Kontinuitetshantering
Inom dataskydd handlar kontinuitetshantering om att säkerställa ett fortsatt skydd för den registrerades fri- och rättigheter även vid oförutsedda händelser som störningar eller avbrott. Det innebär att ha en förmåga till incidenthantering och kunna vidta åtgärder som både minskar sannolikheten för och konsekvenserna av oönskade händelser.
Kontinuitetshantering bör bestå av metoder och processer för att minska sannolikheten för störningar och avbrott så att verksamheten kan fortsätta enligt bestämda minimikrav och rutiner för att snabbt kunna återgå till normal verksamhet efter ett avbrott. Kontinuitetshantering kan delas i flera områden
- verksamhetsrelaterad
- it-inriktad
- krishantering.
Att ha en god kontinuitetshantering har blivit ännu viktigare genom den ökade digitaliseringen och användandet av it-system − både egna och genom externa leverantörer, som exempelvis molntjänster.
Målet med en kontinuitetshanteringsplan är att
- säkerställa att organisationen är förberedd och utbildad innan ett avbrott eller en krissituation som kan riskera verksamheten och den registrerades fri- och rättigheter uppkommer
- prioritera och införa förebyggande åtgärder till skydd för personuppgiftsbehandlingarna
- upprätthålla verksamheten på en acceptabel nivå vid en krissituation
- snabbt kunna vidta åtgärder i en krissituation, för att kunna säkerställa skyddet för de registrerades fri- och rättigheter samt kommunicera korrekt information i tid vid exempelvis en incident
- skapa förutsättningar för en snabb återgång till normal verksamhet efter ett avbrott eller en krissituation genom fastställda rutiner för incidenthantering.
Kontinuitetshantering handlar, precis som informationssäkerhet, om ett kontinuerligt förbättringsarbete, exempelvis enligt nedanstående modell
- planera
- genomföra
- följa upp
- förbättra.
Planera
- analysera vilka personuppgiftsbehandlingar och tillhörande tjänster som är skyddsvärda utifrån de registrerades fri- och rättigheter
- identifiera och analysera risker som kan hota eller störa tjänsterna och därmed personuppgiftsbehandlingarna
- ta fram lösningar för att undvika risker eller minimera konsekvenserna
- säkerställ ledningens engagemang
- förankra och kommunicera planen i organisationen.
Genomföra
- vidta lämpliga tekniska och organisatoriska åtgärder för att undvika eller minimera risker och konsekvenser för den registrerade
- fördela ansvar
- ta fram kontinuitetsplan med rutiner för att hantera störningar
- informera och utbilda berörda
- testa och inför kontinuitetsplanen i verksamheten.
Följa upp
- följ upp hur planen fungerar
- analysera incidenter.
Förbättra
- analysera och uppdatera risk− och konsekvensanalysen
- justera och anpassa tekniska och organisatoriska åtgärder samt rutiner vid behov
- förbättra planen kontinuerligt utifrån de förnyade analyserna.
Kontinuitetshantering enligt GDPR
Kontinuitetshanteringsplan för dataskydd måste innehålla både tekniska och organisatoriska åtgärder för att organisationen ska kunna fortsätta verka vid störning eller efter ett avbrott och behandla personuppgifter i enlighet med dataskyddsförordningen.
Dataskyddsförordningen ställer krav på organisationers förmåga att återställa system genom att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos systemen och tjänsterna där personuppgifter behandlas. Det innebär att arbeta förebyggande med åtgärder för att dels minska sannolikheten för att något oönskat händer och att minska konsekvensen om något oönskat skulle hända samt ha förmågan att effektivt kunna återgå till normalläge efter en störning eller avbrott.
Att tappa tillgången till personuppgifter kan få stora konsekvenser för den registrerade och dennes fri- och rättigheter. Därför är det viktigt att man inkluderar dataskyddet och personuppgiftsbehandlingarna i sin kontinuitetshanteringsplan.
Vad bör planen innehålla?
Kontinuitetsplaner kan variera i omfattning och kan tas fram för såväl kritiska aktiviteter som för resurser. Det är bra om följande delar finns beskrivna i planen:
Åtgärder för att minska risken för störning eller avbrott
- Reservrutin: Hur arbetar vi på alternativa sätt under en störning? Inklusive roller och ansvar.
- Återställningsrutin: Hur återställer vi den kritiska aktiviteten eller resursen efter en störning? Inklusive roller och ansvar.
- Återgångsrutin: Hur återgår vi till ordinarie arbetssätt när den kritiska aktiviteten eller resursen fungerar igen? Inklusive roller och ansvar.
- Nödvändiga kontaktuppgifter: Vilka kontaktuppgifter behövs för att kunna utföra uppgifterna? Vilka behöver informeras om läget, internt och externt? Detta kan också bli aktuellt om avbrottet resulterar i en personuppgiftsincident så att den hanteras på korrekt sätt.
Det är viktigt att en kontinuitetshanteringsplan är tydlig, lätt att använda och tillgänglig för alla som anses behöva den − oavsett vad som inträffat − när den behövs och kommunicerad till berörd personal.
En kontinuitetshanteringsplan behöver övas och vara en del i den säkerhetskultur som finns i verksamheten.