Tilgangskontroll i arbeidslivet



Like dokumenter
Handbok i informasjonstryggleik. Presentasjon Geir Håvard Ellingseter, dokumentsenteret

for tilsette i Hordaland fylkeskommune

Rettleiing for revisor sin særattestasjon

Rettleiing ved mistanke om vald i nære relasjonar - barn

Tenk på det! Informasjon om Humanistisk konfirmasjon NYNORSK

Rådgjevarkonferanse 2010

IA-funksjonsvurdering. Ei samtale om arbeid kva er mogleg?

Husleige / Fellsekostnader i interkommunale samarbeid i Hallingdal.

I lov 17. juli 1998 nr. 61 om grunnskolen og den vidaregåande opplæringa er det gjort følgende endringer (endringene er markert med kursiv):

Søking til skuleåret

Rådgjevarkonferanse 2009

Lønnsundersøkinga for 2014

Til deg som bur i fosterheim år

Fra Forskrift til Opplæringslova:

Rutinar for intern varsling i Hordaland fylkeskommune

UNDERSØKING OM MÅLBRUKEN I NYNORSKKOMMUNAR RAPPORT

Rettleiing aktivering av fritekstleverandørar i ehandel

BEST. NR. 456-NYN. Ungdom i arbeid

Brukarrettleiing E-post lesar

JØLSTER KOMMUNE TILSETJINGSREGLEMENT

RETTLEIAR BYGGSØK. Søknad om tiltak utan ansvarsrett PBL 20-2

IKT-reglement for Møre og Romsdal fylkeskommune

GLOPPEN KOMMUNE ADMINISTRASJONSUTVALET

Styresak. Ivar Eriksen Oppfølging av årleg melding frå helseføretaka. Arkivsak 2011/545/ Styresak 051/12 B Styremøte

Retningsliner for lokalt gitt munnleg eksamen og munnleg-praktisk eksamen i Møre og Romsdal fylkeskommune

Plan for selskapskontroll

PRAKTISKE PROBLEMSTILLINGAR FOR GDPR-PROSJEKT SPV. Finans Norges juskonferanse Håvard Hanto-Haugse

Disponering av avfall fra bygging, rehabilitering og riving

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger

Svar på førespurnad om journalføring og utlevering av journalar

Barnevernsfaglege vurderingar. Fylkesmannen sine erfaringar. Turid Måseide og Gunn Randi Bjørnevoll

«ANNONSERING I MØRE OG ROMSDAL FYLKESKOMMUNE»

Årsrapport frå opplæringskontor i Hordaland om opplæring av lærlingar og lærekandidatar (Lærebedriftene skal bruka eit eige skjema.

Reglement for godtgjersler til kommunale folkevalde

SENIORPOLITIKK Masfjorden kommune

Ansvar, forsikring og erstatning i forhold til studentar

Opplæringslova: Det fullstendige navnet er «Lov om grunnskulen og den vidaregåande

INTERNETTOPPKOPLING VED DEI VIDAREGÅANDE SKOLANE - FORSLAG I OKTOBERTINGET 2010

FORELDREMØTE 8. TRINN TORSDAG VURDERING, FRÅVER M.M

Med spent forventning... Sjekkliste for ein god barnehageslutt og ein god skulestart

TRENG DU VAREOPPTELJING I SKOGEN DIN?

Søknad om tilskot til anlegg for idrett og fysisk aktivitet (spelemidlar)

KVALITETSSYSTEM for Helse Sunnmøre HF Volda sjukehus Vedtekter Nivå: 1. Side : 1 Av : 5 sjukehus Revisjon : 3 Erstatter : 2

Prosesskart kva gjer du når du er bekymra for eit barn?

Søking til skuleåret

Søknad om tilskot til anlegg for idrett og fysisk aktivitet (spelemidlar)

Tilgangsrettighetar i episerver

REGLEMENT OM ELEKTRONISK KOMMUNIKASJONSTENESTE FOR MØRE OG ROMSDAL FYLKE.

Styresak. Helga Stautland Onarheim Tilsetteskader og HMS-hendingar. Årsrapport Styresak 14/14 O Styremøte

Retten til spesialundervisning

Rettleiing til rapportering i Altinn, «Partifinansiering 2014», RA-0604 Partilag med organisasjonsnummer

Forskrift om manntal for fiskarar og fangstmenn

DIGITAL KOMMUNIKASJON SOM HOVUDREGEL - ENDRINGAR I FORVALTNINGSLOVA - HØYRING

Rutine for varsling FORORD. Vedteke i kommunestyret den

SENTRALISERING AV FAGSKOLANE I HORDALAND TIL TO FAGSKULAR

HØYRING OM NYE IT-STANDARDAR FOR OFFENTLEG SEKTOR

MØTEINNKALLING SAKLISTE. Saksnr. Arkivsaksnr. Side Tittel 0013/03 03/00171 POLITISK KVARTER PERSONAL-OG LØNSUTVALET

SAMNANGER KOMMUNE. IKT-reglement. for tilsette i Samnanger kommune. Vedteke av rådmannen Gjeld frå

Skjema for medarbeidarsamtalar i Radøy kommune

Øving Fårikål Oppsummering. Krisehandteringsøving for kommunane i Møre og Romsdal Måndag 29. september Fylkesmannen i Møre og Romsdal Adm

Mål og meining med risikoanalysar sett frå

Varslingsrutinane kjem ikkje i staden for men som eit tillegg til annan avviksrapportering.

