INSTRUKTIONER FÖR BEHANDLING AV PERSONUPPGIFTER
Personuppgiftsbiträdet ska med beaktande av Behandlingens art, omfattning, sammanhang och ändamål samt riskerna vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken för obehörig åtkomst till Personuppgifter (såväl fysiskt som tekniska åtgärder). Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som Behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de Personuppgifter som överförts, lagrats eller på annat sätt Behandlats.
För att kunna leva upp till de krav som ställs i dataskyddsförordningen och vid var tid tillämplig lagstiftning krävs ett aktivt och kontinuerligt arbete utifrån de instruktioner som är givna i denna bilaga. Instruktionerna ska inte utläsas som uttömmande eller uteslutande, utan som en indikation på vilken nivå som ställs på säkerheten vid Personuppgiftsbehandling baserat på de krav som uppställs enligt vid var tid tillämplig lagstiftning, praxis, branschöverenskommelser samt den tekniska utvecklingen.
Personuppgiftsbiträdet ska i övrigt och i nödvändig omfattning med hänsyn till Personuppgifterna som Behandlas beakta de allmänna råd om säkerhet för Personuppgifter som utges av vid var tid behörig tillsynsmyndighet.
1.2. Personuppgiftsbiträdet ska ha en uppdaterad och implementerad säkerhetspolicy som anger hur Personuppgifter ska Behandlas, till vem anställd ska vända sig om ett intrång eller annan incident har inträffat, vilken anställd som har behörighet till vilken typ av uppgifter m.m. Denna policy bör utformas efter att en riskanalys har gjorts som kartlägger de hot som finns mot Personuppgifterna samt vilka konsekvenser förverkligade hot skulle ha för integriteten av Personuppgifterna. Säkerhetspolicyn bör också Behandla backup rutiner, katastrofplaner, m.m.
1.3. Personuppgiftsbiträdet ska vidta tekniska och organisatoriska åtgärder för att säkerställa att varje fysisk person som utför arbete under Personuppgiftsbiträdets överinseende, och som får tillgång till Personuppgifter, endast Behandlar dessa i den utsträckning som är nödvändig inom ramen för avtalade tjänster. Som exempel ska nycklar, lösenord, säkerhetskoder till system och kontor bara innehas av de anställda som har behov av personuppgifterna för att kunna utföra sitt arbete.
1.4. Maskiner som kan avläsa eller uppvisa Personuppgifter, såsom datorer, måste kräva inlogg för användning och bevaras i låst läge när obemannat. Skrivare, kopiator eller fax som delas av fler personer än en behöver finnas i skyddade områden eller kräva inlogg för användning.
1.5. Personuppgiftsbiträdets medarbetare skall kontinuerligt utbildas inom dataskydd för att säkerställa att Personuppgiftsbiträdet lever upp till aktuella krav och lagar. Nyanställda medarbetare hos Personuppgiftsbiträdet skall alltid utbildas inom dataskydd innan de får åtkomst till Personuppgifter.
2.1. Systemlösningen ska innehålla ett behörighetskontrollsystem som förhindrar obehörig användning eller åtkomst av Personuppgifter. IT-system ska innehålla funktioner som möjliggör kontroll av behörighet, dvs. olika behörighetsnivåer för att säkerställa att personer som är behöriga att använda eller få åtkomst till vissa uppgifter i IT-system endast bereds tillgång till de uppgifter som omfattas av personernas fastställda åtkomsträttigheter.
2.2. Systemlösningen ska innehålla funktioner för att säkerställa att Personuppgifter inte obehörigen kan läsas, kopieras, ändras eller raderas vid elektronisk överföring eller vid överföring eller lagring på lagringsenheter samt att mottagare kan identifieras och kontrolleras då överföring av Personuppgifter sker via elektronisk överföring.
2.3. Systemlösningen ska innehålla adekvata säkerhetsåtgärder och funktioner för att förhindra obehörigas tekniska tillgång (dataintrång) till IT-system.
SÄRSKILT OM SYSTEMLÖSNINGENS UPPBYGGNAD OCH UTFORMNING
2.4. Systemlösningen ska utformas och byggas upp på så sätt att lagkravet på privacy by design uppfylls vad gäller Systemlösningen såsom möjlighet till kontroll av åtkomst till Personuppgifter i efterhand, t.ex. genom loggar.
2.5. Systemlösningen ska innehålla funktioner för att säkerställa att det i efterhand går att granska och avgöra om Personuppgifter har matats in, ändrats eller raderats i IT-systemet och vem som har vidtagit åtgärden. Systemlösningen ska även innehålla ett loggsystem som möjliggör att Behandling av Personuppgifter kan spåras.
2.6. Systemlösningen ska innehålla funktioner för att säkerställa att det i efterhand är möjligt att verifiera och/eller granska samtycken som lämnats av en registrerad i samband med inmatning av Personuppgifter.
2.7. Systemlösningen ska innehålla funktioner som möjliggör uppfyllande av den registrerades rätt till radering och dataportabilitet. Detta innebär att Systemlösningen ska innehålla funktioner som möjliggör radering alternativt extrahering av samtliga Personuppgifter tillhörande en registrerad i ett strukturerat, allmänt använt och maskinläsbart format.
2.8. Systemlösningen ska innehålla funktioner, såsom backup lösningar, för att säkerställa att Personuppgifter skyddas mot oavsiktlig förstörelse eller förlust.
2.9. Systemlösningen ska innehålla funktioner som möjliggör att Personuppgifter som samlats in för olika ändamål kan Behandlas separat.
2.10. Systemlösningen ska innehålla funktioner som möjliggör lagring av Personuppgifter en viss föreskriven tid och möjliggör strikta upprättade gallringsrutiner.
2.11. Systemlösningen ska innehålla tekniska lösningar för att vissa kategorier av Personuppgifter eller Personuppgifter som vid var tidpunkt klassas som känsliga Personuppgifter ska kunna omfattas av särskilda, högre, säkerhetskrav såsom exempelvis tvåstegsautentisering och kryptering. För undvikande av oklarhet ska ovan angivna krav på tekniska lösningar omfatta särskiljning av kategorier av Personuppgifter såsom exempelvis befintliga kunder och potentiella kunder, s.k. prospekts.