Instruks for bruk av IKT ved Havforskningsinstituttet

Instruks for bruk av IKT ved Havforskningsinstituttet Versjon Dato Endring Av 1.0 26.02.2011 Første versjon IT-sjef Godkjent av Avdelingsdirektør Anne Skarstein 1.INNLEDNING... 2 2.FORMÅL... 2 3.ROLLER OG ANSVAR... 2 4.OMFANG OG GYLDIGHET... 2 5.REVISJON... 2 6.IMMATERIELLE RETTIGHETER... 2 7.BEGREPSFORKLARINGER... 3 8.BRUK AV IKT-RESSURSER... 5 9.SERVICEAVTALER... 5 10.INNKJØP, GJENBRUK OG AVHENDING AV IKT-UTSTYR... 5 11.BRUK AV IKT-RESSURSER TIL PRIVATE FORMÅL... 6 12.TILKNYTNING TIL INFRASTRUKTUR... 6 13.PROGRAMVARE... 6 14.SIKKERHETSSYSTEMER, BRANNMUR OG OPPDATERINGER... 6 15.SYSTEMUTVIKLING OG FORVALTNING AV KODE... 7 16.SURFING OG BRUK AV TJENESTER PÅ INTERNETT... 7 17.PASSORD OG TILGANG... 8 18.AVSLUTNING AV ARBEIDSFORHOLD... 8 19.SIKRING AV KLIENTMASKINER... 8 20.DOKUMENTSIKKERHET... 9 21.BRUK AV HÅNDHOLDTE ENHETER (PDA, SMARTPHONE, NETTBRETT)... 10 22.REGISTRERING AV AKTIVITET/LOGGING... 10 23.BRUK AV IKT RESSURSER HOS SAMARBEIDSPARTNERE... 10 24.VARSLINGSPLIKT... 10 25.REGISTRERING AV PERSONOPPLYSNINGER... 10 26.INNSYN... 11 27.KONSEKVENSER VED BRUDD... 12 28.SAMTYKKE FOR EKSTERNE LEVERANDØRER / INNLEID PERSONELL... 13 Side 1 av 13

1. Innledning Som medarbeider i Havforskningsinstituttet har du tilgang til forskjellige former for data, deriblant forretningshemmeligheter og andre opplysninger av sensitiv og fortrolig art. Det er derfor påkrevd gode og strenge sikkerhetsrutiner for å ivareta denne type informasjon. Disse sikkerhetsrutinene gjelder både for tilgang til systemer, ved overføring/lagring av data internt eller hos eksterne samarbeidspartnere. Administrasjon av IKT-ressurser ved Havforskningsinstituttet omfatter også behandling av personopplysninger. Alle slike opplysningene skal håndteres i henhold til Datatilsynets retningslinjer. 2. Formål Denne instruksen beskriver reglementet for informasjonssikkerhet og bruk av Havforskningsinstituttets IKT-systemer. Den omfatter også behandling av personopplysninger og andre typer sensitiv data. Instruksen er basert på overordnet sikkerhetspolicy, og er en del av den enkeltes ansettelsesavtale/kontraktsforhold til Havforskningsinstituttet. Det er utformet underliggende detaljerte prosedyrer og instrukser der dette er nødvendig. 3. Roller og ansvar Alle ansatte har ansvar for at bedriftens retningslinjer beskrevet i sikkerhetspolicyen til enhver tid overholdes. Dersom det oppdages brudd på retningslinjene plikter ansatte umiddelbart å rapportere dette. 4. Omfang og gyldighet Instruksen omfatter all elektronisk, fysisk eller uttalt informasjon som regnes som Havforskningsinstituttes eiendom eller som benyttes på bedriftens vegne. Instruksjon gjelder for alle ansatte, samt alle eksterne leverandører og innleid personell som har tilgang til Havforskningsinstituttets systemer i, eller utenfor Havforskningsinstituttets lokaler og skal utgjøre et fast vedlegg til alle avtaler som gjør slik tilgang naturlig. Eksterne leverandører og innleid personell har i forhold til denne instruksen samme status som ansatte. Instruksen skal sammen med taushetserklæring signeres av eksterne leverandører og innleid personell ved avtaleinngåelse og før det gis tilgang til Havforskningsinstituttets IKT-ressurser. 5. Revisjon Denne sikkerhetsinstruksen skal gjennomgås årlig av Havforskningsinstituttets IKT-avdeling. Endringer i instruksen som blir vedtatt vil bli varslet på Havforskningsinstituttets intranett og/eller ved e-post og er etter dette bindende for alle medarbeidere. Instruksen skal til enhver tid være tilgjengelig for alle medarbeidere på Havforskningsinstituttets intranett. 6. Immaterielle rettigheter Side 2 av 13

