TIDSAVGRENSA AVTALE FOR PERSON UTAN TILSETTINGFORHOLD I HELSE FØRDE


Vår ref.: xxxxxx

Dato: xxxxx



Saksbehandlar: xxxxxx



XXXXXXXXXXXX AVTALE FOR PERSON UTAN TILSETTINGFORHOLD I HELSE FØRDE



Mellom Helse Førde HF (heretter kalla helseføretaket) og xxx, fødselsnummer: xxxx er det inngått følgande avtale:


  1. Bakgrunn

Denne avtala er inngått for å sikre personar utan tilsettingsforhold i Helse Førde tilgang til føretaket sitt informasjonssystem, samt sikre at informasjonen vert handtert i tråd med Helse Førde sine retningslinjer.


  1. Vilkår

Personar utan tilsettingsforhold er ikkje omfatta av overeinskomstar som gjeld arbeidstakarar i helseføretaket.


Personar utan tilsettingsforhold må rette seg etter dei lovar, forskrifter, retningslinjer og prosedyrar som til ein kvar tid gjeld for helseføretaket.


Forøvrig gjeld arbeidsmiljøloven § 1-6 og § 2-2 for personar utan tilsettingsforhold.


  1. Avtalens varighet

Avtaleperioden gjeld frå til


Eventuelle tilgangar til føretaket sine informasjonssystem (IT-system) skal stengast ved opphøyr av avtalen.


  1. Arbeidsområde

Arbeidsoppgåver avtalast med den som har oppfølgingsansvaret i føretaket og kan endrast når dette er nødvendig.


E-læringskurs i informasjonssikkerhet skal gjennomførast når personen utan tilsettingsforhold har fått tilgang.

Andre e-læringskurs kan påleggast av den som har oppfølgingsansvaret der dette er hensiktsmessig.


  1. Arbeidstid og pausar

Arbeidstid og avvikling av pausar avtalast med den som har oppfølgingsansvaret.


  1. Fråvær

Personar utan tilsettingsforhold skal første fråværsdag melde frå om fråværet til den som har oppfølgingsansvaret.


  1. Forsikring

Personar utan tilsettingsforhold er omfatta av helseføretaket si yrkesskadeforsikring i den utstrekning helseføretaket har erstatningsansvar i henhald til Lov om yrkesskadeforsikring.


Personar utan tilsettingsforhold er ikkje omfatta av helseføretaket sine øvrige forsikringsordningar for tilsette.


8. Teieplikt

Denne avtalen føreset at det ligg føre signert teieplikterklæring. Personar utan tilsettingsforhold i Helse Førde plikter av den grunn å signere vedlagte teiepliktserklæring og returnere den saman med signert avtale.


9. IT- og dokumentsikkerheit

Personar utan tilsettingsforhold plikter å følgje dei til ei kvar tid gjeldande retningsliner føretaket har når det gjeld oppbevaring av skriftleg informasjon samt dokumentasjon, og sikring av elektroniske lagringsmedia.


10. Bruk av e-post og internett/intranett og andre elektroniske system

Helseføretaket sitt elektroniske system er helseføretaket sin eigedom. Bruk av elektroniske system, e-post, internett og intranett skal skje etter dei til ei kvar tid gjeldande retningsliner for slikt bruk.


Eventuell bruk av e-post og internett/intranett og andre elektroniske system krev at personar utan tilsettingsforhold har gjort seg kjend med IKT-sikkerheitsinstruksen, som ligg ved denne avtalen.


11. Opphøyr, endringar og forhold ved fråtreding

Avtala opphøyrer ved utløpet av avtalt periode utan forutgåande oppseiing frå nokon av partane.


Ved mislighald eller brot på denne avtalen kan avtalen bringast til opphøyr.


Det utstyr og dei hjelpemidlane personar utan tilsettingsforhold får utlevert eller blir stilt til disposisjon, er føretaket sin eigedom. Vedkommande pliktar å levere tilbake alt utstyr ved opphøyr (som til dømes arbeidstøy, dokument, faglitteratur, datautstyr, mobiltelefon, ID-kort, nøklar med meir).


