BankID varnar för bluffmeddelanden.

Säkra dina externa IT-tjänster

Använder din verksamhet sig av utomstående leverantörer som hjälper er med molntjänster eller drift och underhåll av servrar? Leverantören kan få stor insyn i informationsflödet, ni behöver ha ett juridiskt avtal som reglerar hur tjänsten används och var informationen finns.


Informationssäkerhet vid upphandling av IT-relaterade tjänster handlar om att du ska styra processen och den levererade tjänsten ska upprätthålla krav på att informationen ska vara skyddad hos leverantören, enligt avtal. Det innebär att din/er information ska vara skyddad från obehörig insyn och förändring hos leverantören. Du som kund ska också ha möjlighet att granska hur informationen hanteras hos leverantören.

Detta ska ske genom ett juridiskt bindande avtal där exempelvis följande bör vara reglerat:

  • Vem som äger informationen, hur informationen får användas samt om informationen på något sätt delas med en tredje part och hur skyddet av informationen säkerställs i alla situationer. När det gäller GDPR finns det särskilda bestämmelser för vad som krävs om informationen ska lagras utanför EU.
  • Hur snabbt tjänsten eller systemet ska fungera normalt igen efter avbrott och att leverantören visar upp sina egna dokumenterade kontinuitetsplaner.
  • När och hur rapportering av säkerhetsincidenter ska ske.
  • Att det hos leverantören bör finnas en särskilt utpekad kontaktperson för informationssäkerhetsfrågor och möjlighet till olika former av granskningar av leverantörens säkerhetsarbete.
  • Anges vilken information minst som ska säkerhetskopieras, hur ofta säkerhetskopieringen genomförs och hur informationen återställs vid behov.
  • På vilket/vilka sätt informationen skyddas genom kryptering samt med vilken algoritm informationen är krypterad. Lagrar organisationen information externt utan skydd av kryptering bör det finnas ett formellt beslut till grund för en sådan lösning.

De biträden som den personuppgiftsansvarige anlitar ska kunna ge tillräckliga garantier för att behandlingen uppfyller kraven i dataskyddsförordningen (GDPR) och säkerställer att den registrerades rättigheter skyddas. Den personuppgiftsansvarige och personuppgiftsbiträdet måste upprätta ett så kallat biträdesavtal. Dataskyddsförordningen räknar upp vad ett sådant biträdesavtal ska innehålla.

Ladda ner vår sammanfattning med definitioner och åtgärder för alla IT-områden.

Alla områden


Berätta för dina vänner innan de blir lurade:

Var den här sidan till hjälp för dig?

Nej, inte alls
Ja, mycket



Telefon
08-783 74 00

Ordinarie öppettider:
Måndag-torsdag: 09:00-16:00
Fredagar: 10:00-16:00
Lunchstängt. 11:30–12:30

Chat

Vänligen kontakta oss på telefon eller mejl istället.

Mail
sakerhetskollen
@stoldskyddsforeningen.se

Kontakta oss via mail.

Mailen är bemannad under kontorstid.