Alle rettigheter til og rådighet over immaterielle rettigheter, design, varemerker, mønstre og opphavsrettigheter samt metode, konsepter, knowhow o.l., som oppstår som følge av eller i forbindelse med arbeids- eller oppdragsforhold, skal ligge hos Havforskningsinstituttet med mindre annet er avtalt skriftlig. Det samme gjelder for informasjon og data som utarbeides av ansatte eller oppdragstakere under utførelsen av oppgaver og som omfattes av arbeids- eller oppdragsforholdet eller skjer etter Havforskningsinstituttets anvisninger. Havforskningsinstituttet skal ha rett til å bearbeide og foreta endringer i ethvert produkt, fysisk så vel som immaterielt. Havforskningsinstituttet skal ha rett til å overdra alle rettigheter helt eller delvis til tredjepart. Denne bestemmelse er ikke til hinder for at den enkelte, også etter at arbeids- eller oppdragsforholdet er avsluttet, rettmessig skal kunne nyttiggjøre seg ervervet alminnelig kunnskap, ferdighet og erfaring i henhold til bestemmelser i ansettelsesavtalen. Arbeidstaker vil kunne kreve godtgjørelse i samsvar med arbeidstakeroppfinnelsesloven av 17.april 1970. 7. Begrepsforklaringer Forklaringer av ord og uttrykk som brukes i dette dokumentet Informasjons- og kommunikasjonsteknologi (IKT) er teknologi for innsamling, lagring, behandling, overføring og presentasjon av informasjon, for eksempel pc-er, mobilutstyr, printere, skannere, rutere, med mer. Brukere: Alle som får tilgang til og benytter IKT-ressursene ved Havforskningsinstituttet. Informasjonssikkerhet: Beskyttelse av informasjons konfidensialitet, integritet og tilgjengelighet gjennom etablerte rutiner, regler og dokumentasjon i henhold til overordnet sikkerhetspolicy. Konfidensialitet omhandler å hindre uautorisert tilgang til data, informasjon, applikasjoner og IKT-systemer. Dette kan være offentlig informasjon som skal være åpent tilgjengelig dokumenter som krever streng tilgangskontroll fordi dataene er av sensitiv karakter. Integritet omhandler kvaliteten på data og informasjon i form av ektehet, gyldighet, nøyaktighet og fullstendighet. Lav integritet innebærer at dataene ikke påvirker beslutningsprosesser og feil i dataene har heller ingen skadelig for virksomheten. Høy integritet kan føre til betydelig skade eller verditap for virksomheten hvis disse dataene ikke er korrekte. Tilgjengelighet handler om å sikre tilgang til riktige data til riktig tid og til rette brukere. Elektronisk informasjon: All informasjon som lagres eller benyttes i elektroniske media Risikovurdering: Vurdering av trusler opp mot, virkninger på sårbarheten til informasjonen og informasjonssystemene, og sannsynligheten for at sikkerhetshendelser kan inntreffe. Side 3 av 13

Risikostyring: Prosessen med å identifisere, kontrollere og redusere eller eliminere sikkerhetsrisikoer som kan påvirke informasjonssystemer, innenfor en akseptabel kostnadsramme. Fysisk informasjon: Informasjon i papirformat og andre fysiske formater. Trådløst LAN (engelsk Wireless LAN, WLAN) er en samlebetegnelse på lokale datanett som benytter radiobølger til kommunikasjon. Side 4 av 13

