Datalagrings- och bortskaffningspolicy

Datalagrings- och bortskaffningspolicyn (P14) fastställer omfattande krav för lagring och säker bortskaffning av all organisatorisk data genom hela dess livscykel för att säkerställa regelefterlevnad, minska risk och stödja operativ effektivitet. Policyn gäller i hela organisationen och omfattar varje fysisk och digital informationstillgång som ägs, behandlas eller lagras av företaget, inklusive sådana som hanteras av tredjepartstjänsteleverantörer, dotterbolag och outsourcingpartners. Tillgångar som omfattas sträcker sig från digitala filer, databaser, e‑post och säkerhetskopieringssystem till pappershandlingar och avvecklad hårdvara. Det primära syftet med P14-policyn är att definiera strikta kontroller för hur länge data ska behållas baserat på rättsliga, regulatoriska och operativa behov, samt att säkerställa permanent, säker radering när den inte längre behövs. Genom att tillämpa tydliga lagringsscheman och rigorösa bortskaffningsrutiner stödjer policyn kraven i ISO/IEC 27001:2022, möjliggör spårbar registerhantering och skyddar konfidentialitet, riktighet och tillgänglighet för data. Policyn hjälper organisationen att förhindra onödig dataackumulering som kan leda till dataskyddsöverträdelser, ineffektivitet eller ökad verksamhetsrisk. Roller och ansvar är tydligt avgränsade i policyn: Högsta ledning godkänner och övervakar regelefterlevnad; informationssäkerhetschef (CISO) äger, definierar och övervakar införandet av policyn; dataskyddsombud (DPO) ger råd om dataskydd och validerar personuppgiftshantering; och informationsägare säkerställer att scheman är motiverade och behörigen godkända. IT-team ansvarar för att implementera tekniska kontroller, medan alla anställda, uppdragstagare och relevanta tredjepartstjänsteleverantörer är skyldiga att följa instruktioner för lagring och bortskaffning. Outsourcade leverantörer och molnleverantörer måste följa avtalskrav på säkerhet och tillhandahålla destruktionsbevis på begäran. Styrningskrav anger att ett Master Data Retention Schedule (MDRS) ska upprättas och underhållas, granskas minst årligen, samt att bortskaffningsmetoder och intyg ska godkännas för all data som passerat lagringstid. Policyn tillämpar klassificeringsstyrda lagringsperioder kopplade till verksamhetsbehov och rättslig grund, och förbjuder uttryckligen obegränsad, herrelös eller icke-godkänd datalagring. Särskilda bestämmelser hanterar lagring av säkerhetskopior och arkiv, säkerställer anpassning till mål för katastrofåterställning och stöd för radering på begäran enligt GDPR eller andra dataskyddslagar. Bortskaffningskontroller tillämpas enligt NIST SP 800-88 eller likvärdiga standarder och kräver oåterkalleliga och dokumenterade destruktionsmetoder för både digitala och pappersbaserade medier. Legal hold åsidosätter normala raderingsscheman vid rättsprocess eller utredning, och alla undantag från schemalagd lagring kräver riskbedömning och godkännande från ledningen. Tillsyn och efterlevnad omfattar periodiska revisioner, efterlevnadskontroller, rapportering av överträdelser och disciplinära åtgärder vid behov. Policyn kräver även löpande säkerhetsmedvetenhetsutbildning för personal och hänvisar till Policy för incidenthantering (P30) vid överträdelse eller bortskaffningsincident. Genom att regelbundet se över och uppdatera policyn, samt synkronisera kopplade dokument såsom Åtkomstkontrollpolicy och policyer för tillgångshantering, säkerställer organisationen ett försvarbart, effektivt och regelverksanpassat angreppssätt för styrning av datalivscykeln.