Informasjonssikkerhetshåndbok

Innhold

Informasjonssikkerhetshåndbok

Innledning

Informasjonssikkerhet handler om sikring av informasjonsverdier med betydning for både offentlig forvaltning, virksomheter, organisasjoner og enkeltpersoner, derfor angår det oss alle.

Tilgang til informasjon og informasjonssikring skal ikke være to motstridende interesser. Målet med informasjonssikring er å sikre informasjonen mot misbruk.

Kravene til sikring av informasjon bestemmes i hovedsak av to faktorer:

  1. informasjonenes innhold
  2. hvilken sammenheng den behandles i

Den største trusselen mot informasjonssikkerheten er primært oss mennesker og vår manglende forståelse for behovet for sikring. Det kan handle om manglende sikring eller om manglende kompetanse. Sikringstiltak, systematikk, rutiner og prosedyrer skal ivareta informasjonssikkerheten på en formell, systematisk og etterprøvbar måte.

Informasjonssikkerhet er knyttet til behandling av personopplysninger. Innholdet her gjelder behandling av både sensitive og ikke sensitive personopplysninger om ansatte, elever, barnehagebarn, tjenestemottakere og andre kommunen behandler personopplysninger om.

Det er viktig å ha en saklig grunn for å behandle personopplysninger. Grunnlag for behandling er normalt basert på lovhjemmel eller samtykke fra den registrerte. Uavhengig av grunnlaget har virksomheten plikt til å informere den registrerte om hvordan den har tenkt å behandle opplysningene. Det betyr at det må informeres om formål, rettigheter og lagringstid for opplysningene.

 

Informasjonssikkerhetshåndboken er vedtatt i rådmannens ledergruppe, og gjelder for alle som skal ha tilgang til Sandnes kommune sine IT-systemer. Bestemmelsene i håndboken gjelder for all behandling av informasjon i kommunen. Intern informasjon, offentlig informasjon, informasjon unntatt fra offentlighet eller personopplysninger - herunder sensitive personopplysninger.

 

All informasjon skal sikres slik at den ikke blir kjent av uvedkommende, misbrukt, manipulert eller unødig går tapt. Informasjon skal fordeles etter tjenstlige behov. Informasjonssikkerhet handler om:

  • Konfidensialitet
    • informasjonen kun er tilgjengelig for de riktige personene/ prosessene/ systemene
  • Integritet
    • informasjonen er fullstendig, nøyaktig og gyldig, og ikke er endret av uvedkommende
  • Tilgjengelighet
    • informasjonen er tilgjengelig til riktig tid for de som har behov for det

 

I Sandnes kommune skal vi beskytte informasjonen og informasjonssystemene slik at informasjon ikke kommer på avveie. Sandnes kommune skal sikre at behandlingen av innbyggerinformasjon oppfyller lovpålagte krav, kontraktsmessige forpliktelser og dekker behovet for personvern og etisk ansvar. Informasjonssikkerhetshåndboken skal til enhver tid være i tråd med Grunnloven, personopplysningsloven, forvaltningsloven, kommuneloven, offentlighetsloven, arkivloven og andre relevante særlover.

Informasjonssikkerhetshåndboken beskriver regler og retningslinjer for behandling av informasjon for å ivareta informasjonssikkerheten og personvernet til våre samarbeidsparter, innbyggere, ansatte og elever.

Det skal utarbeides og tas i bruk rutinebeskrivelser for behandling av informasjon i system og på fagområder, som er i tråd med gjeldende lovverk. Alle som benytter kommunens systemer er forpliktet til å kjenne til og følge informasjonssikkerhetshåndboken.

 

Valg og prioriteringer for å sikre personopplysninger og behandling av disse.