8. Bruk av IKT-ressurser Havforskningsinstituttets IKT-ressurser er beregnet for utarbeidelse, behandling og lagring av virksomhetsrelatert informasjon. Bruk av Havforskningsinstituttets IKT-ressurser skal ikke være i strid med Havforskningsinstituttets retningslinjer eller norsk lovverk. Bruk av IKT-ressurser skal heller ikke være i konkurranse med Havforskningsinstituttet eller på annen måte kunne skape negativt omdømme eller omtale for Havforskningsinstituttet. Innsamling og systematisering av data som ikke inngår som en del av brukerens naturlige arbeidsområde er ikke tillatt. Behandling og/eller lagring av Havforskningsinstituttets sensitive data på IKT-ressurser som ikke eies eller på annen måte er kontrollert av Havforskningsinstituttet, skal det foreligge en skriftlig godkjenning fra overordnet leder og IT-sjef. Det er den enkelte ansattes ansvar å ta vare på Havforsknings-instituttets data slik at de ikke kommer på avveie. Brukere skal ikke under noen omstendighet koble privat IKT utstyr til Havforskningsinstituttets interne nettverk dersom maskinen ikke er godkjent av Havforskningsinstituttets IKT-avdeling. Bruk og oppbevaring av minnepinner og annet eksternt lagringsutstyr skal skje med forsiktighet og på en måte som ivaretar datasikkerheten. 9. Serviceavtaler For å oppnå et stabilt og sikkert driftsmiljø, må IT-seksjonen ha oversikt over instituttets driftskritiske tjenester. Det er systemeier som best skal kjenne sine systemer, og har derfor ansvar for at det utformes en serviceavtale med IT-seksjonen for driftskristisk utstyr. 10. Innkjøp, gjenbruk og avhending av IKT-utstyr IT-seksjon setter standarden for hva som til enhver tid er godkjent IKT-utstyr ved Havforskningsinstituttet, inkludert mobilutstyr. IKT-utstyr som ikke lenger er i arbeidsmessig bruk, eller skal erstattes av nytt utstyr (nyinnkjøp) skal innleveres til IT-seksjonen eller lokal IT-ansvarlig ved stasjonene, for omfordeling eller avhending, med mindre annet er godkjent av IT-seksjonen. Utstyr som skal bytte bruker skal innleveres til IT-seksjonen (eller den lokale IT-ansvarlige ved stasjonene/instrument) for oppdatering/rekonfigurasjon. IKT-utstyr som skal kasseres skal innlevers og vurderes av IT-seksjonen (lokale IT-ansvarlig ved stasjonene). Informasjon lagret på slikt utstyr blir slettet ihht Havforskningsinstituttes gjeldende retningslinjer og krav. Det er ikke tillatt for den enkelte til selv å forestå kassering av slikt utstyr. Side 5 av 13

11. Bruk av IKT-ressurser til private formål Datasystemene skal i utgangspunktet kun benyttes til arbeidsformål. Begrenset privat bruk av datasystemene (surfing på internett, skriving av private dokumenter og e-post) er tillatt under forutsetning at bruken er etisk forsvarlig og ikke går på bekostning av medarbeiderens arbeidsoppgaver eller sikkerhet og funksjonalitet i datasystemene. Privat bruk skal ikke belaste båndbredde, lagringsplass eller prosessortid unødvendig. Private dokumenter bør lagres med passord. Det anbefales at privat e-post, dokumenter og lignende lagres i egne mapper merket privat. E-postkonto tildelt av Havforskningsinstituttet skal under ingen omstendigheter anvendes til utsendelse av pornografisk, ærekrenkende, støtende eller noen form for materiale som er i strid med gjeldende norsk lovgiving eller som på annen måte kan skade Havforskningsinstituttet. 12. Tilknytning til infrastruktur Utstyr som skal koples opp i Havforskningsinstituttets interne datanettverk skal være godkjent/utstedt av av Havforskninginstituttes IKT-avdeling. Utstyret skal være ihht krav til sikkerhetsprogramvare, og denne programvaren samt operativsystem og tilhørende software skal være oppdatert. IKT-utstyr om befinner seg utenfor Havforskningsinstituttets nettverk og forsøkes gitt tilgang til Havforskningsinstituttets ressurser (for eksempel via VPN) må gjennom en automatisk sikkerhetssjekk først. Dersom kravene til en slik sjekk ikke oppfylles vil utstyret bli nektet adgang til Havforskningsinstituttets ressurser. Det er ikke tillatt å tilgjengeliggjøre instituttets interne datanettverk for andre, f eks via et trådløst samband eller VPN, uten skriftlig godkjennelse fra IT-sjef. 13. Programvare For å sikre høy oppetid og minst mulig feil på Havforskningsinstituttets maskinpark er det kun lov til å installere godkjent jobbrelatert programvare på Havforskningsinstituttets datautstyr. Spill, fildelingsprogrammer, kommunikasjonsprogrammer eller annen programvare eller data som ikke er jobbrelatert, eller som strider med gjeldende lovgivning skal ikke lagres eller installeres. Før installasjon av ny programvare skal IT-seksjonen kontaktes og kontrollere at programvaren ikke medfører fare for sikkerheten og godkjenne installasjon. Installasjoner skal være i henhold til norsk lov. I tvilstilfeller skal IT-seksjonen kontaktes. 14. Sikkerhetssystemer, brannmur og oppdateringer Havforskningsinstituttets maskiner er blant annet utstyrt med sikkerhetsprogramvare som brannmur og program for å stoppe virus og spionvare. Det er brukerens ansvar å se til at disse programmene er operative og oppdaterte. Det er også brukers ansvar å se til at sikkerhetsoppdateringer av operativsystem og annen software skjer feilfritt. Problemer med oppdateringer av programvare eller med sikkerhetsløsningene som benyttes må umiddelbart meldes til Havforskningsinstituttets IT- Side 6 av 13

