Personuppgiftsbiträdesavtal Bilaga 2 – Säkerhetsinstruktioner

Personuppgiftsbiträdesavtal Bilaga 2 – Säkerhetsinstruktioner

Prorenata Journal Version 2.3, 2019-12-13

Fysisk säkerhet

It-utrustning ska skyddas mot elavbrott och andra störningar orsakade i tekniska försörjningsystem. Utrymmen där Personuppgifter förvaras eller på annat sätt behandlas (t.ex. serverrum, serverhallar och kontor) ska skyddas genom lämpliga tillträdeskontroller för att säkerställa att endast behörig personal får tillträde. Medarbetares och besökares identitet ska säkerställas. It-system och lagringsmedier ska skyddas mot skadegörelse och stöld.

Åtkomstskydd

Datorutrustning och portabla lagringsmedier som inte står under uppsikt ska låsas in för att skyddas mot obehörig användning, påverkan och stöld. I annat fall ska Personuppgifter krypteras.

Datorer och mobila enheter

Medarbetares datorer ska låsas automatiskt vid inaktivitet och kräva starkt lösenord för upplåsning. Antalet öppna kommunikationsportar i datorerna ska minimeras och brandväggar och säkerhetsuppdateringar ska installeras och uppdateras regelbundet. Hårddiskar tillhörande bärbara datorer ska alltid vara krypterade med tillräckligt stark nyckel.

Behandling av Personuppgifter på mobila enheter ska begränsas enligt dokumenterade rutiner. Lagringsminnen tillhörande mobila enheter ska alltid skyddas med kryptering. Mobiler enheter ska skyddas med ett tillräckligt starkt lösenord och kunna raderas automatiskt om felaktigt lösenord matas in för många gånger. Möjlighet att radera Personuppgifter från mobila enheter via fjärråtkomst ska finnas. Medarbetare ska medges tillstånd att behandla Personuppgifter på privata datorer eller mobila enheter endast om dessa enheter uppfyller samma krav som företagstillhandahållna enheter.

Autentisering

Inloggning i system ska ske via personlig användaridentitet med lösenord. Lösenord ska vara tillräckligt starka och bytas regelbundet. Det ska inte vara tillåtet att överlåta eller dela inloggningsuppgifter med andra personer.


Behörighetsstyrning

Medarbetares åtkomst till Personuppgifter ska styras av ett tekniskt system för behörighetskontroll. Medarbetarna ska ges minsta möjliga åtkomst vid behandling av Personuppgifter. Endast medarbetare som behöver tillgång till Personuppgifter för sitt arbete ska ges åtkomst. Det ska finnas dokumenterade rutiner för tilldelning och borttagande av behörigheter.

Åtkomstkontroll

Åtkomst till Personuppgifter ska kunna kontrolleras i efterhand genom loggar. Loggarna ska kontrolleras regelbundet i syfte att upptäcka otillåten eller obehörig tillgång till Personuppgifter. Genomförda kontroller ska dokumenteras och redovisas för PUA på begäran.

Servrar

Åtkomst till administrativa verktyg och gränssnitt på servrar ska begränsas. Medarbetare som har administrativa rättigheter ska använda starka lösenord. Det ska inte vara tillåtet att överlåta eller dela inloggningsuppgifter med andra personer. Det ska finnas dokumenterade rutiner som säkerställer att viktiga uppdateringar för operativsystem och applikationer installeras omgående.

Nätverkssäkerhet

Nätverk ska skyddas mot externa angrepp och förlust av information. Trådlösa nätverk ska skyddas med kryptering. In- och utgående nätverkstrafik ska filtreras via exempelvis brandväggar. Mjukvara som regelbundet scannar nätverk för malware (t.ex. virus, trojaner, spionprogram och ransomware) ska användas och hållas uppdaterad.

Skydd mot skadlig kod

Det ska finnas dokumenterade rutiner för att skydda system mot virus, trojaner och andra former av digitala intrång.

Säkerhetskopior

Personuppgifter ska regelbundet överföras till säkerhetskopior. Säkerhetskopiorna ska förvaras avskilt och väl skyddade så att Personuppgifter kan återskapas efter en störning. Det ska finnas dokumenterade rutiner för säkerhetskopiering, återläsning av säkerhetskopior och test av återläsning av säkerhetskopior.

Datakommunikation

Anslutning för extern datakommunikation ska skyddas med sådan teknisk funktion som säkerställer att uppkopplingen är behörig. Personuppgifter som överförs via datorkommunikation utanför lokaler som kontrolleras av PuB (t.ex. internet) ska skyddas med kryptering.

Utplåning

Det ska finnas dokumenterade rutiner som säkerställer att Personuppgifter kan raderas när de inte länge är nödvändiga för ändamålet och att de inte är möjliga att återskapa.

Reparation och service

När reparation och service av datorutrustning utförs av annan än PuB, ska kontrakt som reglerar säkerhet och sekretess träffas med serviceföretaget. Vid servicebesök ska servicen ske under PuBs överinseende. Är detta inte möjligt ska lagringsmedier som innehåller Personuppgifter avlägsnas.

Service via fjärrstyrd datakommunikation får endast ske efter säker elektronisk identifiering av den som utför servicen. Servicepersonal ska ges åtkomst i systemet endast vid servicetillfället. Finns separat kommunikationsingång för service ska den vara stängd när service inte pågår.

Personuppgiftsincident

Det ska finnas dokumenterade rutiner för att omgående underrätta PUA vid misstanke om eller konstaterad personuppgiftsincident. PuB ska ha förmågan att återställa tillgängligheten och åtkomsten till Personuppgifter i rimlig tid vid en fysisk eller teknisk incident.

Separation

Personuppgifterna ska separeras fysiskt och/eller logiskt från andra personuppgifter.


Pseudonymisering

Personuppgifterna ska i möjligaste mån pseudonymiseras.


Utbildning av personal

Medarbetare ska utbildas regelbundet inom dataskydd (minst en gång per år). Nyanställda medarbetare ska utbildas inom dataskydd innan de får åtkomst till Personuppgifter. Genomförda utbildningar ska dokumenteras och redovisas för PUA på begäran.

Övriga säkerhetsinstruktioner

Document Metadata

Filed: February 25th, 2023