IT säkerhet- och gallringspolicy

Denna policy har upprättats för LP Byggentreprenad nedan kallat ”företaget” den 2022-02-15.

Mål och syfte

Företagets mål är att skydda information, vårt kontor och våra arbetsplatser mot IT hot och skapa ett effektivt skydd genom att säkerställa följande:

  • Integritet; Informationen ska skyddas så att den inte av misstag eller avsiktligt görs tillgänglig för obehöriga personer eller används på otillåtet sätt.
  • Tillgänglighet; Informationen ska vara tillgänglig för behöriga användare enligt deras behov och förväntad form och i önskad utsträckning enligt IT säkerhetspolicyn.
  • Noggrannhet; Informationen ska vara korrekt i den meningen att den skyddas mot oavsiktlig eller avsiktlig korruption.
  • Kunskap; Policyn angående IT-säkerhet ska vara välkänd och förståelig för anställda.
  • Hot; Hot mot enskilda informationssystem som är viktiga för verksamheten analyseras kontinuerligt.
  • Förebyggande; Regelbundna risk- och sårbarhetsbedömningar och motsvarande förbättringsåtgärder sker årligen. Kontinuerlig förbättring av säkerhetsprocesser sker för att matcha företagets behov.
  • Spårbarhet; Färdig bearbetning och annan verksamhet ska kunna spåras till en enskild individ /program och tid.

Syftet med en IT-säkerhetspolicy är att säkerställa att informationen inom företaget och framför allt hanteringen av informationen sköts på bästa sätt. En del av detta är att utföra risk- och sårbarhetsanalyser för att minimera risken att information hanteras eller kommer i orätta händer.

Allmänna risker inom informationssäkerhet och IT är:

  • Kortare och längre driftuppehåll.
  • Intrång utifrån i IT-systemen.
  • Bristande intern IT-säkerhet.
  • Bristande kontroll av behörigheter
  • Otillräcklig kapacitet (lagring, svarstider e t c) i förhållande till behov.
  • Bokföring/utbetalningar/utskick kan inte ske/ attester i fakturasystem fungerar ej.
  • Bokslut kan inte tas fram.
  • Rapportering till myndigheter kan inte göras eller görs inte i tid.
  • Gallring sker inte enligt lag och enligt fastställd gallringspolicy.

 

En risk och sårbarhetsanalys ska årligen av företaget företas för att specifikt kartlägga företagets risker och sårbarheter inom IT-säkerhet samt en åtgärdsplan för de eventuella brister som kan uppkomma.

Följande årliga punkter skall revideras och gås igenom vid förekomst av brister:

  • Vad som ska göras under året och hur
  • Tidplan för åtgärder
  • Behov av personella samt övriga ekonomiska resurser
  • När, var och hur uppföljning, utvärdering och avrapportering ska ske samt när, var och hur våra medarbetare ska informeras och utbildas

 

Ansvar

Ledningen

Ledningen ansvarar för att årligen revidera och se över säkerhetsarbetet samt IT- och gallringspolicyn.

IT-säkerhetsansvarig

IT-säkerhetsansvarig på företaget är Andreas Hallard som ansvarar för den övergripande informationssäkerheten inom företaget. Uppgifter inom vår IT säkerhet är outsourcat till vår IT leverantör Thats IT som:

  • Undersöker och rapporterar alla allvarliga säkerhetsincidenter
  • Stöder och ger råd till företagets chefer i frågor som rör IT-säkerhet.
  • Är medveten om säkerhetshot och kan analysera den potentiella skadan mot företagets verksamhet.

Anställda

Anställda ska rapportera problem, hot eller åtgärder som strider mot IT-säkerhetspolicyn eller andra säkerhetsanvisningar.

Systembeskrivning och ansvar

Respektive systemägare; Next, Fortnox, Visma och Medius GO förvaltar, ansvarar för och driftar sina system. Systemansvarig på LP Byggentreprenad AB är VD eller den som tecknat avtal med systemleverantören.

Användning av internet

Vid användning av internet exponeras företagets namn. Bland annat av detta skäl är det av vikt att lägga restriktioner på vilka hemsidor som får besökas. Hemsidor med exempelvis rasistiskt, våldsinriktat eller sexuellt innehåll får inte besökas.

E-post

Sekretessbelagd information eller information av känslig karaktär, får inte skickas via e-post okrypterat.

Fotografering

Foton får inte tas på personal, kontor och arbetsplatser utan godkännande.

Accesser till system

Samtliga tjänstemän har tillgång till vårt produktionssystem Next, rättigheter inom systemet sätts upp av Administrativ chef. Ägare och ekonomiavdelningen har tillgång till ekonomi- och lönesystem.

