Avviksbehandling
Avvik i form av brot på personopplysingslova eller andre informasjonstryggleikskrav, skal meldast i Compilo på vanleg måte. (Her må du kryssa av for "informasjon/kommunikasjon" og vidare "informasjonstryggleik" under boksane hendelestype og teneste/brukar)
Compilo finn du prosedyre for avvik både som pdf og video - føl lenka her
Dersom det er sannsynleg at brotet vil medføra ein risiko for fysiske personar sine rettar og fridomar, skal brotet meldast til Datatilsynet, utan ugrunna opphald. Frist for melding er 72 timar. Dersom brotet ikkje vert meldt innan fristen, skal årsakene til forseinkinga oppgjevast, jf. personopplysningslova, art. 33, nr. 1. Sjå formkrav til meldinga i art. 33, nr. 3. Slike avvik skal rapporterast til tryggleiksansvarleg (for tida Annlaug Tenold) som skal melda vidare til sentral leiing som igjen melder til Datatilsynet. Melding til Datatilsynet skal innehalda avvikstype, konsekvens for einskildpersonar og kva tiltak som er sett i verk for å hindra gjentaking.
Dersom det er sannsynleg at brotet vil medføra ein høg risiko for fysiske personar sine rettigheiter og fridomar, skal den registrerte, utan ugrunna opphald, underrettast om brotet jf. personopplysningslova art. 34 nr. 1.
Avviksmottakar har ansvar for å kommentera og setje iverk eventuelle tiltak, samt lukke avviket i Compilo. Avviket skal lukkast på lågast mogeleg nivå. Aktivitetane vert automatisk loggført i Compilo slik at avviksmeldar og andre med lesetilgang til avviket kan følgje avvikshandteringa.
Dersom lukking av avviket medfører tiltak som krev økonomiske utlegg, må einingsleiar vurdera å få utført tiltaket innafor eige budsjett eller arbeida for å få tiltaket med i neste års budsjett eller økonomiplan.
Loggføring
For å sikra integritet og sporbarheit skal all aktivitet i fagsystem som behandlar personinformasjon loggførast. Dette gjeld endring og sletting av opplysingar, men også søk etter opplysingar. Gjennomsyn og kontroll av loggar vert gjort ved behov av systemeigar og einingsleiar.
Gjennomgang informasjonstryggleik
Alle verksemder som handsamer helse- og personopplysningar er pålagt å gjennomføre tryggleiksrevisjonar. Tryggleiksrevisjonen skal tilpassast omfanget av verksemda. Tryggleiksrevisjon må som eit minimum omfatte vurdering av organisering, tryggingstiltak og bruk av kommunikasjonspartnarar og leverandørar.
Formålet med å gjennomføre tryggleiksrevisjon er å:
- Kontrollera at det er gjennomført naudsynte tryggingstiltak
- Verifisera at tryggingstiltaka fungerer
- Kontrollera at lover og regler om informasjonstryggleik vert følgt
- Sikra at etablerte prosedyrer for informasjonstryggleik vert nytta og fungerer
Kommunedirektøren skal årleg gjennomgå informasjonstryggleiken i Stord kommune.
Tryggleiksansvarleg har ansvar for den praktiske organiseringa, utarbeida rapportar og iverksetja evt. tiltak. Tryggleiksansvarleg er ansvarleg for å kalle kommunedirektøren si leiiargruppe inn til møte innan 15. april.
Følgjande element skal kontrollerast:
- Resultat frå eigenkontroll, jf. Informasjonstryggleik: Tryggleiksrevisjon/kontrollspørsmål
- Resultat av kontrollar utført av offentleg mynde (Tilsynsrapportar)
- Endringar i offentlege tryggleikskrav
- Endringar i trusselbiletet som m.a. skildra i rapporten frå utførte risikoanalyser
- Treng me gjera endringar i kontrollsystemet, t.d. som følgje av ynske om ny funksjonalitet / utvida bruk
- Gjennomgang av avvik og hendingar
Beredskapsplanlegging
Einingar som er avhengig av opplysningane i informasjonssystema/ datasystema/ fagsystema for å utføra sine daglege oppgåver, skal ha prosedyrar for alternativ handtering dersom systema er utilgjengelege og oppgåvene påverkar liv, helse og livsopphald.
