Datasäkerhet i IT-livscykeln - från inköp till säker avveckling

En stor andel av dataläckor sker i samband med att IT-utrustning avvecklas, återanvänds eller lämnar organisationen. Trots det fokuserar många verksamheter främst på IT-säkerhet under användningsfasen.

För att säkerställa ett effektivt dataskydd och efterlevnad krävs ett bredare perspektiv. Datasäkerhet behöver integreras i hela IT-livscykeln, från inköp och användning till lagring, återtag och dataradering.

Den här guiden visar hur företag och offetlig sektor kan arbeta strukturerat med informationssäkerhet genom hela livscykeln för sina IT-tillgångar.

Vad innebär datasäkerhet i IT-livscykeln?

Datasäkerhet i IT-livscykeln innebär att skydda information under hela livstiden för en IT-enhet, inte bara när den används aktivt.

IT-livscykeln omfattar:

• Inköp och upphandling
• Användning och drift
• Lagring och hantering av data
• Avveckling, återtag och återbruk

I varje steg hanteras känslig information, från personuppgifter till verksamhetskritisk data. Brister i någon del av processen kan leda till dataläckor, regelefterlevnadsproblem och förtroendeskador.

Därför behöver datasäkerhet, informationssäkerhet och IT-hantering ses som en sammanhängande process, inte isolerade insatser.

Risker i varje fas av IT-livscykeln

Inköp och upphandling

Datasäkerhetsarbetet börjar redan innan en enhet tas i bruk.

Vanliga risker:

• Otydliga krav på dataskydd i upphandlingar
• Avsaknad av krav på framtida dataradering
• Leverantörer utan verifierade säkerhetsprocesser

Exempel:
En kommun upphandlar datorer utan krav på spårbar avveckling, vilket senare försvårar säker hantering vid återtag.

Användning och drift

Under användning är fokus ofta på IT-säkerhet, men fysisk kontroll är lika viktig.

Vanliga risker:

• Förlorade eller stulna enheter
• Bristande behörighetsstyrning
• Lokal lagring av känslig data

Konsekvensen av detta är att data kan exponeras trots att systemen i sig är säkra.

Lagring och datahantering

Data lagras inte bara i centrala system utan även lokalt på enheter.

Vanliga risker:

• Bristande överblick över var data finns
• Ingen tydlig gallringspolicy
• Gamla enheter med kvarvarande information

Detta skapar en “osynlig riskyta” som ofta underskattas.

Avveckling och återtag

Detta är den mest kritiska och ofta mest förbisedda fasen.

Vanliga risker:

• Utrustning återanvänds utan säker dataradering
• Data kan återskapas från lagringsmedia
• Avsaknad av dokumentation och spårbarhet

Exempel:
Enheter säljs vidare eller skickas på återbruk utan att data raderats enligt standard, vilket kan leda till allvarliga dataläckor.

Var uppstår de största datasäkerhetsriskerna?

De största riskerna uppstår i praktiken vid avveckling och återtag av IT-utrustning. (Läs vår artikel om datasäkerhet vid återtag av IT Utrustning)

Det beror på att:

• Processer ofta är manuella eller otydliga
• Ansvar är fördelat mellan flera aktörer
• Krav på verifierad dataradering saknas

För företag och myndigheter innebär detta en konkret risk ur både ett juridiskt och verksamhetskritiskt perspektiv.

Att säkerställa certifierad och spårbar dataradering innan utrustning lämnar organisationen är därför avgörande.

Så arbetar ni strukturerat med datasäkerhet genom hela livscykeln

Ett effektivt arbete med datasäkerhet kräver tydliga processer, ansvar och krav i varje steg.

1. Ställ krav på datasäkerhet i upphandling

• Definiera krav på dataskydd och informationssäkerhet
• Säkerställ att leverantörer erbjuder certifierad dataradering
• Inkludera krav på hantering vid livscykelns slut

2. Skapa full kontroll över IT-tillgångar

• Inventera och registrera all utrustning med ett ITAM system
• Säkerställ spårbarhet genom hela livscykeln
• Koppla enheter till ansvariga funktioner

3. Etablera tydliga processer för återtag

• Definiera hur utrustning samlas in och hanteras
• Minimera manuella steg
• Säkerställ säker transport och hantering

4. Säkerställ verifierbar dataradering

• Använd metoder som följer etablerade standarder
• Kräv dokumentation och raderingsintyg
• Säkerställ att data inte kan återskapas

5. Integrera datasäkerhet i cirkulär IT

• Möjliggör återbruk utan att kompromissa med säkerhet
• Kombinera hållbarhet med kontroll och efterlevnad
• Skapa processer som stödjer både miljö- och säkerhetsmål

Checklista: Datasäkerhet i IT-livscykeln

Använd denna checklista för att identifiera eventuella brister:

• Har ni en dokumenterad process för hela IT-livscykeln?
• Har ni kontroll över var all data finns lagrad?
• Ställs krav på dataradering vid upphandling?
• Finns en definierad process för återtag av IT-utrustning?
• Kan ni verifiera att data raderas korrekt?
• Har ni spårbarhet i alla steg?

Om svaret är nej på någon punkt finns en potentiell risk.

Foxway håller er data säker genom hela IT‑livscykeln

Att säkerställa att data är säker genom hela IT‑livscykeln ställer höga krav på struktur, spårbarhet och efterlevnad och kan vara både resurskrävande och komplext att hantera på egen hand.

Foxway arbetar med ett helhetsperspektiv där våra leverans‑ och livscykelprocesser är utformade för att hålla kundens data säker. Våra processer säkerställer att data skyddas vid varje steg i hanteringen av IT‑utrustning. Dataskydd, certifierad dataradering och kontrollerat återtag av IT‑utrustning är därför integrerade delar av hur vi levererar, med ansvar och kapacitet samlat inom Foxways egen verksamhet.

Detta innebär att Foxway möjliggör datasäkerhet genom:

• Spårbar och kontrollerad hantering av IT‑tillgångar genom hela livscykeln
• Certifierad och verifierbar dataradering enligt etablerade standarder
• Processer anpassade för GDPR och offentlig sektor, med höga krav på kontroll, dokumentation och efterlevnad.
• En kombination av datasäkerhet och cirkulär IT, där säker avveckling och återbruk går hand i hand