Habilitetsavgjerder for tilsette, styremedlemmer og andre som utfører arbeid eller tenester for KORO. Gjeld frå 1. januar 2015

Referat frå foreldremøte Tjødnalio barnehage

Barnerettane i LOKALSAMFUNNET

Korleis stimulera til ein god språkutvikling hjå barn?

Brukarrettleiing. epolitiker

Saksnr Utval Møtedato Utdanningsutvalet I sak Ud-6/12 om anonym retting av prøver gjorde utdanningsutvalet slikt vedtak;

Ny strategiplan for Høgskulen

Til bruk i utviklingssamtale på 8. trinnet. Samtaleguide om lesing

MØTEINNKALLING. Tillegg SAKLISTE. Saksnr. Arkivsaksnr. Side Tittel 0190/04 04/01688 KONKURRANSEUTSETJING AV MATFORSYNING TIL OMSORGSSEKTOREN

Prosedyre Barn med nedsett funksjonsevne i Stord kommune

SENIORPOLITIKK Masfjorden kommune

Seljord kommune PLAN FOR SAMARBEID OM OVERGANG FRÅ BARNEHAGE TIL SKULE / SFO BARNESKULE - UNGDOMSSKULE I SELJORD KOMMUNE

Alle svar er anonyme og vil bli tatt vare på ved Norsk Folkemuseum kor vi held til. Ikkje nemn andre personar med namn når du skriv.

Lov om endringer i barnelova (farskap og morskap)

Vald og trusselhandlingar mot tilsette i skolen førebygging og oppfølging

TIL DEG SOM ER BRUKARREPRESENTANT I HELSE MØRE OG ROMSDAL SINE OPPLÆRINGSTILTAK FOR PASIENTAR OG PÅRØRANDE

Lokale arbeidstidsavtalar moglege løysingar og utfordringar Del 1: Rolleforståing

POLITISK SAKSHANDSAMINGSREGLEMENT FOR HÆGEBOSTAD KOMMUNE

Melding om sjukefråvær Den tilsette skal gje melding om sjukefråvær til arbeidsgjevar så tidleg som mogleg.

Denne orienteringa vert berre sendt grunneigar, og de må sjølv orientera eventuelle leigetakarar.

Retningsline for bruk av sosiale media for tilsette i Aukra kommune

Vi har ikkje behandla bustøttesøknaden fordi det manglar samtykke frå ein eller fleire i husstanden

RETTLEIING FOR BRUK AV «MIN SIDE» I DEN ELEKTRONISKE SKJEMALØYSINGA FOR FRI RETTSHJELP. Oppdatert 19.september 2012 Ove Midtbø FMSF

RETNINGSLINER FOR BEHANDLING AV ANLEGGSBIDRAG OG BOTNFRÅDRAG

TYSNES KOMMUNE ETISKE RETNINGSLINER

Namning av vegar i Fræna Kommune

KVALITETSPLAN OLWEUS ÅGOTNES SKULE 2014

Kapittel 3. Individuell vurdering i grunnskolen og i vidaregåande opplæring

Styresak. Forslag til vedtak: Føretak: Dato: Sakshandsamar: Saka gjeld:

Evaluering av offentleglova bakgrunn, ramme, tematikk, prosess, erfaringar og status. Vegen vidare?

Opplæring i bruk av Datafangstportalen informasjon om innlogging og dokumentliste

Arbeidsreglement Sund kommune

Kvalitetssikring av det mellommenneskelege arbeidsmiljøet

SAKSFRAMLEGG. Saksbehandler: Odd Arve Rakstad Arkiv: 026 Arkivsaksnr.: 12/ Kommunesamanslåing Leikanger og Sogndal. Spørsmål om utgreiing

Melding om behov for representant

Bustønad Ei stønadsordning for deg med høge buutgifter og låge inntekter

Transkript:

- Feil! Det er ingen tekst med den angitte stilen i dokumentet. Tilgangskontroll i arbeidslivet Rettleiar frå Datatilsynet Juli 2010

