Policy för IT/informationssäkerhet och dataskydd

Policyn vänder sig till alla som hanterar Systembolagets information och beskriver Systembolagets styrande principer för IT- och informationssäkerhetsarbetet samt för dataskydd.

Policyn omfattar hela Systembolagets verksamhet och all information utan undantag oavsett om den behandlas manuellt eller automatiserat och oberoende av dess form eller den miljö den förekommer i.

Information är en av Systembolagets värdefullaste tillgångar och hantering av information utgör en betydande del av arbetet. Tillgången till tillförlitlig information är en förutsättning för att Systembolaget ska kunna fortsätta vara framgångsrika och utveckla vårt kundmöte och vår verksamhet på ett innovativt sätt.

Modern IT möjliggör hög tillgänglighet till information på ett säkert sätt men om hanteringen inte sker på ett korrekt sätt kan det leda till både materiella och immateriella skador och förluster för Systembolaget. Därför sker arbetet med IT-/informations-säkerhet och dataskydd strukturerat utifrån det ansvar som beskrivs nedan.

En förutsättning för att företagets information ska vara skyddad är att en god säkerhetskultur genomsyrar hela verksamheten. Med det avses att alla som hanterar Systembolagets information har god kunskap om vilka regler som gäller vid informationshantering, att medvetet och uppmärksamt värdera situationer och i enlighet med gällande rutiner rapportera händelser som kan påverka säkerheten.

Övergripande målsättning

IT- och informationssäkerhet säkerställer en effektiv informationsförsörjning, ett högt skydd för personuppgifter, minimering av risk och att händelser som på ett negativt sätt påverkar möjligheterna att bedriva en ändamålsenlig verksamhet förebyggs. Arbetet med IT- och informationssäkerhet ska vara systematiskt och långsiktigt.

Systembolagets mål för IT-/informationssäkerhet och dataskydd är att rätt information ska tillgängliggöras för rätt person vid rätt tillfälle. Skyddet av IT- och informationstillgångar ska vara utformat så att verksamhetens krav på säkerhet uppfylls. Detta gäller även när Systembolagets information eller informationssystem hanteras av extern part.

Att säkerställa en god nivå av systematiskt IT- och informationssäkerhetsarbete möjliggör
- att lagstiftning och regulatoriska krav följs,
- att kritisk verksamhet upprätthålls,
- att informationsläckor minimeras,
- förutsättningar för effektivisering och innovation
- att kostnader för kvalitetsbrister kan begränsas samt
- bidrar till att förtroendet för Systembolagets uppdrag och varumärke skyddas.

Systembolaget följer regulatoriska krav och god sed inom IT-/informationssäkerhet och dataskydd såsom integritetsskyddslagstiftning (dataskyddsförordningen (GDPR), lagen om elektronisk kommunikation (LEK), kamerabevakningslagen, säkerhetsstandarden för kortbetalningar (PCI-DSS) och ackreditering SWEDAC (för laboratorie-verksamheten).

Systembolaget säkerställer att interna och externa revisorer kontinuerligt genomför uppföljningar av efterlevnaden av regulatoriska krav.

Ansvar

Systembolagets policy för IT-/informationssäkerhet och dataskydd beslutas av Systembolagets styrelse. IT-avdelningen driver organisationens arbete med information och skydd av information. Varje avdelning ansvarar för att implementera denna policy i den egna verksamheten.

De som använder Systembolagets IT- och informationstillgångar på ett sätt som strider mot denna policy kan bli föremål för påföljder.

Alla som hanterar Systembolagets information

  • Alla som hanterar Systembolagets information ska känna till vad det egna ansvaret omfattar och ha god kunskap om vilka säkerhetsregler som gäller.
  • Personer som hanterar Systembolagets information ska regelbundet få den utbildning som krävs för att IT-/ informationssäkerheten och dataskydd ska kunna upprätthållas.

Tjänsteansvariga och informationsägare

  • Alla IT-tjänster och den utrustning de omfattar hanteras inom ramen för Systembolagets förvaltningsmodell. Ansvaret som följer förvaltningsmodellen innefattar att säkerhetskraven på IT-tjänsterna uppfylls.
  • All skyddsvärd information ska ha en ägare. Informationsägaren ansvarar för att klassificera informationen och ställa de säkerhetskrav som krävs för att informationen har ett fullgott skydd.
  • Tjänsteansvariga och informationsägarna ska utifrån återkommande risk- och sårbarhetsanalyser och inträffade incidenter vidta nödvändiga åtgärder för att säkerställa att Systembolagets informationstillgångar har ett ändamålsenligt skydd.

Det betyder att

IT- och informationssäkerhet
Ett systematiskt och långsiktigt IT- och informationssäkerhetsarbete syftar till att säkerställa informationens riktighet, konfidentialitet, och tillgänglighet.

Riktighet
Med riktighet menas att information inte kan förändras av obehörig, av misstag eller på grund av störningar i IT-system eller verksamhet. Informationen ska vara tillförlitlig, korrekt och fullständig.

Konfidentialitet
Med konfidentialitet menas att information inte tillgängliggörs eller avslöjas till obehöriga individer, enheter, eller processer eller på annat sätt röjs medvetet eller omedvetet till annan än behörig.

Tillgänglighet
Med tillgänglighet menas att informationen ska kunna användas efter behov i förväntad utsträckning, inom önskad tid och på rätt plats.

Systembolaget arbetar med kontinuitetsplanering och har beredskap för avbrott. Kritiska verksamheter ska upprätthållas på överenskommen nivå vid olika typer av störningar, avbrott eller krissituationer.

Övergripande principer för arbetssätt
Systembolaget baserar arbetet med informationssäkerhet på den vägledning och det metodstöd som MSB (Myndigheten för Samhällsskydd och Beredskap) tillhandahåller för att upprätthålla ett LIS (Ledningssystem för Informationssäkerhet).

Systembolaget har övergripande rutiner, regler och anvisningar som är kostnadseffektiva och står i proportion till värdet av informationen och de negativa konsekvenser som otillräcklig säkerhet kan medföra.

Systembolaget klassificerar, värderar och prioriterar Systembolagets IT- och informationstillgångar genom förvaltningsorganisationerna utifrån verksamhetens krav på riktighet, konfidentialitet och tillgänglighet.

Systembolaget ställer säkerhetskrav i upphandlingar och vid utveckling, användning och avveckling av IT-system följer upp ställda krav. Systembolaget ska uppmärksamma och rapportera händelser som kan misstänkas påverka informationssäkerheten.

Styrande principer för dataskydd avseende personuppgifter
Systembolaget värnar den personliga integriteten och verkar för att upprätthålla ett starkt dataskydd för personuppgifter och därigenom ett högt integritetsskydd för individer.

Följande styrande principer gäller för Systembolagets dataskyddsarbete och all behandling av personuppgifter.

Ansvarsfullt och systematiskt dataskyddsarbete
Systembolaget tar fullt ansvar för vår personuppgiftsbehandling och arbetar systematiskt och strukturerat för att säkerställa att regler och fastställda principer efterlevs.

Det betyder att:
Systembolaget tar som personuppgiftsansvarig fullt ansvar för behandlingen av kunders, medarbetares, leverantörer och andra intressenters personuppgifter. All behandling sker i enlighet med dokumenterade principer och ställningstaganden.

Vi har en ändamålsenlig organisation för att kunna upprätthålla dessa principer och byggandet av kompetens och förmågor i verksamheten. Alla informationsmängder innehållande personuppgifter ska ha en utsedd informationsägare med uppgift att vara uppdaterad på vilka identifierade ändamål som satts upp för informationsmängden. Den som samlar in och använder personuppgifter ska säkerställa att de styrande principerna följs och att verifiera med informationsägaren att insamlingen/användningen följer de uppsatta ändamålen.

Laglighet
All vår personuppgiftsbehandling sker enligt gällande lagar och regler och genomsyras av Systembolagets värderingar och dessa styrande principer.

Det betyder att:
Systembolaget värnar individens integritet och säkerhet. All information vi samlar in om våra kunder, medarbetare, leverantörer och andra intressenter ska behandlas enligt gällande lagar och regler samt alltid följa dessa principer. All vår behandling av personuppgifter ska genomsyras av Systembolagets värderingar. Systembolaget ska alltid veta vilken information som samlas in, för vilka ändamål insamling sker, vilka behandlingar som är nödvändiga för ändamålet, vilken laglig grund vi har för behandlingen liksom hur vi säkerställer att dessa principer upprätthålls.

Korrekthet
Alla personuppgifter som Systembolaget samlar in och behandlar ska vara korrekta och om nödvändigt uppdaterade.

Det betyder att:
Systembolaget ska säkerställa robusta system och processer som underlättar och säkerställer att vi har uppdaterade och korrekta uppgifter. Individen ska på ett lättillgängligt sätt kunna kontrollera vilka uppgifter Systembolaget behandlar.

Öppenhet och transparens
Systembolaget ska alltid agera öppet och transparent med samt lämna tydlig, tillgänglig information om hur vi behandlar personuppgifter och vilka rättigheter individen har.

Det betyder att:
Systembolaget är transparent och tydligt med vilka personuppgifter vi samlar in, varför, hur den behandlas och vilka rättigheter individen har. Vi månar om att lämna informationen på ett sätt som gör det lätt att förstå och vi bygger vår kommunikation på ett sätt som underlättar förståelse.

Ändamålsbegränsning
All vår personuppgiftsbehandling sker för ett uttryckligt och berättigat ändamål och vi är medvetna om att det satta ändamålet utgör ramen för vår personuppgiftsbehandling.

Det betyder att:
All behandling av personuppgifter sker i enlighet med Systembolagets fastställda och kommunicerade syften (ändamål). Vi formulerar våra syften på ett tydligt och avgränsat sätt och säkerställer att det är känt för verksamheten för vilka syften personuppgifterna har samlats in och får behandlas. Vi arbetar medvetet utifrån våra syften (ändamål).

Uppgiftsminimering
Vi behandlar bara den mängd personuppgifter som är adekvat, relevant och nödvändig för att uppnå ändamålet.

Det betyder att:
Vi behandlar bara de personuppgifter som är nödvändig för att uppnå våra fastställda, berättigade och kommunicerade ändamål. Vi utvärderar initialt och löpande vilka uppgifter som är nödvändiga och om ändamålet kan uppnås med mindre mängd uppgifter eller med hjälp av anonyma eller pseudonymiserade uppgifter.

Lagringsminimering
Vi lagrar inte personuppgifter längre tid än vad som är nödvändigt för att uppnå det uppsatta ändamålet

Det betyder att:
Vi behandlar bara personuppgifter under den tid som är nödvändig för att uppnå våra fastställda, berättigade och kommunicerade ändamål. Vi har satt upp lämpliga gallringstider för behandlingen av personuppgifter och vi är transparenta gentemot de individer vars personuppgifter vi behandlar. Vi har fastställt rutiner för hur vi gallrar personuppgifter och vi säkerställer att rutinerna följs.

Säkerhetsmedvetenhet och inbyggt dataskydd
Vi värnar de personuppgifter vi behandlar och vidtar lämpliga säkerhetsåtgärder, såväl tekniskt som organisatoriskt, för att skydda informationen.

Det betyder att:
Vi har tydliga instruktioner och rutiner för verksamheten om hur personuppgifter får behandlas och vi har fungerande rutiner för att rapportera avvikelser och incidenter.

Vi vidtar de tekniska och organisatoriska säkerhetsåtgärder som behövs för att upprätthålla en ändamålsenlig säkerhetsnivå. Vi upprätthåller robusta system och processer för att utifrån ett riskbaserat angreppssätt minimera risken för att personuppgifter sprids omedvetet eller till obehöriga eller förvanskas på ett otillbörligt sätt.

Vid utveckling av vår verksamhet, våra tjänster och erbjudanden finns dataskyddsperspektivet alltid med och när så behövs genomför vi konsekvensbedömning och risk- och sårbarhetsanalys. Vår utgångspunkt är inbyggt dataskydd och dataskydd som standard.

När vi anlitar personuppgiftsbiträden gör vi en noggrann bedömning av vår leverantör och vilka säkerhetsåtgärder som är nödvändiga. Vi lämnar tydliga instruktioner för personuppgiftsbehandlingen och vi följer upp att instruktionerna efterlevs.

Årlig omprövning

Samtliga policyer omprövas årligen av styrelsen. Senast reviderad 26 november 2020