  • Det er etablert en sikkerhetsorganisasjon med klare ansvars- og myndighetsforhold
  • Arbeidet med informasjonssikkerhet skal forankres i øverste ledelse og inngå i ansvarsområdet en leder til enhver tid har
  • Alle behandlinger av personopplysninger skal registreres i fagsystemet f.t. Draftit
  • Det skal gjennomføres risikovurderinger ved etablering av nye behandlinger av personopplysninger, samt endringer i trusselbildet
  • Den datatekniske løsningen skal støtte opp om sikkerhetsmål og strategier gjennom tilfredsstillende forvaltning av utstyr, system og data
  • Tilgang til systemer og informasjon gis til ansatte etter arbeidsrelaterte behov
  • Det skal gis opplæring og informasjon til ansatte som bruker kommunens datasystem for å sikre at gjeldende sikkerhetskrav blir ivaretatt
  • Uvedkommende skal hindres tilgang til systemer og informasjon
  • Det skal sikres at personopplysninger ikke forandres utilsiktet eller uautorisert
  • Det skal være mulig å spore uønskede hendelser knyttet til bruk av kommunens datasystem
  • Fysisk sikring skal hindre at uautoriserte får adgang til lokaler der personopplysninger lagres og behandles
  • Det er rutiner og prosesser for å håndtere uønskede hendelser, avvik rapporteres i f.t. Compilo
  • Det skal gjennomføres tilfredsstillende intern kontroll, herunder sikkerhetsrevisjoner og ledelsens årlige gjennomgang

 

Informasjonssikkerhet for alle ansatte

Tilgang og brukerkontroll
  1. Alle ansatte får tildelt brukernavn og passord som oppgis for å autentisere ansatten og gi tilgang til Sandnes kommunes IT-utstyr, systemer og nettverk.
  2. Passordet skal holdes hemmelig for andre, og det skal læres utenat. Passordet skal ikke skrives ned, eller håndteres av passordhåndteringsprogram.
  3. Hvis ansatte har glemt passordet, eller mistenker at passordet er blitt kjent for andre, skal ansatten kontakte brukerstøtte for å få endre passordet umiddelbart.
  4. Ansatte skal ikke forsøke å tilegne seg andres passord, eller andres tilgang til IT-system.
  5. Konsulenter, vikarer og andre som skal ha tilgang til IT-systemene skal ha undertegnet taushetserklæring. Taushetserklæringen inneholder en bestemmelse som forplikter ansatten til informasjonssikkerhetshåndboken. Ansatte skal ha undertegnet en ansettelseskontrakt der dette er ivaretatt.
  6. Når ansatte forlater PC-en skal skjermen låses.

Lagring og behandling av data

Informasjon som lagres på kommunens servere og PC'er skal være jobbrelatert. Det er ikke tillatt å lagre private dokumenter, filmer, videosnutter, bilder, musikk og lignende så fremt dette ikke skal brukes i arbeidssammenheng.
Det er kun lov til å benytte skytjenester som er godkjent for bruk i Sandnes kommune


Bruk av e-post

Bruk av e-post skal være jobbrelatert.
Retningslinjer for bruk av e-post i Sandnes kommune ligger på kommunens intranett (Pulsen) – under Hjelp i jobben.


Bruk av IT-utstyr, programvare og nettverk

Ansatte skal følge Sandnes kommune sine retningslinjer om bruk av programmer, utstyr og tjenester knyttet til utstyret. Ansatte skal rapportere forhold som kan ha betydning for IT-utstyrets sikkerhet til brukerstøtte så raskt som mulig. 

Retningslinjer for Sandnes kommune ligger på kommunens intranett (Pulsen) – under Hjelp i jobben.

 

Bruk av elektronisk kommunikasjon (mobile enheter)

Med elektronisk kommunikasjon menes mobile enheter til bruk for internettilknytning (eks. nettbrett, mobiltelefoner). Elektronisk kommunikasjon brukes der ansatte har behov for tilgjengelighet, beredskap, fleksibilitet samt at det er et verktøy i arbeidshverdagen.

Se kapittel Bruk av IT-utstyr, programvare og nettverk.


Når ansatte slutter

Brukertilgangen blir stanset ved opphør av ansattforhold, og slettes etter 3 måneder.
Privat informasjon skal slettes fra OneDrive og hjemmeområde før ansatte slutter. Nærmeste leder har tilgang til ansattes OneDrive-område 30 dager etter at ansatte har sluttet.

 

Informasjonssikkerhet for ledere

Tilgang og brukerkontroll

Lederen er ansvarlig for at ansatte har undertegnet ansettelseskontrakt og taushetserklæring før de får tilgang til IT- og fagsystemene.