seksjon. Det er ikke lov å endre, bytte ut, stoppe eller modifisere Havforskningsinstituttets sikkerhetsløsninger uten godkjennelse fra Havforskningsinstituttets IT- seksjon. Det er på ingen måte tillatt å gjøre forsøk på eller og faktisk bryte sikkerheten/sikkerhetssystemer som benyttes ved Havforskningsinstituttet. 15. Systemutvikling og forvaltning av kode Programvare utviklet ved Havforskningsinstituttet skal være av en slik karakter at den ikke kan misbrukes til å kompromittere andre systemer. Den skal heller ikke kunne brukes på en slik måte at den gir tilgang til andre data enn den i utgangspunktet var tiltenkt å gi. Dette gjelder særlig for programvare som skal være tilgjengelig for publikum. Dersom programvaren gir tilgang til data som skal beskyttes, skal det være påloggingsmekanismer som er godkjent av IT-seksjonen Det er Havforskningsinstituttet som er juridisk eier av programvare/kode som er utviklet av ansatte, med mindre annet er skriftlig avtalt. For å sikre at programmeringskode ikke går tapt f eks når ansatte slutter eller blir utilgjengelige, skal driftskritisk kode og versjoner alltid legges inn i Instituttets sentrale kode- og versjonshåndteringssystem, spesifisert og administrert av ITseksjonen. Det er den ansatte selv og han overordnede som er ansvarlig for at dette blir gjort og at utviklerne har tilstrekkelig kompetanse på dette området. 16. Surfing og bruk av tjenester på internett Det er ikke tillatt å søke etter eller surfe på sider med straffbart innhold, sider med tjenester som kan lede til straffeforfølgelse for tilbyder eller sider med pornografisk innhold, gambling eller andre nettsider som er i strid med norsk lov. Det er ikke lov å laste ned eller lagre pornografisk, ulovlig eller på annen måte straffbart materiale på Havforskningsinstituttets datautstyr. Det er brukerens ansvar å utøve forsiktighet og ikke sette sikkerheten ved Havforskningsinstituttet i fare ved å besøke eller laste ned filer fra ukjente nettsteder, samtalegrupper (IM), blogger og sosial medier, samt følge de anbefalinger som nettleseren gir. Det er ikke tillatt å deaktivere sikkerhetsfunksjoner i nettleseren. Det er ikke tillatt å bruke husk passord og/eller brukernavnfunksjoner på Internett. Slik informasjon lagres på PCen og er dermed tilgjengelig for andre som benytter samme PC. Hvis den ansatte er i tvil om bruken er en risiko for informasjonssikkerheten, skal han/hun rådføre seg med IT- seksjonen. Bruk sunt datavett (ref http://www.nettvett.no) ved surfing på Internett. Vær oppmerksom på at du alltid legger igjen elektroniske spor om deg selv og Havforskningsinstituttet. Denne informasjonen kan misbrukes av andre, og alle dine bevegelser kan spores tilbake til Havforskningsinstituttet og til deg som bruker. Vær alltid forsiktig med å laste ned filer fra ukjente nettsteder og med å legge Side 7 av 13