12. Generelt

Dersom du aksepterer tilbodet, ber vi deg signere arbeidsavtalen og teielovnaden innan 5 dagar etter mottatt tilbod.



Dato: xxx Dato:

For Helse Førde HF



For Helse Førde HF



xxxxx (e.f.)













Dokumentet er elektronisk godkjent av føretaket

Teieplikterklæring – skjema

Revidert 29.09.2019 av Utval for regional IKT-sikkerheit

Bakgrunn


Teieplikta vernar om private interesser og er grunngitt i ønsket om å verne dei personlege forholda og den private sfæren til enkeltmenneske. Teieplikta er eit sentralt element i personvernet.


Teieplikta er òg grunngitt i ønsket om at pasienten skal ha tillit til helsetenesta og skal oppsøkje helsetenesta for å få behandling. Dersom helsepersonell og andre ikkje har teieplikt, kan det medføre at pasienten eller dei pårørande ikkje oppsøkjer hjelp fordi dei er redde for at opplysningar om dei skal bli spreidde.


Omfang


Teieplikta gjeld opplysningar om lekams‐ eller sjukdomsforhold, opplysningar om andre personlege forhold, opplysningar om tekniske innretningar, framgangsmåtar og forretningsforhold som er konkurransemessig viktige, opplysningar som er viktige for informasjonstryggleiken, og opplysningar som ein av andre grunnar må sikre konfidensialitet for, som den underskrivne får tilgang til i arbeidet.


Teieplikta gjeld òg etter at tenesta eller arbeidet er avslutta. Her kan du finne meir informasjon om teieplikt i helse‐ og omsorgstenesta: xxxxx://xxxxxxxxxxxxxxxxx.xx/xxxxxxxxxxxxx/xxxxxxxxxxxxx‐i‐helse‐og‐omsorgstjenesten


Lovkrav


Den lovpålagde teieplikta er beskriven fleire stader:


  • I samsvar med helsepersonellova § 21 skal helsepersonell hindre at andre får kjennskap til folk sine lekams‐ eller sjukdomsforhold eller andre personlege forhold som dei får vite om i eigenskap av å vere helsepersonell. Ein skal heller ikkje lese, søkje etter eller inneha slik informasjon utan at det er grunngitt i behov for helsehjelp eller behov for administrasjon av helsehjelp, eller utan annan lovheimel.

  • I samsvar med spesialisthelsetenestelova § 6‐1 har alle som utfører teneste for helseinstitusjon som er omfatta av lova, teieplikt etter forvaltingslova § 13.

  • I samsvar med pasientjournallova § 15 har alle som behandlar helseopplysningar etter denne lova, teieplikt.

  • I samsvar med pasientjournallova § 17 har alle som behandlar helseopplysningar etter denne lova, teieplikt etter helsepersonellova § 21.

  • I samsvar med pasient‐ og brukarrettslova § 3‐6 skal opplysningar om lekams‐ og sjukdomsforhold og andre personopplysningar behandlast i samsvar med dei gjeldande føresegnene om teieplikt.

  • I samsvar med forvaltingslova § 13 pliktar alle som utfører teneste for eit forvaltingsorgan, å hindre at andre får kjennskap til det dei gjennom tenesta får vite om andre sine personlege forhold og om tekniske innretningar, framgangsmåtar og forretningsforhold som er konkurransemessig viktige.



Brot på teieplikta


I samsvar med helsepersonellova § 67 er det straffbart å bryte føresegnene i helsepersonellova, inkludert føresegnene om teieplikt.


I samsvar med straffelova § 209 og § 210 er det straffbart å krenkje teieplikt som er pålagd etter lovføresegn eller gyldig instruks.

Verksemda reknar brot på teieplikta som tenesteforsømming eller brot på avtale med verksemda. Brot på teieplikta kan få følgjer for tilsetjings‐ eller avtaleforhold.


Erklæring


Eg er kjend med den lovpålagde teieplikta som gjeld, inkludert kva slags opplysningar som er omfatta av teieplikta, og at brot på teieplikta kan medføre straffeansvar. Eg er vidare kjend med at verksemda reknar brot på teieplikta som tenesteforsømming / brot på avtalen med verksemda.