Lederen skal sørge for at ansatte i sin virksomhet er registrert i HRM slik at den kan få utdelt brukernavn og passord og tilgang til kommunes IT-utstyr, fagsystemer og nettverk.

Lederen er ansvarlig for at ansattes tilgang i systemer og programmer er begrenset til kun det de har behov for i jobben

Lederen er ansvarlig for å gi riktig tilgang til enhetens lokaler.

Når ansatte slutter skal leder sørge for at tilgang til nettverk, system, data, skytjenester og lokaler opphører.


Lagring og behandling av data

Leder har ansvar for å legge til rette for at ansatte lagrer og behandler opplysninger i fagsystemene, på hjemme- eller fellesområdet eller i Teams, SharePoint og OneDrive for kommune. Leder har ansvar for at formålet med behandling av data skal registreres i Draftit. Det skal utarbeides Ros analyser ved nye system eller større endringer i et fagsystem.


Sensitive opplysninger

Leder er ansvarlig for å sikre at ansatte er kjent med og følger rutiner for kommunikasjon av sensitive opplysninger i systemene. Ha informasjonssikkerhet som fast punkt på møter i virksomheten.

Leder skal sørge for at ansattes IT-utstyr anskaffes i henhold til Sandnes kommunes standard utstyr og innkjøpsrutiner, slik at det blir konfigurert for bruk i kommunes IT-systemer.

Leder er ansvarlig for at ansatte kjenner til og har lest informasjonssikkerhetshåndboken og andre retningslinjer og rutiner.

Leder er ansvarlig for at ansatte får tilstrekkelig opplæring i de systemene som skal benyttes. Dette innbefatter:

  • kjennskap til de forskjellige hovedkomponentene på en PC
  • grunnleggende Windows kompetanse
  • grunnleggende kompetanse i Office programmer
  • opplæring i fagprogram
  • kunnskap om innholdet i informasjonssikkerhetshåndboken

Leder er ansvarlig for å personalmelde opphør av ansattforhold.
Leder er ansvarlig for at innsamling av nøkler og ID-kort

Leder har ansvar for at alle i virksomheten kjenner til hvordan avvik skal registreres i Compilo avvikssystem. Dette skal gjøres med en gang etter avviket er oppdaget.

 

Organisering og ansvar

  1. Rådmannen
  2. Rådmannens ledergruppe
  3. Personvernombud
  4. Informasjonssikkerhetssjef
  5. IT-sjef
  6. Virksomhetsledere
  7. Alle ansatte

Ansvaret for at informasjonssikkerhetshåndboken overholdes følger linjeledelsen.

Alle ansatte i Sandnes kommunes skal overholde informasjonssikkerhetsreglementet, og beskytte verdien som ligger av informasjon i fagsystemer, elektroniske enheter og infrastruktur.


Personvernombud

Personvernombud skal bistå ansatte, registrerte og ledelsen i spørsmål om personvern og informasjonssikkerhet. Personvernrådgiveren har taushetsplikt, skal ikke motta instruksjoner i forbindelse med utføring av oppgavene som personvernrådgiver rapporterer til rådmannens ledergruppe.

Personvernrådgiveren kontrollerer overholdelse av forordningen og skal kunne gi råd i personvernkonsekvensutredninger og kontrollere gjennomføringen av den.

Alle ansatte som oppdager et brudd på informasjonssikkerheten og brudd på reglementet skal varsle om dette til personvernrådgiveren, og på den måten bidra til å begrense eller hindre at opplysninger kommer på avveie, blir urettmessig endret eller forsvinner.


Ledere

Den enkelte leder har det daglige ansvaret for den praktiske oppfølgingen av sikkerhetsarbeidet i egen virksomhet. Leder er også ansvarlig for å initiere og bistå i risikovurderinger. For råd og veiledning ta kontakt med informasjonssikkerhetssjef.


Informasjonssikkerhetssjef

Informasjonssikkerhetssjefen er ansvarlig for trygg og god forvaltning av kommunens informasjon. Veilede og gi råd til ansatte og ledere i informasjonssikkerhetsspørsmål. Være en pådriver og tilrettelegger for å sikre god forvaltning av informasjon. Drive holdningsskapende arbeid, spre kunnskap og være en pådriver for fagfeltet.

Bistå ledere med risikovurderinger ved innføring av nye eller ved endring av eksisterende IKT-løsninger.

