7 tips när du skriver ditt företags IT-Policy – inkl GDPR

By juni 15, 2017 december 12th, 2017 IT-lösningar, Säkerhet
IT-Policy

Vad är en IT-policy och varför ska man ha en sådan?

I nästan alla företag och organisationer är framgångarna beroende av en välfungerande och tillförlitlig IT som stöd i den dagliga verksamheten. Men inte alla har sett nyttan med att implementera en IT-policy, vilket dessvärre kan ha en negativ effekt på både produktivitet och säkerhet. Vi vill peka på varför det kan vara så, samt ge några råd på vägen för dig som tänker skrida till verket.

En IT-policy kan ha många syften. Dels kan den, som vi nämner ovan, säkerställa och öka produktiviteten, vilket vi återkommer till, men också hjälpa till att minimera de risker som kommer med IT-användandet. Sammanfattningsvis kan man säga att en IT-policy är en vägledning till, eller krav på, hur organisationens medarbetare skall arbeta och förhålla sig till företagets IT-säkerhet och dess IT-resurser.

Nedan sammanställer vi sju punkter att tänka på när du skriver din IT-policy:

1. Tänk igenom och ha lagom nivå

En it-policy är inte något man upprättar i en handvändning. Den ska ha ett tydligt syfte och vara ett genomarbetat och väl uttänkt dokument. En IT-policy också måste vara kort och koncist, för slutar det i en ”roman” är det ingen som varken läser eller följer den. Därmed inte sagt den bara ska innehålla korta obegripliga floskler. Vårt tips är att istället ta med de viktigaste punkterna och utelämna resten. Sannolikt är detaljer kring samarbetsrutiner samt IT-säkerhet bra att ha med. Tänk på att detta skall vara en hjälp för organisationen. En vägledning (eller i vissa fall krav) för de anställda att agera rätt i givna situationer.

2. Arbetssätt och rutiner

Goda rutiner och produktivitet brukar vara synonymt i de flesta organisationer, undantaget möjligen branscher som ställer långtgående kreativa krav på sitt manskap. Rutiner och vägledning blir här därför översatt i termer av IT-användning. Hur kan ni som organisation optimera era IT-resurser, är en lämplig fråga att ställa sig? Det kan exempelvis handla om rekommenderad mjukvara och konformitet, regler för intern och extern digital kommunikation samt rutiner vid hanterandet av konfidentiellt eller känsligt material (mer om det nedan). Men det kan även ibland, och med fördel, sträcka sig så lång som till exempel telefon- och Skype-förbud (arbetsförbud) under fredade kvällstimmar, om man anser att det kan ha positiva effekter på medarbetarnas hälsa.

3. IT-resurser och gränser för privat användning

Vissa företag väljer att begränsa medarbetarnas förmåner och möjligheter att kunna nyttja organisationens IT-resurser för privat bruk. Främsta argumenten handlar givetvis om säkerhet, men kan i vissa fall även gälla resursutnyttjande om man anser att det är en viktig faktor. Men man går långt om man exempelvis förbjuder privatsurfing på företagets datorer på raster och utanför arbetstid.

Den som söker vägledning för var gränsen går, hänvisas till punkt ett ovan, det vill säga: ”Ha en lagomnivå!” Men naturligtvis hör även nyttjande av sociala medier, chattfunktioner, bandbredd, nyttjande av exempelvis tjänster som Spotify, samt nedladdning av filmer mm, hit till denna punkt.

Utöver detta ska det naturligtvis under alla omständigheter vara totalt bannlyst att på företagets utrustning titta på eller ladda ner material som är oetiskt, olagligt eller oförenligt med företagets övriga värdegrund eller policy.

4. Hantering av känsliga data som persondata och företagshemligheter

Det här är verkligen en springande punkt och som bör finnas med i varje IT-policy. Exempel på frågor ni bör ställa er är: Vad ska ni ha för rutiner gällande egna datorer eller telefoner som de anställda kanske använder i tjänsten? Ska man få ansluta USB-minnen från okända källor? Vad händer efter att en anställd ha slutat, eller om en dator innehållande känslig information blir stulen? Vad kan man göra för att minimera riskerna? Tänk på att sådana här frågor också ska utformas så att den inte bara skyddar din organisations verksamhet utan även skyddar dina kunder, dina partners samt dina medarbetare.

En annan viktig detalj just nu är EU´s nya dataskyddsregler, GDPR, som träder i kraft nästa år och som kommer att ersätta nuvarande PUL. GDPR kommer att beröra alla organisationer som hanterar personuppgifter.

5. Rutiner för säkerhet, lagring och back-up

Rätt utformad skyddar IT-policyn bland annat mot intrång, dataförlust (backup), virusangrepp, olämpligt agerande i sociala medier, samt privat överutnyttjande av företagets IT-resurser. Angående den sista punkten och privat (över)utnyttjande – tänk på att de flesta företag inte upplever något problem gällande den sista punkten, samtidigt som en begränsning kan upplevas negativt av de som blir föremål för den. Kanske är det inte ett problem om de anställda ibland ”lånar” IT-resurser av organisationen, eller så kanske det är det. En viktigare fråga tycker vi, är då att man ser till att skriva IT-policyn på ett sådant sätt att det så långt det går minimerar risker för dataförluster. Det finns som alla känner till en mängd olika sätt att spara information på, och utan rutiner kan det innebära svårigheter för en organisation som vill ha kontroll på alla företagsdokument. Vad händer exempelvis när en medarbetare slutar? Fråga er hur informationen bör säkerställas så att den både är säker samt stannar inom företaget. Upprätta riktlinjer för hur medarbetare får hantera information, både internt och externt.