Fødselsdato

Signatur

Namn med blokkbokstavar



Vedlegg til teieplikterklæringa

Revidert 29.09.2019 av Utval for regional IKT-sikkerheit



Helsepersonellova (lov 2. juli 1999 nr. 64 om helsepersonell m.v.)


§ 21. Hovedregel om taushetsplikt

Helsepersonell skal hindre at andre får adgang eller kjennskap til opplysninger om folks legems- eller sykdomsforhold eller andre personlige forhold som de får vite om i egenskap av å være helsepersonell.


§ 21a. Forbud mot urettmessig tilegnelse av taushetsbelagte opplysninger

Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte opplysninger som nevnt i § 21 uten at det er begrunnet i helsehjelp til pasienten, administrasjon av slik hjelp eller har særskilt hjemmel i lov eller forskrift.


§ 25. Opplysninger til samarbeidende personell

Med mindre pasienten motsetter seg det, kan taushetsbelagte opplysninger gis til samarbeidende personell når dette er nødvendig for å kunne gi forsvarlig helsehjelp.


Taushetsplikt etter § 21 er heller ikke til hinder for at personell som bistår med elektronisk bearbeiding av opplysningene, eller som bistår med service og vedlikehold av utstyr, får tilgang til opplysninger når slik bistand er nødvendig for å oppfylle lovbestemte krav til dokumentasjon.


Med mindre pasienten motsetter seg det, kan taushetsbelagte opplysninger gis til samarbeidende personell når dette er nødvendig for å ivareta behovene til pasientens mindreårige barn eller mindreårige søsken, jf. § 10 a.


Personell som nevnt i første, andre og tredje ledd har samme taushetsplikt som helsepersonell.


§ 26. Opplysninger til virksomhetens ledelse og til administrative systemer

Den som yter helsehjelp, kan gi opplysninger til virksomhetens ledelse når dette er nødvendig for å kunne gi helsehjelp, eller for internkontroll og kvalitetssikring av tjenesten. Opplysningene skal så langt det er mulig, gis uten individualiserende kjennetegn.


Ved samarbeid om behandlingsrettede helseregistre etter pasientjournalloven § 9 kan slike opplysninger også gis til ledelsen i samarbeidende virksomhet.


Den som yter helsehjelp, skal uten hinder av taushetsplikten i § 21 gi vedkommende virksomhets pasientadministrasjon pasientens personnummer og opplysninger om diagnose, eventuelle hjelpebehov, tjenestetilbud, innskrivnings- og utskrivningsdato samt relevante administrative data.


Reglene om taushetsplikt gjelder tilsvarende for personell i pasientadministrasjonen.


§ 45. Utlevering av og tilgang til journal og journalopplysninger

Med mindre pasienten motsetter seg det, skal helsepersonell som skal yte eller yter helsehjelp til pasient etter denne lov, gis nødvendige og relevante helseopplysninger i den grad dette er nødvendig for å kunne gi helsehjelp til pasienten på forsvarlig måte. Det skal fremgå av journalen at annet helsepersonell er gitt helseopplysninger.


Helseopplysninger som nevnt i første ledd kan gis av den dataansvarlige for opplysningene eller det helsepersonellet som har dokumentert opplysningene, jf. § 39.


Departementet kan i forskrift gi nærmere bestemmelser til utfylling av første ledd, og kan herunder bestemme at annet helsepersonell kan gis tilgang til journalen også i de tilfeller som faller utenfor første ledd.


§ 67. Straff

Den som forsettlig eller grovt uaktsomt overtrer bestemmelser i loven eller i medhold av den, straffes med bøter eller fengsel i inntil tre måneder.

Offentlig påtale finner sted hvis allmenne hensyn krever det eller etter begjæring fra Statens helsetilsyn.


Spesialisthelsetenestelova (lov 2. juli 1999 nr. 61 om spesialisthelsetjenesten m.m.)


§ 6-1. Taushetsplikt

Enhver som utfører tjeneste eller arbeid for helseinstitusjon som omfattes av denne loven, har taushetsplikt etter forvaltningsloven §§ 13 til 13 e.