igjen personlig informasjon på websider som krever dette, da dette kan misbrukes og/eller føre til at du får mer søppelpost. Husk at du ikke har noen garanti for at en person eller et nettsted er den/det vedkommende utgir seg for å være. Vær særlig oppmerksom på at det i dag er svært vanlig med sosial manipulering ved at utenforstående søker å få tilgang til passord og dermed også sensitiv informasjon ved å ta kontakt med deg som bruker og presentere et konstruert behov. Passord skal derfor aldri oppgis over telefon så fremt du ikke er helt sikker på hvem du prater med, eller til personer som du ikke kjenner. IKTavdelingen vil av prinsipp aldri spørre deg om ditt passord. 17. Passord og tilgang Personlige passord for pålogging til Havforskningsinstituttets IKT-ressurser tildeles av ITseksjonen/operativ systemeier etter at den ansatte har signert arbeidsavtale og har erkjent kjennskap til taushetsplikt. En bruker må ikke søke å gjøre seg kjent med andres passord o.l., eller søke å oppnå uautorisert tilgang til andres data. Dette gjelder uavhengig av om dataene er beskyttet eller ikke. Ved all bruk av Havforskningsinstituttets IKT-ressurser skal det benyttes passord ved oppstart. Disse passordene skal oppfylle de kravene som til enhver tid er gitt av Havforskningsinstituttets passordpolicy. Nytt passord må velges ulikt fra foregående passord. Alle passord skal behandles på en sikker måte og skal ikke meddeles andre. Dersom du har oppgitt ditt passord til andre, skal du bytte dette snarest. PC-en skal være innstilt slik at den låses etter et gitt antall minutter uten aktiv bruk, og skjermbeskytteren skal da starte. PCen skal alltid skrus helt av eller låses med passordbeskyttelse ved arbeidsdagens slutt. PCen skal alltid låses når du forlater arbeidsplassen din. 18. Avslutning av arbeidsforhold Ved avslutning av arbeidsforhold vil bruker utestenges fra Havforskningsinstituttets systemer ved endt siste arbeidsdag. Personlige filer kan brennes på CD/DVD og utleveres til den ansatte på forespørsel fra bruker. Bruker er selv ansvarlig for at data som eies/disponeres av Havforskningsinstituttet sikres for bedriften. Den ansatte kan ikke kreve at personlige filer eller e- post, etter opphør av arbeidsforhold, slettes fra lagringsmedia som disker eller systemer for lagring av sikkerhetskopier. 19. Sikring av klientmaskiner Alle klientmaskiner skal ha oppdatert programvare for antivirus og beskyttelse mot annen ondsinnet kode. Side 8 av 13