Sammanfattningsvis: Se regelbundet över era backup-lösningar och ha tydliga rutiner för hur de anställda hanterar och lagrar data.

Vad är GDPR och vad innebär det för er?

25 maj 2018 träder EU´s nya dataskyddsregler för hantering av personuppgifter i kraft. Det kallas GDPR (General Data Protection Regulation). GDPR är en skärpning av PUL och ger nya direktiv som stärker skyddet för fysiska personer vid hantering av personuppgifter. Att inte följa GDPR kan kosta din organisation så mycket som fyra procent av omsättningen eller 20 miljoner euro i böter. Ytterligare anledning till att ta detta på allvar, förutom eventuella böter (samt givetvis moraliska aspekter), är att det gissningsvis också skulle skada ert varumärke om det skulle visa sig att man inte efterlever de nya reglerna. I korthet handlar GDPR om att varje organisation måste veta vilken information man har lagrat inom organisationen, exakt var den finns samt varför den finns där. Man måste vid anmodan också kunna visa vad man vill göra med eventuella personuppgifter. Skillnaden mellan PUL och GDPR är att företag och organisationer nu inte längre kan äga en uppgift om en person, bara låna den. Det blir också därför viktigare att dokumentera sina flöden och informationsprocesser, eftersom informationen måste kunna spåras och raderas vid behov. Alla delar av organisationen som hanterar personuppgifter berörs av den nya förordningen. Lönelistor, kundregister, sociala medier, smarta produkter, appar osv. Med andra ord så behöver varje personuppgiftsansvarig (juridisk person) i och med GDPR ha kontroll på den persondata de hanterar och det är den personuppgiftsansvariges ansvar att kunna visa på att persondata hanteras i enlighet med dataskyddsförordningen. I organisationer där man hanterar särskilt känsliga uppgifter eller kartlägger enskilda personers beteende kommer det också att krävas en ny roll – ett dataskyddsombud. Vi brukar rekommendera alla organisationer som hanterar personuppgifter och därför berörs av GDPR att ta hjälp av en expert för att minimera riskerna för felhantering. Vi på Kon-IT och Koneo har exempelvis redan påbörjat detta arbete på flera plan och i flera olika organisationer. Har ni inte utarbetat en åtgärdsplan ännu, så är det verkligen hög tid nu.

6. Konsekvenser, ansvar och acceptans

En bra IT-policy bör även beskriva konsekvenserna av att bryta mot reglerna, speciellt om syftet är mer än bara vägledning och rekommendationer. Korrekt formulerad ska den även kunna användas som underlag vid en eventuell tvist. Kommer man så här långt har ni naturligtvis även en ansvarsfördelning om vem som ser till att policyn efterlevs i olika sammanhang, samt vem som är ansvarig när den inte gör det. Se därför till att utse en driftansvarig för ändamålet.

Något som är minst lika viktigt som allting annat när man skriver en IT-policy, är hur man planerar att informera slutanvändarna. Gör en plan som säkerställer att samtliga tar del av den och förstår den. Det kanske inte ens är säkert att de verkligen accepterar organisationens nya IT-policy. Rutiner som kan få extra mycket motstånd är exempelvis om man ämnar spara de anställdas internetkommunikation. En sådan punkt bör i så fall noggrant framkomma samt även motiveras så att alla förstår varför den finns. Det bör helt enkelt inte finnas någon som helst tvekan om att samtliga berörda parter känner till alla detaljer i en IT-policy och varför de finns där. Det är också värt att repetera att övervakning, diverse förbud med reprimander inte har något självändamål, utan endast bör finnas där när det finns en tydlig anledning.

7. Signering

Så nu är du klar. Men vem eller vilka bör underteckna dokumentet? Naturligtvis VD, men även , IT-chef och/eller IT-policyns särskilt utsedde driftsansvarig ska finna med, samt dataskyddsombudet om ett sådant är utsett. Även den tekniske utvecklaren av dokumentet (ofta extern part) kan finnas med i visa fall med, även om det inte är nödvändigt alla gånger.

Vidare bör slutanvändarna på något sätt signera att de på ett tillfredställande sätt tagit del av det IT-policyn förmedlar samt att de accepterar det fullt ut. Det gäller både vid själva införandet av en ny IT-policy samt vid löpande förändringar av densamma. En god rutin är naturligtvis att alltid ha med detta redan vid anställningens början.

Lycka till!

För dig som skriver din egen IT-policy. Ladda gärna hem vårt exempel på hur en innehållsförteckning kan se ut här: www.kon-it.se/it-policy

Thomas Fälldin

Thomas Fälldin, Strategi & försäljning
Telefon: 073 357 22 05
E-mail: thomas.falldin@koneo.se