AVTALE FOR IKKE-ANSATTE

Transkript

1 AVTALE FOR IKKE-ANSATTE Avtalen gjelder for forskere ansatt hos annen arbeidsgiver som deltar i arbeidsvirksomhet og/eller benytter data fra foretakets informasjonssystem i forbindelse med forskningsprosjekt personer som i opplæringsøyemed utplasseres i helseforetaket uten å være arbeidstakere o studenter i praksis (gjelder ikke praksisplass for studenter/elever hvor HB har formelle samarbeidsavtaler (eks UiB og høgskolene i Bergensregionen) o studenter som skal skrive oppgave og benytter data fra foretakets informasjonssystem o personer som er ansatt hos annen arbeidsgiver som hospiterer i helseforetaket for kompetanseutveksling Så langt det passer kan avtalen også benyttes for personer som i forbindelse med arbeidsrettede tiltak/arbeidsmarkedstiltak utplass eres i helseforetaket uten å være arbeidstakere Mellom Helse Bergen HF, Haukeland universitetssjukehus (nedenfor kalt helseforetaket) og (navn), fødselsnummer: (fødsels- og personnummer) (nedenfor kalt ikke-ansatt) er det inngått følgende avtale: 1. Bakgrunn Denne avtalen skal formalisere at det i forbindelse med samarbeid mellom. (forskningsinstitusjon/utdanningsinstitusjon/annen arbeidsgiver mv) og helseforetaket er inngått avtale om. (deltakelse i arbeidsvirksomhet og/eller tilgang til data i helseforetaket) ved..(avdeling). 2. Vilkår Den ikke-ansatte er ikke omfattet av overenskomster og andre avtaler som gjelder arbeidstakere i helseforetaket. Den ikke-ansatte deltar i arbeid, hospiterer, er i praksis og/eller benytter eventuelt data fra foretakets informasjonssystemer, uten å være arbeidstaker i foretaket. Den ikke-ansatte mottar ikke lønn eller annen godtgjørelse fra foretaket. Den ikke-ansatte er omfattet av bestemmelsene i arbeidsmiljøloven 1-6, samt forskrift om arbeidsmiljølovens anvendelse for personer som ikke er arbeidstakere av Den ikke-ansatte må rette seg etter de lover, forskrifter, retningslinjer og prosedyrer som til enhver tid gjelder for helseforetaket. 3. Avtalens varighet Avtaleperioden gjelder fra..(dato) til.(dato). Eventuelle tilganger til foretakets informasjonssystemer (IT-systemer) skal stenges ved opphør av avtalen. 4. Deltakelsen i arbeid, forskningen, opplæringen m.v. omfatter Arbeidet, forskningen, opplæringen m.v. omfatter følgende (kort beskrivelse):. 5. Kontaktperson/veileder i helseforetaket (Tittel/navn)... er kontaktperson/veileder i avtaleperioden. 6. Tilstedeværelse i helseforetaket og pauser I de tilfeller det er aktuelt (eks. hospitering) avtales tilstedeværelse og avvikling av pauser med kontaktperson/veileder. I slike tilfeller plikter den ikke-ansatte uten ugrunnet opphold å melde fra om fravær til kontaktperson/veileder første fraværsdag.