Risikovurdering for informasjonstryggleiken
I følgje tryggleiksmåla til Stord kommune skal ei kvar handsaming av personopplysningar sikrast når det gjeld konfidensialitet, tilgjenge og innhald (integritet). Konfidensialitet skal stå over kravet til tilgjenge.
Risiko tyder forholdet mellom sjansen for at ei uønska hending vil skje og konsekvensar av ei slik hending.
Det skal iverksetjast ei risikovurdering for kvart einskilt informasjonssystem (fagsystem) som handsamar personopplysningar med vekt på konfidensialitet, tilgjenge og innhald (integritet).
Føremålet med risikovurderinga er å gjera greie for om den risiko som vert avdekt er akseptabel i høve til kommunen sine mål.
Det skal i tillegg arbeidast ut interne rutinar i alle einingar som handsamar sensitive personopplysningar. Les meir om risikovurdering i Compilo.
Innsyn og endring eller sletting av opplysingar
Einingsleiar skal sikra at den registerte får innsyn i kva personopplysingar som er registrert om han/ ho, kvifor opplysingane er registrert og kva dei vert brukt til.
For å avklare kva innsynskravet gjeld, skal einingsleiar oppmode om at skjema om krav om innsyn vert nytta. Med unntak av innsyn i journal, går opplysingane som registrerte har innsynsrett i, fram av behandlingsprotokollen som ligg i Compilo. Ved usikkerheit om personen har krav på innsyn, informasjon om innsamling av personopplysingar, eller å få retta eller sletta personopplysingar, kan ein ta kontakt med personvernombod, tryggleiksansvarleg eller arkivansvarleg.
Retten til innsyn i eigne personopplysingar og informasjonsplikta når det skal samlast inn personopplysingar står i personopplysingslova artikkel 15. Retten til å få sine opplysingar retta står i artikkel 16, og retten til å få sine opplysingar sletta står i artikkel 17.
Retting og sletting av personopplysingar
Den behandlingsansvarlege har plikt til å retta og sletta feilaktige opplysningar, mangelfulle opplysningar og opplysningar som er unødvendige for sakshandsaminga. Den det gjeld må kunne sannsynleggjere at opplysingane er feil og kunne dokumentere/ opplyse om kva som er korrekt.
Det er einingsleiar sitt ansvar å svara på slike førespurnader. Sjå prosedyre om retting og sletting i Compilo
Overvaking
Dersom arbeidsgjevar vurderer å iverksetje kameraovervaking, krev arbeidsmiljølova § 9-2 at arbeidsgjevar så tidleg som mogleg drøftar behov, utforming, gjennomføring og vesentleg endring av kontrolltiltak i verksemda med arbeidstakarane sine tillitsvalde. Før tiltaket vert sett i verk så skal arbeidsgjevar gje dei råka arbeidstakarane informasjon om: Føremålet med kontrolltiltaket, praktiske konsekvensar av kontrolltiltaket (herunder gjennomføring) og kontrolltiltaket sin antatte varigheit.
Overvaking med lyd er så inngripande at det normalt ikkje er tillatt. Skjult lydopptak av andre sine samtalar kan dessutan vera straffbart.
Kameraovervaking skal ikkje godkjennast av Datatilsynet. Den som overvaker har sjølv ansvar for å overhalde alle reglar i lova før overvakinga vert satt i gang.
ID kort
ID-kortet vert brukt av tilsette som:
- Tilgangskort
- Utskriftskort for skrivarar
- ID-kort
Tinging/utskriving av ID-kort:
- Leiar tingar ID-kort via e-posten: idkort@stord.kommune.no saman med bilete, sjølvvald kode og opplysingar som namn, tittel, eining og kvar den tilsette skal ha tilgang.
- ID-kort vert produsert og sendt med internposten.
- Når ein tilsett sluttar skal kortet leverast attende til einingsleiar, siste dag.
- Tap av kort skal meldast til einingsleiar.
- Det tapte kortet skal deaktiverast så snart råd er og nytt kort må tingast.
Avhending av datautstyr
IKT-eininga tek imot datautstyr og sørgjer for sikker sletting. Avtal avhending av datautstyr med IKT via helpdesken: https://selfservice.stord.kommune.no/