Bistå ved gjennomføring av sikkerhetsrevisjoner.


Behandlingsansvarlig

Den behandlingsansvarlige er ansvarlig for å behandle personopplysninger på en lovlig, rettferdig og gjennomsiktig måte, ha et behandlingsgrunnlag, behandle personopplysningene på en sikker måte, sikre at de registrerte får utøvd sine rettigheter.

Den behandlingsansvarlige må sørge for å etablere alle nødvendige organisatoriske og tekniske tiltak for å sikre at regelverket etterleves til enhver tid. Den behandlingsansvarlige må kunne vise at den opptrer i samsvar med reglene. Dette gjelder også med hensyn til forsvarlig valg av databehandler. En behandlingsansvarlig kan med andre ord ikke frasi seg ansvaret for å etterleve regelverket fordi selve behandlingen av personopplysningene skjer hos en annen virksomhet.


Elever

Elever er brukere av Sandnes kommunes IT-systemer og skal forholde seg til det som står i informasjonssikkerhetshåndboken. Elever skal kun behandle sine egne personopplysninger, og skal ikke ha tilgang til å søke etter, lese eller redigere andres personopplysninger i fagsystemene. 


IT-drift

IT-sjefen er ansvarlig for at informasjonssikkerheten ivaretas i infrastruktur, maskinvare og sikkerhetssystemer.

IT-sjefen ivaretar sentral beredskapsplan for å håndtere driftsavbrudd som vurderes å være av et slikt omfang at de skaper vesentlige forstyrrelser for større deler av kommunens virksomhet, og/eller som kan gi følgeskader for tredjepart.


Systemeier

Systemeier er eier av fagsystemene/IT-systemene som naturlig hører inn under området virksomhetsleder/enhetsleder er ansvarlig for. Systemeier er ansvarlig for å ivareta informasjonssikkerheten i fagsystemene/IT-systemene. Virksomhetsleder/enhetsleder oppnevner en person for daglig ivaretakelse av superbruker/fagsystemansvarlig rollen. 


Superbruker/fagsystemansvarlig

Superbruker/fagsystemansvarlig er utpekt av virksomhetsleder/enhetsleder. De har hovedansvar for å gi opplæring til ansatte av fagsystemene/IT-systemene om forsvarlig forvaltning av informasjonen. De har også ansvar å utarbeide risikoanalyse og registrere fagsystemene i Draftit.


Systemansvarlig

IT-drift er teknisk ansvarlig for at fagsystemene/IT-systemene er tilgjengelig for ansatte. IT-drift vil bistå med teknisk kompetanse ved videreutvikling i dialog med superbruker/fagsystemansvarlig. 


Leverandør/partner

Informasjonssikkerhet reguleres i kontrakt og databehandleravtale mellom leverandører og kommunen. Det skal inngå databehandleravtale med leverandører/firmaer/partner som behandler personopplysninger. Kommunen skal alltid ha rett til innsyn og måling av hvorvidt sikkerhetskrav blir fulgt av leverandør eller eksterne ansatte.

Det skal inngå databehandleravtale med leverandører/firmaer/partner som behandler personopplysninger. Mal til databehandleravtale finnes på Pulsen. Anskaffelser kan bistå med utforming av databehandleravtaler. Alle databehandleravtaler arkiveres i kommunens sak-/arkivsystem.

Informasjon i IT-løsninger går gjennom et livsløp, gjennom anskaffelse, drift, arkivering og avvikling.


Anskaffelse av nytt IT-system

I anskaffelsesprosessen skal det stilles krav om innebygd personvern og personvern som standardinnstilling. Det er viktig å sikre at personopplysninger ikke kommer på avveie, derfor må det stilles krav til løsninger hvor personvern har høy prioritet.

Det skal utnevnes en systemeier som er behandlingsansvarlig for systemet og har ansvaret for at oppgavene rundt forvaltningen og risikoanalyse. Systemeieren rådfører seg med personvernombud i alle spørsmål knyttet til personvern og behandling av personopplysninger.

Systemeier sammen med informasjonssikkerhetssjef er ansvarlig for å gjennomføre ROS analyse der formålet med behandlingen av systemets behandling av personopplysninger blir gjennomført og personopplysningene blir redegjort for. Det skal alltid vurderes om en DPIA skal utarbeides.