2 7. Forsikring Ikke-ansatte som deltar i arbeidsvirksomhet i helseforetaket er omfattet av helseforetakets yrkesskadeforsikring i den utstrekning helseforetaket har erstatningsansvar i henhold til Lov om yrkesskadeforsikring. Ikke-ansatte er ikke omfattet av helseforetakets øvrige forsikringsordninger for ansatte. 8. Taushetsplikt Den ikke-ansatte plikter å signere vedlagte taushetserklæring, og returnere taushetserklæringen sammen med denne avtale i signert stand. Denne avtale forutsetter at det foreligger signert taushetserklæring. 9. IT-sikkerhet og dokumentsikkerhet Den ikke-ansatte har, dersom det er aktuelt, et særskilt ansvar for oppbevaring av skriftlig informasjon og dokumentasjon og sikring av elektroniske lagringsmedia, jf. de til enhver tid gjeldende retningslinjer i helseforetaket. 10. Eventuell bruk av e-post og internett/intranett og andre elektroniske system Helseforetakets elektroniske system er helseforetakets eiendom. Bruk av elektroniske system, e- post, internett og intranett skal skje i henhold til de til enhver tid gjeldende retningslinjer for slikt bruk. Eventuell bruk av e-post og internett/intranett og andre elektroniske system krever at den ikkeansatte har gjort seg kjent med IKT-sikkerhetsinstruks. IKT-sikkerhetsinstruks følger vedlagt denne avtale. Den ikke-ansatte skal ha gjennomgått og bestått obligatorisk e-læringskurs i informasjonssikkerhet før tilgang blir gitt til Helse Bergen sitt informasjonssystem. 11. Opphør og forhold ved fratredelse Avtalen opphører ved utløp av avtalt periode. Ved eventuelt mislighold bringes avtalen til opphør umiddelbart. Det utstyr og de hjelpemidler den ikke-ansatte eventuelt får utlevert eller blir stilt til disposisjon, er helseforetakets eiendom. Den ikke-ansatte plikter å tilbakelevere alt utlevert arbeidstøy, utstyr og hjelpemidler ved opphør (som for eksempel arbeidstøy, dokumenter, faglitteratur, datautstyr, mobiltelefoner, nøkler med mer). 12. Generelt Denne avtalen er utferdiget i to (2) likelydende eksemplarer, en til hver av partene. Ved aksept bes du om å signere og returnere den ene gjenparten sammen med signert Taushetserklæring innen (dato frem i tid). Dato: (xxx) For XX HF Dato: (Navn på kontaktperson/veileder) (e.f) (Navn ikke-ansatt)

3 Taushetserklæring Bakgrunn Taushetsplikten i helsetjenesten verner om private interesser og er begrunnet i ønsket om beskyttelse av enkeltmenneskers personlige forhold og private sfære. Taushetsplikten er et sentralt element i personvernet. Taushetsplikten begrunnes også med at pasienter skal få behandling. Dersom helsepersonell og andre ikke har taushetsplikt kan dette medføre at pasienten eller pårørende unnlater å oppsøke hjelp av frykt for spredning av opplysninger. Omfang Taushetsplikten gjelder opplysninger om folks legems- eller sykdomsforhold, opplysinger om andre personlige forhold, opplysninger om tekniske innretninger, fremgangsmåter og forretningsforhold av konkurransemessig betydning, opplysninger av betydning for informasjonssikkerheten og opplysninger som det av andre grunner må sikres konfidensialitet for som undertegnede får tilgang til i arbeidet. Taushetsplikten gjelder også etter at tjeneste eller arbeid er avsluttet. Lovkrav Det følgende beskriver lovpålagt taushetsplikt (utdrag av de aktuelle bestemmelsene er gitt på erklæringens side 2): - i henhold til helsepersonelloven 21 skal helsepersonell hindre at andre får kjennskap om folks legems- eller sykdomsforhold eller andre personlige forhold som de får vite om i egenskap av å være helsepersonell. Det skal heller ikke leses, søkes etter eller besittes slik informasjon uten at det er begrunnet i helsehjelp, administrasjon av denne eller har annen lovhjemmel. - i henhold til spesialisthelsetjenesteloven 6-1 har alle som utfører tjeneste for helseinstitusjon som omfattes av loven taushetsplikt etter forvaltningsloven 13 - i henhold til helseregisterloven 15 har alle som behandler helseopplysinger etter helseregisterloven taushetsplikt etter forvaltningsloven 13 og taushetspliktbestemmelsene i helsepersonelloven - i henhold til pasientrettighetsloven 3-6 skal opplysninger om legems- og sykdomsforhold og andre personopplysninger behandles i samsvar med gjeldende bestemmelser om taushetsplikt - i henhold til forvaltningsloven 13 plikter enhver som utfører tjeneste for et forvaltningsorgan å hindre at andre får kjennskap til det han gjennom tjenesten får vite om noens personlige forhold og om tekniske innretninger, fremgangsmåter og forretningsforhold av konkurransemessig betydning - i henhold til personopplysningsforskriften 2-9 skal medarbeidere pålegges taushetsplikt for personopplysninger det må sikres konfidensialitet for. Det skal sikres mot uautorisert innsyn i så vel personopplysninger som i informasjon med betydning for informasjonssikkerheten, jf Taushetsbrudd I henhold til helsepersonelloven 67 er det straffbart å overtre bestemmelsene i helsepersonelloven, herunder bestemmelsene om taushetsplikt. I henhold til straffeloven 209 er det straffbart å krenke taushetsplikt pålagt i henhold til lovbestemmelse eller gyldig instruks. Helse Bergen betrakter taushetsbrudd som tjenesteforsømmelse eller brudd på avtale med helseforetaket. Taushetsbrudd kan få følger for ansettelses- eller avtaleforhold. Erklæring Undertegnede er kjent med den lovpålagte taushetsplikt som gjelder, herunder hvilke opplysninger som er omfattet av taushetsplikten og at taushetsbrudd kan medføre straffeansvar. Undertegnede er videre kjent med at i Helse Bergen betraktes taushetsbrudd som tjenesteforsømmelse/brudd på avtale med helseforetaket. Fødselsdato Signatur Navn med blokkbokstaver (fdato) (navn)

4 Taushetserklæring Vedlegg til skjema Oversikt over aktuelle lover Lov av 2. juli 1999 nr. 64, Lov om helsepersonell (helsepersonelloven) 21 Hovedregel om taushetsplikt Helsepersonell skal hindre at andre får adgang eller kjennskap til opplysninger om folks legems- eller sykdomsforhold eller andre personlige forhold som de får vite om i egenskap av å være helsepersonell. 21a. Forbud mot urettmessig tilegnelse av taushetsbelagte opplysninger Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte opplysninger som nevnt i 21 uten at det er begrunnet i helsehjelp til pasienten, administrasjon av slik hjelp eller har særskilt hjemmel i lov eller forskrift. 25 Opplysninger til samarbeidende personell Med mindre pasienten motsetter seg det, kan taushetsbelagte opplysninger gis til samarbeidende personell når dette er nødvendig for å kunne gi forsvarlig helsehjelp. For elektronisk tilgang til helseopplysninger på tvers av virksomheter gjelder helseregisterloven 13 tredje og fjerde ledd. Taushetsplikt etter 21 er heller ikke til hinder for at personell som bistår med elektronisk bearbeiding av opplysningene, eller som bistår med service og vedlikehold av utstyr, får tilgang til opplysninger når slik bistand er nødvendig for å oppfylle lovbestemte krav til dokumentasjon. Personell som nevnt i første og andre ledd har samme taushetsplikt som helsepersonell. 26 Opplysninger til virksomhetens ledelse og til administrative systemer Den som yter helsehjelp, kan gi opplysninger til virksomhetens ledelse når dette er nødvendig for å kunne gi helsehjelp, eller for internkontroll og kvalitetssikring av tjenesten, Opplysningene skal så langt det er mulig, gis uten individualiserende kjennetegn. Den som yter helsehjelp, skal uten hinder av taushetsplikten i 21 gi vedkommende virksomhets pasientadministrasjon pasientens personnummer og opplysninger om diagnose, eventuelle hjelpebehov, tjenestetilbud, innskrivnings- og utskrivningsdato samt relevante administrative data. Reglene om taushetsplikt gjelder tilsvarende for personell i pasientadministrasjonen. 45. Utlevering av og tilgang til journal og journalopplysninger Med mindre pasienten motsetter seg det, skal helsepersonell som skal yte eller yter helsehjelp til pasient etter denne lov, gis nødvendige og relevante helseopplysninger i den grad dette er nødvendig for å kunne gi helsehjelp til pasienten på forsvarlig måte. For elektronisk tilgang til helseopplysninger på tvers av virksomheter gjelder helseregisterloven 13 tredje og fjerde ledd. Det skal fremgå av journalen at annet helsepersonell er gitt helseopplysninger. Helseopplysninger som nevnt i første ledd kan gis av den databehandlingsansvarlige for opplysningene eller det helsepersonell som har dokumentert opplysningene, jf. 39. Departementet kan i forskrift gi nærmere bestemmelser til utfylling av første ledd, og kan herunder bestemme at annet helsepersonell kan gis tilgang til journalen også i de tilfeller som faller utenfor første ledd. 67 Straff Den som forsettlig eller grovt uaktsomt overtrer eller medvirker til overtredelse av bestemmelser i loven eller i medhold av den, straffes med bøter eller fengsel i inntil tre måneder. Offentlig påtale finner sted hvis allmenne hensyn krever det eller etter begjæring fra Statens helsetilsyn. Lov av 2. juli 1999 nr. 61, Lov om spesialisthelsetjeneste (spesialisthelsetjenesteloven) 6-1 Taushetsplikt Enhver som utfører tjeneste eller arbeid for helseinstitusjon som omfattes av denne loven, har taushetsplikt etter forvaltningsloven 13 til 13 e. Taushetsplikten gjelder også pasientens fødested, fødselsdato, personnummer, statsborgerforhold, sivilstand, yrke, bopel og arbeidssted. Opplysning om en pasients oppholdssted kan likevel gis når det er klart at det ikke vil skade tilliten til helseinstitusjonen. Opplysninger til andre forvaltningsorganer etter forvaltningsloven 13 b nr. 5 og 6 kan bare gis når dette er nødvendig for å bidra til løsning av oppgaver etter denne loven, eller for å forebygge vesentlig fare for liv eller alvorlig skade for noens helse. Lov av 18. mai 2001 nr. 24, Lov om helseregistre og behandling av helseopplysninger (helseregisterloven) 13a. Forbud mot urettmessig tilegnelse av helseopplysninger Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte helseopplysninger som behandles etter denne loven uten at det er begrunnet i helsehjelp til pasienten, administrasjon av slik hjelp eller har særskilt hjemmel i lov eller forskrift. 15 Taushetsplikt Enhver som behandler helseopplysninger etter denne lov, har taushetsplikt etter forvaltningsloven 13 til 13e og helsepersonelloven. Taushetsplikten etter første ledd gjelder også pasientens fødested, fødselsdato, personnummer, pseudonym, statsborgerforhold, sivilstand, yrke, bopel og arbeidssted. Opplysninger til andre forvaltningsorganer etter forvaltningsloven 13 b nr. 5 og 6 kan bare gis når det er nødvendig for å bidra til løsning av oppgaver etter loven her, eller for å forebygge vesentlig fare for liv eller alvorlig skade for noens helse.

