Rutiner for gjennomføring av innsyn i brukeres e-post og annet elektronisk lagret materiale.

Like dokumenter
1 av 5. Personalavdelingen

Instruks for utlevering av elektronisk lagret materiale til politi eller påtalemyndighet

Retningslinjer for bruk av informasjonssystemer i Oppland fylkeskommune

eforvaltningsforskriften 14 og 20, personvernforordningen artikkel 24, 32

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE

GDPR - Personvern

IKT-reglement for NMBU

Prosedyre for personvern

Personopplysningsloven

Eksempel på datadisiplininstruks

PROSEDYRE FOR HÅNDTERING AV VARSEL OM KRITIKKVERDIGE FORHOLD

SIKKERHETSINSTRUKS - Informasjonssikkerhet

Merknader til personopplysningsforskriften kapittel 9:

RETNINGSLINJER FOR BRUK AV SELSKAPETS DATAUTSTYR

Bakgrunn Arbeidstilsynet gjennomførte høsten 2010 et tilsyn ved NTNU, et tilsyn som resulterte i en tilsynsrapport og pålegg

Databehandleravtale digitale arkiv og uttrekk for deponering

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

IT-reglement Aurskog-Høland kommune for ansatte og politikere

autentiseringsdata 1.3 Forhold til andre retningslinjer og policyer ved NTNU

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Retningslinjer for LYN Fotball Varslingsordning

Databehandler. IKA Trøndelag. Behandlingsansvarlig. mellom. kapittel 2. Databehandleravtale

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

DERES DATO. På bakgrunn av tilbakemeldingen anser vi pålegg 1 og 10 som oppfylt.

Kontrolltiltak og e-postinnsyn overfor ansatte. Advokat Georg A. Engebretsen og advokat Julie Sagmo

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Styring og ledelse ved instituttene Medvirkningsbaserte prosesser for å innføre andre ordninger enn normalordningen

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Rutinebeskrivelse ved opprettelse av nye bidrags- og oppdragsfinansierte prosjekter (BOA-prosjekter) ved NTNU

IT-reglement for Universitetet i Stavanger

Tjenestebeskrivelse vakt og service

FOR nr 988: Forskrift om elektronisk kommunikasjon med og i forvaltnin...

1. Automatisk utstedelse av vitnemål ved oppnådd grad forslag til endring i studieforskriftens bestemmelse om vitnemål

Avvik 1. tertial 2016

INDUSTRIJURISTSEMINARET 2007

Instruks for bruk av ITsystemer, Internett og e-post i Hedmark fylkeskommune (IT-instruks for HFK)

Høringsuttalelse vedr Børresens utvalgets rapport av 2. mai 2016 fra HMS-avdelingen

Referat fra møte i LOSAM

REGLEMENT FOR BRUK AV IT-INFRASTRUKTUR

Tjenestebeskrivelse post

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

VEILEDER GDPR PERSONVERN DEL 1 ANSATTE OG TILLITSVALGTE

Samarbeidsavtale om digitale tjenester for de kommunale sosiale tjenestene

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Møtested: HF fakultetet, møterom 7, Bygg 2, Nivå 5

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Mandat for utredning av den framtidige faglige og administrative organiseringen av NTNU

Deres referanse Vår referanse Dato / /EOL

Arbeidsmiljølovens regler gir arbeidstakere rett til å varsle om kritikkverdige forhold i egen virksomhet:

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

Rutine for varsling av kritikkverdige forhold

Styret gir sin tilslutning til instituttets plan for strategiarbeidet våren 2010.

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS)

- IVER 1. OM TJENESTEN

Varslingsrutiner ved HiST

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Personvern overvåking og kontrolltiltak i arbeidslivet. Paratkonferansen, 16. november 2010 Bjørn Erik Thon

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ /MEI 5. november 2014

Hensikt 2: Å orientere om regler og prosedyrer for omstillingen. (Legges ut på nett fredag 29.4). Ida Munkeby innleder.

Databehandleravtale etter personopplysningsloven

2. Arbeidstakers rett til å varsle Arbeidsmiljølovens regler gir arbeidstakere rett til å varsle om kritikkverdige forhold i egen virksomhet:

Vår referanse (bes oppgitt ved svar)

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Høring - faglig organisering - utredning om ny fakultetsstruktur ved NTNU - svar fra Psykologisk institutt

Mellom. (heretter kalt Behandlingsansvarlig) Orgnr: ØkonomiBistand AS (heretter kalt Databehandler) Orgnr:

Arbeidsgivers personvernplikter

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Varsling i Ringebu kommune

Vedrørende behandling av personopplysninger. mellom Norsk Tipping AS (BEHANDLINGSANSVARLIG) xx (DATABEHANDLER)

Sekretærfunksjonen ivaretas av representanten fra Økonomi og eiendoms.»

