Grunnleggende om informasjonssikkerhet v. 1.3

Hensikt

Hensikten med dette dokumentet er å sikre at alle ansatte kjenner til grunnleggende informasjon om hvordan vi forholder oss til informasjonssikkerhet og personvern i kommunen.

Gjelder for

Alle ansatte.

Ansvar for gjennomføring

Arbeidsgiver har ansvaret for gjennomføringen.

Beskrivelse

Hva er personvern og informasjonssikkerhet?

Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger. Dine rettigheter etter personvernregelverket finner du på Datatilsynets sider

Informasjonssikkerhet handler om at vi har en god internkontroll som sikrer at tjenestene behandler personopplysninger lovlig, sikkert og forsvarlig.  

Hva er personopplysninger, og hva er sensitive personopplysninger?

Personopplysninger er alle opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Typiske personopplysninger er navn, adresse, telefonnummer, e-post og fødselsnummer

Sensitive personopplysninger krever spesiell sikring i både behandling og arkivering.
Dette er opplysninger om etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning, fagforeningsmedlemskap, genetiske opplysninger, biometriske opplysninger med det formål å entydig identifisere noen, helseopplysninger, seksuelle forhold, seksuell legning, straffedommer og opplysninger om lovovertredelser.

Grunnleggende personvernprinsipper

Reglene for behandling av personopplysninger bygger på noen grunnleggende prinsipper som vi alle må følge.

Informasjonen som samles inn og behandles skal være lovlig, rettferdig og gjennomsiktig. Det skal alltid være et formål med behandlingen og en hjemmel for at vi som offentlig myndighet kan registrere personopplysninger. Vi skal minimere hvor mye informasjon som samles inn og den skal være riktig. Informasjon knyttet til person skal beskyttes mot uvedkommende og oppbevares slik at integritet og fortrolighet ivaretas.

Informasjonssikkerhetspolicy

Informasjonssikkerhet - policy (Ikke tilgjengelig) beskriver hvilke styrende – gjennomførende og kontrollerende dokumenter som gjelder for hele kommunen. Her beskrives målsettinger, strategier og prinsipper, samt organisering og styrende rutiner som skal følges innen informasjonssikkerhet.

Hvem har ansvar for hva ?

Kommunedirektøren er behandlingsansvarlig for hele kommunen. Det betyr at når du behandler informasjon så gjør du det på delegasjon fra vår øverste ansvarlige i kommunen. Informasjonssikkerhetsansvarlig behandler saker og vedlikeholder og utvikler kvalitetssystemet for informasjonssikkerhet. Systemeier er ledelsen i områdene og har det overordnede ansvaret for at IT-systemene følger de lover og regler som gjelder, og har også ansvaret sammen med ledere for å følge opp dersom avvik registreres. Fagsystemansvarlig utpekes av systemeier og har myndighet til å forvalte IT-systemet på vegne av systemeier. Innenfor de største fagsystemene benyttes også funksjonen superbruker for å understøtte fagsystemansvarlig innenfor tjenestene.

Leder for IT-enheten sørger for at IKT-systemene og infrastrukturen i kommunen følger gjeldende lovkrav og at dette er dokumentert i en database som heter Digiorden. Her finnes en god oversikt over alt vi lagrer i de ulike systemer i en egen behandlingsoversikt. På kommunens hjemmeside finner du også en egen personvernerklæring som forklarer hvilke opplysninger vi lagrer og hvordan man kan få innsyn i opplysninger. Alle ansatte underskriver en taushetserklæring og godkjenner personlige informasjonssikkerhetsregler når de underskriver arbeidsavtalen og IKT-reglementet

Kommunen har etablert et informasjonssikkerhetsutvalg med representasjon fra alle kommunalområdene. Utvalget møtes en gang hver måned for å forbedre kommunens oppfølging av lover og regler innen informasjonssikkerhet og personvern. De følger også opp og planlegger aktiviteter etter årshjulet for informasjonssikkerhet og gir råd til respektive ledergrupper om kompetansetiltak og utvikling innen personvern og informasjonssikkerhet.

I forbindelse med anskaffelse av IT-systemer skal det gjennomføres risikoanalyse og sikre nødvendig ressurser for å ivareta informasjonssikkerhet gjennom hele avtaleperioden. Noen systemer kan ha større personkonsekvenser og må i tillegg gjennomføre en personvernkonsekvensanalyse før man bestemmer seg for å ta systemet i bruk. Det er laget en egen Sjekkliste for informasjonssikkerhet og personvern ved innføring av digitaliseringsprosjekter.

I Kristiansand kommune er det et eget personvernombud (PVO) som skal informere og gi råd om de forpliktelsene virksomheten har etter personvernlovgivningen. 

Registrering av avvik

Alle informasjonssikkerhetsavvik meldes i Kvalitetssystemet. I skjemaet for registrering av avvik er det egen avmerking for informasjonssikkerhetsavvik.

Avvik blir kategorisert i systemet etter hvor store konsekvenser det har. Allerede ved lav konsekvenskategori skal det vurderes å sende varsel til Datatilsynet.

Har avviket moderat konsekvens, skal melding sendes til Datatilsynet innen 72 timer. I alle slike saker skal man informere i linjen og ta kontakt med PVO, IKT sikkerhetsgruppen for å sikre god oppfølging.

Privat bruk av sosiale medier

Ansatte, studenter, praksiselever og inviterte besøkende skal være informert om, og følge kommunens prosedyre  og kan ikke dele informasjon og bilder fra sitt opphold i kommunens lokaler, eller i en kommunal aktivitet, i strid med taushetserklæring og bruk av bilder. 

Vedlegg og referanser

Informasjonssikkerhet og personvern - meny (Ikke tilgjengelig)