Møte i styre for Inn-Trøndelag IKT

Transkript

1 Møte i styre for Inn-Trøndelag IKT Saker: 14/9 Regnskapsrapport pr august /10 Handlingsplan /11 Omdisponering av investeringsmidler 14/12 Budsjett /13 Investeringsbudsjett /14 Databehandleravtale med Inderøy og Verran 14/15 Informasjons- og datasikkerhet felles styringsdokumenter i Inn-Trøndelagsamarbeidet 14/16 Utredning Snåsa kommune eventuelt inn som deltager i IKT Inn-Trøndelag

2 Sak 14/9 Regnskapsrapport Forslag til vedtak: Vedlagt budsjett og regnskapsrapport pr august tas til orientering Oppdatert handlingsplan med budsjettoversikt tas til orientering Saksfremstilling: Justert budsjett og investeringsbudsjett 2014 ble behandlet i samtlige tre kommunestyrer i juni. Det er rapport i forhold til dette som nå fremlegges til administrativt styre. Det har våren 2014 blitt gjennomført en organisasjonsutviklingsprosess i enheten. En oppdatert handlingsplan er utarbeidet og følger vedlagt. I møtet presenteres IKT Inn-Trøndelag pr dato. Enheten rapporterer uten avvik. Det er et overforbruk på lønn som dekkes inn av refusjon fra NAV. Overforbruket på overtidslønn skyldes omfattende arbeid utenfor kontortid i en driftskritisk periode ved inngangen til budsjettår. Dette avtar betydelig 2. halvår. Vedlikehold av bygg og maskiner er benyttet til utbedringer av infrastruktur hvor driftsvansker har oppstått. Dette er nettverksrelaterte anskaffelser. Behovet for kjøp av tjenester har vært noe mindre enn antatt.

3 Økonomi Rådmannen IKT Inn-Trøndelag Beskrivelse Regnskap hiå Rev. budsjett Forbruk i % Prognose avvik Prognose forbruk Prog forbruk i % Netto drift og finans , ,00 Netto driftsresultat , ,22 Sum driftsutgifter , ,85 Lønn i faste stillinger , ,57 Vikar med refusjon , ,00 Overtid , ,00 Sosiale utgifter , ,60 Kontorutgifter , ,00 Medisiner, medikamenter og matvarer 3 0 0, ,00 Forbruksvarer , ,00 Post, bank og telefon , ,75 Annonse, reklame og informasjon , ,00 Opplæringstiltak , ,00 Oppgavepliktige godtgjørelser , ,00 Andre utgifter , ,00 Leie av lokaler og grunn , ,00 Inventar og utstyr , ,00 Kjøp, leie og leasing av transportmidler , ,00 Vedlikehold av bygg og maskiner , ,33 Serviceavtaler og reparasjoner , ,00 Kjøp av tjenester , ,00 Kjøp av varer og tjenester fra kommuner , ,00 Moms generell kompensasjonsordning , ,00 Sum driftsinntekter , ,83 Annet avgiftspl. salg av varer og tjenester , ,00 Fordelte utgifter , ,00 Overføringer fra staten , ,00 Overføringer fra trygdeforvaltningen , ,00 Refusjon moms driftsregnskapet , ,00 Overføringer fra kommuner , ,00 Netto finansresultat , ,00 Sum finansutgifter , ,00 Renter og andre finansutgifter , ,00 I alt , ,00 Enhetsleders kommentarer: Enheten rapporterer uten avvik. Det er et overforbruk på lønn som dekkes inn av refusjon fra NAV.

4 Sak 14/10 Handlingsplan 2014 Forslag til vedtak: Oppdatert handlingsplan med budsjettoversikt tas til orientering Saksfremstilling: Handlingsplan 2014 IKT strategi behandlet i administrativt styre er lagt frem for ansatte i IKT Inn-Trøndelag og følgende handlingsplan for 2014 er utarbeidet med bakgrunn i revidert investeringsbudsjett for enheten gjennom behandling av sak 14/3. IKT-strategi I Inn-Trøndelagsamarbeidet utnyttes IKT for å nå virksomhetenes målsettinger. Et godt fungerende og stabilt nett inklusive telefoni legges til grunn i all saksbehandling og kommunikasjon i Inn-Trøndelagskommunene. IKT må av den grunn jobbe ut fra følgende strategiske innsatsområder i : Bedre samhandlingen, øke effektivitetsgevinsten og tjenestekvaliteten gjennom den samlede kompetansen som nå er lagt til IKT Inn-Trøndelag Stabilisere IKT infrastruktur gjennom en funksjonell serverpark og back-up løsninger Gi mer helhetlig bistand til enheter og enkeltbrukere gjennom help-desk, fagapplikasjonsbistand og med bistand fra kjøpte tjenester. Strømlinjeforme utstyr som brukes i saksbehandling og kommunikasjon

5 Handlingsplan 2014 Prosjekt nr Prosjekttittel Budsjett Ansvarlig 1601 Felles IKT Serverkapasitet Stian 1602 Felles IKT - Core switch Espen/Ragnar 1603 Felles IKT - Backup offsite Stian 1604 Felles IKT Fjernnettløsning Stian 1605 Felles IKT - Servere og backup Stian 1606 Felles IKT Telefoni Kenneth 1607 Felles IKT infrastruktur Espen 1608 Felles IKT viritualisering Stian 1609 Felles IKT - recovery site Stian/Ragnar 1610 Felles IKT - livsløpsvedlikehold Stian servere 5512 DIFI - Felles AD og arbeidsflate IKT Ragnar/Aud 5828 IKT og kontorstøttetjenesten - IKT Ragnar/ Steinar skole/barnehage 5920 Konvergert løsning servere Stian 1611 Oppdatering fagapplikasjoner (ephorte) Randi 1612 Kjøling/ brannsikring Stian/Ragnar 1613 Lokal serverutvidelse Stian Aktiviteter til handlingsplanen som ikke inngår i enhetens eget investeringsbudsjett for 2014: Prosjekt IKT ansvarlig Tidspunkt Agresso ASP Stian Elevnett AD Steinar/Ragnar Elevnett Skoleportal Steinar/Ragnar Pågående forhandlinger med leverandører, H2014 Elevnett infrastruktur Steinar/Ragnar Steinkjer Nødstrøm/hovedtavle Ragnar/Stian Mobil Omsorg Aud Påbegynnes etter avtale med fagansvarlige i kommunene. IOKS Ragnar/Espen Fortløpende 2014 Ny kopiavtale Odd Erik Påbegynnes Klar innen Ny telefoniavtale Kenneth Påbegynnes Klar innen Førstelinje-prosjektet Randi e-handel Barnehageutbygging Espen Fortløpende 2014 Steinkjer Infrastruktur Espen Samfunnshuset Steinkjer Valg 2015 Randi/Kari Oppfølging

