Policy för datalagring och bortskaffande – SME

Policy för datalagring och bortskaffande – SME (Policy P14S) är utformad specifikt för små och medelstora företag (SME) och tar hänsyn till de begränsningar och särskilda ansvar som sådana organisationer har. Policyn är fullt anpassad för SME, vilket framgår av att den verkställande chefen är policyägare, utan antaganden om specialiserade roller såsom säkerhetsoperationscenter (SOC) eller informationssäkerhetschef (CISO), samtidigt som den säkerställer regelefterlevnad med ledande ramverk såsom ISO/IEC 27001:2022, GDPR och relaterade regelverk. Det primära syftet med denna policy är att fastställa tydliga, genomdrivbara regler för att lagra och på ett säkert sätt bortskaffa information, så att register endast behålls så länge som krävs enligt lag, avtal eller verksamhetsbehov. När dessa krav är uppfyllda ska information förstöras oåterkalleligt. Policyn behandlar vikten av att minimera rättslig exponering och operativ risk genom att förhindra obehörig åtkomst eller onödig datalagring. Den lyfter även fördelarna med välstyrd lagring och bortskaffande för revisionsberedskap, minskade kostnader och förbättrad systemprestanda. För SME fungerar policyn som ett praktiskt sätt att ansvarsfullt hantera både digitala och pappersbaserade datatillgångar, oavsett IT-teamets storlek. Den omfattande omfattningen inkluderar alla typer av register, affärsdokument, operativa loggar, ekonomifiler, personuppgifter och gäller alla lagringsmedier, från lokala enheter och molnbaserade system till pappersarkiv och säkerhetskopior. Alla anställda och uppdragstagare samt tredjepartstjänsteleverantörer som hanterar organisationens data omfattas av denna policy. Policyn täcker varje steg i informationslivscykeln, från skapande till säker bortskaffning eller destruktion. En central egenskap är den tydliga avgränsningen av roller och ansvar. Den verkställande chefen godkänner, säkerställer anpassning till rättslig och affärsmässig risk och hanterar undantag samt juridiskt bevarande och stopp för radering. Utsedda dataägare tilldelas per datakategori och ansvarar för dataklassificering, fastställande av lagringsperioder och godkännande av raderingar; de stödjer även revisionsprocesser. IT-stödleverantören eller intern IT-ansvarig har i uppgift att konfigurera system för lagringsregler, loggning av bortskaffande och säker radering, inklusive för säkerhetskopior och arkiv. Anställda och uppdragstagare förväntas följa policyn, undvika felaktig lagring, rapportera herrelösa konton och endast använda godkända system för datalagring. De centrala styrningskraven kretsar kring att upprätthålla ett detaljerat lagringsregister som listar registerkategorier, tilldelade perioder, bortskaffningsmetod, rättslig motivering och dataägare. Detta register ska ses över årligen eller vid relevanta rättsliga eller verksamhetsmässiga utlösare. Bortskaffningsmetoder väljs baserat på dataklassificering och använder säkra procedurer såsom korsskärande strimling, kryptografisk radering eller fysisk destruktion av media. Juridiskt bevarande och stopp för radering beskrivs uttryckligen; när det tillämpas förhindrar det radering oavsett schemalagd lagringsperiod och kräver månadsvis översyn. Policyn kräver även personalutbildning och årlig repetitionsutbildning för att säkerställa medvetenhet. Undantag är strikt kontrollerade, med processer för dokumentation, godkännande, översyn och motiverat utgångsdatum. Genomdrivandemekanismer inkluderar regelbundna revisioner, stickprovskontroller och strikta konsekvenser vid överträdelser, upp till och inklusive uppsägning av avtal eller rapporteringsskyldigheter vid felhantering av personuppgifter. Sammanfattningsvis säkerställer denna policy att en SME kan bedriva verksamhet på ett lagligt, revisionsbart och resurseffektivt sätt, även när avancerade IT-säkerhetsroller saknas. Den är särskilt framtagen för att vara i linje med ISO/IEC 27001:2022 och dataskyddslagar och ger SME en robust grund för livscykelhantering av data utan onödig komplexitet.