Incidenthanteringsplan
En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors friheter och rättigheter. Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att rättigheterna inskränks. Exempel:

  • Diskriminering, identitetsstöld, bedrägeri, skadlig ryktesspridning.
  • Ekonomisk förlust.
  • Brott mot sekretess eller tystnadsplikt.

En personuppgiftsincident har till exempel inträffat om personuppgifter om en eller flera registrerade personer har:

  • blivit förstörda eller ändrade
  • gått förlorade på annat sätt
  • kommit i orätta händer.

Det spelar ingen roll om det har skett oavsiktligt eller med avsikt. I båda fallen är det personuppgiftsincidenter.

Vissa typer av personuppgiftsincidenter måste anmälas till IMY (intrigitetsskyddsmyndigheten). Ledningen ansvarar för att bedöma vad som ska rapporteras och om information ska lämnas till berörda registrerade. Anmälan ska ske på IMYs hemsida inom 72 timmar efter det att personuppgiftsincidenten har upptäckts. VD som är företagets ytterst ansvarige i GDPR-frågor anmäler eventuella incidenter. VD ansvarar för att de berörda (t ex. registrerade, personuppgiftsbiträden och organisationen).

Personalen ska omedelbart rapportera misstanke om incidenter till VD och Administratör. Samtliga incidenter loggförs löpande.

Rutin för gallring
Grundprinciperna för gallring rörande personuppgifter är att aldrig vare sig behandla eller lagra uppgifter längre än vad som är nödvändigt. När det inte längre behövs för det syfte de ursprungligen samlades in ska de raderas eller anonymiseras.

Gallringsrutinen förutsätter att de personuppgifter som behandlas görs så med en laglig grund. En behandling som saknar laglig grund ska omedelbart upphöra och personuppgifterna raderas, förutsatt att uppgifterna inte får behandlas på annat sätt med en korrekt grund och därmed måste behållas.

Företaget genomför kontinuerlig granskning samt värdering över huruvida personuppgifter som behandlas bör gallras eller anonymiseras för att behandla så lite uppgifter som möjligt och inte mer än företaget absolut behöver.

Nedan följer en genomgång av de olika kategorier av berörda vars personuppgifter behandlas i företaget.

Anställda

Anställdas personuppgifter behandlas för att företaget ska kunna hantera anställningen och fullgöra förpliktelserna mot den anställde.

Vid en anställnings upphörande sparas endast rena faktauppgifter, såsom anledningen till anställningens upphörande. Även betyg och tjänstgöringsintyg får sparas, samtliga uppgifter som sparas lagras för administrativa ändamål och för att kunna ge referenser. Samtliga uppgifter sparas under tiden för eventuell företrädesrätt. Vid en begäran om att bli raderad sparas endast de uppgifter företaget har rätt till, eller krav på sig, enligt tvingande lagstiftning.

Behandling som grundas på samtycke upphör om samtycket dras tillbaka, t.ex. lagring av personlighetstester eller annan subjektiv information i kompetensdatabaser. Behandling som grundas på anställningsavtalet upphör när anställningen avsluts

Behandling som grundas på en intresseavvägning måste regelbundet ses över för att kontrollera om företagets intresse fortsatt anses väga tyngre än den registrerades rätt till skydd, t.ex. företagets intresse av att samla in kontaktuppgifter till de anställdas anhöriga att användas vid eventuella olyckor. Om en bedömning görs att så inte är fallet ska behandlingen upphöra och uppgifterna som inte längre behövs ska gallras.  

Rekrytering

Efter avslutad rekrytering sparas inkomna ansökningar endast i den mån den sökande har gett sitt samtycke, i annat fall raderas uppgifterna när rekryteringen är avslutad och tiden för diskrimineringstalan har gått ut, 2 år efter tillsättande av tjänst. Om handlingarna innefattar känsliga uppgifter ska dessa gallras så snart som möjligt.

Om utdrag ur belastningsregistret görs ska det alltid lämnas tillbaka till den sökande, det får aldrig sparas hos företaget.

Kunder

Kunduppgifter innehållande personuppgifter gallras när kundförhållandet har tagit slut och eventuell tid för reklamationsrätt, garantiåtaganden eller dylikt har gått ut.

I det fall företaget agerar personuppgiftsbiträde för en kunds räkning gallras uppgifter i enlighet med instruktioner från Kunden.

Leverantörer

Personuppgifter från leverantörer sparas så länge företaget använder den aktuella leverantören. Detta för att kunna hantera, mottaga, reklamera eller ångra t.ex. ett köp. Även i syfte att hantera avtalsrelationen. Därutöver sparas uppgifterna endast i den mån det krävs av garantiåtaganden och tvingande lagstiftning.

Allmänt

Undantag från gallring ovan är Personuppgifter som företaget enligt speciallag behöver behandla tex för redovisning och myndighetskrav och rapportering.  Uppgifter som behövs för bokföringssyften måste t.ex. sparas i 7 år.