6 14/11 Omdisponering av investeringsmidler Forslag til vedtak: Utarbeidet forslag til omdisponering av investeringsmidler legges til grunn for enhetens arbeid. Saksfremlegg: IKT Inn-Trøndelag har i 2014 følgende rammer for investeringer: Prosjekttittel Budsjett Forbruk per Felles IKT Serverkapasitet Felles IKT - Core switch Felles IKT - Backup offsite Felles IKT Fjernnettløsning Felles IKT - Servere og backup Felles IKT Telefoni Felles IKT infrastruktur Felles IKT virtualisering Felles IKT - recovery site Felles IKT - livsløpsvedlikehold servere DIFI - Felles AD og arbeidsflate IKT IKT og kontorstøttetjenesten - IKT skole/barnehage Konvergert løsning servere Oppdatering fagapplikasjoner (ephorte) Kjøling/ brannsikring Lokal serverutvidelse Totalt Kommentarer på forbruk og status Restbeløp Konkurransegrunnlag utarbeidet Bestilt. Nært oppbrukt Bestilt. Nært oppbrukt Ønskes overført til tankeløsning klienter Ønskes overført til anskaffelse core Løpende anskaffelser og prosjekt Med anskaffelsen av ny konvergert løsning for drift av felles datasenter for kommunene ved siste årsskifte ble behovsbildet for investeringer også endret. Dette gjelder to områder. Ny løsning for virtualisering av serverportefølje inngår som en del av den nye konvergerte løsningen, slik at mye av avsetningen til dette formålet fristilles. Med anskaffelsen av ny konvergert løsning ble også avsetningen til livsløpsvedlikehold på servere fristilt. Samtidig har behovet for ytterligere finansiering på to tiltak økt. I forbindelse med etablering av nytt felles elevnett for kommunene er det behov for å få på plass en plattform for klargjøring og konfigurasjonsstyring på PC'er og nettbrett. Dette omtales som en tankeløsning for klienter. Det er

7 ønskelig å omdisponere avsetningen fra virtualisering, kr ,- av serverportefølje til dette formålet. Anskaffelsen av core switch synes å få en høyere kostnad enn først anslått etter de sonderinger som er gjort i markedet. Det er ønskelig å omdisponere avsetningen til livsløpsvedlikehold servere, kr ,- til dette formålet.

8 Sak 14/12 Budsjett 2015 Forslag til vedtak: Utarbeidet budsjettforslag legges til grunn i kommunenes budsjett for Saksfremstilling: Det vises til vedlagte tabell med kommentarer. Budsjettet legges inn i Steinkjer kommunes samlede budsjett for Budsjettforslaget vil bli gjennomgått i møtet.

9

10 Sak 14/13 Investeringsbudsjett 2015 Forslag til vedtak: Utarbeidet budsjettforslag legges til grunn i kommunenes budsjett for Saksfremstilling: Plan for investeringer innenfor en ramme på 5,1 millioner til fellesinvesteringer har følgende sammensetning: Tiltak Kostnad Vedlikehold infrastruktur Steinkjer Rådhus Vedlikehold infrastruktur kantsvitsjer Utvidelse brannvegger Utvidelse core ipolitiker Print/kopi Disaster recovery Backup Klientutrulling Livsløpsvedlikehold servere Sikker sone (citrix) Tynnklient Brukerhåndtering Exchange/Lync/Office Totalt Tiltakene beskrives i korthet i det følgende. Vedlikehold infrastruktur Steinkjer Rådhus Steinkjer rådhus har en infrastruktur for data og telefoni som er lagt over tid. Man ser nå et behov for en samlet gjennomgang av nå-situasjonen, og en opprydding og oppgradering av infrastrukturen (el- /tele-/datakommunikasjon) for å sikre drift og muligheter for tilvekst av infrastrukturbehov. Steinkjer rådhus fasiliterer også felles datasenter for kommunene Inderøy, Verran og Steinkjer. Den delen av infrastrukturen som inngår i denne siden av driften inngår også i vedlikeholdsbehovet. Vedlikehold infrastruktur kantsvitsjer Det er gjennom år blitt gjort investeringer i nettverkselektronikk i de tre kommunene Inn-Trøndelag IKT leverer tjenester til uten at det har vært tatt høyde for et livsløp på disse investeringene. En livsløpsplan på disse driftsmidlene sikrer en kontinuerlig planmessig utskiftning med den sikkerhetsgevinst en slik vedlikeholdsplan innebærer. Denne budsjettposten har til hensikt å øremerke midler slik at man kan etablere et planmessig vedlikeholdsarbeid på nettverkselektronikk i leddet utenfor den leveransen Inn-Trøndelag IKT leverer med en nettverkstilknytning sentralt på hver kommunale lokasjon. Utvidelse brannvegger Brannveggene som sikrer nettverkstrafikk både internt i kommunene, mellom kommunene og eksternt mot Internett og andre eksterne nettverkstilknytninger produseres i dag på maskinvare som ble anskaffet for trafikk- og sikkerhetsmessige behov ulikt de behov vi erfarer i dag. Det er et behov for å flytte brannvegg-produksjonen over i et mer fleksibelt miljø med henblikk på kapasitet, og å