På grunn av fare for datavirus og andre ødeleggende programmer bør filvedlegg til e-post fra ukjente avsendere alltid betraktes i visningsfunksjonen før du eventuelt åpner dokumentet/filen. Det er brukers ansvar å utøve forsiktighet ved åpning av vedlegg/filer du mottar, selv om avsender er kjent. Havforskningsinstituttets sikkerhetssystemer kan slette filer som er infisert med virus og/eller annen skadelig kode (som spyware) uten forvarsel. Havforskningsinstituttet vil automatisk slett kjørbare vedlegg i e-post, samt filtrere din e-post for virus og søppelpost (spam). Av fare for å infisere Havforskningsinstituttet med datavirus eller annen form for ødeleggende programvare, skal du alltid være forsiktig med å åpne vedlegg/filer, selv om disse kommer fra kjente avsendere. Bruker skal ikke hindre, ignorere eller deaktivere automatiske sikkerhetsoppdateringer for operativsystem eller applikasjoner på sin klientmaskin. I tvilstilfeller skal man kontakte ITseksjonen. Når en arbeidsstasjon/pc-klient forlates skal du som bruker logge ut, skru den av eller låse den med passordbeskyttelse. Havforskningsinstituttets maskiner og utstyr skal være sikret med de løsninger som Havforskningsinstituttet til enhver tid benytter (for eksempel kryptering, viruskontroll, autentisering). 20. Dokumentsikkerhet Havforskningsinstituttets dokumenter (og andre datafiler) skal som utgangspunkt ikke primært lagres på lokal harddisk eller eksterne enheter som for eksempel diskett, CD-rom, minnepinne eller tilsvarende. Hovedgrunnen til dette er at det ikke tas backup av klientmaskiner. Dersom du må lagre data på slike enheter skal filene senere overføres til Havforskningsinstituttets server og deretter slettes fra de opprinnelige enhetene. Vær oppmerksom på at sikkerhetskopi kun tas av datafiler som er lagret på Havforskningsinstituttets servere. Dersom du oppbevarer filer tilknyttet ditt arbeid i Havforskningsinstituttet på f.eks. en lokal disk må du huske på å flytte disse over på en sentral server slik at det blir tatt sikkerhetskopi av disse. Det er ikke lov til å benytte automatisk/manuell videresending av e-post til e-postkontoer utenfor Havforskningsinstituttet, uten godkjennelse av IT-seksjonen fordi dette kan føre til at sensitive data kommer på avveie. Dokumenter som er arkivverdige skal lagres i digitalt arkiv, ref arkivets nettsider. Side 9 av 13

21. Bruk av håndholdte enheter (PDA, smartphone, nettbrett) Lagring av sensitive personopplysninger skal ikke gjøres på mobiltelefoner, håndholdte enheter og lignende teknologi. Det skal utvises forsiktighet ved lagring av andre sensitive data på slike enheter. I slike tilfeller skal man ha systemer for å beskytte innholdet i form av sikkerhetskopiering, kryptering, passordbeskyttelse, PIN-kontroll eller lignende. Slike enheter skal være utstyrt med nødvendig sikkerhets-programvare slik at de oppfyller Havforskningsinstituttet krav til sikkerhet. 22. Registrering av aktivitet/logging All aktivitet på Havforskningsinstituttets IKT-ressurser kan spores tilbake til den enkelte. Alle Havforskningsinstituttets IKT-ressurser kan overvåkes og all autorisert og forsøk på ikke-autorisert bruk kan registreres i logger. Dette for å ivareta Havforskningsinstituttets krav til informasjonssikkerhet (konfidensialitet, integritet og tilgjengelighet) samt avdekke brudd på denne. Det kan foretas skanning av alle maskiner/lagringsområder for å avdekke uautorisert eller ulisensiert programvare, pornografi, underholdningsfiler som musikk, bilder og video, uønsket eksekverbar kode (programkode som kan inneholde for eksempel virus/spyware og skjult programvare) og annet innhold som ikke er i tråd med Havforskningsinstituttets regler, som bryter med lisensregler eller er i strid med norsk lov. For å ivareta informasjonssikkerheten kan Havforskningsinstituttet foreta sletting av slike filer uten varsel. 23. Bruk av IKT ressurser hos samarbeidspartnere Ansatte forplikter seg til å ivareta samarbeidspartneres behov for, og krav til, konfidensialitet, integritet og sikkerhet, herunder datasikkerhet. Man skal ha spesiell fokus på at bruk av samarbeidspartneres data og ressurser skal skje innenfor allment aksepterte etiske normer og den gjeldende bedrifts krav til konfidensialitet, integritet og sikkerhet. Adgang til, og bruk av samarbeidspartneres system for databehandling skal ikke benyttes i større utstrekning enn oppdraget tilsier og/eller tillater. Det er strengt forbudt å lagre uvedkommende informasjon på samarbeidspartneres maskinvare, eller urettmessig koble seg opp mot samarbeidspartnerens datasystemer uten avtale med samarbeidspartneren. 24. Varslingsplikt Uregelmessigheter i systemer og nettverk, mistanke om virusangrep, tyveri av utstyr og tap eller kompromittering av IKT-utstyr eller passord, eller enhet for oppbevaring av privat elektronisk nøkkel, skal straks rapporteres til IT-seksjonen og i etterkant meldes inn i bedriftens avvikssystem. Bruker er ansvarlig for å melde tyveri til politiet. Kopi av politianmeldelse skal sendes til IT-sjef. Saker av alvorlig eller prinsipiell karakter vil bli overlatt til politiet for videre undersøkelser m.m. 25. Registrering av personopplysninger Brukere plikter å gjøre seg kjent med de regler som særlig gjelder for personlige opplysninger. Hvis en bruker ønsker å registrere personopplysninger, plikter vedkommende å forsikre seg om at det er adgang til dette etter personregisterloven eller forskrifter gitt med hjemmel i loven, eller i medhold av konsesjon gitt til HI. Dersom registeret ikke vil være tillatt etter de nevnte regler, plikter brukeren selv å søke om nødvendig tillatelse. Registrering og lagring av personopplysninger skal forhåndsgodkjennes av IT-sjef og overordnet leder. Side 10 av 13

