser og legal hold og sletningssuspension, igen med tilsyn, der er gennemførligt selv i små organisationer. Til dataminimering og behandling uden for produktionsmiljøer kræver Politikken for datamaskering og pseudonymisering (P16S), at reelle personoplysninger eller følsomme data aldrig anvendes, når det ikke er strengt nødvendigt, f.eks. ved test eller analytisk brug, ved at håndhæve transformationskontroller (maskering, tokenisering, pseudonymisering). Alle transformationsprocesser skal kunne revideres, og der må kun anvendes IT-godkendte værktøjer med logfiler og nøglestyring, så sporbarhed sikres ned til individuelle datasæt og hændelser. Som et kerneelement i pakken samler Politikken for databeskyttelse og databeskyttelse (privacy) (P17S) alle retlige forpligtelser for personoplysninger, herunder medarbejder-, kunde- og tredjepartsregistre. Den håndhæver databeskyttelse ved design og som standard, lovlig indsamling og dataminimering, sikker dataopbevaring, klar gennemgang af adgangsrettigheder samt håndtering af registreredes rettigheder. Ansvar er tydeligt fordelt mellem den administrerende direktør (som databeskyttelses-/privacy-ansvarlig), en databeskyttelseskoordinator (intern/udliciteret), IT-leverandør og alt driftspersonale. Træning, samtykke, eskalering og underretning om brud er integreret, ligesom afstemningskontroller med relaterede politikker for klassificering, dataopbevaring, maskering og håndtering af hændelser. For at håndtere eksterne risici fastsætter Politikken for tredjeparts- og leverandørsikkerhed (P26S) obligatoriske krav til leverandør-due diligence, risikoanalyse, adgangsbegrænsning, kontraktklausuler (herunder underretnings-SLA og revisionsrettigheder) samt løbende tilsyn. Den adresserer typiske SMV-scenarier for tredjepart (IT, SaaS, forretningsdrift mv.) og kræver leverandøraccept af kontraktvilkår, regelmæssige gennemgange samt sikker fratrædelsesproces eller datadestruktion efter ophør. Endelig strømliner Politikken for revision og compliance-overvågning (P33S) processen for intern revision, kontroltjek af sikkerhedskontroller og regulatorisk gennemgang. Den er designet til brug uden specialiserede revisorer og gør det muligt for den administrerende direktør og IT-leverandøren at anvende tjeklister og føre bevislogfiler for at sikre driftsmæssig parathed til ISO/IEC 27001-certificering eller kunde-/leverandør-due diligence. Revisionsspor, dokumentation af korrigerende handlinger og revisionsbevis skal centraliseres og være tilgængeligt i mindst to år, hvilket understøtter forsvarlig styring selv for SMV'er med minimal compliance-bemanding. Samlet set operationaliserer denne minipakke førende standarder og databeskyttelseslove til handlingsorienterede, forretningspraktiske kontroller og leverer et robust, revisionsklart regime for databeskyttelse og databeskyttelse (privacy), som er let for SMV'er at implementere og vedligeholde.

Indhold

Krav til dataklassificering og mærkning

Regler for dataopbevaring og sikker bortskaffelse

Datamaskering og pseudonymisering

Omfattende databeskyttelse og databeskyttelse (privacy)

Leverandørsikkerhed og kontraktklausuler

Intern revision og løbende overvågning af overholdelse

Framework-overholdelse

Framework	Dækkede klausuler / Kontroller
ISO/IEC 27001:2022	5.1 5.3 6.1.3 8.1 9.2 10.1
ISO/IEC 27002:2022	5.12 5.13 5.19 5.20 5.21 5.22 5.33 5.34 5.35 5.37 8.10 8.11 8.12
NIST SP 800-53 Rev.5	AC-6 AC-16 AR-2 AU-6 AU-11 CA-2 CA-3 CA-7 IR-4 MP-3 MP-5 MP-6 PL-5 PS-7 PT-2 PT-3 SA-9 SA-10 SC-12 SC-28 SI-12
EU GDPR	Article 4(5)Article 5Article 5(1)(c)Article 5(1)(e)Article 6Articles 12–23Article 17Article 24Article 28Article 30Article 32Articles 33–34
EU NIS2	Article 21(2)(a)Article 21(2)(b)Article 21(2)(c)Article 21(2)(e)Article 21(2)(f)Article 23(1)
EU DORA	Article 5(1)Article 5(2)Article 5(8)Article 6 Article 10 Article 10(1)Article 15 Article 17 Article 28(1)Article 28(2)
COBIT 2019	APO10 APO12 BAI03.04 BAI03.05 DSS01 DSS01.06 DSS05 DSS05.01 DSS05.02 DSS06 DSS06.06 MEA01 MEA03