11 gjennomgå en historisk tilvekst til de regelsett brannveggene styres av, med mål om å kunne utnytte den nettverksmessige kapasiteten som er tilgjengelig. Utvidelse core Kjernen i nettverks infrastrukturen til kommunene Inderøy, Verran og Steinkjer er under utskiftning i Investeringen som er under etablering er skaffet til veie under rammene av det budsjettet som ble lagt for inneværende år. For å holde budsjettrammen i 2014 vil man midlertidig benytte noen komponenter med en lav kostnad i inneværende driftsår, for så å gjenbruke disse i mindre kritiske knutepunkt i nettet når midler er tilgjengelig for å oppgradere til komponenter med en høyere pålitelighet for den sentrale kjernen i nettet. ipolitiker Høsten 2015 skal det gjennomføres kommunestyre- og fylkestingsvalg. Dette innebærer en milepæl i utvikling og drift av konseptet for papirløs dokumenthåndtering for de folkevalgte. I denne budsjettposten legges behov for en utskiftning av nettbrett for alle folkevalgte i de tre kommunene Inn-Trøndelag IKT leverer til, tilhørende tilleggsutstyr til disse, og programvarelisenser til dokumenthåndtering for den enkelte bruker. Print/kopi I juli 2015 skal det være etablert en ny felles rammeavtale på print/kopi-løsning for kommunene Inn- Trøndelag IKT leverer til. Gjeldende rammeavtale innebærer en løsning basert på leie av maskiner fra Konica Minolta og en tilhørende lisensavtale for programvare som håndterer et flerbruker-miljø på multifunksjonsmaskiner. Budsjettposten viser til behovet for å kunne dekke skiftekostnaden knyttet til etableringen av en ny løsning for print/kopi. Disaster recovery I 2014 er det iverksatt et arbeid med etablering av recovery site som redundans til kommunenes felles datasenter i Steinkjer rådhus. Dette er gjort ved å etablere fjernbackup i driftspartneres datasenter i Trondheim. Det er mulig og ønskelig å utvide denne katastrofeberedskapen slik at man er i stand til å kunne håndtere en begrenset/prioritert kapasitet til å opprettholde tjenesteproduksjonen for IKT i en katastrofesituasjon. Backup De siste to driftsårene har Inn-Trøndelag IKT gradvis flyttet arbeidet med backup fra en historisk løsning med backup til tape fra et miljø med fysiske server til en backup-plattform hvor fokus er å ivareta backup-behovet med henblikk på å betjene virtuelle servere med en løsning basert på backup til disk. Formelle krav opprettholder i dette bildet noe behov for å ta backup til tape eller annet godkjent medie for varig lagring. Det er behov for å avsette investeringsmidler til å dekke opp livsløpskostnader for backup-løsningen med rotasjon av disker og taper som inngår i denne. Klientutrulling Under denne investeringsposten planlegges etablering av en ny plattform for klargjøring og konfigurasjonsstyring av PC'er som benyttes av brukerne i felles nettverk for Inderøy, Verran og Steinkjer. Dagens verktøy og arbeidsrutiner for håndtering av klientene er ressurskrevende og utnytter ikke tilstrekkelig stordriftsfordelene som følger av den felles infrastruktur som kommunene har investert i. Livsløpsvedlikehold servere Serverparken som er plassert i datasenteret i Steinkjer Rådhus har et kontinuerlig behov for utskiftninger i tråd med levetiden på utstyret. Levetiden på volumkomponenter på serversiden regnes å være fem år i gjennomsnitt. Kritikaliteten til utstyret, hvilken vedlikeholdsplan de inngår i og hvilke anvendelser de rettes mot vil bidra til en variasjon på dette. Det er derfor behov for å gjøre

12 avsetninger som muliggjør å opprettholde en serverplattform med en forsvarlig standard i produksjonen. Sikker sone Siden etableringen av felles sikker sone for kommunene Inderøy, Verran og Steinkjer våren 2013 har man høstet erfaringer med publisering av en omfattende portefølje applikasjoner med ulike systemtekniske krav til driftsmiljøet. Til dette er det benyttet verktøy som inngår i gjeldende lisensavtale med Microsoft. Man ser at det ligger begrensninger i disse som går ut over tjenesteleveransen til brukerne. Det er derfor behov for å investere i publikasjonsverkøy for applikasjonene i sikker sone som gir bedre styringsmuligheter enn hva dagens plattform tilbyr. Tynnklient Et omfattende volum av klienter til brukere av applikasjoner fra driften til Inn-Trøndelag IKT er såkalte tynne klienter. Dette innebærer at det er servermaskiner som leverer det meste av regnekraft, minne og lagringskapasitet til brukeren, i motsetning til en personlig PC som er en tykk klient som inneholder disse ressursene lokalt ute hos brukeren. Etter flere års drift er det behov for en videreutvikling av vårt konsept for tynne klienter. I dette inngår å utvikle en løsning som bedrer tynnklient-konsept med henblikk på håndtering av multimedialt innhold.. Brukerhåndtering Inn-Trøndelag IKT forvalter drift og utvikling av tjenester knyttet til et stort volum applikasjoner og basistjenester for brukere i de tre kommunene. Det meldes et stadig økende behov for å håndtere integrasjoner mellom disse applikasjonene og mellom applikasjonene og basistjenester på data- og telekommunikasjon i kommunene. I et driftsbilde med ulike kildesystemer for brukerdata til ulike formål er det en utfordring å utvikle løsninger med en god kvalitet og god brukeropplevelse. Det er i 2014 etablert en teknisk plattform for brukerhåndtering i kommunenes elev-nett. Samme konseptuelle arkitektur ønsker vi å utvide til å favne om alle brukere i kommunene Inderøy, Verran og Steinkjer i Exchange/Lync/Office 365 Kommunene som mottar tjenester fra Inn-Trøndelag IKT står ovenfor et samlet veivalg på teknologier for kontorstøtteverktøy og samhandlingsverktøy. Bakgrunnen for dette er at kommunene har gjort et samlet valg av verktøy basert på innholdet i en Enterprise-avtale med Microsoft. Microsoft er i ferd med å flytte sitt strategiske fokus fra å være en produktleverandør til å bli en tjenesteleverandør. I praksis betyr dette at innhold som tidligere ble levert som en tradisjonell klient/tjener-løsning hos kunden, er i ferd med å flyttes til en helhetlig tjeneste levert på Internett. Det er behov for at kommunene revurderer lisensporteføljen med henblikk på hvilket innhold tjenestene skal ha og på hvilken måte disse skal leveres til våre brukere. I dette bildet ligger også aspekter av konkrete driftsbehov, blant annet en re-etablering av e-post-tjenestene for å sikre kapasitet og stabilitet slik brukerne ønsker. På utviklingssiden av dette bildet ligger en uforløst kapasitet i å utnytte samhandlingsverktøy innad og mellom kommunene, og med eksterne.

13 14/14 Databehandleravtale med Inderøy og Verran Forslag til vedtak: Det inngås databehandleravtale med kommunene som inngår i Inn-Trøndelagssamarbeidet ut fra utarbeidet mal. Saksfremstilling: Inn-Trøndelag IKT har denne høsten fokus på å få på plass styrende sikkerhetsdokumenter. Da det ikke er inngått egne databrukeravtaler med eksterne samarbeidspartnere, er det jobbet med å få dette på plass. I tillegg bør det foreligge en databrukeravtale mellom kommunene i samarbeidet og Inn-Trøndelag IKT. Vedlagte foreslås benyttet.