Forvaltning av IT-systemet

Det skal gjennomføres årlig informasjonssikkerhetsgjennomgang med oppdatering av risikovurderingen. Det er systemeier som er ansvarlig for gjennomføring av årlig informasjonssikkerhetsgjennomgang, og informasjonssikkerhetsanavarlig og/eller personvernrådgiver samt representant fra IT-drift skal delta.

Databehandleravtaler skal gjennomgås og fornyes ved behov.


Avhending av IT-system

Når et IT-system ikke lenger skal brukes, skal data som ligger i systemet sikres med hensyn til konfidensialitet, integritet og tilgjengelighet. Informasjonen skal arkiveres i hht lovverket, og det skal være mulig å videreføre bruk i andre systemer.

Systemeier er ansvarlig for at informasjonen blir ivaretatt på en trygg måte når systemet ikke lenger skal tas i bruk. Dokumentsenter bistår sammen med systemeier for å sikre rett forvaring.


Internkontroll

Formålet med avviksbehandlingen er å få kunnskap om hendelser slik at kommunen samlet kan begrense skadene, lære av hendelsene og endre rutiner og implementere gode løsninger. Dette for å hindre at vi unngår at liknende hendelser skjer igjen samt sikre at vi til enhver tid ivaretar våre innbyggeres personvern.

Hendelser som skal meldes som avvik kan være enkeltepisoder, gjentakende episoder, overtredelser, svikt i rutiner, funksjonsfeil i fagsystemet eller liknende, der personopplysninger har kommet på avveie, ikke lenger er korrekte eller oppdaterte, eller har gått tapt. Også personopplysninger som er kryptert kan gå tapt eller komme på avveie, og de skal også meldes til datatilsynet. Det er viktig at de registrerte også får beskjed så tidlig som mulig slik at de kan gjøre nødvendige tiltak.

Alle som oppdager et avvik har ansvar for å melde dette i avvikssystemet Compilo. Alvorlige brudd vil bli varslet personvernombud.


Mottak og behandling av avviksmelding

Personvernombud kan motta avviksmeldingen som en muntlig henvendelse, tekstmelding, telefon eller som et avviksmeldingsskjema. En melding om avvik til personvernombudet skjer i fortrolighet, og personvernombudet har taushetsplikt og ivaretar melderens anonymitet. Personvernombudet vil også kunne igangsette avviksbehandling på eget initiativ, uten at en formell avviksmelding er mottatt.

  1. Avvik registreres i Compilo. Dersom avviket er av en slik karakter at det er fare for personopplysninger har kommet på avveie, blitt urettmessig endret eller gått tapt skal avviket meldes datatilsynet
  2. Følg instruksene i Compilo for melding til datatilsynet.
  3. En egen enhet «Personvern GDPR» som består av fire personer håndterer melding om avviket til datatilsynet. Meldingen sendes uten ugrunnet opphold og senest 72 timer etter at avviket er oppdaget. Melding til Datatilsynet skal ikke unntas offentligheten
  4. På bakgrunn av opplysninger oppgitt i avviksmelding vil personvernombudet kontakte aktuelle ressurser, f. eks systemansvarlig, behandler eller leder for å avklare realiteten i og omfang av avviket, og finne forslag til tiltak for å lukke avviket og begrense skaden
  5. Personvernombudet, Informasjonssikkerhetssjef, behandlingsansvarlig og systemeier vurderer avvikets omfang, alvorlighetsgrad og allerede igangsatte tiltak.
    • Har personopplysninger kommet på avveie, blitt urettmessig endret eller slettet slik at Datatilsynet skal varsles?
    • Har det allerede blitt igangsatt tilstrekkelig gode tiltak for å lukke avviket og hindre nye avvik kan avvikssaken lukkes?
    • Ved behov kontakter personvernombudet Datatilsynet om spørsmål ved hendelsen.
  6. Personvernombudet utformer og sender melding til de registrerte på vegne av behandlingsansvarlig og systemeieren i de tilfeller der personopplysninger har kommet på avveie, blitt urettmessig endret eller gått tapt. Meldingen til de registrerte signeres av behandlingsansvarlig og skal sendes uten ugrunnet opphold. Den kan være i form av e-post, pressemelding eller annen skriftlig melding som vil nås alle berørte.
  7. Dokumentbehandlingen skal skje i saksmappen personvernombud [årstall] i sak/arkivsystemet, der de i utgangspunktet unntas i offentlighet.
  8. Personvernombudet utformer notat for avvikssaken. Ved avvik der tilstrekkelige tiltak for å lukke og hindre nye avvik er igangsatt, kan avvikssaken foreslås lukket. Avviksmelding til Datatilsynet og melding til de registrerte legges ved der dette er aktuelt. Notatet med vedlegg sendes til behandlingsansvarlig som beslutter om avvikssaken kan lukkes.


Notatet for avvikssaken skal inneholde:

  1. Orientering om saken
  2. Beskrivelse av hendelsen, når hendelsen ble oppdaget, når hendelsen skjedde, hvem som var involvert og andre relevante opplysninger om hendelsen skal beskrives
  3. Regler og retningslinjer som ligger til grunn for saken
  4. Drøftelse av saken
  5. Vurdering av avviket, forslag til tiltak og vurdering av foreslåtte tiltak for å lukke avviket og hindre nye avvik
  6. Konklusjon med eventuelle oppfølgingspunkter


Meldingen til Datatilsynet skal inneholde:

  1. Beskrivelse av brudd på personvernet, hva slags brudd det er og hvor mange registrerte som er berørt
  2. Kontaktopplysninger på personvernombudet eller en annen kontaktperson ved varsling til datatilsynet
  3. Beskrivelse av mulige konsekvenser
  4. Beskrivelse av iverksatte tiltak og tiltak som er planlagt iverksatt mot personvernbruddet. Der det er aktuelt, beskriv tiltak for å hindre mulige bivirkninger av tiltakene
  5. Brudd på personvernet skal dokumenteres. Dokumentasjonen skal inneholde fakta om bruddet, konsekvensene og tiltakene som er gjort for å begrense skaden. Dokumentasjonen verifisere at pålegget er fulgt
  6. Kontaktopplysninger til personvernombudet om det er behov for utfyllende opplysninger
  7. Ved brudd på personvernet skal de(n) registrerte varsles uten ugrunnet opphold av behandlingsansvarlige


Meldingen til de registrerte skal inneholde:

  1. Beskrivelse av brudd på personvernet
  2. Beskrivelse av mulige konsekvenser
  3. Beskrivelse av iverksatte tiltak og tiltak som er planlagt iverksatt mot personvernbruddet. Der det er aktuelt, beskriv tiltak for å hindre mulige bivirkninger av tiltakene
  4. Eventuell beskrivelse av tiltak den registrerte anbefales å gjøre
  5. Kontaktopplysninger på personvernombudet og leder/systemeier eller en annen kontaktperson

For å sikre integritet og sporbarhet skal all aktivitet i fagsystemer som behandler personinformasjon loggføres, slik som endring og sletting av opplysninger, men også søk etter opplysninger. Gjennomsyn og kontroll av logger gjøre ved behov av systemeier og leder.

Sandnes kommunes rutiner for innsyn i dokumenter finnes på kommunens arkivplan: http://sandnes.arkivplan.no/content/view/full/89860

Alle systemenes behandling for informasjonssikkerhetsgjennomgang utgjør grunnlaget for systemoversikten i Draftit som til enhver tid skal være oppdatert.

Personvernombudet koordinerer arbeidet med årlig gjennomgang av informasjonssikkerheten, og sikrer at informasjonssikkerhetsgjennomgang med risikovurdering blir dokumentert, og oppdatert i Draftit. Systemeiere har ansvaret for at nye opplysninger om sine system blir oppdatert i Draftit.

Ledelsens gjennomgang skal holdes årlig for rådmannens ledergruppe. I møte skal det oppsummeres status for informasjonssikkerhetsarbeidet i kommunen, samt avdekke om sikkerheten ivaretas ihht mål, strategier og prosedyrer og beslutte tiltak for det videre sikkerhetsarbeidet. Tiltak som skal sikre at sikkerhetsmål, strategi og organisering av informasjonssikkerhetssystemet er oppdaterte og i samsvar med kommunens behov.

I ledelsens gjennomgang skal bl.a. følgende punkter gjennomgås og vurderes:

  • Resultater og hovedkonklusjoner fra informasjonssikkerhetsrevisjoner
  • Registrerte avvik
  • Rapporter fra offentlige og interne tilsyn
  • Endringer i lover, forskrifter og offentlige sikkerhetskrav
  • Endringer i de personopplysninger virksomheten skal behandle
  • Endringer i trusselbildet som kommer fram i gjennomførte risikovurderinger
  • Status på hendelser rundt teknisk informasjonssikkerhet
  • Organisatoriske endringer
  • Bygningsmessige endringer
  • Planer og fremdrift for å ivareta intern kontroll og informasjonssikkerhet

Kameraovervåking

Kameraovervåking skal ha som formål å hindre at uvedkommende skaffer seg adgang til virksomhetens områder, og skal virke preventivt på uønskede hendelser som tyveri, innbrudd, vold, hærverk mv. Kameraovervåking av personer som kan gjenkjennes er et inngrep i personvernet, så det skal gjennomføres en vurdering av personvernkonsekvenser ved systematisk overvåking i stor skala av et offentlig tilgjengelig område. Kameraovervåking skal ikke finne sted dersom problemet kan løses eller risikoen minimeres gjennom alternative tiltak. Kameraovervåking skal etter sitt formål være saklig begrunnet i virksomheten, og skal utøves i henhold til bestemmelsene i personopplysningsloven.

Behandlingsansvarlig ivaretar det overordnede ansvaret for kameraovervåking ved virksomhetene. Det løpende ansvaret for oppfyllelse av den behandlingsansvarliges plikter ivaretas av den enkelte virksomhetsleder.

Personopplysninger skal lagres slik at de slettes eller anonymiseres når de ikke lengre er nødvendige for formålet de ble innhentet for.


Lydopptak

Lydopptak kan gjøres der formålet er å sikre dokumentasjon for en eventuell politisak samt for å ivareta et HMS-perspektiv, og der formålet er å sikre dokumentasjon for de anførsler som fremsettes samt hva som er lovet av respons.

Innringer varsles om at opptak gjøres når opptaket starter dersom ikke det i seg selv vurderes som en risiko.

  1. Når innringer oppfattes som truende eller fremsetter konkrete trusler.
  2. Når innringer fremsetter en klage og ikke vil snakke med saksbehandler, eller saksbehandler ikke er tilgjengelig. Det bør lages et notat til saksbehandler i kommunens sak-og arkivsystem på den aktuelle saken.


Oppbevaring og sletting

Kameraopptak og lydopptak kan inneholde sensitive personopplysninger og skal oppbevares slik at informasjonssikkerheten og personvernet blir ivaretatt. Opptak skal slettes når det ikke lenger er saklig grunn for oppbevaring. Sletteplikten gjelder likevel ikke dersom det er sannsynlig at opptaket vil bli utlevert til politiet i forbindelse med etterforskning av straffbare handlinger eller ulykker.


ID-kort

ID-kortet brukes av ansatte som:

  1. Adgangskort
  2. Utskriftskort for skrivere i alle virksomheter i Sandnes kommune
  3. ID-kort/svømmekort


Utstedelse av ID-kort:

  1. Ny-ansatte tar bilde selv som sendes på epost sammen med skjema via leder til: Anita Løland og Tove Iren Vatne
  2. ID-kort produseres og sendes med internposten eller hentes på rådhuset
  3. Når en ansatt slutter leveres kortet siste arbeidsdag til leder, som sender dette til: Anita Løland og Tove Iren Vatne
  4. Tap av kort meldes omgående til leder.
  5. Det tapte kortet skal deaktiveres snarest og nytt kort må bestilles.
  6. Ansatte på rådhuset som har glemt kort og trenger lånekort kan ta kontakt med: Anita Løland og Tove Iren Vatne

IT-drift tar imot datautstyr (EE-avfall) både med og uten lagret informasjon, og sørger for sikker sletting og gjenbruk av utstyr. Avtal alltid tidspunkt for levering av datautstyr med IT-drift på http://brukerstotte.

Publisert: 15.05.2019 12:43
Sist endret: 26.09.2019 10:57