Framework

Dækkede klausuler / Kontroller

ISO/IEC 27001:2022

5.1 5.3 6.1.3 8.1 9.2 10.1

ISO/IEC 27002:2022

5.12 5.13 5.19 5.20 5.21 5.22 5.33 5.34 5.35 5.37 8.10 8.11 8.12

NIST SP 800-53 Rev.5

AC-6 AC-16 AR-2 AU-6 AU-11 CA-2 CA-3 CA-7 IR-4 MP-3 MP-5 MP-6 PL-5 PS-7 PT-2 PT-3 SA-9 SA-10 SC-12 SC-28 SI-12

EU GDPR

Article 4(5)Article 5Article 5(1)(c)Article 5(1)(e)Article 6Articles 12–23Article 17Article 24Article 28Article 30Article 32Articles 33–34

EU NIS2

Article 21(2)(a)Article 21(2)(b)Article 21(2)(c)Article 21(2)(e)Article 21(2)(f)Article 23(1)

EU DORA

Article 5(1)Article 5(2)Article 5(8)Article 6 Article 10 Article 10(1)Article 15 Article 17 Article 28(1)Article 28(2)

COBIT 2019

APO10 APO12 BAI03.04 BAI03.05 DSS01 DSS01.06 DSS05 DSS05.01 DSS05.02 DSS06 DSS06.06 MEA01 MEA03

Relaterede politikker

Politik for dataklassificering og mærkning – SMV

Denne politik definerer, hvordan alle oplysninger, som organisationen håndterer, skal dataklassificeres og mærkes for at sikre, at fortrolighed, integritet og tilgængelighed opretholdes gennem hele dens livscyklus.

Politik for dataopbevaring og bortskaffelse – SMV

Formålet med denne politik er at definere håndhævelige regler for dataopbevaring og sikker bortskaffelse af oplysninger i et SMV-miljø.

Politik for datamaskering og pseudonymisering – SMV

Denne politik definerer håndhævelige krav til brug af datamaskering og pseudonymisering for at beskytte følsomme, personlige og fortrolige data i små og mellemstore virksomheder (SMV'er).

Politik for databeskyttelse og databeskyttelse (privacy) – SMV

Denne politik definerer, hvordan organisationen beskytter personoplysninger i overensstemmelse med retlige forpligtelser, reguleringsmæssige rammer og internationale sikkerhedsstandarder.

Politik for tredjeparts- og leverandørsikkerhed – SMV

Denne politik fastlægger de obligatoriske sikkerhedskrav for at indgå, styre og afslutte relationer med tredjepartstjenesteudbydere og leverandører, der har adgang til eller påvirker organisationens data, systemer eller tjenester.

Politik for revision og compliance-overvågning – SMV

Denne politik fastlægger organisationens tilgang til at gennemføre intern revision, kontroltjek af sikkerhedskontroller og løbende overvågning af overholdelse.

Om Clarysec-politikker - Minipakke: Databeskyttelse og databeskyttelse (privacy) – SMV

Generiske sikkerhedspolitikker er ofte bygget til store virksomheder, hvilket efterlader små virksomheder med udfordringer i at anvende komplekse regler og udefinerede roller. Denne politik er anderledes. Vores SMV-politikker er designet fra bunden til praktisk implementering i organisationer uden dedikerede sikkerhedsteams. Vi tildeler ansvar til de roller, I faktisk har, som den administrerende direktør og jeres IT-leverandør, ikke en hær af specialister, I ikke har. Hvert krav er opdelt i en entydigt nummereret klausul (f.eks. 5.2.1, 5.2.2). Det gør politikken til en klar, trinvis tjekliste, som er nem at implementere, revidere og tilpasse uden at omskrive hele afsnit.

Ofte stillede spørgsmål

Udviklet for ledere, af ledere

Denne politik er udarbejdet af en sikkerhedsleder med over 25 års erfaring i implementering og audit af ISMS-rammeværker for globale organisationer. Den er ikke blot designet som et dokument, men som et forsvarligt rammeværk, der kan modstå revisors gennemgang.

Udarbejdet af en ekspert med følgende kvalifikationer:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Dækning & Emner

🏢 Måldepartement

IT Sikkerhed Compliance Databeskyttelse Jura Indkøb

🏷️ Emhedækning

Dataklassificering Datahåndtering Databeskyttelse Registreredes rettigheder Tredjeparts risikostyring Leverandørstyring Livscyklusstyring af politikker Compliance-styring Retlig overholdelse

Minipakke: Databeskyttelse og databeskyttelse (privacy) – SMV