14 Databehandleravtale Avdeling: Avdelingsnavn: Inn- Trøndelag IKT Inn- Trøndelag IKT Dokument-ID: Første gang opprettet: Gyldig fra: Gyldig til: Erstatter: Avtalens hensikt Avtalens hensikt er å regulere rettigheter og plikter etter lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven) og forskrift av 15. desember 2000 nr (personopplysningsforskriften). Det samme gjelder også etter Lov av 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger (helseregisterloven). Avtalens parter: I denne avtalen er.. kommune å anse som Databehandlingsansvarlig og Inn-Trøndelag IKT å anse som Databehandler, jfr. pol. 2 nr 4 og 5 og helseregisterloven 2 nr. 8 og 9. Avtalen regulerer Databehandlers bruk av personopplysninger på vegne av Databehandlingsansvarlig, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse. Databehandlingsansvarlig bestemmer formålet for behandlingen av personopplysningene og hvilke hjelpemidler som skal brukes, mens Databehandleren behandler personopplysningene på vegne av Databehandlingsansvarlig. Databehandlingsansvarlig har også ansvar for at dette er ivaretatt hos Databehandleren, enten denne er intern eller en ekstern part. Dette reguleres i lovens 15 og i tilhørende forskrift Databehandleren kan kun behandle personopplysninger tilgjengeligjort av Databehandlingsansvarlig i henhold til denne avtale. Behandlingens formål skal ikke endres av noen av partene uten at ny avtale undertegnes. Formål og virkeområde for avtalen Formålet med avtalen er å regulere behandlingen av personopplysninger som Databehandleren gjør på vegne av den Databehandlingsansvarlige. Avtalen skal sikre at personopplysninger om de registrerte, ikke brukes urettmessig eller kommer uberettigede i hende. Varighet og oppsigelse Avtalen trer i kraft ved at begge parter undertegner denne. Avtalen kan sies opp av begge parter med 6 måneders varsel. Når avtalen utløper plikter Databehandleren uten opphold å slette de personopplysningene som denne har behandlet på vegne av Databehandlingsansvarlig. Dette gjelder ikke dersom noe annet er bestemt mellom partene eller Databehandleren har plikt til å lagre opplysningene etter norsk lov.

15 Databehandlerens plikter Databehandleren kan bare behandle personopplysningene i henhold til de formål som er bestemt av den behandlingsansvarlig og i samsvar med de vilkår som fremgår av denne avtalen. Databehandleren plikter å gjennomføre planlagte og systematiske tiltak som skal sørge for tilfredsstillende sikring av personopplysningene, jf personopplysningslovens 13 og personopplysningsforskriftens kapittel 2 om informasjonssikkerhet. Databehandleren plikter å gjøre seg kjent med og etterleve Databehandlingsansvarligs internkontrollsystem, jf. personopplysningslovens 14 og personopplysningsforskriftens kapittel 3 om internkontroll. Etter forespørsel fra Databehandlingsansvarlig plikter Databehandleren å dokumentere at kravene til informasjonssikkerhet og internkontroll er ivaretatt. Risikovurderinger skal gjennomføres og fremlegges for Databehandlingsansvarlig. Databehandler skal behandle personopplysningene i samsvar med akseptabelt risikonivå som Databehandlingsansvarlig setter. Dersom personopplysninger kommer på avveie, eller at det er mistanke om at disse er kompromittert, skal Databehandler uten ugrunnet opphold varsle Databehandlingsansvarlig. Databehandlingsansvarlig skal ha fullt innsyn i hele saken ved en slik hendelse. Databehandler skal etablere rutiner for logging av feil og avvik i henhold til personopplysningsforskriftens kapittel 2. Sikkerhet hos Databehandler Databehandler skal sikre personopplysningenes konfidensialitet, integritet og tilgjengelighet, jfr. personopplysningsloven med forskrifter. Tilgang til tjenester og eget nettverk skal være basert på individuelle brukerkonti og passord. Lagring av personopplysninger som behandles på vegne av Databehandlingsansvarlig skal sikres slik at kun autorisert personell har adgang til disse. Databehandlingsansvarlig og Databehandler skal alltid vurdere behovet for tilgang før slik gis til Databehandlerens medarbeidere. Databehandleren skal til enhver tid ha oversikt over hvilke medarbeidere som har tilgang til personopplysingene. Avviksmeldinger etter personopplysningsforskriftens 2-6 skal skje ved at databehandler melder avviket til behandlingsansvarlig. Behandlingsansvarlig har ansvaret for avviksmelding sendes datatilsynet. Sikkerhetsrevisjoner Behandlingsansvarlig skal avtale med databehandler at det gjennomføres sikkerhetsrevisjoner jevnlig for systemer og lignende som omfattes denne avtalen.

16 Bruk av underleverandører Dersom databehandler benytter seg av underleverandører eller andre som ikke normalt er ansatt hos databehandler skal dette avtales skriftlig med behandlingsansvarlig før behandlingen av personopplysninger starter. (tilleggsavtale) Samtidig som på vegne av databehandler utfører oppdrag av de aktuelle personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse. Taushetsplikt Partene skal bevare taushet om alle konfidensielle opplysninger, noens personlige forhold, sikkerhetsmessige og forretningsmessige forhold, opplysninger som kan skade en av partene eller som kan utnyttes av utenforstående i næringsvirksomhet. Databehandlerens medarbeidere skal undertegne taushetserklæring. Taushetsplikten gjelder også etter at avtalen er opphørt. Ansatte og andre som fratrer sin tjeneste hos driftsoperatøren skal pålegges taushet også etter fratredelse om forhold som nevnt over. Mislighold Dersom Databehandlingsansvarlig får sanksjoner i mot seg som følge av brudd på bestemmelsene i personopplysningsloven med forskrift (for eksempel overtredelsesgebyr etter 46 eller erstatning etter 49), og årsaken til dette ligger hos Databehandleren, kan Databehandlingsansvarlig kreve at Databehandleren dekker det økonomiske tapet. Rettsvalg Partenes rettigheter og plikter etter denne avtalen bestemmes i sin helhet av norsk rett. Undertegning Denne avtalen er undertegnet i to eksemplarer hvorav partene beholder ett eksemplar. Sted/Dato, Behandlingsansvarlig For Virksomheten: Databehandler For leverandøren:

17 14/15 Informasjons- og datasikkerhet felles styringsdokumenter i Inn-Trøndelagsamarbeidet Forslag til vedtak: Vedlagte utkast til informasjonssikkerhetsbok implementeres i alle tre kommuner i Inn- Trøndelagsamarbeidet. Saksfremstilling: Inn-Trøndelag IKT har denne høsten fokus på å få på plass styrende sikkerhetsdokumenter. Databrukeravtale for den enkelte ansatte og reglement for bruk av data bør være felles for alle som er ansatt i Inn-Trøndelagsamarbeidet. I tillegg har det også vært dialog mellom kommunenes sikkerhetsansvarlig med tanke på å utarbeide en felles informasjonssikkerhetshåndbok. Dette arbeidet er nå påbegynt, og kan implementeres i den landsomfattende sikkerhetsmåneden oktober. Det vises til vedlagte dokumenter.