Taushetsplikten gjelder også pasientens fødested, fødselsdato, personnummer, statsborgerforhold, sivilstand, yrke, bopel og arbeidssted. Opplysning om en pasients oppholdssted kan likevel gis når det er klart at det ikke vil skade tilliten til helseinstitusjonen. Opplysning om en pasients navn, transportbehov og om pasienten skal betale egenandel og eventuelt beløpet kan gis til transportør i forbindelse med transport etter § 2-1a første ledd nr. 6.


Opplysninger til andre forvaltningsorganer etter forvaltningsloven § 13 b nr. 5 og 6 kan bare gis når dette er nødvendig for å bidra til løsning av oppgaver etter denne loven, eller for å forebygge vesentlig fare for liv eller alvorlig skade for noens helse.


Pasientjournallova (lov 20. juni 2014 nr. 42 om behandling av helseopplysninger ved ytelse av helsehjelp)


§ 15. Taushetsplikt

Enhver som behandler helseopplysninger etter denne lov, har taushetsplikt etter helsepersonelloven § 21 flg. Andre som får adgang eller kjennskap til helseopplysninger fra et behandlingsrettet helseregister, har samme taushetsplikt.


§ 16. Forbud mot urettmessig tilegnelse av helseopplysninger

Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte helseopplysninger fra behandlingsrettede helseregistre uten at det er begrunnet i helsehjelp til den enkelte, administrasjon av slike tjenester eller har særskilt hjemmel i lov eller forskrift.

Helseregisterlova (lov 20. juni 2014 nr. 43 om helseregistre og behandling av helseopplysninger)


§ 17. Taushetsplikt

Enhver som behandler helseopplysninger etter denne loven, har taushetsplikt etter helsepersonelloven §§ 21 flg. Andre som får adgang eller kjennskap til helseopplysninger fra helseregistre, har samme taushetsplikt.


§ 18. Forbud mot urettmessig tilegnelse av taushetsbelagte helseopplysninger

Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte helseopplysninger som behandles etter denne loven, uten særskilt hjemmel i lov eller forskrift.


Pasient- og brukarrettslova (lov 2. juli 1999 nr. 63 om pasient- og brukerrettigheter)


§ 3-6 Rett til vern mot spredning av opplysninger

Opplysninger om legems- og sykdomsforhold samt andre personlige opplysninger skal behandles i samsvar med gjeldende bestemmelser om taushetsplikt. Opplysningene skal behandles med varsomhet og respekt for integriteten til den opplysningene gjelder.

Taushetsplikten faller bort i den utstrekning den som har krav på taushet, samtykker.


Dersom helsepersonell utleverer opplysninger som er undergitt lovbestemt opplysningsplikt, skal den opplysningene gjelder, så langt forholdene tilsier det informeres om at opplysningene er gitt og hvilke opplysninger det dreier seg om.


Forvaltningslova (lov 10. februar 1967 om behandlingsmåten i forvaltningssaker)


§ 13 Taushetsplikt

Enhver som utfører tjeneste eller arbeid for et forvaltningsorgan, plikter å hindre at andre får adgang eller kjennskap til det han i forbindelse med tjenesten eller arbeidet får vite om:

  1. noens personlige forhold, eller

  2. tekniske innretninger og fremgangsmåter samt drifts- eller forretningsforhold som det vil være av konkurransemessig betydning å hemmeligholde av hensyn til den som opplysningen angår.

  3. Som personlige forhold regnes ikke fødested, fødselsdato og personnummer, statsborgerforhold, sivilstand, yrke, bopel og arbeidssted, med mindre slike opplysninger røper et klientforhold eller andre forhold som må anses som personlige. Kongen kan ellers gi nærmere forskrifter om hvilke opplysninger som skal reknes som personlige, om hvilke organer som kan gi privatpersoner opplysninger som nevnt i punktumet foran og opplysninger om den enkeltes personlige status for øvrig, samt om vilkårene for å gi slike opplysninger.


Taushetsplikten gjelder også etter at vedkommende har avsluttet tjenesten eller arbeidet. Han kan heller ikke utnytte opplysninger som nevnt i denne paragraf i egen virksomhet eller i tjeneste eller arbeid for andre.


Straffelova (lov 20. mai 2005 nr. 28 om straff)


§ 209 Brudd på taushetsplikt

Med bot eller fengsel inntil 1 år straffes den som røper opplysning som han har taushetsplikt om i henhold til lovbestemmelse eller forskrift, eller utnytter en slik opplysning med forsett om å skaffe seg eller andre en uberettiget vinning.


Første ledd gjelder tilsvarende ved brudd på taushetsplikt som følger av gyldig instruks for tjeneste eller arbeid for statlig eller kommunalt organ.


For den som arbeider eller utfører tjeneste for et statlig eller kommunalt organ, rammer første og annet ledd også brudd på taushetsplikt etter at tjenesten eller arbeidet er avsluttet.


Grovt uaktsom overtredelse straffes på samme måte.


Medvirkning er ikke straffbar.


§ 210 Grovt brudd på taushetsplikt

Grovt brudd på taushetsplikt straffes med fengsel inntil 3 år.


Ved avgjørelsen av om taushetsbruddet er grovt skal det særlig legges vekt på om gjerningspersonen har hatt forsett om uberettiget vinning og om handlingen har ført til tap eller fare for tap for noen.

IKT-tryggleiksinstruks

Revidert 29.09.2019 av Utval for regional IKT-sikkerheit

  1. Formål

Personvernforordninga og helselovgivinga stiller strenge krav til korleis personopplysningar skal behandlast. Grunnen til det er først og fremst at verksemdene har plikt til å sikre integriteten til opplysningane og sørgje for at opplysningane er tilgjengelege, slik at ein kan gi livsviktig helsehjelp. Vi skal verne om personopplysningane vi behandlar. I tillegg har alle som nyttar seg av tenestene som verksemdene yter, rett til å stole på at personopplysningar blir behandla fortruleg (konfidensialitet), og at ikkje-autorisert personell ikkje får innsyn i desse opplysningane.

  1. Omfang og målgruppe

Alle tilsette er omfatta av denne instruksen. IKT‐tryggleiksinstruksen gjeld for alle tilsette, vikarar, studentar, leverandørar, konsulentar og andre som får tilgang til informasjonssystemet til verksemda (omtalte som «brukarar» i instruksen). Krava i denne instruksen er minimumskrav som alle må følgje for at det ikkje skal skje brot på lovkrava. IKT‐tryggleiksinstruksen er eit kortfatta utdrag av styringssystemet for informasjonstryggleik og personvern som gjeld for verksemda.


Alle som er omfatta av denne instruksen, har eit personleg ansvar for å gjere seg kjend med han og etterleve han. På læringsportalen finn du e‐læringskurs i informasjonstryggleik. Dette kurset er obligatorisk for tilsette i eiga verksemd. Det skal vere bestått ved tiltreding og skal repeterast minst kvart tredje år. IKT‐tryggleiksinstruksen, med dei føresegnene han inneheld, er ein del av vilkåra du har forplikta deg til.

  1. Ansvar

Utforming og vedlikehald av rutinen: utval for regional IKT‐tryggleik

Gjennomføring: dagleg leiar – skal vedta og signere IKT‐tryggleiksinstruksen

Etterleving: alle som bruker IKT‐systema


Brot på rutinane og føresegnene i IKT‐tryggleiksinstruksen inneber brot på pliktene overfor verksemda. Det kan derfor få personalkonsekvensar eller konsekvensar for kontraktforholdet med verksemda.

  1. Tryggleiksreglar

Generelt krav om aktsemd

Ettersom du i kraft av tilsetjings‐ eller kontraktforholdet ditt kan nytte informasjonssystemet til verksemda, har du eit særleg ansvar for å opptre med aktsemd og god etikk. Du skal derfor ha eit reflektert forhold til deling og lagring av informasjon. Ver òg bevisst på kva du søkjer på, og kva du lastar ned.