26. Innsyn I Forskrift om behandling av personopplysninger heter det følgende: 9-2: Arbeidsgiver har ikke rett til å overvåke arbeidstakers bruk av elektronisk utstyr, herunder bruk av Internett, ut over det som følger av denne forskriften 7-11. 9-3 : Arbeidstaker skal så langt som mulig varsles og få anledning til å uttale seg før arbeidsgiver gjennomfører innsyn etter dette kapittelet. I varselet skal arbeidsgiver begrunne hvorfor vilkårene i 9-2 anses å være oppfylt og orientere om arbeidstakers rettigheter etter denne bestemmelsen. Havforskningsinstituttet kan åpne en personlig e-postkasse for å sortere ut og lese virksomhetsrelatert e-post dersom det er god grunn til å tro at det er innkommet virksomhetsrelatert e-post og at behandlingen av denne av hensyn til virksomhetens drift ikke kan vente (ref. 9-2). Havforskningsinstituttet har, ved mistanke om brudd eller ved brudd på Sikkerhetsinstruksen, innsynsrett i all informasjon lagret på Havforskningsinstituttets IKT-ressurser uten hensyn til lagringssted eller merking. Dette gjelder også i saker som fordrer innsyn i ansattes e-post og personlige dataområder. Før innsyn gjennomføres, vil den ansatte bli varslet om dette. Ved innsyn vil verneombud eller en annen representant for den ansatte være til stede. I spesielle tilfeller kan innsyn uten forutgående varsel foretas. Verneombud eller annen representant for den ansatte skal da være til stede, og det skal sendes skriftlig underretning så snart behandlingen er gjennomført. Side 11 av 13

Unntak gjøres ved mistanke om for eksempel grove brudd på ansattes plikter (ref 9-2). Arbeidsgiver kan gjennomsøke, åpne og lese e-post i en ansatts personlige e- postkasse dersom det foreligger begrunnet mistanke om at e-postens innhold er straffbart. e-posten inngår som et ledd i gjennomføringen av en straffbar handling. sending av e-posten medfører grovt brudd på de plikter som følger av arbeidsforholdet, arbeidsreglement eller annet skriftlig regelverk. 27. Konsekvenser ved brudd Brudd på disse reglene kan medføre konsekvenser for den ansatte som bruker og kan i alvorlige tilfeller føre til oppsigelse eller avskjed. Ved mistanke om straffbare forhold vil saken bli overlatt til politiet for videre undersøkelser. Straffbare forhold vil normalt bli politianmeldt og den ansatte vil da stå rettslig ansvarlig for sine handlinger. Brudd på disse reglene fra innleid personell vil i tillegg kunne medføre at oppdraget/oppdragene faller bort. Side 12 av 13

28. Samtykke for eksterne leverandører / innleid personell Undertegnede bekrefter å ha lest, forstått denne sikkerhetsinstruksen, og at denne vil overholdes. Videre samtykker undertegnede til den bruk, registrering og behandling av personopplysninger som fremgår ovenfor.... Navn/Firma (blokkskrift)... Dato, underskrift Instruksen signeres i to eksemplarer og partene beholder ett eksemplar hver. Instruksen oppbevares sammen med kontrakt og taushetserklæring. I tillegg underskrives det en taushetserklæring. Side 13 av 13