5 Taushetserklæring Vedlegg til skjema Lov av 2. juni 1999 nr. 63, Lov om pasientrettigheter (pasientrettighetsloven) 3-6 Rett til vern mot spredning av opplysninger Opplysninger om legems- og sykdomsforhold samt andre personlige opplysninger skal behandles i samsvar med gjeldende bestemmelser om taushetsplikt. Opplysningene skal behandles med varsomhet og respekt for integriteten til den opplysningene gjelder. Taushetsplikten faller bort i den utstrekning den som har krav på taushet, samtykker. Dersom helsepersonell utleverer opplysninger som er undergitt lovbestemt opplysningsplikt, skal den opplysningene gjelder, så langt forholdene tilsier det informeres om at opplysningene er gitt og hvilke opplysninger det dreier seg om. Lov av 10. februar 1967, Lov om behandlingsmåten i forvaltningssaker (forvaltningsloven) 13 Taushetsplikt Enhver som utfører tjenester eller arbeid for et forvaltningsorgan, plikter å hindre at andre får adgang eller kjennskap til det han i forbindelse med tjenesten eller arbeidet får vite om: 1) noens personlige forhold 2) tekniske innretninger og fremgangsmåter samt drifts- eller forretningsforhold som det vil være av konkurransemessig betydning å hemmeligholde av hensyn til den som opplysningene angår Som personlige forhold regnes ikke fødested, fødselsdato og personnummer, statsborgerforhold, sivilstand, yrke, bopel og arbeidssted, med mindre slike opplysninger røper et klientforhold eller andre forhold som må anses som personlige. Kongen kan ellers gi nærmere forskrifter om hvilke opplysninger som skal regnes som personlige, om hvilke organer som kan gi privatpersoner opplysninger som nevnt i punktumet foran og opplysninger om den enkeltes status for øvrig, samt om vilkårene for slike opplysninger. Taushetsplikten gjelder også etter at vedkommende har avsluttet tjenesten eller arbeidet. Han kan heller ikke utnytte opplysninger som nevnt i denne paragraf i egen virksomhet eller i tjeneste eller arbeid for andre. Forskrift av 15. desember 2000 nr. 1265, Forskrift til personopplysningsloven (personopplysningsforskriften) 2-9 Taushetsplikt Medarbeidere hos den behandlingsansvarlige skal pålegges taushetsplikt for personopplysninger hvor konfidensialitet er nødvendig. Taushetsplikten skal også omfatte annen informasjon med betydning for informasjonssikkerheten. 2-11Sikring av konfidensialitet Det skal treffes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig. Sikkerhetstiltakene skal også hindre uautorisert innsyn i annen informasjon med betydning for informasjonssikkerheten. Personopplysninger som overføres elektronisk ved hjelp av overføringsmedium utenfor den behandlingsansvarliges fysiske kontroll, skal krypteres eller sikres på annen måte når konfidensialitet er nødvendig. For lagringsmedium som inneholder personopplysninger hvor konfidensialitet er nødvendig, skal behovet for sikring av konfidensialitet fremgå ved hjelp av merking eller på annen måte. Dersom lagringsmediet ikke lenger benyttes for behandling av slike opplysninger, skal opplysningene slettes fra lagringsmediet. Lov 20. mai 2005 nr. 28 om straff (straffelova) 209 Brudd på taushetsplikt Med bot eller fengsel inntil 1 år straffes den som røper opplysning som han har taushetsplikt om i henhold til lovbestemmelse eller forskrift, eller utnytter en slik opplysning med forsett om å skaffe seg eller andre en uberettiget vinning. Første ledd gjelder tilsvarende ved brudd på taushetsplikt som følger av gyldig instruks for tjeneste eller arbeid for statlig eller kommunalt organ. For den som arbeider eller utfører tjeneste for et statlig eller kommunalt organ, rammer første og annet ledd også brudd på taushetsplikt etter at tjenesten eller arbeidet er avsluttet. Grovt uaktsom overtredelse straffes på samme måte. Medvirkning er ikke straffbar.

6 Sikkerhetsinstruks Innledning Hvem sikkerhetsinstruksen gjelder for Denne sikkerhetsinstruksen gjelder for alle ansatte, vikarer, leverandører, konsulenter og andre som gis tilgang til virksomhetens elektroniske tjenester. Bakgrunn Helselovgivningen sammen med personopplysningsloven stiller strenge krav til behandling av helse- og personopplysninger. Dette er for det første begrunnet i helseforetakenes plikt til å sikre opplysningenes tilgjengelighet og integritet for å kunne gi livsviktig helsehjelp. I tillegg har alle som benytter seg av tjenestene som helseforetaket yter, rett til å stole på at helse- og personopplysninger om han/henne blir behandlet fortrolig og er sikret mot at personell som ikke er autorisert får innsyn i disse opplysningene. Kravene i denne instruksen er minimumskrav som må ivaretas av alle som er omfattet av instruksen, for å sikre at det ikke skjer brudd på lovkravene. Ansvar Alle som er omfattet av denne instruksen har et personlig ansvar for å gjøre seg kjent med instruksen og etterleve den. Instruksen med de bestemmelser den inneholder, er en del av de vilkår du har forpliktet deg til som ansatt/vikar i helseforetaket. For tjenesteleverandører til helseforetaket gjelder det samme med bakgrunn i det kontraktsforhold disse har forpliktet seg til. Brudd på de rutiner og bestemmelser som instruksen inneholder innebærer brudd på dine forpliktelser overfor helseforetaket enten som ansatt/vikar eller som tjenesteleverandør. Dette kan derfor få personalmessige konsekvenser eller konsekvenser for kontraktsforholdet med helseforetaket. Generelt aktsomhetskrav Det faktum at du i kraft av ditt ansettelsesforhold eller kontraktsforhold til helseforetaket kan benytte virksomhetens informasjonssystem, forplikter deg spesielt til å opptre med aktsomhet og god etikk. Den enkelte bruker skal derfor ha et reflektert forhold til hvilke søk og nedlastinger av materiale som foretas. Du må også være aktsom i forhold til hva som kommuniseres ut. Ta derfor utgangspunkt i at du aldri er anonym på nettet og at all kommunikasjon på nettet kan spores tilbake til maskinen du benytter. Sikkerhetsregler Ivaretakelse av taushetsplikten - tilgang til dokumenter Som bruker av helseforetakets informasjonssystem plikter du aktivt å hindre at uvedkommende får tilgang til dokumenter eller andre medier som inneholder opplysninger som er underlagt taushetsplikt. Bruk av virksomhetens informasjonssystemer Eierskap og ansvar Informasjonssystemet og alt tilhørende utstyr, programvare og lagret informasjon (også på klienter), bortsett fra privat informasjon, er virksomhetens eiendom og ansvar. Under gitte omstendigheter og på nærmere bestemte vilkår kan arbeidsgiver ha rett til innsyn i den enkelte sine dokumenter og e- post. Vilkårene for slikt innsyn er regulert særskilt i egen instruks i styringssystemet for sikkerhet. Logging Internett- og nettverkstrafikk blir logget for å følge opp virksomhetens sikkerhetsregler. Det bety r at den ansattes aktiviteter på nettet, samt bruk av program og tjenester blir registrert, og at det er mulig å spore tilbake om det oppdages brudd på virksomhetens sikkerhetsregler. Logg fra pasientjournaler blir gjennomgått jevnlig og ved mistanke om urettmessig bruk av autorisert personell, slik det er beskrevet i foretakets retningslinjer for dette.

7 Privat bruk av informasjonssystemet Utgangspunktet er at virksomhetens informasjonssystem kun skal brukes til virksomhetsrelaterte oppgaver. Helseforetaket tillater imidlertid begrenset bruk av informasjonssystemet til private formål. Dette innbefatter: Tekstbehandling, beregning, sending og mottaking av e-post, samt lesing av websider så lenge innholdet på sidene ikke er lovstridig. Private dokumenter og e-post i moderat omfang kan lagres i informasjonssystemet. Dette gjøres på område som er merket privat. Dersom privat e-post ikke blir lagret på område som er særskilt avmerket for slike formål, har den ikke samme beskyttelse mot innsyn fra arbeidsgiver som hvis den merkes. IKT-utstyr Det er kun tillatt å bruke IKT-utstyr, lagringsmedia og programvare anskaffet av virksomheten i virksomhetens nett. Installasjon av alt utstyr og programvare skal gjøres av autorisert personell. Bruk av annen programvare enn det som virksomheten tilbyr som standard programvare, må godkjennes av autorisert personell. Det skal ikke tilkobles privat utstyr i virksomhetens nett. Dette gjelder også private USB lagringsenheter, PDA, mobiltelefon, fotoapparat og lignende. Eksterne konsulenter og vikarer skal ikke koble til egne PC-er i virksomhetens nett, men bruke gjestenettet eller få tildelt maskin av virksomheten. Særskilte behov for tilkobling av eget utstyr skal avklares med autorisert personell. Utstyr som ikke inngår i mobile løsninger skal ikke tilkobles andre nettverk enn det som er tilrettelagt på arbeidsplassen. Oppkobling mot eksterne nettverk, oppkobling med modem/isdn og/eller deling av trådløse nett samtidig som maskinen er tilkoblet det interne nettverket er ikke tillatt. Dataskjermer skal plasseres slik at innsyn for uvedkommende hindres. Ansatte som slutter eller går ut i permisjon, skal levere alt utlevert IKT-utstyr (mobil PC, mobiltelefon, PDA, brikke/kort for fjerntilgang osv) og programvarelisenser til driftsenheten, dersom ikke annet er avtalt. Pålogging og avlogging, brukernavn, passord og skjermsparer Passordet (og eventuelt brikke/kort for fjernaksess) er den ansattes nøkkel til virksomhetens datasystem, og skal ikke oppgis eller lånes ut til andre, eller forlates i PC-en. Dette er et personlig ansvar. Det er ikke tillatt å bruke en annens brukertilgang. Passord bør IKKE skrives ned. Eventuelle nedskrevne passord skal alltid oppbevares nedlåst e.l. Passord skal ikke inneholde navn på familiemedlemmer, fødselsnummer eller andre opplysninger som lett lar seg knytte til brukeren. Dersom det er mistanke om at passordet er blitt kjent av andre, skal det byttes. Passordbeskyttet skjermsparer (ctr+alt+del) skal benyttes og/eller kontordør låses når arbeidsp lassen/maskinen forlates. Brukeren skal alltid logge ut av nettverket før maskinen overlates til andre. Dersom det er brukt fellesbruker skal det logges ut fra programmer, og skjermen skal låses. Fellesbruker skal ikke benyttes til annet enn det den er godkjent for. Studenter skal ikke bruke studentkonto når de utfører arbeid som ansatt/vikar i foretaket. Informasjonshåndtering Personopplysningsloven (POL) omfatter personvern og setter krav til beskyttelse av person- og helseopplysninger. Den gjelder helt fra det er registrert enkle opplysninger vedrørende én enkelt person. Et personregister er etablert dersom det registreres mer personidentifikasjon enn fødselsår og initialer. Registre skal før det opprettes ha fått konsesjon eller blitt meldt. Behovet for dette, sammen med behov for teknisk sikring, vurderes av personvernombud (når det gjelder forskning) eller annen autorisert innenfor IT-sikkerhet (IKT-sikkerhetsleder og ev. Helse Vest IKT). For all annen bruk av sensitive personopplysninger og personregistre enn direkte helsehjelp og pålagte meldinger, skal det som hovedregel innhentes samtykke fra de inkluderte. Person- og helseopplysninger i virksomheten skal ikke gjøres tilgjengelig for uautorisert personell eller andre uvedkommende, herunder også egne ansatte. Det er ikke tillatt å søke etter pasientinformasjon eller andre opplysninger den ansatte ikke har bruk for i det daglig arbeid. Det må kontrolleres at det skrives ut til rett skriver. Utskrifter skal hentes umiddelbart. Lagring Sensitive personopplysninger skal ikke lagres på fellesområder (f:) eller brukerens hjemmeområde (h:) uten tilstrekkelig sikring av tilgang. Hva som er tilstrekkelig sikring må avklares med IKT-sikkerhetsleder. Sensitive personopplysninger skal ikke lagres på noe flyttbart lagringsmedium (inkl. c-disken på stasjonær PC) uten tilstrekkelig sikring. Forsendelse Sensitive personopplysninger skal ikke sendes via vanlig e-post, telefaks eller tilsvarende løsninger uten godkjente sikkerhetsløsninger. Dokumenter og lagringsmedia med sensitive personopplysninger skal alltid være forsvarlig sikret og forsendes i gjenlimt

8 konvolutt/forseglet innpakning. Avsender er alltid ansvarlig for å forsikre seg om at mottaker er autorisert for mottak av de sensitive opplysningene. Makulering/sletting av dokumenter Dokumenter med person- og helseopplysninger skal makuleres ved avhending. Ansatte som slutter skal rydde i egne filområder og e-post og sikre at all relevant virksomhetsinformasjon blir lagret i relevante kataloger. Helse Vest IKT vil slette gjenværende informasjon på brukerens områder når ansettelsesforholdet er avsluttet. Ansatte som slutter skal makulere eller avlevere egne dokumenter i henhold til rutinene over. Kassering/håndtering av utstyr og lagringsmedier Harddisker, minnepinner eller utstyr som inneholder harddisker og andre elektroniske lagringsmedier, skal leveres til Miljøhallen for forsvarlig destruksjon. Ansatte som slutter skal kassere/håndtere alle lagringsmedia i henhold til rutinene over. Internett Internett skal benyttes med varsomhet og i samsvar med vanlige etiske normer for virksomheten. Virksomhetsrelaterte oppgaver og funksjoner, samt opplysninger virksomheten behandler, skal ikke bli skadelidende. Aktiviteter på Internett kan spores tilbake til virksomheten og den PC/brukerkode oppslaget er utført fra. Det er ikke tillatt å laste ned og/eller lagre filer (program, grafikk, audio, video mv.) til foretakets informasjonssystem med mindre dette utføres som en del av jobbrelatert virksomhet. E-post og viruskontroll Det skal skilles på intern og ekstern e-post. Merking med IS: (det står for Ikke Sensitiv) først i emnefeltet skal bekrefte at det som sendes ut ikke inneholder sensitive personopplysninger. Ekstern e-post som ikke er merket slik, blir blokkert av sikkerhetssystemet. Intern e-post skal ikke merkes med IS:. Fødselsnummer skal ikke sendes med e-post. Den personlige brukerkoden skal ikke oppgis i ekstern e-postadresse. Massedistribusjon av informasjon skal være jobbrelatert og ansvarlig for distribusjonen skal være kritisk til innholdet i informasjonen og hvem den sendes til. E-postmeldinger skal i utgangspunktet kun sendes til mottakere som trenger informasjonen. Det skal utvises aktsomhet ved mottak av e-post. Vedlegg kan inneholde virus. Ved tvil skal avsender eller driftsenheten kontaktes eller e-postmeldingen slettes. Mottaker av e-post bør melde til avsender hvis mottaker åpenbart er feil adressat. Slike e-poster skal slettes. Outlook møtekalender Mange ansatte har delt møtekalender. Dette gjør at opplysninger som legges i møtekalenderen blir tilgjengelig for hele foretaket. Møtekalenderen skal ikke brukes til sensitive helse- og personopplysninger, for eksempel som timebok for pasienter. Vær varsom med hva du skriver i møteinnkallinger. Vær varsom med å sende dokumenter som vedlegg til møteinnkallinger. Ved å krysse av for privat i møteinnkallingen blir den bare tilgjengelig for møtedeltakerne. Kartlegging og utnyttelse av systemsvakheter Det er ikke tillatt å foreta kartlegging eller testing av mulige systemsvakheter, forsøke å trenge inn i interne eller eksterne systemer, forsøke å forbigå etablerte sikkerhetsmekanismer, tilegne seg utvidede tilgangsrettigheter på lokal maskin eller utnytte eventuelle sikkerhetssvakheter. Sikkerhetsbrudd Mistenkelige hendelser og observerte sikkerhetsbrudd skal rapporteres til nærmeste leder og/eller IKT -sikkerhetsleder. Hendelser knyttet til at denne sikkerhetsinstruksen ikke følges, vurderes som sikkerhetsbrudd. Brudd på sikkerhetsinstruks ses p å som mislighold av arbeidsavtalen og virksomhetens styringssystem for IKT-sikkerhet, og vil bli behandlet som personalsak. Alvorlige brudd på reglene i sikkerhetsinstruksen vil få konsekvenser for ansattes arbeidsforhold samt eventuelt resultere i strafferettslige reaksjoner.