Du må vise aktsemd med tanke på kva du kommuniserer ut, til dømes på Internett via sosiale medium. Ta derfor utgangspunkt i at du aldri er anonym på nettet, og at all kommunikasjon på nettet kan sporast tilbake til maskina du bruker.

Varetaking av teieplikta – tilgang til dokument

Som brukar av informasjonssystemet til verksemda pliktar du aktivt å hindre at uvedkommande får tilgang til dokument eller andre medium som inneheld personopplysningar som er underlagde teieplikt. Brot på teieplikta kan få personalkonsekvensar og/eller medføre straffeansvar.


Helseopplysningar

Det er forbode å lese, søkje etter eller på annan måte tileigne seg, bruke eller inneha teiepliktige opplysningar utan at det er grunngitt i behov for helsehjelp til pasienten eller administrasjon av slik hjelp, eller utan særskild heimel i lov eller forskrift, jf. helsepersonellova § 21a og pasientjournallova § 16.

Aktsemd for å hindre innsyn frå andre/uvedkommande

I alt arbeid med helse‐ og personopplysningar skal det setjast i verk tiltak for å hindre at personar som ikkje har tenestleg behov for å sjå informasjonen som blir behandla, får innsyn i han.

Bruk av informasjonssystema til verksemda

Eigarskap og ansvar

Informasjonssystemet og alt utstyret som høyrer til, all programvare og all lagra informasjon, bortsett frå privat informasjon, er det verksemda som eig og er ansvarleg for.


Under gitte omstende og på nærmare bestemte vilkår kan arbeidsgivaren ha rett til innsyn i dokumenta og e‐posten til den enkelte. Vilkåra for slikt innsyn er regulerte særskilt i ein eigen rutine i styringssystemet for informasjonstryggleik og personvern.

IKT‐utstyr og programvare

Det er berre lov å bruke IKT‐utstyr, lagringsmedium og programvare som verksemda har kjøpt, i nettet til verksemda.


Brukarar som sluttar eller går ut i permisjon, skal levere alt IKT‐utstyr (PC, mobiltelefon, brikke/kort for fjernaksess osv.) og alle programvarelisensar tilbake til verksemda dersom ikkje noko anna er avtalt.

Privat bruk av informasjonssystemet

Utgangspunktet er at informasjonssystemet til verksemda berre skal brukast til verksemdsrelaterte oppgåver. Avgrensa bruk av informasjonssystemet til private formål er likevel lov innanfor dei same reglane som gjeld elles.


Private dokument og e‐post i moderat omfang kan lagrast i informasjonssystemet. Dette bør lagrast på eit område som er merkt «privat».


Vi gjer merksam på at arbeidsgivaren under gitte føresetnader kan få innsyn i dokument og e‐postkontoar. Dette er omtalt i «G28 – Instruks for innsyn i e‐post, personlig område mv».


Pålogging og avlogging, brukarnamn, passord og låsing av arbeidsstasjon


  • Passordet (og eventuelt brikke/kort for fjernaksess) er brukaren sin nøkkel til datasystemet til verksemda. Du må aldri oppgi det, låne det ut til andre eller forlate det i PC‐en. Dette er eit personleg ansvar.

  • Det er ikkje lov å nytte andre sin brukartilgang.

  • Passord bør ikkje skrivast ned. Dersom du har skrive ned eit passord, skal du alltid oppbevare det nedlåst eller sikra på anna vis.

  • Passord skal bestå av minst åtte teikn og skal ikkje lett kunne knytast til brukaren.

  • Dersom det er mistanke om at passordet er blitt kjent av andre, skal det bytast ut.

  • Du skal nytte passordbeskytta skjermsparar (Ctrl + Alt + Del) når du forlèt arbeidsplassen/maskina.

  • Du skal alltid logge ut av din eigen brukarkonto før du overlèt maskina til andre. Dersom du har brukt «fellesbrukar», skal du logge ut av alle programma og låse skjermen.

  • Du skal ikkje bruke «fellesbrukar» til anna enn det han er godkjend for.

  • Studentar skal ikkje bruke studentkonto når dei arbeider som tilsett/vikar i føretaket.


Lagring


  • Helse‐ og personopplysningar (inkl. avidentifiserte personopplysningar) skal ikkje lagrast på fellesområde, flyttbart lagringsmedium eller heimeområdet til brukaren utan at tilgangen er godt nok sikra. Kva som er god nok sikring, må avklarast med IKT‐tryggleiksleiaren.

  • Det er ikkje lov å nytte løysingar der det ikkje kan garanterast at data blir lagra sikkert på ein oppgitt stad. Lagring utanfor verksemda sin kontroll, inkludert skytenester, skal reknast som usikker lagringsstad og skal ikkje nyttast, med mindre det er risikovurdert og eksplisitt tillate.

  • Kvalitetssikringsdata og forskingsdata skal lagrast på dedikerte område (skal tilpassast den enkelte verksemda).


Sending


  • Helse‐ og personopplysningar skal ikkje sendast via vanleg e‐post, telefaks, SMS eller tilsvarande utan godkjende tryggleiksløysingar. Det er heller ikkje lov å sende ellevesifra fødselsnummer på denne måten.

  • Dokument og lagringsmedium med personopplysningar skal alltid vere forsvarleg sikra og skal sendast i attlimt konvolutt eller forsegla innpakning.

  • Avsendaren er alltid ansvarleg for å forsikre seg om at mottakaren er autorisert for å ta imot personopplysningane, og at han er autentisert på høgt nok nivå.


Dokumenthandtering


  • Dokument skal skrivast ut på rett skrivar, og utskriftene skal hentast med ein gong dersom ein ikkje nyttar sikker utskrift.

  • Utskrifter med personopplysningar skal makulerast når formålet med utskrifta er oppnådd.

  • Saksdokument skal arkiverast i samsvar med gjeldande reglar.

  • Brukarar som sluttar, skal rydde i sine eigne filområde, i e‐postane sine, i mobiltelefonen og i anna elektronisk utstyr og sikre at all relevant verksemdsinformasjon blir lagra i relevante katalogar. Annan informasjon skal slettast. Helse Vest IKT vil slette attverande informasjon på områda til brukaren når tilsetjingsforholdet er avslutta.

Kassering og handtering av utstyr og lagringsmedium


  • Harddiskar, minnepinnar eller anna utstyr som inneheld harddiskar og andre elektroniske lagringsmedium (til dømes nettbrett og smarttelefonar), skal leverast til autorisert personell for forsvarleg destruksjon.

  • Brukarar som sluttar, skal kassere/handtere alle lagringsmedium i samsvar med rutinane i verksemda.


Internett

Internett skal nyttast med varsemd og i samsvar med etiske normer for verksemda. Verksemdsrelaterte oppgåver og funksjonar, og opplysningar som verksemda behandlar, skal ikkje bli skadelidande. Aktivitetar på Internett kan sporast tilbake til verksemda og til den PC-en/brukarkoden oppslaget er utført frå.


  • Det er ikkje lov å laste ned og/eller lagre filer (program, grafikk, lyd, video o.a.) i informasjonssystemet til verksemda, med mindre det er ein del av jobbrelatert verksemd. Slik nedlasting må avklarast med autorisert personell.

  • Det er ikkje lov å nytte andre online møteplassar (dele skjerm, filer, lyd/bilete) enn dei verksemda tilbyr.


E‐post og viruskontroll


  • Særlege kategoriar av personopplysningar skal aldri sendast i usikra e‐post.

  • Det skal skiljast mellom intern og ekstern e‐post. Merkinga «IS:» (ikkje sensitiv) først i emnefeltet stadfestar at det som blir sendt ut, ikkje inneheld opplysningar som ikkje skal ut av verksemda. Ekstern e‐post som ikkje er merkt slik, blir blokkert av tryggleikssystemet.

  • Intern e‐post skal ikkje merkjast med «IS:».

  • Du skal ikkje oppgi den personlege brukarkoden din i den eksterne e‐postadressa.

  • Massedistribusjon av informasjon skal vere jobbrelatert, og den som er ansvarleg for distribusjonen, skal vere kritisk til innhaldet i informasjonen og kven han blir send til.

  • E‐postmeldingar skal i utgangspunktet berre sendast til mottakarar som treng informasjonen.

  • Private e-postadresser eller e‐postadresser frå andre verksemder skal ikkje brukast når aktivitet blir utført på vegner av verksemd.

  • Vis aktsemd når du får e‐post. Vedlegg kan innehalde virus. Dersom du er i tvil, skal du kontakte avsendaren eller driftseininga eller slette e‐postmeldinga.

  • Dersom du får e‐post som openbert er send til feil adresse, bør du melde frå til avsendaren. Slike e‐postar skal slettast.


Outlook-kalender

Mange brukarar har delt kalender. Då blir opplysningar som ein legg inn i møtekalenderen, tilgjengelege for heile føretaket og andre verksemder i Helse Vest.


  • Møtekalenderen skal ikkje innehalde særlege kategoriar av personopplysningar, til dømes timebok for namngitte pasientar.

  • Ver varsam med kva du skriv i møteinnkallingar.

  • Ver varsam med å sende dokument som vedlegg til møteinnkallingar. Når du kryssar av for «privat» i møteinnkallinga, blir ho tilgjengeleg berre for møtedeltakarane.


Sosiale medium

Når du bruker sosiale medium, er det ditt ansvar å sørgje for at teieplikta blir halden, og at integriteten til pasientar og medarbeidarar blir vareteken. Kvar enkelt verksemd har utarbeidd rettleiing/retningslinjer for slik bruk. Ver merksam på at sosiale medium òg kan bli utsette for virusangrep.


Kartlegging og utnytting av svake punkt i systemet

Utan godkjenning er det ikkje tillate å kartleggje eller teste moglege svake punkt i systemet, prøve å trengje inn i interne eller eksterne system, prøve å gå forbi etablerte tryggleiksmekanismar, tileigne seg utvida tilgangsrettar på lokale maskiner eller utnytte eventuelle svake punkt ved tryggleiken.

Tryggleiksbrot

Mistenkjeleg aktivitet og observerte tryggleiksbrot skal så raskt som mogleg meldast som avvik til den nærmaste leiaren og/eller til IKT‐tryggleiksleiaren. Hendingar som fører til at denne IKT‐tryggleiksinstruksen ikkje blir følgd, blir vurderte som tryggleiksbrot. Brot på IKT‐tryggleiksinstruksen blir rekna som misleghald av arbeidsavtalen og verksemda sitt styringssystem for informasjonstryggleik og vil bli behandla som ei personalsak. Alvorlege brot på reglane i IKT‐tryggleiksinstruksen vil få konsekvensar for arbeidsforholda til brukaren og kan resultere i strafferettslege reaksjonar.


Dersom du oppdagar informasjon på avvegar eller mistenkjer at nokon har snoka i personopplysningane dine eller i andre sine personopplysningar, må du melde frå til den nærmaste leiaren din og/eller tryggleiksleiaren. Det er betre å varsle éin gong for mykje enn éin gong for lite. Tryggleiksavvik skal meldast i avvikssystemet.


Når du skal varsle, kan du kontakte IKT‐tryggleiksleiaren, personvernombodet, ein tillitsvald eller verneombodet og be om at identiteten din blir halden hemmeleg for andre i verksemda.

Tap eller tjuveri av utstyr

Tap eller tjuveri av utstyr som verksemder i Helse Vest eig, eller som Helse Vest IKT driftar, skal meldast til det døgnbemanna kundesenteret i Helse Vest IKT (55 97 65 40) og til den nærmaste leiaren. Det er viktig å varsle med ein gong, slik at det kan setjast i verk tiltak så snart som mogleg.



[1] Med særlege kategoriar av personopplysningar meiner vi opplysningar om rasemessig eller etnisk opphav, politisk oppfatning, religion, overtyding eller fagforeiningsmedlemskap, behandling av genetiske og biometriske opplysningar for eintydig å identifisere ein fysisk person, helseopplysningar eller opplysningar om dei seksuelle forholda eller den seksuelle orienteringa til ein fysisk person.





14

PARAMETER; doc_type= Arbeidsavtale Tidsbegrenset;

Document Metadata

Filed: March 4th, 2023