 |
|||||||||||||||||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||||||||||||||||
|
|
|||||
|
|||||
Brukerinstruks InformasjonssikkerhetINNHOLDDEL 1 INNLEDNING ANSVAR OG MYNDIGHET ADGANG TIL KOMMUNENS PC’ER OG DATASYSTEMER INTERNETT INTERNETTETS E-POST AVVIKSBEHANDLING INNLEID PERSONELL BÆRBARE MASKINER SIKKERHET OG ORDEN PÅ KONTORET DEL 2 INNHENTING OG KONTROLL AV DE REGISTRERTES SAMTYKKE (POL §§ 8, 9 OG 11) 1. VILKÅR FOR BEHANDLING AV PERSONOPPLYSNINGER 2. BEHANDLING AV SENSITIVE PERSONOPPLYSNINGER 3. GRUNNKRAV TIL BEHANDLING AV PERSONOPPLYSNINGER (POL § 11) VURDERING AV PERSONOPPLYSNINGENES KVALITET (POL §§ 11 BOKSTAV D OG E, 27 OG 28,) OPPFYLLELSE AV BEGJÆRINGER OM INNSYN OG INFORMASJON (POL §§ 16 TIL 24) 1. RETT TIL INNSYN 2. SAKSBEHANDLINGSFRISTER 3. INFORMASJONSPLIKT (POL § 18) 4. UNNTAK FRA RETTEN TIL INFORMASJON (POL § 23) MANGELFULLE OPPLYSNINGER – RETTING OG EVENTUELL SLETTING (POL § 27) FORBUD MOT Å LAGRE UNØDVENDIGE PERSONOPPLYSNINGER (POL § 28) OPPFYLLELSE AV PERSONOPPLYSNINGSLOVENS REGLER OM MELDE- OG KONSESJONSPLIKT, JF. PERSONOPPLYSNINGSLOVEN §§ 31 TIL 33. FJERNSYNSOVERVÅKING (VIDEOOVERVÅKING) TILSYN OG KONTROLL 1 DATATILSYNET 2 INTERNE OG EKSTERNE KVALITETSREVISJONER DEL 1 1. Definisjoner (pol § 2) Personregister: registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen. Personopplysninger: opplysninger og vurderinger som kan knyttes til en enkeltperson Behandling av personopplysninger: enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter, Registrert: den som en personopplysning kan knyttes til Samtykke: en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv Sensitive personopplysninger: Opplysninger om: • rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning • at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling • helseforhold • seksuelle forhold • medlemskap i fagforeninger Innledning Kommunen’s rolle i samfunnet innebærer en naturlig forpliktelse til å holde et høyt etisk nivå og sikre riktig kvalitet på sine primæroppgaver. Kommunen’s drift og organisering medfører at sensitiv opplysninger behandles i mange ledd. Myndighetene har derfor fastsatt et regelverk for kontroll og sikkerhet som krever systematisk oppfølging. De overordnede mål for informasjonssikkerhetsarbeidet for Kommunen er å oppnå høy grad av: • Tilgjengelighet – er det tilgjengelig når du trenger det • Konfidensialitet – opplysninger skal ikke eksponeres for uvedkommende • Integritet – sikre informasjon mot utilsiktet endring og korrekt innhold Det betyr at de data som vi registrerer i våre datasystemer skal være korrekte, de skal være tilgjengelige når det er behov for dem og de skal være beskyttet mot uvedkommende. Dette gjelder også deg! Ansvar og myndighet Rådmannen har det overordnede ansvaret for at behandling av personopplysninger i kommunen, er i samsvar med personopplysningsloven (POL). Etatsjefer er behandlingsansvarlig i sin etat. Hun/han er den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler, herunder systemer og rutiner/prosedyrer som skal etableres og brukes ref pol § 2 pkt 4 for å oppfylle de aktuelle lovkrav. Den enkelte saksbehandler som behandler personopplysninger på oppdrag fra behandlingsansvarlig etatsjef, er databehandler ref pol § 2 pkt 5. Hun/han er ansvarlig for å sette seg inn i og behandle opplysningene i samsvar med gjeldende lovverk og de rutiner etatsjefer som behandlingsansvarlig har godkjent. Lærlinger, elever og studenter i praksis er ansvarlig for å sette seg inn i etatens rutiner for behandling av personopplysninger. Studentens behandling av personopplysninger skal kun skje i opplæringsøyemed og under veiledning av dataansvarlig saksbehandler eller etatssjef som behandlingsansvarlig. Forholdet mellom personopplysningsloven