Last ned Personvern i arbeidsforhold - Christian Kjølaas. Last ned

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Nøkkelinformasjon per enhet og for økonomifakultetet

Mastergradsring fra NTNU

Varsling.

Under henvisning til Yrkesskadeforsikringsforeningens vedtekter 4 varsles det om behandling av følgende sak på årsmøte :

ROLLER OG ANSVAR for behandling av personopplysninger ved NTNU. Følgende har ansvar for at NTNU behandler personopplysninger på en forsvarlig måte

BEHANDLING AV PERSONOPPLYSNINGER

Retningslinjer for intern varsling av kritikkverdige forhold i Nesodden kommune

Vedrørende publisering av personopplysninger på nettstedet - Varsel om vedtak

I brev med varsel om pålegg av fikk dere frist til for å komme med kommentarer. Vi har mottatt kommentarer fra dere.

Retningslinjer for databehandleravtaler

IKT-reglement for Norges musikkhøgskole

Databehandleravtaler

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde

Arbeidsgiver ser deg:

Initiativ til uravstemning vedr. instituttstyre, instituttråd, annet alternativ

Oppbevaringsregler i ny personopplysningslov (GDPR)

Felles studentsystem leverer elektronisk studentopplysninger til følgende interne systemer: Lånekort til Universitetsbiblioteket

Møtested: Rom 231, låven 2 etg. Sak Utvikling av bachelorstudiet i filosofi- orientering om status v/erling Skjei

Avtale om bruk av Modia Arbeidsrettet Oppfølging for deltakere i Kvalifiseringsprogrammet

RETNINGSLINJER FOR ANSATTES BRUK AV IKT-TJENESTER I NORMISJON

Prosedyrer for varsling i HLF.

Transkript:

1 av 5 Personalavdelingen 01.12.2015 Rutiner for gjennomføring av innsyn i brukeres e-post og annet elektronisk lagret materiale. Innhold 1 Innledning... 2 1.1 Mål... 2 1.2 Gyldighetsområde... 2 1.3 Forhold til andre sikkerhetsdokumenter... 2 2 Definisjoner... 2 3 Rutiner... 3 3.1 Prinsipper for innsyn i brukernes filer og e-post... 3 3.2 Rutiner ved innsyn i brukeres e-post og filer... 4 3.2.1 Generelle rutiner... 4 3.2.2 Innsyn i tillitsvalgtes e-post eller filer.... 4 4 r, lenker... 4 Postadresse Org.nr. 974 767 880 Besøksadresse Telefon Høgskoleringen 1 E-post: Hovedbygget + 47 73 59 50 00 7491 Trondheim Gløshaugen Telefaks http://www.ntnu.no/administrasjon + 47 73 59 80 99 Tlf: + 47 All korrespondanse som inngår i saksbehandling skal adresseres til saksbehandlende enhet ved NTNU og ikke direkte til enkeltpersoner. Ved henvendelse vennligst oppgi referanse.

