KORTVERSJON. Personvern- og informasjonssikkerhet. Hadsel kommune. Ephorte-sak: 13/497. Tittel Side 1 av 16

Transkript

1 KORTVERSJON Personvern- og informasjonssikkerhet Hadsel kommune 2014 Ephorte-sak: 13/497 Tittel Side 1 av 16

2 Innhold DEFINISJONER:... 3 INNLEDNING... 4 FORMÅL... 4 ANSVARS- OG MYNDIGHETSFORHOLD, ORGANISASJONSKART... 6 Organisering... 6 Fysisk sikkerhet... 8 SYSTEMREVISJON... 9 Systemansvar... 9 Autorisasjonsansvarlige fagsystemer pr. februar Konfigurasjon RISIKOVURDERINGER Rutinebeskrivelse AVVIKSBEHANDLING Ansvar og deltagelse PARTNERE OG LEVERANDØRER DOKUMENTSIKKERHET Bruk av e-post og telefaks Snoking Sosiale media Lyd/bildeopptak... Feil! Bokmerke er ikke definert. Utskriftsdato: Side: 2

3 Definisjoner: Personopplysningsloven (pol) 2 gir følgende definisjoner: Personopplysning opplysninger og vurderinger som kan knyttes til enkeltperson Personregister Behandlingsansvarlig Databehandler Registrert registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes den som behandler personopplysninger på vegne av den behandlingsansvarlige den som en personopplysning kan knyttes til Samtykke en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv Sensitive personopplysninger Opplysninger om a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling c) helseforhold d) seksuelle forhold e) medlemskap i fagforeninger Utskriftsdato: Side: 3

4 Innledning Det er utarbeidet en håndbok (Hadsel kommunes sikkerhetshåndbok for personvern og informasjonssikkerhet) som beskriver oppgaver som følger av personopplysningsloven (pol). Håndboka er et referansedokument for ledere og ansatte som er ansvarlige for å initiere, implementere og vedlikeholde personog informasjonssikkerheten. Håndboka er utarbeidet i samarbeid med kommunens personvernombud, med basis i lovkrav i personopplysningsloven, personopplysningsforskriften og helseregisterloven for behandling av personopplysninger. Håndboka i sin helhet kan leses i ephorte-sak 13/497. Dette dokumentet som du sitter med her, er en kortversjon av Hadsel kommunes sikkerhetshåndbok for personvern og informasjonssikkerhet. Kortversjonen tar sikte på å synliggjøre hvor ansvar og oppgaver for personvern og informasjonssikkerhet ligger. For ansatte innen sektor helse og omsorg gjelder i tillegg Norm for informasjonssikkerhet i helse- omsorg- og sosialsektoren (omtalt som Normen). Mer informasjon om normen finner du her: norm-for-informasjonssikkerhet. Det er også utarbeidet egen veileder for personvern og informasjonssikkerhet for medarbeidere. Denne veilederen kan leses i ephorte-sak 13/497, dokumentnavn: Sikkerhetsinstruks medarbeidere. Formål Kommunens rolle i samfunnet innebærer en naturlig forpliktelse til å holde et høyt etisk nivå og sikre riktig kvalitet på sine primæroppgaver. Kommunens drift og organisering medfører at sensitive opplysninger behandles i mange ledd. Myndighetene har derfor fastsatt et regelverk for kontroll og sikkerhet som krever systematisk oppfølging. Elektroniske og papirbaserte informasjonsbehandlingssystem skal være gode og tilgjengelige hjelpemiddel for alle ledd og alle seksjoner i Hadsel kommune. Sensitive personopplysninger skal være tilgjengelig for alle som behøver dem i sitt arbeid, men ikke i større utstrekning enn det som trengs for å utføre arbeidet sitt. De overordnede mål for informasjonssikkerhetsarbeidet for kommunen er å oppnå høy grad av: Tilgjengelighet sikre at tilstrekkelige og relevante opplysninger er til stede og kan nås ved behov Konfidensialitet opplysninger skal ikke gjøres tilgjengelig for uvedkommende Integritet sikre at informasjon ikke blir utilsiktet endret Utskriftsdato: Side: 4

5 Det betyr at de data som vi registrerer i våre datasystemer skal være korrekte, de skal være tilgjengelige når det er behov for dem og de skal være beskyttet mot uvedkommende. Henviser til lover og forskrifter: Personopplysningsloven (pol) Personopplysningsforskriften (pof) Helseregisterloven Helseinformasjonssikkerhetsforskriften Utfyllende innhold til sikkerhetsmål finnes i kommunens Policydokument - se vedlegg her: Sikkerhetsmål og strategi. Utskriftsdato: Side: 5

6 Ansvars- og myndighetsforhold, organisasjonskart POL 13 Informasjonssikkerhet- Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene Bestemmelsen understreker at det er et lederansvar å sørge for tilfredsstillende informasjonssikkerhet. Organisering Ansvaret for informasjonssikkerheten i Hadsel kommune er organisert slik: rådmannens ledergeruppe Behandlingsansvarlig rådmannen representanter for de ulike sektorene utgjør medlemmene i sikkerhetsutvalget Espen Bjørnsund Gundersen Sikkerhetsansvarlig Sikkerhetsutvalg Sektor oppvekst Sektor helse og omsorg Stab&støtte, økonomiavd IKT Teknisk sektor Arkiv Tove Fredheim Hansen Torill Brastad Line Eggen Kjell-Bjarne Pettersen Mats Andre Aas Hilde Pedersen Rådmannen (behandlingsansvarlig) Rådmannen har det overordnete ansvar for at informasjonssikkerheten i kommunen ligger på et forsvarlig nivå. Hva dette innebærer er beskrevet mer utfyllende i kommunens sikkerhetspolicy. Rådmann og sektorledere skal hvert år ha gjennomgang av mål, rapporter fra oppfølging av handlingsplaner og risikovurderinger. På bakgrunn av dette skal de Utskriftsdato: Side: 6

7 vedta handlingsplan for kommende år. Ledelsen har også ansvar for å fastsette akseptabel risiko på overordnet nivå. Sikkerhetsansvarlig Sikkerhetsansvarlig har overordnet ansvar for informasjonssikkerheten i kommunen. Sikkerhetsansvarlig kan gi veiledning til ledere og koordinere kommunens strategi for arbeidet med personvern og informasjonssikkerhet. Sikkerhetsansvarlig samarbeider med kommunens personvernombud. Personvernombud Kommunen har inngått avtale med personvernombud Erlend Johansen i firmaet Digital integritet AS. Ombudet skal bl.a. assistere kommunen med å implementere internkontroll og holde systemet ved like. I tillegg skal personvernombudet bistå rådmannen i forbindelse med den årlige ledelsesgjennomgangen. Sikkerhetsutvalget Sikkerhetsutvalget har ansvaret for overordnede oppgaver som: måldefinisjoner, måloppnåelse/resultat, planarbeid utdanning/opplæring, innkjøp, styring og driftspolitikk. Sikkerhetsutvalget er også kommunens rådgivende organ i sikkerhetsspørsmål ovenfor rådmannen. I sikkerhetssammenheng vil typiske oppgaver være: gjennomgang og godkjenning av prosedyrer og retningslinjer for informasjonssikkerhet overvåkning av vesentlige endringer i trusselbildet gjennomgang og overvåkning av sikkerhetshendelser godkjenning av større initiativ for å styrke informasjonssikkerhet (f. eks. handlingsplaner) delta på møter sammen med personvernombudet Lederansvar Det daglige ansvar for informasjonssikkerheten i de ulike kommunale enhetene ligger hos sektorledere og enhetslederne. Det kan være aktuelt å delegere deler av ansvar og oppgaver nedover i lederlinjen. Enhetsledere og fagledere/avdelingsledere har særskilt ansvar for å sikre at alle ansatte får relevant informasjon ved ansettelse, sikre at alle ansatte underskriver taushetsløfte, samt planlegge å gjennomføre relevant opplæring for ansatte. Enhetsleder skal innenfor sitt ansvarsområde sørge for at forvaltning og bearbeiding av informasjon skjer på en forsvarlig måte, og innenfor rammen av gjeldende lover og forskrifter, instrukser og retningslinjer. Utskriftsdato: Side: 7

8 Dette innebærer: å ha nødvendige rutiner som sikrer tilgang, integritet og konfidensialitet i behandling av personopplysningene o å ha oversikt over hvilke personopplysninger som blir behandlet, o ha oversikt over hvilke register en har, o klassifisere registrene fastsette akseptabel risiko på de viktigste områdene bidra til årlig risikovurdering med tilhørende handlingsplan avvikshåndtering i samsvar med vanlig praksis i kommunen sikre at forholdet til partnere og leverandører (databehandlere utenfra, konsulenter, håndverkere, renholdere, vikarbyrå og lignende) er i samsvar med kravene i personopplysningsloven sikre at overføring av materiale som inneholder sensitive personopplysninger skjer i samsvar med gjeldende retningslinjer gi og tilbakekalle autorisasjon til elektroniske hjelpemiddel og lokaler Fysisk sikkerhet Den enkelte leder skal sørge for at enhetens lokaler og utstyr er forsvarlig sikret, med spesiell vekt på de rom hvor det er plassert utstyr benyttet for behandling av personopplysninger, eller for sikring av slike (eksempelvis pc-er, skrivere og manuelt arkiv). Den fysiske sikringen for behandling av og tilgang til personopplysninger er en vesentlig del av det totale sikkerhetskonseptet. Alle ansatte har ansvar for å hindre at uvedkommende får adgang til taushetsbelagte opplysninger. Dokumentreferanse: SKJEMA - Fysisk sikkerhet legg på skrivebeskyttelse ved elektronisk lagring. VIKTIG: Skjemaet inneholder opplysninger om hvor informasjon befinner seg i kommunen. Dokumentets innhold er derfor av en slik karakter at kun spesielt autorisert personell bør ha tilgang til dette dokumentet. Dette må avgjøres i hver enhet av enhetsleder. Ideelt sett bør dokumentet lagres kryptert på disk, og i utskrevet form på et sikkert sted. Skjema Sikkerhetsinstruks ledere Skjema Taushetserklæring for fast ansatte og vikarer Skjema for rutiner ved introduksjon nyansatte (rundeskjema) Utskriftsdato: Side: 8

9 SYSTEMREVISJON Pol 2-3. Sikkerhetsledelse - Den som har den daglige ledelsen av virksomheten som den behandlingsansvarlige driver, har ansvar for at bestemmelsene i dette kapittelet følges. Formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi, skal beskrives i sikkerhetsmål. Valg og prioriteringer i sikkerhetsarbeidet skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig gjennomgås for å klarlegge om den er hensiktsmessig i forhold til virksomhetens behov, og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Resultatet fra gjennomgangen skal dokumenteres og benyttes som grunnlag for eventuell endring av sikkerhetsmål og strategi. Rådmann skal sammen med sektorlederne årlig ha gjennomgang og beskrive prioritering av mål/fokusområder, og på bakgrunn av dette vil det gjennomføres systemrevisjon og kontroll. Dette betyr at enhetsleder må sikre at informasjonssikkerhetsperspektivet blir ivaretatt ved løpende behandling av saker. Det gjelder både forhold som berører papirbaserte og elektroniske informasjonssystemer, samt fysisk sikkerhet. Systemansvar For hvert IT- system skal det utpekes en systemeier som: har ansvar for nye versjoner som skal installeres har kontakt med leverandør av IT-systemet vedrørende systemets funksjonalitet (nye ønsker, nye krav, feilrapportering o.l.) gjennomfører tildeling til aktuelle applikasjon har kontakt med leverandør av IT-systemet vedrørende bruker-, system-, produksjons- og driftsdokumentasjon, slik at denne er på plass og fortløpende ajourholdt Utskriftsdato: Side: 9