18 INFORMASJONSSIKKERHETSHÅNDBOK REVISJON 2014 Håndhevelse i kommunen av personopplysninger i henhold til personopplysningsloven 2013/4490 Utkast

19 1 INNLEDNING 1.1 Lover - Personopplysningsloven inklusive dens forskrift - Helseregisterloven - Offentlighets- og forvaltningsloven - Ulike særlover og bestemmelser for informasjonssikkerhet er retningsgivende for behandling av personopplysninger og taushetsplikt i det offentlige. Håndtering av personopplysninger gjelder både ved - Elektronisk databehandling - Papirdokumenter - Muntlig tale Personopplysningsloven setter klare og strenge krav til kommunal forvaltning av personopplysninger, og ikke minst rettes det et spesielt fokus på ansvaret til ledelsen men også ansvaret til den enkelte medarbeider klargjøres i denne loven og i særlovene. Personopplysningsloven gjelder for a) behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler. b) annen behandling av personopplysninger når disse inngår eller skal inngå i et personregister. Formålet med personopplysningsloven er å beskytte den enkelte mot at personvernet blir krenket gjennombehandling av personopplysninger. Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger. Definisjoner fra personopplysningsloven, se vedlegg Kommunale oppgaver Personopplysningsloven pålegger alle instanser inklusiv kommunene klare oppgaver og rammer for behandling av personopplysninger. Loven forutsetter at den behandlingsansvarlige dvs kommunene skal ha en sikkerhetsstrategi som beskriver arbeidet med informasjonssikkerhet. Dette gjøres ved at kommunene etablerer internkontroll ved å opprette tiltak som er nødvendige for å oppfylle kravene i loven og forskriften. Datatilsynet har utarbeidet retningslinjer for data- og informasjonssikkerhet i kommunene knyttet opp mot bestemmelsene i Personopplysningsloven. Denne håndboka bygger på disse retningslinjene; (for mer info se: 2

20 2 ANSVAR 2.1 Ansvarsfordeling. Følgende ansvarsfordeling gjelder: Kommunestyret/formannskap Har det formelle overordnede ansvaret for informasjonssikkerheten i kommunen og fastsetter de overordnede mål. Rådmannen Har ansvaret for at det utarbeides en helhetlig sikkerhetsplan for kommunen og at planen etterleves. Rådmannen skal sørge for at alle lover og retningslinjer i forbindelse med informasjonssikkerhet overholdes Avdelingssjef Iverksetter nødvendige informasjonssikkerhetstiltak i forhold til elektronisk databehandling, papirdokumenter og muntlig tale i avdelingen Ansvarlig for avdelingens registre og utarbeidelse av rutiner Er behandlingsansvarlig, og bestemmer derfor formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes Er systemeier for avdelingsvise fagapplikasjoner og gir skriftlig ansvar til fagapplikasjonens systemansvarlige Tjenesteenhetsleder og registeransvarlig Skal legge forholdene til rette slik at tilsatte i enheten får nødvendig sikkerhetsforståelse o kunnskap. Nytilsatte skal umiddelbart få nødvendig IKT innføring og opplæring Vurdere og iverksette nødvendige tiltak for å sikre håndteringen av personopplysninger i sin enhet. Fagansvarlig IKT Har ansvar for forvaltning og drift av teknisk informasjonssikkerhet og infrastruktur Har ansvaret for drift av systemer i henhold til teknisk sikkerhet Skal i tett samarbeid med IT-sikkerhetsansvarlig utarbeide retningslinjer for informasjonssikkerhet og beredskapsplaner Initierer statusmøter for systemansvarlige Informasjonssikkerhetsansvarlig Har ansvaret for at rutiner for håndtering av personvern/datasikkerhet blir fulgt opp og egenkontroll gjennomføres Planlegge og organisere informasjonssikkerhetsarbeidet Skal utarbeide retningslinjer for informasjonssikkerhet i tråd med lovverket Systemansvarlig Hvert dataprogram/ fagapplikasjon har en systemansvarlig (eget vedlegg for hver kommune) som: Skal påse at opplæringstilbudet og dokumentasjon er tilfredsstillende Ansvarlig for kvaliteten på de informasjoner som behandles av systemet Ansvarlig for at systemet følger de lover og forskrifter som gjelder for fagområdet Bestemme sammen med avdelingssjef hvilke rettigheter den enkelte person skal ha Ansatte Skal overholde og etterleve vedtatte instrukser og bestemmelser om sikring av informasjon Forstå konsekvensene ved eventuell brudd på sikkerhetsbestemmelsene 3

21 Eventuelle sikkerhetsbrudd skal rapporteres i EQS 2.2 Sikkerhetsorganisasjon Internkontroll gjennomføres i tråd med vedtatte rutiner. Rutiner for avviksmelding og håndtering av disse skal innarbeides i kommunens overordnede kvalitetssystem EQS. 3 SIKKERHETSMÅL Det er fastsatt følgende mål for informasjonssikkerhet: Kommunens innbyggere skal være trygge for at kommunes ansatte til enhver tid håndterer taushetsbelagte opplysninger på en forsvarlig måte. Kommunens ledelse skal gi de ansatte god opplæring i personvern og hvordan man behandler temaet i hverdagen. Ved elektronisk behandling av personopplysninger skal opplysningene sikres tilstrekkelig: slik at opplysningene ikke blir kjent for uvedkommende, (konfidensialitet), slik at ansatte kan utføre pålagte oppgaver, (tilgjengelighet) slik at opplysningene ikke utilsiktet eller tilsiktet endres ved behandlingen, (integritet) 4 SIKKERHETSSTRATEGI OG RUTINER 4.1 Ledelse og ansatte - alle ledere sørger for at kommunens datasikkerhet- og informasjonssikkerhetsrutiner og bestemmelser etterleves innenfor sin enhet - alle ledere sørger for at tilsatte, nyansatte, vikarer og sommervikarer får nødvendig kjennskap til kommunens sikkerhetsrutiner og programvarer som benyttes Alle tilsatte gis nødvendig opplæring i forhold til sikkerhet i sitt daglige virke og underskriver taushetserklæring og databrukeravtale. 4.2 Oversikt over personopplysninger/personregister Hver tjenesteenhet skal ha oversikt over sine personopplysninger/-register. Formålet, lovhjemmel og omfanget må være avklart. 4.3 Risikovurdering Det skal årlig i sikkerhetsmåneden oktober gjennomføres risiko- og sårbarhetsanalyser (ROS) kartlegging av uønskede hendelser og vurdering av konsekvensene hvis slike hendelser oppstår. Vedlagt skjema-mal skal benyttes. Risiko er et resultat sannsynligheten for og konsekvensene av uønskede hendelser. Sårbarhet er et uttrykk for et systems evne til å fungere og oppnå sine mål når det utsettes for påkjenninger. Slike vurderinger må i tillegg til årlig runde gjøres når det skjer større endringer i enheten. Resultatet av ROS-analysen skal tas vare på, og kan ved forespørsel forelegges den administrative ledelsen i kommunen. 4

22 4.4 Rutinebeskrivelser Avdelingene/enhetene skal ha rutinebeskrivelser for alle sårbare rutiner inklusive håndtering av taushetsbelagte opplysninger. Disse skal presenteres i EQS. 4.5 Egenkontroll Internkontroll gjennomføres ved større endringer og minimum en gang pr år, da i sikkerhetsmåneden oktober. Gjennom den sektorovergripende internkontrollen formidler rådmannen sine forventninger til organisasjonen. 4.5 Fysisk sikkerhet Kommunen skal: - I arkivplanen beskrive de fysiske områder av virksomheten og/eller hele bygninger som skal beskyttes som følge av behandling av personopplysninger - Ha rutiner og tekniske tiltak for adgangskontroll til beskyttede områder - Følge opp med ettersyn og tekniske tiltak for å forhindre og redusere eventuelle skader ved innbrudd, vanninntrengning og brann - Bruke låst skjerm på påslått pc når kontor forlates og stenging av pc ved dagens slutt - Ha låste kontor der det oppbevares sensitive data 5 TILTAK 5.1 Lederoppgaver I kap 2.1 er det en gjennomgang av de viktigste oppgavene for lederne i kommunen: Lederne skal blant annet sørge for at medarbeiderne undertegner - taushetserklæring - databrukeravtale 5.2 Ansattes oppgaver Alle nytilsatte, vikarer skal ha nødvendig opplæring før de får bruke kommunens datautstyr. Nytilsatte med behov for tilgang til servere får slik tilgang (passord etc.) av IKT Inn-Trøndelag. Når tilsatte slutter, skal IKT Inn-Trøndelag ha melding om dette slik at tilganger/passord etc. slettes. Ved de ytre enheter vil enhetsleder ha tilsvarende ansvar. Databrukeravtalen skal undertegnes av tilsatte og ledere. Alle tilsatte er forpliktet til å etterleve vedtatte bestemmelser. Brudd på disse bestemmelsene kan få alvorlige konsekvenser for tilsettingsforholdet i kommunen. 5.3 Behandling av personregister Vedlegg 3 inneholder et skjema for personregister. Hver avdeling skal fylle ut vedlagte skjema for å ha kontroll. For hvert register skal det gis følgende opplysninger: - begrunnelse og lovhjemmel - klassifikasjon: personopplysninger, sensitive opplysninger - sikringstiltak - lagringssted fysikk eller data - registerets omfang antall personer i registeret 5

23 - formålet med registeret - sletting av personopplysninger 5.4 Risikovurdering I henhold til Datatilsynets "Veiledning om internkontroll og informasjonssikkerhet" skal kommunene gjennomføre risiko- og sårbarhetsanalyse. Analysen skal gi en beskrivelse/vurdering av hvilke uønskede hendelser og trusler som kan inntre på tjenestestedet. I tillegg skal det beskrives hvilke tiltak som bør iverksettes for å redusere og unngå nevnte hendelser. Virksomheten må derfor fastlegge kriterier for akseptabel risiko det er forbundet med behandlingen av personopplysninger. Risikobegrepet rommer to størrelser; sannsynlighet for at noe skal skje, og hvilke konsekvenser denne hendelsen kan få. Innenfor hver enhet skal følgende analyser gjennomføres: Type trussel Ved vurdering av hvilke trusler informasjonssystemet er utsatt for kan det være en fordel å besvare følgende spørsmål: Hvilke trusler eksisterer som kan gjøre at informasjon tilflyter personer som ikke skulle hatt tilgang til den? Hvilke trusler eksisterer som kan gjøre at informasjon forsvinner, endre eller feilregistreres? Hvilke trusler eksisterer som kan gjøre at informasjon blir utilgjengelig for kortere eller lengre tidsrom? Ved vurdering av frekvens tas det utgangspunkt i følgende klassifiseringer: Sannsynlighet (hyppighet): Angir hvor ofte trusselen kan inntreffe: Svært sjelden: Sjelden: Ofte: Svært ofte: Ca. 1 pr. 5. år Ca.1 pr. år Ca. 1 pr. måned Flere ganger pr. måned Konsekvens Ved vurdering av konsekvenser skal en sette opp hva slags følger trusselen kan ha om den skulle inntreffe. Sammen med en beskrivelse av konsekvensene skal den graderes etter hvor alvorlig den ansees å være: Konsekvenser: Liten - Moderat Stor Katastrofal Vedlegg 4 inneholder et skjema for utfylling og gjennomgang av en risikovurdering Tiltak For hver trussel skal det beskrives hvilke tiltak som er nødvendig for å redusere eller unngå de uønskede hendelsene. 6

24 5.5 Rutiner/prosedyrer Kommunen skal ha gode rutiner for alle oppgavene innen informasjonsvirksomheten. Av aktuelle rutiner kan nevnes (lista er ikke uttømmende): - opplæring/veiledning av nytilsatte - kompetansekontroll av tilsatte - skjerming av sensitive opplysninger, personlige data og andre saker unntatt offentlighet f.eks: - rutiner for postmottak - rutiner for outlookbruk - rutiner for at pasient/klient/kardex ikke er tilgjengelig for uvedkommende - rutiner for karakterprotokoller - rutiner for rapporter om ekstra oppfølging av barn i barnehage - rutiner for avviksmeldinger - rutine for årlig risikovurdering - rutiner for sletting av personopplysninger - rutiner for innsyn Hver enhets rutinebeskrivelser legges inn i EQS. 6 TEKNISKE FORHOLD I Datatilsynets veileder skal kommunen ha tilfredsstillende opplegg og rutiner for teknisk informasjonssikkerhet. Kort beskrevet skal følgende hovedtiltak gjennomføres: Områder hvor sensitiv informasjon behandles, skal sikres mot uautorisert tilgang og innsyn. Servere og kommunikasjonsutstyr skal stå i sikrede rom. Systemteknisk sikkerhet omhandler krav til maskinvare, kommunikasjonsenheter, programvare og hvordan disse samhandler. Det skal forefinnes konfigurasjonsskisse som også beskriver soneinndeling, tilgangskontroll. Videre skal det forefinnes rutiner backup rutiner etc. 7 MELDINGER TIL DATATILSYNET 7.1 Oppgaver for kommunen: Kommunene har en rekke plikter etter personopplysnings- og helseregisterloven; konsesjonsog meldeplikt for behandling av personopplysninger. Konsesjonsplikten gjelder for elektronisk behandling av sensitive opplysninger. Meldeplikten gjelder for elektronisk behandling av ikke-sensitive personopplysninger, samt manuell behandling av sensitive personopplysninger. Kommunene har unntak fra konsesjonsplikt for behandlinger av personopplysninger som har hjemmel i egen lov. Når behandlingen er unntatt konsesjonsplikt, skal den meldes til Datatilsynet i stedet. 7

25 For informasjon om dette: Meldingsskjema: bm.pdf Meldeplikt Den behandlingsansvarlige (avdelingssjef/ stabssjef) skal gi melding til Datatilsynet før: a) behandling av personopplysninger med elektroniske hjelpemidler b) opprettelse av manuelt personregister som inneholder sensitive personopplysninger Disse virksomheter har meldeplikt i stedet for konsesjonsplikt: Barnevern, sosialtjenesten, rusmiddeletaten, PP-tjenesten, kommunehelsetjenesten (journal og pasientadministrasjon; jfr helsepersonelloven 26), pleie- og omsorgsinstitusjonene. Dette forutsetter at registrene behandles innenfor rammen av særlovene Konsesjonsplikt Behandling av sensitive personopplysninger der behandlingen ikke er hjemlet i egen lov eller forskrift. ( De registre som følger egen lov er det meldeplikt). Noen få behandlinger vil fortsatt ha konsesjonsplikt. Dette gjelder elektronisk behandling av sensitive personopplysninger der behandlingen ikke er hjemlet i lov; blant annet: Forskningsprosjekter som ikke er omfattet av unntaket fra konsesjonsplikt i personopplysningsforskriften 7-27 De fleste tverrsektorielle tiltak der bruken av personopplysninger ikke er dekket av egen lov eller forskrift Kommunale helseregistre på individnivå for planlegging, informasjon og samordning vil være konsesjonspliktige etter helseregisterloven så sant de ikke må ha egen forskrift som lokalt helseregister (Helseregisterloven 7). Datasikkerhetsansvarlig koordinerer meldingene/søknadene til Datatilsynet. Avdelingssjef har ansvaret for å utarbeide registre/søknader for sin avdeling Unntak fra konsesjons- og meldeplikt Unntakene: - barnehager, skolefritidsordninger - personellregistre - For planlegging, informasjon og samordning av helsetjenester ved bruk av statistisk materiale (anonymt). 8 EGENKONTROLL Formålet med egen kontroll er å sikre at kommunens sikkerhetsmål, strategi og rutiner etterleves i hele virksomheten. På sikt vil egenkontrollen danne grunnlag for vurderingene av fastsatte sikkerhetsmål etc. Ved gjennomføring av kontrollen skal bl.a følgende elementer gjennomgås: 8

26 - ansvars- og myndighetsforhold (i samsvar med virkeligheten) - sikkerhetstiltak, herunder utprøving av tekniske sikkerhetsløsninger - gjennomgang av risikovurderinger og eventuelle nye tiltak - gjennomgang av eventuelle avvik - gjennomgang av rutiner Vedlegg Vedlegg 1: Definisjoner Vedlegg 2: Oversikt over fagapplikasjoner og systemansvarlige Vedlegg 3: Skjema for det enkelte tjenestesteds personregister Vedlegg 4: ROS-analyse-skjema Vedlegg 5: IKT reglement Vedlegg 6: Databrukeravtale Vedlegg 7:Taushetserklæring 9

27 Vedlegg 1 - Definisjoner Personopplysningsloven gir følgende førende definisjoner: 1. Personopplysning: Opplysninger og vurderinger som kan knyttes til en enkeltperson. For eksempel navn, fødselsnummer, e-post og avidentifiserte opplysninger (se dette begrepet forklart uttrykk og begreper brukt). 2. Behandling av personopplysninger: Enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksområder. 3. Personregister: Registre, fortegnelser med videre der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen. 4. Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes i behandlingen. 5. Databehandler: Den som behandler personopplysninger på vegne av den behandlingsansvarlige. En databehandler er en ekstern person eller virksomhet som befinner seg utenfor den behandlingsansvarliges virksomhet. 6. Registrert: Den enkeltperson en personopplysning kan knyttes til. 7. Samtykke: En frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv. 8. Sensitive personopplysninger: Opplysninger om: a) rasemessig eller etnisk bakgrunn, elle politisk, filosofisk eller religiøs oppfatning b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling c) helseforhold d) seksuelle forhold e) medlemskap i fagforeninger 9. Fødselsnummer (11 siffer): 10. Akseptkriterier: Fødselsnummer er en unik identifikator som har en særlig bestemmelse om nødvendig bruk i personopplysningsloven 12. Det skal kun brukes der det er saklig behov for sikker identifisering og metoden er nødvendig for slik identifisering. I tillegg er det en særbestemmelse om kryptering ved elektronisk kommunikasjon i personopplysningsforskriften Fastlegging av kriterier for akseptabel risiko forbundet med behandling av personopplysninger, jf. Personopplysningsforskriften 2-4 første ledd og

28 11. Avvik: Med avvik menes enhver håndtering av personopplysninge som ikke utføres i henhold til gjeldende regelverk, retningslinjer og/eller prosedyrer, samt andre sikkerhetsbrudd. Avvik meldes Datatilsynet i henhold til personopplysningsforskriften Konfidensialitet: Konfidensialitet betyr at personopplysninger må være sikret mot at uvedkommende får kjennskap til opplysningene. 13. Integritet: Med integritet menes at personopplysninger må være sikret mot utilsiktet eller uautorisert endring eller sletting. 14. Tilgjengelighet: Tilgjengelighet betyr at personopplysninger som skal behandles, er tilgjengelig til den tid og på det sted det er behov for opplysningene. 15. Internkontroll: Med internkontroll menes planlagte, systematiske og dokumenterte tiltak som skal sikre at personopplysninger blir behandlet i samsvar med personopplysningsloven med forskrift. 11

29 Vedlegg 2: - Fagapplikasjoner NAVN PÅ PROGRAMVARE LEVERANDØR SYSTEMANSV. / LEDER (Registereier) LUKKET NETT Profil Visma Elin Jegersen Velferd Visma Toril Benum / Annbjørg Olsen HsPro Visma Trude Viem Dahl / Marianne Vollen PPI Visma Tove T. Hansen/Kenneth Arntzen Flyktning Visma Else Landsem /Turid M. Eian Acos Barnevern Acos Janne S. Brandtzæg/Gunlaug Rønsberg ÅPENT NETT Agresso Ergo Marit Iversen Ephorte Ergo Randi Teigen Myrstad/ Kari Aarnes Ephorte i Sharepoint Ergo Randi Teigen Myrstad/ Kari Aarnes Capitech Capitech Judith Grønnesby / Iren H. Haugen ISY ProAktiv NorConsult Knut Aurstad / Knut Morten Husby ISY ProAktiv - GPS Import NorConsult Knut Aurstad/ Knut Morten Husby Gisline / Gisline Arealpl. Norkart Lars Magnus Billdal /Geir Gilde Rosy Grontmij A/S Transportation & Mobility Per Stølan/ Even Blengsli Front Parkering Front Systemer Even Blengsli Kulturskole Visma Svein Kåre Haugen Trio Present Trio Lillian Høisæther/ Kari Aarnes WinTid / MinTid Syncronos / Logica Karsten Saugestad VPRO Brødr. Strand Ing.firma AS Ketil Lysheim Norkart Norkart Geoservice Gunnar Vorum OFM Marit Iversen Time Even Blengsli VAR Knut Aurstad/ Knut Morten Husby InfoLand Norsk Eiend.Informasjon Gunnar Vorum GeoWeb Geomatikk Lars Magnus Billdal/ Geir Gilde KK Idretssanlegg Kulturdepartementet Anita Saugestad/ Gunvor Aursjø SD-Anlegg Johnson Controls Ketil Lysheim EM Portal Ketil Lysheim RenPlan Målfrid Sem/ Ketil Lysheim SiPass (Adg.kontr.++) Siemens Ketil Lysheim ScanVekt Scanvaegt Norge Knut Aurstad/ Ester Stølan Gemini VA Knut Morten Husby Mofut Gunnar Vorum InfoSys Gunnar Vorum Feierregisteret Haavard Bye DBE FøreVar Haavard Bye Bibliofil Solveig Moen/ Hallfrid Skimmeli Ekasys Eva Bruheim/ Eva Løe EQS Karsten Saugestad CIM Anne Utgaard WinMed Karin Grøttum Oppad Lars Petter Svarte/ Elisabeth Jonassen 12

30 Sensitiv Konfidensielt Offentlig Meldeplikt Konsesjonsplikt Vedlegg 3: - Personregistre (som skal fylles ut av den enkelte tjenesteenhet) Enhet:.. Register - navn Formål Hjemmel Sikrings- Tiltak Lagring og kommunikasjon Omfang 13

31 Vedlegg 4: - Eksempel på en Ros Analyse: Trussel Ikke autoriserte ansatte, uvedkommende kan få adgang til sensitive og personopplysninger samt saker unntatt offentlighet Besøkende kan få tilgang til sensitive opplysninger (Aktiv eller passiv utlevering) Tap av klientdata Andre trusler: Sannsynlighet/ hyppighet Letthet Svært ofte/lett Svært ofte Sjelden/ vanskelig Årsak Konsekvens Tiltak Maskiner blir stående pålogget uten skjermbeskytter med passordbeskyttelse mens ikke autoriserte ansatte utfører arbeid uten at autoriserte ansatte er til stede. Ikke-autoriserte ansatte med nøkkel skaffer seg tilgang selv om kontoret er låst Utilsiktet utlevering f eks e-post Stor. En risikerer at sensitive personopplysninger om en eller flere kommer ut og truer klientenes personvern Bevisstgjøring av de ansatte omkring nødvendigheten av å benytte skjermsparer med passord når de forlater kontoret. Evt. kreve avlogging før man forlater kontoret Skjermbildet lett synlig for besøkende Stor. En risikerer at sensitive Prøve å sørge for at skjermen ikke er personopplysninger om synlig for besøkende en eller flere kommer ut og truer klientenes personvern Gå ut av dataprogrammet når man har besøk og når man forlater kontoret. Sammenbrudd i online lagrings- Katastrofal? system. Brann 14

32 Vedlegg 5: IKT reglement Databrukeravtale for kommunene Inderøy, Verran og Steinkjer Denne avtalen regulerer den enkelte ansattes ansvar og plikter ved bruk av arbeidsgiverens og Inn- Trøndelag IKT sine IT-tjenester bestående av maskinvare, programvare, fagapplikasjoner, nettverk og data. Avtalen ses i sammenheng med IKT-reglementet, informasjonssikkerhetshåndboka og gjeldende regelverk for behandling av personopplysninger. Leder Min underskrift på dette dokumentet bekrefter at jeg som leder har ansvaret for at informasjon om gjeldende regelverk er formidlet og at nødvendig opplæring er gitt. (dato og år): leder: Medarbeider Min underskrift på dette dokumentet bekrefter at jeg er gjort kjent med og har forstått IKTreglementet og er kjent med gjeldende regelverk ved behandling av personopplysninger. Jeg forplikter meg til å følge det som til enhver tid er gjeldende IKT-reglement og aksepterer at overtredelse vil kunne medføre sanksjoner fastsatt av arbeidsgiver. (dato og år): medarbeider: 15

33 Vedlegg 6: Databrukeravtale IKT-reglement Felles datanett for kommunene Inderøy, Verran og Steinkjer Inn-Trøndelag IKT Brukerstøtte: Tlf:

34 9 Innhold 1. Innledning Virkeområde Definisjoner Informasjonssikkerhet Akseptabel bruk av IT-ressurser Brukerens rettigheter Inngrep og sanksjoner Brukerkonto og passord Epost Lagring Innsyn og overvåking Avslutning av ansettelsesforhold

35 1. Innledning 1.1 Dette dokumentet regulerer ansvar, plikter og rettigheter for alle som benytter IT-ressurser tilknyttet kommunene Inderøy, Verran og Steinkjer. IKT-reglementet skal bidra til å hindre uønsket bruk av de IT-ressursene det omfatter og til å styrke informasjonssikkerheten i kommunene. Alle brukere med tilgang til IT-ressursene skal gjennom å signere en databrukeravtale bekrefte at de har lest og forstått innholdet i dette reglementet. 2. Virkeområde 2.1 IT-ressursene består av alle fysiske komponenter (nettverk bestående av kabling, nettverkselektronikk og datamaskiner), programvare, og andre IT-baserte ressurser anskaffet av, eller som disponeres av kommunene. IT-ressursene inkluderer også tilgang og bruk av internett og epost. 3. Definisjoner 3.1 Bruker: Personer som har tilgang til kommunenes IT-ressurser. 3.2 Brukerkonto: En brukers definerte tilgang til IT-ressurser som datamaskiner, nettverk, fagapplikasjoner m.m. 3.3 Brukernavn: En unik symbolsk betegnelse som identifiserer en bruker/brukerkonto med tilgang til en IT-ressurs. 3.4 Passord: En sekvens av tegn som sammen med tilhørende brukernavn gir en autorisert bruker tilgang til en IT-ressurs. 3.5 Driftsansvarlig: Personer som er ansvarlig for driften av maskinvare, programvare eller nettverk. 4. Informasjonssikkerhet 4.1 Informasjonssikkerhet er tiltak og mekanismer for å ivareta konfidensialitet, tilgjengelighet og integritet for informasjon og systemer som behandler disse. Alle brukere plikter å sette seg inn i lover, regelverk og retningslinjer som har som formål å ivareta informasjonssikkerheten i deres daglige virke. 4.2 Brukere av IT-ressursene skal bidra til å opprettholde sikkerhetsnivået, for eksempel ved å forhindre uautorisert tilgang til IT-ressurser, forhindre krenking av personlig informasjon og være oppmerksom på trusler som skadelig programvare. Alle har et ansvar for informasjonssikkerheten. 4.3 Ved mistanker om hendelser som truer informasjonssikkerheten skal brukeren rapportere dette til leder eller Inn-Trøndelag IKT. 18