og særlovgivning på tjenesteområdene Der det i særlovgivning stilles skjerpede krav til behandling av personopplysninger, skal etatssjefen sikre at det etableres rutiner som ivaretar disse kravene. Alle som utfører arbeide for kommunens ansatte, midlertidig ansatte og oppdragstakere har lovbestemt taushetsplikt. Plikten gjelder både i arbeidet og privat, og den varer også etter avsluttet arbeidsforhold i kommunen. Etatssjef/avdelingslederen for den enkelte avdeling/enhet/kontor har ansvar for å opprettholde en tilfredsstillende informasjonssikkerhet innenfor sitt ansvarsområde. Den enkelte medarbeider har ansvar for å sette seg inn i informasjonssikkerhets- linjene og følge disse. God informasjonssikkerhet oppnås gjennom den enkelte ansattes holdning og årvåkenhet, og ved at den enkelte ansatte kan vise ansvar for informasjonssikkerheten og følge gjeldende retningslinjer innenfor sitt arbeidsområde. Adgang til kommunens PC’er og datasystemer For å få tilgang til kommunen’s datasystemer, må alle ansatte, oppdragstakere og midlertidig ansatte gis nødvendige autorisasjoner gjennom sin etatsjef, og taushets- og arbeids-avtale må undertegnes. Passord er din personlige nøkkel til kommunen’s datasystemer. Passordet skal holdes hemmelig og skal ikke lånes ut til andre. Den enkelte ansatte er selv ansvarlig for de handlinger som utføres med egen indent. Du må straks endre passord hvis det kan ha blitt kjent av andre! Logg deg ut/”lås” PC’en når du forlater arbeidsplassen din. Logg deg altid ut ved arbeidsdagens slutt. Kun programvare som er lisensiert til kommunen og som IT-avdelingen har godkjent kan benyttes på kommunens PC’er og nettverk. Kopiering av kommunens programvare uten tillatelse er forbudt! Minnepenner/CD’er/data skal alltid kontrolleres for datavirus før du tar dem i bruk! IT-avdelingen vil sørge for at din PC blir kontrollert hver dag når du logger deg på nettverket. Internett Det er ikke tillatt å koble internett-forbindelser opp mot vårt nettverk uten særskilt tillatelse. Kommunen behandler og oppbevarer konsesjonsbelagt informasjon og informasjon som er underlagt taushetsplikt. Kommunen skal behandle og sikre data etter de vilkår som konsesjonen setter og etter lov og forskrifter gitt av offentlig myndigheter, samt vår taushetsplikt og kommunen’s egne krav til sikkerhet. Det er ikke tillatt å benytte internett som kanal for å utveksle sensitive data som ikke skal være alminnelig kjent. Under visse forhold kan utveksling av data utføres, men da i samråd med IKT-avdeling / sikkerhetsansvarlig. Internett kan være meget nyttig kanal for informasjonsutveksling, men du må huske på at internett er en åpen kanal hvor det er mulig for uvedkommende å få tilgang til den informasjon som du utveksler. Det kan være mulig for uvedkommende å lese, gjøre endringer eller på annen måte misbruke data som overføres på internett. Eksempler på akseptabel bruk: Å oppdatere seg faglig gjennom tilgjengelige nettmedia som lovdata, offentlige utredninger, biblioteksregister, nyheter og andre relevante kilder som f.eks. medisinske oppslagsverk/ databaser. Å utveksle ikke sensitiv-faglig informasjon med kollegaer gjennom e-post. Eksempler på uakseptabel bruk: Å laste ned programvare og spill fra nettet og med mindre dette på forhånd er godkjent av IKT-avdelingen Installasjon av programvare, med mindre det er godkjent av IKT-avdelingen. Å laste ned pornografi, volds- og rasistisk preget materiale eller annet materiale som kan virke usømmelig Å utveksle personopplysninger og andre opplysninger av fortrolig karakter. Internettets e-post Elektronisk post, E-post, kan sendes internt |
|||||
 |
| Tekst: Alf Leinan | Sist oppdatert: 30.3.2010 |
| Publisert av: Anne-Lise W. Robertsen | Utskriftsvennlig versjon |