10 Autorisasjonsansvarlige fagsystemer pr. september 2014 Hadsel kommune har en lang rekke fagsystemer, og det er oppnevnt fagansvarlige for alle systemene. IKT har ajourført liste over hvem dette er til enhver tid er, og vil kunne bistå om det er behov for å komme i kontakt med noen av disse. Fagsystemer vi i dag har i bruk er: Agresso Ephorte Familia Velferd Visma skole Visma Barnehage Notus Profil Winmed helse Winmed lege Arena HR Visma GEMINI ECCO Facilit Fysak SOSI Fy-kod Datamann brann Autocad Konfigurasjon Ansvar for konfigurasjon ligger hos kommunens IKT-avdeling. Informasjonssystemet skal konfigureres/settes opp slik at tilfredsstillende informasjonssikkerhet oppnås. Konfigurasjonskontrollen omfatter all programvare, servere, nettverksutstyr, eksterne tilkoblinger som kommunen disponerer. Det samme gjelder koblinger mot eksterne partnere. Alt utstyr eller program eiet/disponert av kommunen skal inngå i konfigurasjonen. Dette gjelder også utstyr eller program benyttet på hjemmekontor. Utskriftsdato: Side: 10

11 Risikovurderinger Pof 2-4 Risikovurderinger- Det skal føres oversikt over hva slags personopplysninger som behandles. Virksomheten skal selv fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. Den behandlingsansvarlige skal gjennomføre risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko forbundet med behandling av personopplysninger, jf. første ledd og 2-2 Resultatet av risikovurderingen skal dokumenteres. Informasjonssikkerhet omfatter her beskyttelse av: konfidensialitet hindre uvedkommende i å få tilgang på opplysningene integritet ingen uautorisert eller utilsiktet endring av opplysninger tilgjengelighet opplysningene er tilgjengelige når tilgang er nødvendig Kommunen skal utføre risikovurdering med formål å få en oversikt over hvilken risiko virksomheten er utsatt for med eksisterende løsning. Risikovurdering er også å undersøke hvorvidt den risiko som avdekkes er innenfor den risikogrensen virksomheten har fastlagt. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Grundighet/omfang av risikovurderingen bestemmes ut fra den enkelte situasjon som skal vurderes. Ledere har et spesielt ansvar for å gjennomføre risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Under revisjon skal sikkerhetsansvarlig til en hver tid vurdere om risikovurderinger skal gjennomføres. Rutinebeskrivelse Hadsel kommune har valgt å bruke et verktøy for risikoanalyse levert av KvalitetsLosen. Kontaktperson for iverksetting av ROS er medlemmer i sikkerhetsutvalget (se navn i organisasjonskartet). Ledere må gjøre en vurdering om det er områder innenfor ansvarsområdet som krever en grundigere ROS-analyse. Dokumentasjon på gjennomført vurdering kan bli etterspurt. Dokumentasjon kan være i form av møtereferat eller lignende. Utskriftsdato: Side: 11

12 Avviksbehandling POF 2-6 avviksbehandling - Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhetsbrudd, skal behandles som avvik. Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand, fjerne årsaken til avviket og hindre gjentagelse. Dersom avviket har medført uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet varsles. Resultatet fra avviksbehandling skal dokumenteres Ansvar og deltagelse Enhetsleder er ansvarlig for at det etableres praksis for avvikshåndtering. Alle medarbeidere som behandler personopplysninger har plikt til å rapportere avvik fra gjeldende rutine. Avviksbehandling består av to elementer: avdekking av avviket rapportering; normalt utføres dette av den medarbeider som oppdager avviket. Eksempler på situasjoner som gjør det nødvendig å iverksette avviksbehandling: ved utilsiktet utlevering av personopplysninger, eller ved mistanke om slik utlevering når medarbeidere benytter informasjonssystemet uten autorisasjon ved feil i utstyr eller program som kan ha innvirkning på informasjonssikkerheten eller driften av informasjonssystemet ved brudd på prosedyrer utskrift kommer på avveier bærbart utstyr blir stjålet papirjournal ligger åpent tilgjengelig bruker går fra arbeidsstasjon usikret bruker låner bort brukernavn og passord til andre bruker blir ikke fjernet ved fratredelse helse- og personopplysninger blir sendt i usikret e-post autorisert bruker får ikke tilgang urettmessig tilegnelse av taushetsbelagte opplysninger (snoking) ureglementert bruk av nødrettilgang Alle avvik skal rapporteres elektronisk via KvalitetsLosen. Om du ikke har tilgang til det elektroniske avvikssystemet, kan du kontakte leder eller kommunens sikkerhetsansvarlig for hjelp til å levere meldingen. Avviket rapporteres til nærmeste overordnede og til sikkerhetsansvarlig for personvern og informasjonssikkerhet. For de tilfeller der avviksbehandlingen har avdekket utlevering av taushetsbelagte personopplysninger, skal Datatilsynet meddeles resultatet av avviksbehandlingen. Det skal meldes hva har skjedd hva her kommunen gjort for å unngå samme avvik på nytt. Utskriftsdato: Side: 12

13 Partnere og leverandører Innleid personell skal behandles som besøkende, og hentes og følges under arbeidet, spesielt i områder hvor sensitiv informasjon eksponeres, med mindre den enhetsleder som har ansvaret for arbeidet gir dispensasjon. Ikke under noen omstendighet skal teknikere eller andre besøkende fritt kunne oppholde seg inne på maskinrom (tekniske rom, datarom osv.) eller kontorer. De skal alltid ha følge av fast ansatt personell. Unntaket er dersom innleid personell har underskrevet taushetsløfte da kan de bevege seg mer selvstendig. Eksempler på partnere eller leverandører hvor det er aktuelt å inngå kontrakt med sikkerhetsvilkår: databehandlere firma med konsulentoppdrag firma som utfører vedlikehold av utstyr eller program, eller som utfører arbeid i områder hvor utstyr eller program befinner seg renholdsfirma handverkere SKJEMA Taushetserklæring for partnere og leverandører. Utskriftsdato: Side: 13

14 Dokumentsikkerhet POF Dokumentasjon - Rutiner for bruk av informasjonssystemet og annen informasjon med betydning for informasjonssikkerheten, skal dokumenteres. Dokumentasjon skal lagres i minst 5 år fra det tidspunkt dokumentet ble erstattet med ny gjeldende utgave. Registrering av autorisert bruk av informasjonssystemet og av forsøk på uautorisert bruk, skal lagres minst 3 måneder. Det samme gjelder registreringer av alle andre hendelser med betydning for informasjonssikkerheten Begrepet dokumenter omfatter i denne sammenheng papirutskrifter så vel som datafiler på elektroniske lagringsmedia som minnepinner, disketter, magnetbånd, CD-plater, eksterne harddisker etc. Dokumenter som inneholder personopplysninger eller informasjon om sikring av slike opplysninger skal behandles slik at: det ved intern og ekstern forsendelse av slike dokumenter: bare er personer som har tjenstlig behov for tilgang til opplysningene som mottar slike dokumenter er mulig å oppdage uautorisert utlevering eller forsøk på slik utlevering, eksempelvis ved emballering/forsegling av dokumentet. Dette gjelder også ved bruk av virksomhetens interne postsystem, hvor flere enn den autoriserte kan ha tilgang. det ved oppbevaring av dokumenter med personopplysninger: tydelig fremgår av dokument at det inneholder personopplysninger det er ivaretatt fysisk sikring når det ikke er under tilsyn av autorisert personell at utskrifter inneholdende personopplysninger ikke blir liggende på skriver eller lignende på utskrift-steder som kan være tilgjengelig for uautorisert personell Vær i det hele årvåken for at utskrifter og dokumenter fra kommunen som ikke er vurdert som «åpen for alle», ikke havner i åpne søppelkontainere, på søppelfyllplass eller på annen måte kommer uvedkommende i hende (f. eks. gjenglemte dokumenter/rapporter på offentlige steder). Bruk av e-post og telefaks Å sende/motta e-post er forbundet med følgende risiko: Sendingene kan bli tappet underveis Opphavsmannen kan forfalske sin identitet og adresse Meldingen/dokumentet kan forfalskes (endres underveis) Utskriftsdato: Side: 14

15 Meldingen kan lett sendes til feil adressat Det skal aldri sendes konfidensiell eller sensitive opplysninger på e-post eller faks (heller ikke anonymiserte) med mindre det er på godkjent kryptert kanal - verken innenfor eller utenfor kommunen. Sensitive opplysninger skal ikke lagres på minnepinner eller annet bærbart utstyr. Minnepinner er enkle å miste og kan også lett spre virus. For mer informasjon klikk her for veileder fra KS. Snoking Viser til helseregisterloven 13a: forbud mot urettmessig tilegnelse av helseopplysninger. Det slås her fast at det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte helseopplysninger uten at det er begrunnet i helsehjelp til pasienten, administrasjon av slik hjelp eller har særskilt hjemmel i lov eller forskrift. Fra 9. mai 2009 ble det straffbart å «snoke» i journaler. Hittil har «snoking» bare vært underlagt tjenstlige reaksjoner. Nå risikerer ansatte som bryter reglene om «snoking» inntil tre måneders fengsel. Alle ansatte med tilgang til pasientopplysninger må derfor om mulig være enda mer bevisst på at snoking ikke kan tolereres. Sosiale media Det er ikke tillatt å benytte internett eller sosiale media som kanal for å utveksle fortrolige eller sensitive data. Lyd/film/bildeopptak Personopplysning er en opplysning som kan knyttes til en enkelt person eller en gruppe personer. Bilder/film/lydopptak hvor du kan kjenne igjen personen er også en personopplysning selv om det ikke står et navn ved bildet/lydfilen. Åndsverkloven 45c sier at det helt klart at det ikke er lovlig å filme, ta bilder eller på annen måte eksponere andre uten deres tillatelse. Ved brudd på disse bestemmelsene kan du bli anmeldt. Samtykke Du har lov til å bruke personopplysninger om du først har fått samtykke, det vil si tillatelse til å bruke bilder, film eller lydopptak. Samtykket skal være frivillig og gitt aktivt, og det kan når som helst trekkes tilbake. For oppvekstsektoren er det utarbeidet rutine og mal for hvordan slikt samtykke skal innhentes. Hensikten med innsamling og bruk må være tydelig, og rutine for Utskriftsdato: Side: 15

16 sletting etter at formålet er oppnådd skal gjøres kjent ved innhenting av samtykke. Hovedregelen er at fra fylte 15 år kan en person selv samtykke til innhenting og bruk av personopplysninger. Hvis en er yngre enn dette, må den som vil bruke personopplysningene innhente samtykke fra foreldrene. Dersom det dreier seg om sensitive personopplysninger (for eksempel straffbare forhold, helse, seksualitet og lignende), kreves ofte samtykke fra foreldrene frem til fylte 18 år. Konsekvens ved misbruk Om det avdekkes brudd der lydopptak/film eller bilder er brukt uten samtykke, kan forholdet anmeldes og straffeloven eller åndsverkloven kan gjøres gjeldene. Utskriftsdato: Side: 16