Tilgangskontroll i arbeidslivet Elektroniske tilgangskontrollar for å kome inn og ut av arbeidsplassen har vorte stadig meir vanleg. Systemet styrer kven som skal ha tilgang til ulike område, og lagrar i enkelte høve informasjon om passeringar inn og ut av bestemde område. Datatilsynet ynskjer å klargjere kva som må gjerast før eit slikt system kan takast i bruk, og kva for plikter som fylgjer av bruken. Dersom systemet blir brukt som eit reint nøkkelkortsystem utan lagring av passeringar eller andre personopplysingar, er reglane noko annleis. Rettleiaren er skriven for arbeidslivet, men det meste av innhaldet vil og vere gjeldane for andre sektorar. Vurderingar før start Arbeidsmiljølova Eit tilgangskontrollsystem med lagring av passeringar vil være eit overvakingstiltak ovanfor dei tilsette. Før ein tek i bruk slike tiltak føreset arbeidsmiljølova kapittel 9 at ein drøftar systemet med dei tilsette sine representantar. 1 Alle tilsette må få informasjon om korleis systemet skal brukast, kva formålet er samt kva rettar og plikter verksemda og dei tilsette har i tilknyting til systemet. Arbeidsmiljølova er ikkje Datatilsynet sitt myndigheitsområde, men ved bruk av tilgangskontrollsystem må både arbeidsmiljølova og personopplysningslova sjåast i samanheng. Førstnemnde avgjer om verksemda kan innføre tiltaket medan personopplysningslova klargjer korleis personopplysningane eventuelt skal behandlast. Formål Verksemda må ha klare tankar om formålet med systemet. Formålet vil normalt vere å sikre verdiar, bygg og liknande. Å kontrollere om den tilsette gjer jobben sin vil ikkje vere i samsvar med eit slikt formål. Det er viktig å klart fastsette formålet då dette set rammene for bruken av systemet. Behandlingsgrunnlag - interesseavveging Personopplysingslova 8 stiller krav til når personopplysingar kan behandlast. For innføring av tilgangskontroll vil det normalt være 8 f) som er aktuelt. Dersom den ansvarlege har ei rettmessig interesse i at opplysningane blir behandla og omsynet til den registrerte ikkje overstig denne interessa, kan opplysingane behandlast. Det betyr at ein må gjere ei avveging av interessene mellom arbeidsgjevaren sine behov og den tilsette sitt personvern. Avveginga vil normalt forme måten systemet blir innretta på, og då spesielt kvar og når det er nødvendig å lagre informasjon om passeringar. Denne avveginga må drøftast med dei tilsette sine representantar, og samanfell med krava i arbeidsmiljølova. 1 Arbeidstilsynet kan gjeve nærmare rettleiing om slike drøftingar.

Eit alternativt behandlingsgrunnlag er samtykke frå den tilsette. I arbeidslivet let dette seg vanskeleg gjennomføre, sidan samtykket sjeldan kan baserast på reell fridom for arbeidstakaren. Nødvendige opplysningar Systemet kan berre innehalde opplysingar som er nødvendige for at formålet skal kunne oppfyllast. Dette kan vere: - Opplysingar om korthaldar; internnummer, bilnummer eller firmatilknyting. - Autorisasjonsopplysingar; kva område den enkelt har tilgang til og i kva tidsrom tilgangen gjeld. - Passeringsopplysingar; når ulike kontrollpunkt er passert. For passeringsopplysningar må ein òg vurdere for kva passeringspunkt og når det er nødvendig å registrere denne informasjonen. Bruk av PIN-kode eller liknande Ved lagring av passeringsopplysningar er det nødvendig at desse opplysningane har tilstrekkeleg kvalitet om dei skal brukast til å følgje opp hendingar. Kravet om at opplysningar skal vere korrekte er stilt i personopplysningslova 11 e). Etter Datatilsynet si vurdering vil lagring av passerigar når det berre blir brukt passeringskort gje for dårleg kvalitet på opplysningane til at dei kan registrerast og seinare brukast. Derfor kan passeringar berre lagrast når det skjer ei sterk autentisering, normalt ved at den tilsette bruker PIN-kode saman med tilgangskortet. Datatilsynet meiner også at ein slik praksis støttar interessene til den registrerte ved at kvaliteten i dei lagra opplysningane blir sikra, jamfør interesseavveginga. Ved passeringar utan lagring er det opp til den ansvarlege å vurdere kor sterk autentiseringa skal vere, for eksempel om berre kort er tilstrekkeleg eller om det skal nyttast PIN-kode i tillegg. Dette gjeld også bruk av eit system kor logging er mogleg, men kor logginga ikkje er i bruk i den aktuelle situasjonen. Meld i frå om oppstart Før ein kan ta i bruk eit tilgangskontrollsystem må ein varsle Datatilsynet om oppstarten. Det skal skje seinast 30 dagar før systemet vert teke i bruk. Melding om at systemet er i bruk må fornyast kvart tredje år. Meldeskjema finner du på www.datatilsynet.no under plikter Informasjon og innsyn Den som blir registrert i eit tilgangskontrollsystem skal bli informert om dette. Informasjonen skal gjere den tilsette klar over kva som er formålet med registreringa, kven som får tilgang til opplysingane og korleis opplysingane skal brukast. Det bør også bli gjeve informasjon om kor lenge opplysingane blir lagra i samsvar med personopplysningsloven 19.

Dei registrerte har innsynsrett i opplysingar om seg sjølv, slik at dei har høve til å oppdage og endre feilregistreringar. Dette fylgjer av personopplysningslova 18. Det skal bli informert om at denne retten finst. Gode måtar å informere dei tilsette kan vere å ta opp bruken av systemet på eit allmøte, lage eigne informasjonsskriv som alle får, og samstundes sørgje for at alle nytilsette får same informasjonen når dei startar i verksemda. Alle har krav på informasjon om dette tiltaket og rutinar i tilknyting til det. Tilgang til og utlevering av opplysingar Tilgangen til passeringsloggen må avgrensast slik at det berre er dei i verksemda som har eit klart behov for det som kan opne loggen og ta ut informasjon. Slik tilgang skal vere avgrensa i samsvar med formålet med anlegget. Dette vil i praksis vere avgrensa til dei som følgjer opp sikkerheitsrelaterte hendingar. Opplysingar frå tilgangskontrollsystemet kan ikkje leverast ut til utanforståande utan samtykke frå dei opplysingane gjeld. Politiet kan likevel krevje at opplysingane blir utlevert som ledd i etterforskinga av ei straffbar sak. Vaktselskap (Databehandlar) Fleire verksemder har også avtalar med vaktselskap i samband med tilgangssystem. Dersom vaktselskapet behandlar personopplysningar, som i tilgangskontrollsystemet, må det teiknast ein databehandlaravtale som klargjer forholdet mellom vaktselskapet og verksemda. Les meir om databehandlaravtale under plikter på datatilsynet.no Sletting av opplysingar Lova krev at personopplysingar ikkje skal lagrast lenger enn nødvendig. Det er opp til den behandlingsansvarlege å vurdere kor lenge det er behov for opplysingane. Vurderinga må takast ut frå omsyn til tryggleiken og vil variere frå verksemd til verksemd. Under normale høve ser Datatilsynet på 90 dagar som maksimal lagringstid for passeringsopplysningar. Kopling mot andre system I utgangspunktet kan ikkje opplysningane i tilgangskontrollsystemet nyttast til andre formål, som for eksempel registrering av arbeidstid.

Systemet kan likevel nyttast til slik registrering dersom det krev ei særskild handling frå arbeidstakaren å registrere arbeidstida, og lagring av arbeidstidsinformasjonen blir logisk skilt frå passeringsloggen. Det kan heller ikkje vere mogleg å kople desse opplysingane saman. Ofte gjev tilgangskontrollsystemet alarmar om uautorisert opning av dører og feil på dører. Slike alarmar kan og nyttas vidare i for eksempel videoovervaking. Internkontroll Personopplysningslova 14 og personopplysningsforskrifta kapittel 3 stiller krav om internkontroll. Det er krav om at verksemda sørgjer for at regelverket blir følgd ved å dokumentere sine vurderingar og rutinar. Dokumenterte vurderingar - Fastsetting av behandlingsansvaret (ansvarleg verksemd). - Dokumentere at krava i arbeidsmiljølova til drøfting er ivaretekne. - Dokumentere formålet, jamfør personopplysningslova 11 b). - Dokumentere kva personopplysningar det er nødvendig å registrere, jamfør personopplysningslova 11 d) og e). - Dokumentere behandlingsgrunnlaget, jamfør personopplysningslova 11 a), jamfør 8. - Fastsette kven som skal ha tilgang til registrete opplysningar i systemet, særskilt logg. - Fastsette kven som kan krevje å få passeringsloggen. Rutinar for den daglege bruken - Informasjon til dei tilsette, jamfør 19. - Innsyn til dei tilsette, jamfør 18. - Innsyn i passeringslogg for oppfølging. - Tildeling av tilgangar til systemet. - Rutinar for administrasjon av systemet. Oppfølging av bruken Det er forventa at verksemda regelmessig følgje opp om bruken er i samsvar med regelverket. Det vil til dømes seie å sjekke om systemet framleis har gyldig melding, at informasjon blir gjeve til nytilsette, at opplysingar blir sletta, og at berre autoriserte personar har tilgang i systemet. Les meir om internkontroll og informasjonstryggleik på http://www.datatilsynet.no/internkontroll.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding