Upplýsingaöryggisstefna

Tilgangur
Samkvæmt lögum um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 ber Premium ehf. að tryggja viðunandi öryggi persónuupplýsinga. Upplýsingaöryggisstefna þessi lýsir áherslum fyrirtækisins á mikilvægi þeirrar skyldu. Verja þarf persónuupplýsingar hjá fyrirtækinu fyrir öllum ógnum, bæði innri og ytri, og gildir einu hvort þær ógnanir stafi af ásetningi eða gáleysi. Með þessari stefnu geta starfsmenn, viðskiptavinir og aðrir treyst ásetningi Premium til að standa vörð um öryggi persónuupplýsinga, m.t.t. til leyndar, réttleika og tiltækileika.

Umfang
Upplýsingaöryggisstefna þessi nær til umgengni og vistunar allra persónuupplýsinga í vörslu Premium. Hún tekur til innri starfsemi fyrirtækisins og þjónustu sem Premium veitir viðskiptavinum sínum á samnýttum eða sértækum búnaði, auk allra innri kerfa, hug- og vélbúnaðar í eigu og undir fullri stjórn Premium. Jafnframt tekur hún til húsnæðis þar sem persónuupplýsingar eru meðhöndlaðar, starfsmanna og samningsbundinna aðila sem aðgang hafa að upplýsingunum.

Markmið
Markmið Premium ehf. með upplýsingaöryggisstefnu þessari er að:
• Persónuupplýsingar séu réttar og aðgengilegar þeim sem aðgangsheimild hafa.
• Leynd persónuupplýsinga og trúnaði sé viðhaldið í samræmi við lög og reglur þar að lútandi.
• Persónuupplýsingar séu varðar gegn skemmdum, eyðingu eða uppljóstrun, án tillits til þess hvort það komi til vegna ásetnings eða gáleysis.
• Persónupplýsingar sem fara um kerfi Premium komist til rétts viðtakanda, óskaddaðar og á réttum tíma.
• Að áhætta sem fylgir því að vinna með persónuupplýsingar sé innan skilgreindra áhættumarka.
• Að fylgja öllum lögum, reglugerðum og reglum sem varða meðferð persónuupplýsinga.
• Fylgja öllum samningum sem fyrirtækið er aðili að og varða vernd persónuupplýsinga.
• Frávik, brot eða grunur um veikleika í upplýsingaöryggi séu tilkynnt og rannsökuð.
• Unnið sé að stöðugum umbótum þegar kemur að upplýsingaöryggi.

Leiðir að markmiði
Leiðir Premium ehf. að framangreindum markmiðum eru að:
• Halda skrár yfir upplýsingaeignir þar sem finna má persónuupplýsingar, hvort sem þær eru á rafrænu formi eða á pappír, og flokka þær eftir eðli og mikilvægi leyndar.
• Greina reglulega, með formlegu áhættumati, þá áhættu sem vinnsla persónuupplýsinga getur haft í för með sér fyrir einstaklinga.
• Stjórna áhættu vegna vinnslu persónuupplýsinga innan skilgreindra marka með því að starfrækja stjórnkerfi upplýsingaröryggis.
• Framkvæma mat á áhrifum á persónuvernd ef líklegt er að tiltekin tegund vinnslu geti haft í för með sér mikla áhættu fyrir frelsi og réttindi einstaklinga, svo sem þegar til stendur að taka ný kerfi í notkun sem hýsa eða vinna persónuupplýsingar að öðru leyti.
• Viðhalda gæðahandbók með verklagsreglum og verkferlum vegna vinnslu persónuupplýsinga.
• Allir starfsmenn Premium fái reglulega þjálfun og fræðslu varðandi öryggi persónuupplýsinga og um þá ábyrgð sem á þeim hvílir.
• Allir starfsmenn fylgi gildandi lögum og reglum.
• Tryggja að afrit af persónuupplýsingum sé til og varðveitt á öruggan hátt.

Ábyrgð
• Stjórn Premium ber ábyrgð á þessari upplýsingaöryggisstefnu og endurskoðar hana reglulega.
• Framkvæmdastjóri Premium er ábyrgur fyrir framkvæmd stefnunnar.
• Umsjónarmaður öryggismála sér um daglega stjórnun upplýsingaöryggis.
• Persónuverndarfulltrúi skal sjá til þess að starfsfólk hljóti viðeigandi fræðslu um öryggi persónuupplýsinga.
• Öllum starfsmönnum Premium ber að vinna samkvæmt upplýsingaöryggisstefnunni. Þeim ber að tilkynna öryggisfrávik og veikleika sem varða upplýsingaöryggi. Þeir sem ógna upplýsingaöryggi Premium af ásettu ráði eiga yfir höfði sér málshöfðun eða aðrar viðeigandi lagalegar aðferðir.

Endurskoðun
Þessa stefnu skal endurskoða árlega og oftar ef þörf krefur til að tryggja að hún samrýmist markmiðum Premium ehf.

Samþykki
Samþykkt af stjórn Premium ehf. 19.12.2019.