2 av 5 1 Innledning 1.1 Mål Dette dokumentet beskriver rutiner som skal følges ved innsyn i brukeres e-post og filer. Rutinene skal sikre krav til vern mot urettmessig innsyn. Rutinene skal sikre at NTNU, når vilkåret for innsyn etter personopplysningsforskriften er tilstede, får tilgang til de nødvendige opplysninger lagret i e-post og filer uten at brukernes personvern blir krenket. 1.2 Gyldighetsområde Rutinene gjelder for alt innsyn i brukernes e-post og filer lagret på datasystemer, datamaskiner og annet elektronisk utstyr eid eller disponert av NTNU og som er stilt til brukers disposisjon til bruk i arbeidet ved NTNU. Bestemmelsene gjelder også for NTNUs innsyn i opplysninger som bruker har slettet fra de nevnte områdene, men som finnes lagret på sikkerhetskopier eller lignende som NTNU har tilgang til. Rutinene skal følges både overfor nåværende og tidligere brukere, samt andre som utfører, eller har utført, arbeid for NTNU. Nødvendig innsyn foretatt av IT-driftspersonale for administrasjon av dataanleggets drift, regularitet og sikkerhet kommer ikke inn under disse rutinene. Slikt innsyn reguleres av NTNUs IT-reglement, se punkt 4 r, lenker. 1.3 Forhold til andre sikkerhetsdokumenter I tillegg til disse overordnede rutiner kan det utarbeides rutiner tilpasset lokale forhold. Slike lokale rutiner kan ikke utformes slik at de svekker brukernes personvern eller NTNUs rettigheter for innsyn slik de er fastlagt i denne rutinen. Personopplysningsforskriftens 9 gir retningslinjer for innsyn i ansattes e-postkasse m.m. Forskriften er gitt med hjemmel i personopplysningsloven. Dersom krav med grunnlag i dokumentet «Prinsipper for informasjonssikkerhet ved NTNU», andre sentrale styrende sikkerhetsdokumenter, offentlige lover og forskrifter eller andre relevante rutiner er forskjellig fra kravene i dette dokumentet, gjelder de mest restriktive kravene. 2 Definisjoner Med datasystemer, datamaskiner og annet elektronisk utstyr forstås både passive systemer som backup og aktive systemer som filtjenere, arbeidsstasjoner, laboratoriemaskiner, mobiltelefoner og annet utstyr som inneholder elektronisk lagret informasjon. utstyr disponert av NTNU forstås som utstyr som er innkjøpt og eid av NTNU eller finansiert av andre og stilt til disposisjon for NTNU. Omfatter ikke brukers private utstyr. Brukere forstås som personer som bruker det elektroniske utstyret, - studenter, ansatte og andre som deltar i NTNUs virksomhet. NTNUs virksomhet forstås som all NTNUs virksomhet. e-postkasse forstås som e-postkasse og elektroniske mappesystemer for lagring av e-post. Begrepet dekker også systemer for mottak og lagring av andre elektroniske meldingstyper.

3 av 5 Personlig e-postkasse forstås som e-postkasse knyttet til en bestemt persons navn eller personlige bruker, for eksempel «peder.aas@ntnu.no». Brukeres e-post og filer forstås i denne instruksen som e-post i brukerens personlige e-postkasse, filer lagret med eksklusiv tilgang for brukeren og for back-up kopier av disse data. Tilgangskontrollen kan være på fil, filområde eller datasystem/datamaskin Upersonlig e-postkasse forstås som e-postkasse knyttet til en funksjon, en rolle eller en virksomhet. Eksempler på slike er «postmottak@ntnu.no», «verneombud@idi.ntnu.no» og «orakel@ntnu.no» Systemeier er den som er ansvarlig for forvaltningen av en informasjonsmengde på vegne av NTNU. Tillitsvalgt og [tilhørende] organisasjon forstås som tillitsvalgt innenfor arbeidstaker arbeidsgiver eller studentdemokratiets organisasjoner. Verneombud og verneombudsapparatet omfattes også av begrepet. 3 Rutiner 3.1 Prinsipper for innsyn i brukernes filer og e-post NTNU har bare rett til å gjennomsøke, åpne eller lese brukeres e-post og filer: a. Når det er nødvendig for å ivareta den daglige driften ved NTNU. b. Når det er nødvendig for å ivareta andre berettigede interesser ved NTNU. c. Ved begrunnet mistanke om at bruk av e-postkasse eller andre elektroniske lagringsområder medfører grovt brudd på de plikter som følger av arbeids- eller studieforholdet. d. Ved begrunnet mistanke om at arbeidstakers bruk av e-postkasse eller annet elektronisk lagringsområde kan gi grunnlag for oppsigelse eller avskjed eller at studentens bruk kan gi grunnlag for annullering av eksamen på grunn av fusk eller bortvisning eller utestenging etter universitetsloven. NTNU har rett til innsyn uten samtykke fra brukeren i filer som er lagret på fellesområder eller som brukeren på annen måte har gjort tilgjengelig for NTNU. Ved slikt innsyn gjelder bestemmelsene for sikkerhetsnivå og konfidensialitet gitt av dokumentet Prinsipper for informasjonssikkerhet ved NTNU. NTNU har ikke innsyn i studenters filer og e-post med mindre filer og e-post er del av deltakelse i prosjekter eller annen virksomhet for NTNU, er gjort tilgjengelig for NTNU av brukeren, eller ved begrunnet mistanke som nevnt ovenfor. NTNU har ikke adgang til å gjennomsøke, åpne eller lese filer eller åpne upersonlige e-postkasser for tillitsvalgtfunksjoner. Dersom innsyn er nødvendig etter begrunnet mistanke om misbruk av e- postkassen, skal politiet kontaktes og stå for gjennomføring av innsynet. Ved planlagt fravær over lengre tid er det brukerens ansvar å bidra til at e-post og filer som er kritisk for virksomhetens oppgaver ikke blir liggende på brukerens personlige e-post- og filområder. Bruk av automatisk svar og videresending av e-post eller tilsvarende tiltak ved fravær må vurderes.

4 av 5 3.2 Rutiner ved innsyn i brukeres e-post og filer 3.2.1 Generelle rutiner Bruker skal så langt som mulig varsles på forhånd om innsynet og få anledning til å uttale seg. I varselet skal NTNU begrunne hvorfor vilkårene for innsyn etter personopplysningsforskriftens (POF) 9-2, er oppfylt og om brukerens rettigheter. Dersom ikke bruker er varslet, skal varsel med vedlagt dokumentasjon sendes i etterkant av innsynet. Unntakene fra rett til informasjon i personopplysningslovens (POL) 23 gjelder tilsvarende. Unntaket gjelder også etterfølgende varsling. Tillatelse til innsyn uten brukers samtykke skal innhentes hos leder for enhet eller institutt eller prosjekt/faggruppe. Behovet for innsyn og begrunnet beslutning om å tillate innsyn skal dokumenteres skriftlig og følge saken. Begrunnelsen må tilfredsstille vilkårene i POF 9-2. Dersom innsyn i filer og e-post finner sted etter samtykke fra bruker, men uten at bruker er til stede, kan bruker kreve tilstedeværelse av vitne til innsynet og loggføring av innsynet på samme måte som ved innsyn uten samtykke. Alt innsyn i brukeres e-post og filer uten brukers godkjenning skal være sporbart og dokumentert. Dette gjelder både beslutning om innsyn og selve innsynet. Dokumentasjonen skal inneholde opplysninger om hvilken metode som ble benyttet, hvilke e-poster eller andre dokumenter som ble åpnet, samt resultatet av innsynet, jf. POF 2-16. Dokumentasjonen skal arkiveres i NTNUs arkiv. Det skal alltid være minst et vitne tilstede ved gjennomføringen av innsyn uten samtykke. Fremgangsmåten, herunder hvilke e-poster og filer som er åpnet, skal dokumenteres. Vitnet skal være en tillitsvalgt eller annen representant for brukeren. Ved alt innsyn gjelder de bestemmelser for materialets konfidensialitet og integritet som er satt av eier eller systemeier, slik det er fastsatt i dokumentet Prinsipper for Informasjonssikkerhet ved NTNU. Dersom NTNU i forbindelse med innsyn etter punkt 3.1.1 første kulepunkt bokstav c eller d får mistanke om straffbare forhold skal saken umiddelbart anmeldes til politiet. Videre innsyn skal foretas av politiet Dersom innsyn etter begrunnet mistanke om misbruk (punkt 3.1.1 første kulepunkt bokstav c og d) viser at vilkårene etter disse punktene ikke er tilstede, skal e-postkasse og filområde straks lukkes og eventuelle kopier av e-poster og filer slettes. For å sikre bevis kan e-postkasse og filområder kopieres. Behovet for slik sikring skal dokumenteres. Innsyn i kopien skal følge rutinene i dette dokumentet. 3.2.2 Innsyn i tillitsvalgtes e-post eller filer. Dersom det er dokumentert behov for å åpne personlig e-postkasse eller filer eid av bruker som er tillitsvalgt skal dette gjøres i samarbeid med en annen tillitsvalgt fra samme organisasjon, primært organisasjonens leder. Denne foretar sikring av organisasjonsrelatert e-post og filer før andre får tilgang til materialet Rutinene for innsyn for øvrig følger bestemmelsene i punkt 3.2.1 4 r, lenker NTNUs websider for informasjonssikkerhet o http://www.ntnu.no/sikkerhet -> menyvalg Informasjonssikkerhet Policy for Informasjonssikkerhet ved NTNU o se NTNUs websider for informasjonssikkerhet, NTNUs IT-reglement

5 av 5 o se NTNUs websider for informasjonssikkerhet Forskrift om behandling av personopplysninger (personopplysningsforskriften) o http://www.lovdata.no/for/sf/fa/xa-20001215-1265.html Lov om behandling av personopplysninger (personopplysningsloven) o http://www.lovdata.no/all/hl-20000414-031.html

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding