Reglement for
Reglement for
personvern og informasjonssikkerhet i BBSI
Byrådsavdeling for barnehage, skole og idrett
Bergen, 1. juli 2020.
Innhold
1.4 Overordnete sikkerhetsmål 7
2 Om systemer, tjenester og strategi 8
2.1.3 System- / tjenesteeier 8
2.1.4 System- / tjenestekoordinator 9
2.2.1 Ansvar og organisering 10
2.2.4 Innhenting og behandling av personopplysninger 10
2.2.7. Sikring av opplysninger 11
2.2.8. Lagring av personopplysninger 11
2.3 Oversikt over behandling av personopplysninger 12
3.4.3 Etterkontroll Sørge for at 16
3.5.2 Oppfølging og gjennomføring 17
3.6.2 Oppfølging / gjennomføring 18
4.2 Endringer og godkjenning skal skje på følgende måte 20
5. Organisatoriske og tekniske tiltak 20
5.1 Tilgangsstyring, autorisasjon og autentisiering 20
5.1.2 Sperring / sletting av kontoer ved fratredelse og permisjon 21
5.1.3 Krav til kvalitet på passord 21
Det er den enkelte medarbeiders plikt å behandle passord etter følgende regler: 21
5.2 Innhenting av samtykke og gi innsyn i egne opplysninger 22
5.3 Risikovurderinger av personvern og informasjonssikkerhet 23
5.4 Gjennomføring av DPIA der det er påkrevd 23
5.5 Melde og behandle avvik 23
5.6 Konfidensiell informasjon og signering av taushetserklæring 24
5.7 Logging av oppslag og endringer i systemer 25
5.8 Inngåelse og oppfølging av databehandleravtaler 26
5.9 Opplæring av ansatte innen personvern og informasjonssikkerhet 26
5.9.1 Plan for opplæring i vår byrådsavdeling skal utarbeides ved 26
5.9.2 Følgende emner skal som et minimum inkluderes i opplæringen 26
5.9.3 Gjennomføring av opplæring 26
5.9.4 Dokumentert deltagelse 27
5.10 Opplæring av ansatte med et særlig ansvar for personvern 27
5.11 Sjekkliste for nyansatte i BBSI 27
5.12 Sjekkliste ved avslutning av arbeidsforhold i BBSI 28
5.13 Etablering av nye digitale løsninger. 28
5.14 Sikring av personopplysninger og annen informasjon 28
6.1 Kontrollfunksjoner som ivaretas av resultatenhetsleder 30
6.2 Kontrollfunksjoner som ivaretas av seksjon HRDV 30
Vedlegg 1 Noen begreper i personvern og informasjonssikkerhet 33
Vedlegg 2. Sentral sikkerhetsinformasjon 34
Vedlegg 3. Xxxxxxxxxx når ansatt starter i stillingen 35
Vedlegg 4. Xxxxxxxxxx når ansatt slutter i stillingen 36
Vedlegg 5. Sjekkliste for sikkerhetsrevisjon 37
Vedlegg 6. Tentativ kommunikasjonsplan 38
Byrådsavdeling for barnehage, skole og idrett (BBSI) behandler store mengder personopplysninger. Mye av informasjonen gjelder opplysninger om barn og deres foresatte. Personopplysningsloven stiller krav til ekstra strenge krav til behandling av slike opplysninger. Barn kan være mindre bevisste på aktuelle risikoer, konsekvenser, garantier eller rettigheter. Foresatte skal være trygg på at opplysningene behandles og oppbevares sikkert.
Alle ansatte i vår byrådsavdeling har et stort ansvar for å behandle personopplysninger riktig. Derfor er det viktig at alle ansatte i seksjoner, etater og underliggende enheter setter seg inn i hvilke krav som gjelder for håndtering av personopplysninger, informasjonssikkerhet og rapportering av avvik.
For at personvern og informasjonssikkerhet skal ivaretas best mulig, må det arbeides med på en systematisk måte. Dette dokumentet skal samlet sett angi sentrale bestemmelser for arbeidet med personvern og informasjonssikkerhet på alle nivåer i BBSI. Dokumentet har aktive lenker som henviser til overordnet, styrende eller veiledende dokumentasjon. Videre er det forklart hvordan vår byrådsavdeling har fordelt ansvar, roller, oppgaver og andre forpliktelser i dette arbeidet.
All behandling av personopplysninger er strengt lovregulert. Det samme gjelder både for manuelle prosesser som ved behandling i digitale løsninger.
For å ivareta forsvarlig sikkerhet er vi helt avhengig av en god kultur for å lære og forstå, bygge kunnskap og kompetanse, etterleve retningslinjer, bidra til å identifisere risikofaktorer og å rapportere avvik. Slik kan vi sammen oppfylle krav og plikter i lover, forskrifter, overordnete føringer og BBSIs eget Reglement for personopplysninger og informasjonssikkerhet.
Dette dokumentet, Reglement for personvern og informasjonssikkerhet i byrådsavdeling for barnehage, skole og idrett, har flere formål. Det er:
o Å dokumentere at krav til personvern og informasjonssikkerhet blir imøtekommet.
o Å dokumentere hvordan byrådsavdelingen imøtekommer sentrale og kommunale retningslinjer for personvern og informasjonssikkerhet.
o Å gi et helhetlig bilde over gjeldende bestemmelser for alle ansatte i et lærings- og opplæringsperspektiv.
o Å imøtekomme anbefalinger fra forvaltningsrevisjonens arbeid med informasjonssikkerhet i skolesektoren i 2019.
Innholdet i dette punktet bygger på retningslinjer og veiledninger til personvern, informasjonssikkerhet og internkontroll i BBSI og Bergen kommune, samt eksterne krav til samme tema.
Av interne krav står særlig følgende informasjon sentralt:
• Styringssystem for informasjonssikkerhet i Bergen kommune
• Krav og veiledninger til ansatte vedrørende personvern, informasjonssikkerhet og internkontroll i ansatthjelpen
• Personal- og arbeidsreglementet for Bergen kommune
• Bergen kommunes Etiske standard
• Reglement for personvern og informasjonssikkerhet i byrådsavdeling for barnehage, skole og idrett.
Av eksterne krav står særlig følgende sentralt:
• Personopplysningsloven med personvernforordningen (som er en integrert del av loven)
Innholdet i retningslinjene i BBSI skal oppdateres når det kommer nye eller endrede krav eller føringer fra Bergen kommune sentralt.
Bergen kommunes visjon for informasjonssikkerhet er også vår visjon for informasjonssikkerhet:
Informasjonssikkerhet og personvern – en naturlig del av Bergen kommune
For ansatte i BBSI betyr det å stoppe opp og tenke igjennom hvordan vi ivaretar personvernet og sikrer informasjon som gjelder barn, elever, foresatte og ansatte i det daglige. Still spørsmål om en er usikker og melde fra om avvik.
Arbeidet med personvern og informasjonssikkerhet skal gjennomføres etter prinsippet om et akseptabelt risikonivå innen konfidensialitet, integritet og tilgjengelighet.
Kommunens overordnede sikkerhetsmål er:
1. Personvern: Vi ivaretar personvernet til ansatte og innbyggere.
2. Konfidensialitet: Vi får bare se informasjon vi har rett til å se.
3. Integritet: Vi kan stole på at informasjon vi behandler er korrekt.
4. Tilgjengelighet: Vi får tilgang til rett informasjon, når vi trenger den.
Konfidensialitet betyr at opplysninger som er gitt skal holdes skjult for uvedkommende. All informasjon av personlig art skal anses som konfidensiell og må beskyttes på måter som gjør at det er vanskelig eller umulig for uvedkommende å få innsyn i dem. I BBSI vil vi også presisere at «rett til å se» forutsetter et rettslig grunnlag og tjenstlig behov.
BBSI samarbeider blant annet med seksjon for Digitalisering og innovasjon (SDI) og avdeling for personvern og informasjonssikkerhet (API) i å tilrettelegge for en betryggende praksis i hele BBSI. Videre er det samarbeid med seksjon for informasjon.
I dette dokumentet henvises det til overordnet styringsdokumentasjon med aktive lenker. Henvisningene gjelder hovedsakelig dokumentasjon som er tilgjengelig i Faghjelpen, på Allmenningen og i BkKvalitet. Dokumentet imøtekommer også de anbefalinger som forvaltningsrevisor påpekte ved revisjon av informasjonssikkerhet i skolesektoren1
1 xxxxx://xxx.xxxxxx.xxxxxxx.xx/xx/xxxxxxxxxx/xxxxxxx/00000/Xxxxxxxxxxxxxxxxxxx_000000x.xxx
Tabellen nedenfor viser revisjonshistorikk i dokumentet. Ansvaret for vedlikehold og revisjon er tillagt seksjon for HR, digitalisering og virksomhetsstyring.
Versjon | Godkjent dato | Godkjent av | Kort beskrivelse av hva som er endret |
1.0 | 01.07.2020 | Xxxxx Xxxxxxxxxxx | Første gangs godkjenning av reglementet. |
2 Om systemer, tjenester og strategi
I Bergen kommunes styringssystem skilles det mellom forvaltning av systemer og forvaltning av tjenester. Likevel er det å forstå som en helhetlig oppgave med et ansvar som legges til henholdsvis system- \ tjenesteeier og system- og tjenestekoordinator.
• Konsernsystemer, for eksempel saks- og arkivløsningen (BK360), UWB Økonomi, UBW Lønn/HR og kommunens nettsteder (Portal og Allmenningen).
• I byrådsavdeling for barnehage, skole og idrett har vi systemer som Vigilo (oppvekstadministrativt system), itslearning (læringsplattform) og Bibliofil (fagsystem).
• Ansatt tjenester, for eksempel økonomi, HR og IKT.
• Alle tjenester som presenteres på kommunens nettsider som gjelder barnehage, skole, PPS, idrett osv.
• Digitale løsninger som underbygger lek, læring og utvikling innenfor våre tjenesteområder, som pedagogiske programmer, spesialpedagogiske løsninger.
Rollen vil for noen systemer være en og samme person, men for større systemer vil det være behov for en splitting av rollen. Det betyr at en person kan være eier for et system, en annen være eier av tjenesten.
• Er ansvarlig for at alle systemene som eies av BBSI tilfredsstiller gjeldende krav til blant annet informasjonssikkerhet, drifts- og vedlikeholdsavtaler.
• Er ansvarlig for at det aktuelle systemet ivaretar et langsiktig strategisk fokus for å sikre best mulig utnyttelse av de arbeidsprosessene eller tjenestene systemet understøtter.
• Skal i samarbeid med systemkoordinatorene i BBSI, ivareta at systemene forvaltes og leverer i henhold til brukernes og enhetenes behov, i samsvar med styrende dokumenter for kommunen.
• Gjennomføre møter/nettverkssamlinger med system-/tjenestekoordinatorer regelmessig eller ved behov.
2.1.4 System- / tjenestekoordinator
Rollen vil for noen systemer være en og samme person, men for større systemer vil det være behov for en splitting av rollen. Det betyr at en person kan være koordinator for et system, en annen være koordinator for tjenesten.
Skal i samarbeid med system- \ tjenesteeier være ansvarlig for å koordinere, videreutvikle og forbedre systemet i henhold til brukernes behov. Rapporterer til systemeier, og har ansvar for:
o Brukerstøtte
o Utarbeidelse av brukerdokumentasjon og rutiner, i samarbeid med system- \ tjenesteeier.
o Følge opp rutiner for brukerstøtte, feilmeldinger og bestillinger.
o Ivareta informasjonssikkerhet, riktig og god bruk av systemet eller tjenesten.
o Operativ forvaltning av system/tjeneste på vegne av systemeier.
o Delta i møter eller nettverkssamlinger med system- \ tjenesteeier.
Mer utfyllende informasjon om styrende dokumentasjon – roller og ansvar kan leses her.
Beskrivelse av «Oppdrag – personvern og informasjonssikkerhet for systemeiere» er under revisjon av SDI.
Hensikten er å gi føringer for å kunne iverksette nødvendige tiltak for organisering og gjennomføring av sikkerhetsarbeidet.
Det er kommunaldirektøren som har det overordnede ansvaret for personvern og informasjonssikkerhet i byrådsavdelingen.
Mandatet for oppfølging av sikkerheten i BBSI følger av oversikten over ansvar for personvern og informasjonssikkerhet, hvor også systemeieres mandat fremgår.
Krav til informasjonssikkerhet fremgår av styringssystemet for informasjonssikkerhet i Bergen kommune – reglement for trygg digitalisering. For BBSI er dette ytterligere konkretisert gjennom dette dokumentet. Datatilsynets veiledning om internkontrollens struktur for plikter knyttet til informasjonssikkerhet, er benyttet for strukturering av dokumentasjonen, samt for kvalitetssikring av innholdet.
All dokumentasjon i BBSI skal på forespørsel gjøres tilgjengelig for Datatilsynet og andre tilsynsmyndigheter.
Viktige milepæler knyttet til informasjonssikkerhet og personvern skal inngå i årshjulet til seksjon for HR, digitalisering og virksomhetsstyring (HRDV).
Tema som skal inngå i årshjulet er:
o Gjennomføring av sikkerhetsrevisjon.
o Oppdatering av overordnet risikovurdering.
o Gjennomgang og revisjon av Reglement for personvern og informasjonssikkerhet i BBSI (dette dokumentet).
o Systematisk gjennomgang av rapporterte avvik, og hvordan disse har blitt fulgt opp.
o Følge opp planlagte tiltak og kontrollere effekt av iverksatte tiltak.
o Gjennomgang av tilganger i BBSI for å sikre at ingen personer har tilganger de ikke har et tjenstlig behov for.
2.2.4 Innhenting og behandling av personopplysninger
Alle personopplysninger som behandles skal ha et formål og et lovlig behandlingsgrunnlag. Det skal føres oversikt over alle behandlinger i BBSIs protokoll for behandling av personopplysninger.
Prosedyre for å innhente informert samtykke til behandling av personopplysninger, for personers innsyn i egne personopplysninger, for retting av feil i opplysningene og for sletting av opplysninger skal følges.
Databehandler skal utarbeide og revidere dokumentasjon på tekniske løsninger. Dette skal reguleres i skriftlig avtale med hver enkelt databehandler.
Det skal gjennomføres og dokumenteres en risiko- og sårbarhetsvurdering (ROS) på bakgrunn av dokumentert nivå for akseptabel risiko. Risikovurderingen skal gjennomføres og oppdateres jevnlig, samt ved vesentlige endringer i måten vi behandler informasjon på.
Vurderinger og arbeid i prosess lagres i seksjons område i Sharepoint. Beslutninger skal lagres i BK360.
2.2.7. Sikring av opplysninger
• Det skal benyttes sterk autentisiering, to-faktor pålogging, på alle systemer som inneholder personopplysninger om elever, når systemet logges på i eksterne nettverk, gjestenett og elevnett.
• Personopplysninger skal fortrinnsvis sendes i sikre systemer som BK360, men det er mulig å sende personopplysninger som kryptert vedlegg til en epost dersom passordet formidles i en annen kanal (for eksempel i en sms).
• Om bruk av e-post og beskyttelse av personopplysninger og taushetsbelagt informasjon. Les mer her.
• Det må vurderes når dokumenter som deles digitalt skal sikres med passord eller annen sikring.
2.2.8. Lagring av personopplysninger
Lagring av opplysninger reguleres blant annet i bestemmelser for arkivering og journalføring.
I byrådsavdelingen pågår det et arbeid med å utarbeide prosedyrer for lagring av bilder, elevvurderinger med mer. Prosedyrene publiseres både i Ansatthjelpen og i BkKvalitet når de er ferdigstilte.
Alle rom, skap eller områder hvor personopplysninger oppbevares eller behandles skal låses slik at de er beskyttet mot uvedkommende.
Arbeid med personvern og informasjonssikkerhet skal følges opp jevnlig for å etterprøve at etablerte tiltak fungerer etter hensikten.
Alle ansatte har ansvar for å rapportere ethvert sikkerhetsbrudd. Det skal gjøres i henhold til Bergen kommunes rutine for varsling.
Når avviksmelding sendes via BkKvalitet, kommer varslet først til nærmeste leder, med lesetilgang for personvernombudet. Personvernombudet kan anbefale tiltak og bistår dersom det er nødvendig å melde hendelsen videre til Datatilsynet. Det er kommunaldirektøren som avgjør om et avvik skal meldes til Datatilsynet.
2.3 Oversikt over behandling av personopplysninger
Hensikten er å sikre at det føres oversikt over alle behandlinger av personopplysninger i byrådsavdelingen.
Alle nye eller endrede behandlinger av personopplysninger i BBSI, både manuelle og automatiske, skal meldes til personvernombudet. Tjeneste- og systemeier er ansvarlig for at dette gjøres for systemer vedkommende eier.
Resultatenhetsleder er ansvarlig for at slik melding sendes for eventuelle nye eller endrede manuelle behandlinger av personopplysninger i egen enhet.
Enhver medarbeider som blir oppmerksom på at det gjøres, eller planlegges å gjøre, nye eller endrede behandlinger av personopplysninger uten at disse er meldt til personvernombudet, plikter å melde dette til nærmeste leder som igjen må følge opp at den aktuelle behandlingen meldes i henhold til Bergen kommunes prosedyrer.
Dette kapitlet beskriver tilganger, roller og ansvar, og organiseringen av arbeid med personvern og informasjonssikkerhet i byrådsavdelingen. Organisering av beredskap er omtalt i kapittel 7.
Kommunaldirektøren i BBSI ivaretar sitt ansvar i tråd med Bergen kommunes overordnete retningslinjer og styrende dokumenter for informasjonssikkerhet.
Beskrivelse av kommunaldirektørens oppdrag kan leses her: Oppdrag for informasjonssikkerhet og personvern for kommunaldirektør.
3.2.1. Opplæring. Sørge for at:
• Alle ansatte, vikarer, konsulenter og andre i tjeneste for etaten med underliggende resultatenheter kjenner byrådsavdelingens Reglement for personvern og informasjonssikkerhet for BBSI.
• Alle som er omtalt i punktet over, får nødvendig og relevant opplæring for å kunne ivareta arbeidet med personvern og informasjonssikkerhet med støtte i kurs- og opplæringsmateriell som utvikles i BBSI og SDI.
3.2.2 Gjennomføring Sørge for at:
• Rollen som behandlingsansvarlig i egen seksjon blir ivaretatt.
• Krav til dataportabilitet følges opp.
• Prosedyrer for rapportering og oppfølging av avvik er kjent og etterleves, og at det iverksettes umiddelbare tiltak ved avvik der det er mulig.
• Sørge for at det foreligger en oversikt over behandlinger av personopplysninger i egen seksjon, i tråd med rutine og system for dette.
• Alle avvik og uønskede hendelser knyttet til personvern i seksjonen rapporteres til personvernombudet snarest.
• Registrerte får innsyn i egne personopplysninger på forespørsel.
• Risikovurdering for personvern og informasjonssikkerhet gjennomføres i egen seksjon, at den dokumenterer planlagte tiltak, og at tiltakene iverksettes og fungerer som planlagt.
• Veilede i egen enhet når det gjelder forståelse og bruk av aktuelle prosedyrer og systemer.
3.2.3 Etterkontroll Sørge for at:
• Nødvendige internkontrolltiltak iverksettes og å se til at det etableres og gjennomføres egenkontroll i alle deler av egen seksjons ansvarsområde.
• Påse at tilgangsstyring i seksjonen skjer i henhold til fastsatte prosedyrer.
• Rapportere på sikkerhetsmål.
I tillegg til seksjonssjefens øvrige oppgaver, skal seksjonssjef HRDV sørge for at:
• De datasystemene som byrådsavdelingen bruker tilfredsstiller gjeldende krav til blant annet informasjonssikkerhet og personvern, og drifts- og vedlikeholdsavtaler. Ansvaret innbefatter også et strategisk og langsiktig fokus for det aktuelle systemet og sikre best mulig utnyttelse for best mulig utnyttelse av de arbeidsprosessene som systemet understøtter. System- \ tjenesteeieransvar.
• Det er utarbeidet en kontinuitets- og beredskapsplan for det aktuelle systemet/tjeneste, og at det øves jevnlig på håndtering av avvik, minimum årlig.
• BBSI, i samråd med personvernombudet, har en oppdatert oversikt over all behandling av personopplysninger, og at nye eller forbedrede behandlinger fortløpende meldes til kommunens personvernombud.
• Risikovurderinger gjøres i samråd med personvernombudet for de datasystemer som byrådsavdelingen benytter.
• Nødvendige personvernkonsekvensvurderinger (DPIA) gjøres i samråd med personvernombudet der det er nødvendig for de datasystemer som byrådsavdelingen benytter.
• Det er utarbeidet en overordnet risikovurdering for personvern og informasjonssikkerhet for hele BBSI, som også løfter opp sentrale risikoer som er identifisert på lavere nivå.
• Det er inngått databehandleravtaler med alle eksterne aktører som behandler data på vegne av BBSI, herunder med alle leverandører av tekniske løsninger. Arbeidet skal koordineres med SDI og EDD.
• Alle ansatte og andre i tjeneste for byrådsavdelingens kjenner til gjeldende Reglement for informasjonssikkerhet.
• Følge opp system med klassifisering av informasjon.
• Byrådsavdelingens arbeid med veiledning og utarbeidelse av prosedyrer som sikrer at alle ansatte og andre i tjeneste for byrådsavdelingens får nødvendig og relevant opplæring for å ivareta personvern og informasjonssikkerhet, følges opp.
• Å veilede og eventuelt koordinere aktiviteter som gjelder utviklingen av internkontrollsystemer i byrådsavdelingen.
• Å planlegge og gjennomføre sikkerhetsrevisjon av Reglement for personvern og informasjonssikkerhet i byrådsavdeling for barnehage, skole og idrett, minimum årlig.
• Å veilede byrådsavdelingen på alle nivåer når det gjelder forståelse og bruk av aktuelle prosedyrer og systemer, og ellers i arbeidet med personvern og informasjonssikkerhet
• Gjennomføre etterkontroller på utvalgte områder i byrådsavdelingen.
• Ajourhold og revisjon av Protokoll over behandlingsaktiviteter ivaretas.
• Fortløpende utsjekk av status for avviksmeldinger BK kvalitet – informasjonssikkerhet
• Det foreligger informasjon / henvisning om hvor man finner oversikt over godkjente programmer, skytjenester og apper (for eksempel til Chromebook).
3.4.1 Opplæring Skal sørge for at:
• Alle ansatte, vikarer, konsulenter og andre i tjeneste for etaten med underliggende resultatenheter kjenner byrådsavdelingens Reglement for personvern og informasjonssikkerhet for BBSI.
• Alle som er omtalt i punktet over, får nødvendig og relevant opplæring for å kunne ivareta arbeidet med personvern og informasjonssikkerhet med støtte i kurs- og opplæringsmateriell som utvikles i BBSI og SDI.
3.4.2 Gjennomføring Sørge for at:
• Det etableres ressurs som system- \ tjenestekoordinator for hvert de datasystem / - program, som etaten og underliggende resultatenheter bruker.
• Nødvendig fagressurs avsettes til HRDV ved utarbeidelse risiko- og sårbarhetsanalyser (ROS) og personvernkonsekvensvurderinger (DPIA).
• Risikovurdering for personvern og informasjonssikkerhet gjennomføres i egen enhet, at den dokumenterer planlagte tiltak, at tiltakene iverksettes og har forventet virkning.
• Alle ansatte i etaten og underliggende resultatenheter kjenner kommunens rutine for avvikshåndtering innen personvern og informasjonssikkerhet, at rutinen etterleves, og at det iverksettes umiddelbare tiltak ved avvik der det er mulig.
• Avvik blir fulgt opp i et læringsperspektiv.
• Det kun brukes digitale tjenester, programmer og systemer som er godkjent for bruk i BBSI. Dette gjelder også skyløsninger utenfor Bergen kommunes tilbud. Etaten velger selv hvilke pedagogiske tjenester, systemer eller programmer som skal brukes, men skal avklare alle nye systemer med seksjon HRDV.
• Veilede underliggende resultatenheter når det gjelder forståelse, bruk og etterlevelse av aktuelle prosedyrer, systemer og krav til dataportabilitet.
• Sørge for at det foreligger en oversikt over behandlinger av personopplysninger i egen etat og underliggende enheter i tråd med rutine og system for dette.
• Det utarbeides prosedyre som beskriver hvordan prosessen med godkjenning av programmer, skytjenester og apper foregår.
3.4.3 Etterkontroll Sørge for at:
• Nødvendige internkontrolltiltak iverksettes og å se til at det etableres og gjennomføres egenkontroll i alle deler av egen etats ansvarsområde. Dette innbefatter også alle resultatenhetene.
• Sørge for at alle avvik og uønskede hendelser knyttet til personvern i etaten og alle resultatenheter rapporteres til personvernombudet snarest.
• Påse at tilgangsstyring i etaten og underliggende resultatenheter skjer i henhold til fastsatte prosedyrer.
• Rapportere på sikkerhetsmål.
3.5.1 Opplæring Sørge for at:
• Alle ansatte kjenner byrådsavdelingens Reglement for informasjonssikkerhet.
• Alle ansatte får nødvendig og relevant opplæring for å kunne ivareta arbeidet med personvern og informasjonssikkerhet med støtte i kurs- og opplæringsmateriell som utvikles i BBSI og SDI.
• Det veiledes i egen enhet når det gjelder forståelse og bruk av aktuelle prosedyrer og systemer.
• Ansatte og innleide vikarer, konsulenter og andre får nødvendig opplæring innen personvern og informasjonssikkerhet, og at de får en klar forståelse av eget ansvar og rolle for å legge til rette for en betryggende praksis.
3.5.2 Oppfølging og gjennomføring Sørge for at:
• Risikovurdering for personvern og informasjonssikkerhet gjennomføres i egen enhet, at den dokumenterer planlagte tiltak, og at de implementeres og har forventet virkning.
• Sørge for at det foreligger en oversikt over behandlinger av personopplysninger i egen seksjon, i tråd med rutine og system for dette og at enhver ny behandling av personopplysninger meldes til nærmeste leder og seksjon HRDV.
• Prosedyrer for rapportering og oppfølging av avvik er kjent og etterleves, og at det iverksettes umiddelbare tiltak ved avvik der det er mulig.
• Det kommuniseres fastsatte krav til konfidensialitet, integritet og tilgjengelighet i linjen.
• Det kun brukes digitale systemer som er godkjent for bruk i byrådsavdelingen. Alle ønsker om å ta i bruk nye datasystemer eller dataprogrammer, også programmer eller systemer som tilbys som skyløsninger utenfor Bergen kommunes tilbud, skal godkjennes av etaten.
• En plan for, og iverksette nødvendige tiltak innen personvern og informasjonssikkerhet i eget ansvarsområde er utarbeidet.
• Brudd på personvern eller informasjonssikkerhet meldes snarest i BK kvalitet og til personvernombudet.
• Enheten kan rapportere på sikkerhetsmål.
3.5.3 Etterkontroll Sørge for at:
• Lover, rutiner og reglement etterleves i egen enhet, at politiske vedtak følges, og at konsern-, etats- og fagspesifikke systemer benyttes.
• Reglement for personvern og informasjonssikkerhet i egen resultatenhet etterleves.
• Tiltak for de ulike systemene implementeres for at vi skal få et akseptabelt sikkerhetsnivå.
• Krav til dataportabilitet i tilfeller der den registrerte etterspør dette.
• Registrerte får innsyn i egne personopplysninger, ved forespørsel om det.
• Tilgangsstyring skjer i henhold til fastsatte prosedyrer.
Den ansatte selv et ansvar for å:
• Gjennomføre avtalte opplæringstiltak, etterlyse opplæring eller oppsøke informasjon dersom en opplever å ikke ha tilstrekkelig kompetanse på enkelte områder.
• Kjenne til og etterleve innholdet i Reglement til personvern og informasjonssikkerhet i i BBSI.
3.6.2 Oppfølging / gjennomføring Den ansatte selv et ansvar for å:
• Alltid låse datamaskinen når plassen forlates (bruk «Windows» tasten + «L» tasten), og skru den av når du går for dagen.
• Sørge for at fysiske dokumenter, som inneholder taushetsbelagt informasjon, oppbevares i låst skap eller lignende.
• At digitale dokumenter som inneholder taushetsbelagt informasjon oppbevares slik at uvedkommende ikke får tilgang. Informasjon som er taushetsbelagt, intern, sensitiv eller som på annen måte stiller krav til lagring, arkivering og informasjonssikkerhet, skal kun lagres i fagsystem eller i Bk360. Eventuell mellomlagring av et dokument lokalt skal beskyttes med passord, og slettes så snart som mulig.
• Kun bruke tjenester og datasystemer som er godkjent for bruk i vår byrådsavdeling.
• Aldri dele brukerkonto og passord med andre personer, eller å skaffe seg tilgang til andres brukerkonto.
• Ikke tilegne seg selv, dele taushetsbelagt informasjon eller personopplysninger uten at det er begrunnet i rettslig eller tjenstlig behov.
• Melde straks alle avvik til nærmeste leder, som igjen skal melde det til personvernombudet. Iverksett om mulig strakstiltak for å redusere konsekvensene av avviket. Ethvert brudd på lov, forskrift og interne prosedyrer er avvik og skal rapporteres i BkKvalitet.
• Ikke sende taushetsbelagt eller sensitiv informasjon per e-post, med mindre opplysningene er kryptert og mottakeren kjent. Ikke noter sensitiv eller taushetsbelagt informasjon i kalenderen din, den er potensielt synlig for alle som jobber i Bergen kommune.
• Utvise varsomhet når det gjelder å klikke på lenker eller åpne vedlegg i e-poster, fordi de kan inneholde skadelig programvare. Ikke klikk på lenker eller åpne vedlegg du ikke hadde ventet å få. Det er ikke alltid avsender er den vedkommende utgir seg for å være. Er du i tvil, kontakt mottakeren direkte via en annen kommunikasjonskanal, for å sjekke hvorvidt vedkommende faktisk har sendt deg den aktuelle e-posten. Klikk heller ikke på knapper, dialogbokser eller vinduer som dukker opp uten at det er forventet.
• Unngå å ta med skriftlig taushetsbelagt informasjon ut av eget tjenestested.
• Vær bevisst på økt risiko for hacking ved reise, unngå bruk av ukjente nettverk (Wifi), og slå av Bluetooth når den ikke er i bruk.
• Unngå forsøk på å laste ned eller installere programvare på dine kommunale enheter som ikke er godkjent av kommunen. Ikke godkjenn endringer på datamaskin, mobil eller annet IKT-utstyr uten å være trygg på at endringene kommer fra Bergen kommune. Kontakt Helpdesk dersom varsel om endringer virker mistenkelig, eller du opplever uventet eller uønsket aktivitet på noen enheter.
• Kun benytte Internettbaserte tjenester og ulike skytjenester som kommunen har godkjent for bruk. Vær likevel oppmerksom på hvilken informasjon du lagrer i tjenesten.
• Ikke koble til uautorisert IKT-utstyr til adm.-nettet i Bergen kommune. For tilkobling av privat IKT-utstyr eller gjestetilkobling brukes Bergen kommunes gjestenett.
• Sørge for at mobiltelefon, minnepenn og minnekort er beskyttet (kryptert) der det er mulig.
Den ansatte selv et ansvar for å:
• Levere tilbake alt kommunalt IKT-utstyr nærmeste leder, iht. sjekkliste for når ansatte slutter, ved avslutning av arbeidsforhold. Ansatte skal rydde i e-post og personlige filområder, og er selv ansvarlig for å arkivere eller videreformidle informasjon som skal bevares i riktig system, filområde eller til rett person før arbeidsforholdet avsluttes.
• Sjekk at det er gjort, eller blir utført, en risikovurdering opp mot kommunens sikkerhetsmål ved nye eller endrede behandlinger av personopplysninger. Xxxxxx ansatt plikter å bidra til at det gjøres risikovurderinger og iverksettes nødvendige tiltak før en ny behandling av personopplysninger starter. Er du usikker, spør enhetsleder eller systemeier hvilke vurderinger som er gjort og hvilke tiltak som er iverksatt.
• Bidra til kontinuerlig forbedring av måten vi jobber på for å ivareta personvern og sikre betryggende informasjonssikkerhet. Forbedringsforslag kan sendes til xxxxxxxxxx@xxxxxx.xxxxxxx.xx
Hensikten er å beskrive oppgaver for ajourhold av Reglement for personvern og informasjonssikkerhet.
For å legge til rette for god internkontroll skal alle styrende dokumenter i BBSI lagres i Bergen kommunes kvalitetsstyringssystem (BkKvalitet) eller i kommunens saks- og arkivsystem, Bk360. Oversikt over dokumenttyper og krav til lagring i Bk360 og BkKvalitet finner du her. I tilfeller hvor det ikke fremgår tydelige krav til hvor et dokument skal lagres, lagres det i BBSI som hovedregel i BkKvalitet. Xxxxxxx styrende dokumenter skal settes som inaktive, men ikke slettes i systemet.
4.2 Endringer og godkjenning skal skje på følgende måte:
1. Seksjonssjef for seksjon HR, digitalisering og virksomhetsstyring (seksjon HRDV) skal ajourholde dokumentet og oppdatere dokumentasjonen i BK360 og i BkKvalitet.
2. Kommunaldirektøren godkjenne endringer og revisjoner.
3. Reglement for informasjonssikkerhet skal revideres ifbm. prosedyren Ledelsens gjennomgang og sikkerhetsrevisjon.
4. Om det oppstår avvik av betydning skal den / de aktuelle prosedyrene som berøres gjennomgås og ved behov revideres.
5. Organisatoriske og tekniske tiltak
5.1 Tilgangsstyring, autorisasjon og autentisiering Hensikten med tilgangsstyringen er å sikre tjenestelig riktig tilgang til personopplysninger. Prosedyren skal også sikre at brukerkontoer blir endret når medarbeidere endrer stilling og slettet ved fratredelse, og sikre god
passordkvalitet i forbindelse med autentisering2.
• Tilgangsstyringen skal reflektere den enkeltes tjenstlige behov for tilgang, og skal kun gi den enkelte tilgang til de opplysninger den har et behov for, for å kunne utføre sine arbeidsoppgaver.
• Alle autorisasjoner skal være personlige.
• Ved endring av stilling skal tilgangene endres iht. ny stilling / rolle. Det er leders ansvar at det gjøres, men den ansatte skal gjøre leder oppmerksom på det dersom vedkommende oppdager at nødvendige endringer ikke er gjort.
5.1.2 Sperring / sletting av kontoer ved fratredelse og permisjon
• Brukerkontoen skal slettes / sperres når et arbeidsforhold avsluttes.
• Ved permisjon skal det vurderes om det er nødvendig og hensiktsmessig å sperre kontoen.
• Når det skal gjøres endringer i tilganger, så kontakt Helpdesk.
5.1.3 Krav til kvalitet på passord
Det er den enkelte medarbeiders plikt å behandle passord etter følgende regler:
• Passordet skal endres ved første gangs pålogging
• Passord i Bergen kommune er personlige og skal aldri oppgis til andre, heller ikke til leder eller IKT-personell
• Ikke la andre bruke / låne din brukerkonto (innlogging med brukernavn og passord)
• Ikke bruk andres brukerkonto
• Passord skal aldri skrives ned eller lagres ukryptert på noen form for IKT-utstyr, som arbeidsstasjon, minnepenn, telefon eller lignende
• Skjul inntasting av passord, og skift passord umiddelbart ved mistanke om at andre har kjennskap til det, også kolleger
• Ikke gjenbruk Bergen kommune passord utenfor kommunen. Bruk aldri samme passord flere steder
Her er lenke til Bergen kommunes overordnete passordinstruks.
Glemt passord. Alle ansatte kan generere nytt passord selv. Nytt passord.
2 Se vedlegg 3 Sjekkliste når ansatt starter i stillingen, og vedlegg 4 Sjekkliste når ansatt slutter i stillingen.
Nye brukere kan henvende seg til Helpdesk på telefon 0000 0000, og få tildelt et nytt passord med begrenset varighet. Brukeren kan også få nytt passord ved å henvende seg per e-post: helpdesk.feilmelding@bergen.kommune .no, eller via intranett. Dersom en medarbeider ikke har tilgang, kan henvendelsen gjøres av en kollega.
5.2 Innhenting av samtykke og gi innsyn i egne opplysninger Hensikten er å sikre at de som avgir sine personopplysninger har gitt samtykke. Den som samler inn opplysninger skal gi de registrerte informasjon om hvordan de kan gå frem for å be om innsyn i personopplysninger som er lagret om dem, og gi dem innsyn i registrerte personopplysninger.
Informasjon om Bergen kommunes behandling av personopplysninger om registrerte fremgår av kommunens personvernerklæring. Ved nye behandlinger av personopplysninger som er basert på samtykke3, skal BBSI gi den registrerte nødvendig informasjon slik at vedkommende kan ivareta sine rettigheter.
Et samtykke skal være frivillig, men det er ikke krav til samtykke der det foreligger et lovfestet eller avtalefestet krav til gjennomføring av den aktuelle behandlingen, eksempelvis føring av opplysninger i elevmapper eller i mapper for barn i barnehage.
Innhenting av samtykke til behandling av personopplysninger gjøres ved å gi den registrerte nødvendig skriftlig informasjon. Den registrerte må aktivt bekrefte at vedkommende godtar den eller de aktuelle behandlingene av personopplysninger som det innhentes samtykke til å behandle4.
I de tilfeller der den registrerte har rett til å protestere på behandlingen av personopplysninger, skal vedkommende få informasjon om det samtidig som det innhentes samtykke til behandling av de aktuelle opplysningene.
Hovedregelen er at mindreårige som er fylt 15 år, selv kan samtykke til innhenting og bruk av personopplysninger. For barn som ikke har fylt 15 år, må de foresatte samtykke på vegne av barnet. Det er tre aktuelle unntak fra denne hovedregelen:
1. Særskilte kategorier av personopplysninger skal kun innhentes med samtykke fra barnets foresatte til barnet har fylt 18 år. Sensitive personopplysninger omfatter blant annet opplysninger om helse, etnisk bakgrunn, livssyn og seksuelle forhold.
3 Personopplysninger som behandles i BBSI baseres primært på hjemmel i lov. Det er primært i forbindelse med spørreundersøkelser, fotografering og lignende at samtykke benyttes som grunnlag.
4 Personvernombudet tilbyr rådgivning ved utarbeidelse av skjema for innhenting av samtykke til behandling av personopplysninger, og kan kontaktes på xxxxxxxxxxxxxxxxx@xxxxxx.xxxxxxx.xx
2. For småkonkurranser og liknende, der enkle kontaktopplysninger bare skal brukes til eventuell premiering og deretter slettes, kan også mindre barn enn 15 åringer samtykke til deltaking selv. Her er det likevel en forutsetning om at opplysningene blir slettet etter premiering, at personverntrusselen er vurdert og klassifisert som særlig lav, og at konkurransen er egnet for den aktuelle aldersgruppen.
5.3 Risikovurderinger av personvern og informasjonssikkerhet
Å behandle personopplysninger medfører en potensiell risiko. Det skal alltid gjøres risikovurderinger før ny behandling av personopplysninger. Det skal også gjøres ved større endringer, for eksempel ved implementering av et nytt system, ved større endringer i et system eller for øvrig i måten personopplysninger behandles på. Slike endringer bør alltid gjøres i samarbeid med HRDV, som også har ansvaret for ros-vurderinger for alle datasystemene som vår byrådsavdeling bruker.
Risikovurderinger skal også gjøres når det oppstår avvik av betydning, eller om det har skjedd uautorisert utlevering av personopplysninger med betydning for konfidensialitet. I tillegg skal risikovurdering gjøres ved sikkerhetsrevisjon av behandlinger av personopplysninger.
Retningslinjene er at risikovurderinger skal utarbeides og arkiveres per enhet i BkKvalitet. Det er ikke nødvendig å lage en egen risikovurdering for et område eller en enhet dersom det allerede finnes en.
5.4 Gjennomføring av DPIA der det er påkrevd.
En personvernkonsekvensvurdering, ofte kalt Data Protection Impact Assessment (DPIA), er en grundig forhåndsvurdering av konsekvensene ved behandling av personopplysninger. Der skal skadepotensialet vurderes ved den aktuelle behandlingen av personopplysninger, og identifisere rimelige tiltak for å redusere risikoen så langt det er mulig.
Hensikten med å melde og behandle avvik er å sørge for at avvik dokumenteres og rapporteres slik at årsak avdekkes, forbedringer innføres og informasjonssikkerheten gjenopprettes. Avviksbehandlingen skal også bidra til å forhindre gjentakelse.
Avvik er alle hendelser som vil kunne forårsake skade for offentlige interesser, en bedrift, en institusjon eller en enkeltperson, dersom den fører til at informasjonen blir kjent for eller endret av uvedkommende, eller at informasjonen blir utilgjengelig for de som trenger den.
Med andre ord:
· Uønsket innsyn i informasjon
· Uønsket endring av informasjon
· Informasjon blir midlertidig utilgjengelig, eller går tapt
Den enkelte enhet må fastsette sine krav og forventninger til tilgjengelighet, konfidensialitet (beskyttelse mot uønsket innsyn) og integritet (beskyttelse mot uønskede endringer).
Avvik vil være hendelser som bryter med disse forventningene.
Eksempler på avvik er:
• En ansatt oppbevarer passord til pc-en på en gul lapp på kontorpulten.
• Det oppbevares personopplysninger i ulåste skuffer eller skap.
• En ansatt forlater arbeidsplassen sin uten å ha låst skjermen.
• En innbygger har fått tilgang på personopplysninger vedkommende ikke skulle hatt.
• En medarbeider har tilgang til systemer som inneholder fortrolig informasjon og som vedkommende ikke har et tjenstlig behov for.
• En medarbeider sender en ukryptert e-post som inneholder personopplysninger til feil mottaker.
For ytterligere informasjon om håndtering av avvik i Bergen kommune, se Overordnet rutine for håndtering av avvik som gjelder personvern og informasjonssikkerhet.
Se også Kontinuitets- og beredskapsplan for byrådsavdeling for barnehage, skole og idrett. (Sette inn lenke til dokumentet når det er godkjent)
5.6 Konfidensiell informasjon og signering av taushetserklæring. Hensikten er å sikre at ansatte er kjent med krav til håndtering av konfidensielle opplysninger, mulige konsekvenser dersom slike krav brytes, samt at det foreligger signert taushetserklæring.
Alle ansatte i BBSI skal ved oppstart av arbeidsforholdet signere Bergen kommunes taushetserklæring. Dersom den ansatte selv, leder eller andre blir oppmerksom på at signert
taushetserklæring ikke foreligger for en ansatt, må det sikres at dette gjøres umiddelbart. I tillegg skal hendelsen rapporteres som et avvik i henhold til gjeldende prosedyrer.
Barn er identifisert som en særlig sårbar gruppe i Personopplysningsloven, med krav på ekstra sterk beskyttelse.
Den enkelte resultatenhetsleder må ha et bevisst forhold til hvilke personvernkonsekvenser en datainnsamling kan ha for det enkelte barnet, og hvilke tiltak som skal iverksettes for å sikre disse personopplysningene. Slik behandling skal sees opp mot behandlingsgrunnlaget. Jo større personvernkonsekvenser en behandling kan ha, desto bedre skal personopplysningene beskyttes.
Eksempelvis må informasjon om barn som lever på hemmelig adresse, behandles med særskilte sikkerhetstiltak, grunnet konsekvensene det kan få dersom opplysninger kommer på avveie. Bergen kommune har utarbeidet reglement for denne gruppen barn og elever.5
Det fremgår av Personal og arbeidsreglement for Bergen kommune at arbeidstaker skal signere taushetserklæring og bidra til god informasjonssikkerhet.
5.7 Logging av oppslag og endringer i systemer.
Hensikten er å sikre at det er etablert oversikt over oppslag og endringer som ansatte gjør i BBSIs systemer, i henhold til krav i Personopplysningsloven.
Bergen kommune har etablert krav til virksomhetsarkitektur. Her fremgår blant annet krav til sporbare sikkerhetshendelser.
En sikkerhetshendelse anses som enhver hendelse knyttet til både godkjente og mislykkede autentiserings- og autorisasjonsforsøk (påloggings- og rettighetstildelingsforsøk), i tillegg til hendelser knyttet til administrasjon av løsningen.
Kontroll av hvem som har gjort hvilke oppslag og endringer i et system, kan både gjøres som rutinemessige kontroller for å sikre at det er en praksis i henhold til kravene i lover, forskrifter og interne krav, og som etterkontroller i tilfeller der det er oppdaget en risiko for at det kan ha skjedd brudd på våre sikkerhetsmål. Det bør avklares på konsernnivå hvordan og hvilke kriterier som skal være grunnlag for sporing av hvem som har gjort oppslag i de ulike systemene.
I byrådsavdeling for barnehage, skole og idrett kan det bli gjort vurderinger opp mot den enkelte ansattes tjenstlige behov for informasjon, hvorvidt innsyn i, endringer eller sletting av
5 Arbeidet pågår, men er ikke avsluttet pr. mars 2020.
informasjon har blitt gjort i henhold til prosedyre for å endre og slette informasjon.
5.8 Inngåelse og oppfølging av databehandleravtaler
En databehandler er den som behandler opplysninger, for eksempel å lagre, på vegne av noen andre. Derfor er byrådsavdeling for barnehage, skole og idrett er lovpålagt å inngå en databehandleravtale med alle eksterne aktører, som behandler personopplysninger på vegne av byrådsavdelingen. I byrådsavdelingen er det seksjon HRDV har ansvaret for inngåelse av slike avtaler, og å sikre at inngåtte avtaler tilfredsstiller interne og eksterne krav.
5.9 Opplæring av ansatte innen personvern og informasjonssikkerhet.
Det er nødvendig at byrådsavdelingen sikrer at ansatte får tilstrekkelig opplæring som fører til nødvendig kompetanse om de systemer, programmer og det utstyret de skal bruke.
5.9.1 Plan for opplæring i vår byrådsavdeling skal utarbeides ved:
• Etablering av nye IKT-systemer.
• Ved nyansettelser, innleie av konsulenter og vikarer med flere.
• Ved vesentlige endringer i interne eller eksterne krav til personvern eller informasjonssikkerhet.
• Ved andre behov.
I tillegg skal alle ansatte minimum årlig få oppdatert informasjon om reglement, samt gjennomgå Bergen kommunes Reglement for akseptabel bruk av IKT.
5.9.2 Følgende emner skal som et minimum inkluderes i opplæringen:
• Reglement for personvern og informasjonssikkerhet i BBSI.
• Felles kurs i personvern og informasjonssikkerhet for alle ansatte i Bergen kommune.
• Kurs som er utviklet for personvern og informasjonssikkerhet i BBSI.
5.9.3 Gjennomføring av opplæring
• Opplæring vil bli gjennomført som e-læringskurs, etterfulgt av workshop/gruppe- eller fellesarbeid på egen arbeidsplass.
• Andre kurs- og opplæringsformer kan også bli tatt i bruk.
• Den enkelte resultatenhet, seksjon og etat skal sikre at det utarbeides en plan for opplæring av medarbeidere.
• Kompetanse- eller opplæringsplanen skal være tilpasset medarbeiderens rolle og tjenestelige behov.
• Den enkelte medarbeider skal gjennomføre nødvendig opplæring i alle systemer de skal benytte. Etatene har også ansvar for å følge opp at resultatenhetene imøtekommer krav til opplæring.
• Ledere med personalansvar er ansvarlig for at alle ansatte har fått tilstrekkelig opplæring innen personvern og informasjonssikkerhet.
• Så langt det er mulig, skal kursdeltagelse registreres i den enkeltes CV i Dossier.
Seksjon for digitalisering og innovasjon har utarbeidet en kursrekke med e-læringskurs innenfor personvern, og forbereder nye kurs innenfor informasjonssikkerhet for alle ansatte i Bergen kommune. Når tilbudet om felleskurs er utarbeidet, vil seksjon HRDV vurdere om det er behov for å utarbeide nye, spesifikke kurs for vår egen byrådsavdeling.
5.10 Opplæring av ansatte med et særlig ansvar for personvern Ansatte med et særlig ansvar for personvern og informasjonssikkerhet har et kontinuerlig behov for opplæring og ajourhold av kunnskap. Dette gjelder særlig:
• Kommunaldirektør og ledere i byrådsavdeling for barnehage, skole og idrett
• IKT-koordinator
• Tjeneste- og systemeier
• Tjeneste- og systemkoordinator
Personer med et særlig ansvar for personvern og informasjonssikkerhet som ikke innehar en lederstilling, må gjennomgå sikkerhets- og personvernopplæring på lik linje med ledere. I tillegg må de tekniske sidene og utfordringer på infrastruktur og system inngå i en slik opplæring.
5.11 Sjekkliste for nyansatte i BBSI
Det er utarbeidet sjekkliste som skal gjennomføres før den ansatte har sin første arbeidsdag. Ansatte skal ha nødvendig gjennomgang av Reglement for personvern og informasjonssikkerhet i forbindelse med oppstart i BBSI.
Se for øvrig dokumentet Introduksjon av nyansatte – sjekkliste for leder. Punktene i listen skal utføres så snart som mulig etter at ny medarbeider er ansatt. Noen punkter er det særlig viktig at ansatte blir gjort kjent med så fort som mulig, slik som taushetsplikten.
5.12 Sjekkliste ved avslutning av arbeidsforhold i BBSI
Det er utarbeidet sjekkliste som skal gjennomgås før den ansatte har sin siste arbeidsdag i BBSI. Sjekklisten skal bidra til å sikre at krav til personvern og informasjonssikkerhet ivaretas på betryggende vis når ansatte avslutter sitt arbeidsforhold i Bergen kommune.
Se for øvrig dokumentet Avslutning av arbeidsforholdet i Bergen kommune som er en generell sjekkliste for områder som skal gjennomgås med ansatte som slutter i BBSI.
5.13 Etablering av nye digitale løsninger.
Det må sikres at nye digitale løsninger tilfredsstiller lovkrav og Bergen kommunes interne krav til personvern og informasjonssikkerhet før de tas i bruk eller settes i produksjon.
Systemeiere i BBSI må sørge for at det utarbeides en kontinuitets- og beredskapsplan for ethvert nytt system og at denne er kommunisert til, og lett tilgjengelig for, brukerne av systemet. Planen skal beskrive prosedyre som skal følges i eventuelle beredskapssituasjoner.
BBSI har utarbeidet en egen beredskapsplan for denne type hendelser. Systemeier må kontrollere at planen ivaretar mulige hendelser som måtte oppstå i det enkelte systemet.
Dersom BBSI benytter skytjenester er det viktig at systemeier eller systemkoordinator som inngår den aktuelle databehandlingsavtalen er kjent med pliktene sine. Systemeier må sørge for at det gjøres en helhetlig risikovurdering og nødvendige personvernkonsekvensvurderinger, og at nødvendige tiltak iverksettes. Systemeier må videre sikre at det etableres en databehandleravtale som regulerer alle forhold det er nødvendig å regulere, for slik å sikre at BBSIs plikter er ivaretatt på betryggende vis. Det må blant annet reguleres hvor informasjon BBSI er behandlingsansvarlig for kan eller skal lagres, og hvilket igangsettingsregime som skal være gjeldende for sky-løsninger som BBSI tar i bruk.
5.14 Sikring av personopplysninger og annen informasjon
Hensikten er å sørge for nødvendig sikring for å beskytte personopplysninger og annen beskyttelsesverdig informasjon i BBSI mot autorisert innsyn. Dette kan gjøres med enkle
For eksempel:
• Låsing av skap og skuffer som inneholder personopplysninger eller annen beskyttelsesverdig informasjon.
• Låsing av arbeidsstasjoner som ikke er i bruk.
• Beskyttelse av arbeidsstasjoner slik at uvedkommende ikke kan lese hva som står på skjermen.
• Tilgangsstyring basert på tjenstlig behov for tilganger.
• Deltagelse i nødvendig opplæring for å sikre tilstrekkelig kunnskap, kompetanse og bevissthet for sikkerhet.
Den enkelte leder må vurdere hvilke ytterligere sikkerhetstiltak som er nødvendig i egen enhet, dokumentere dette som tiltak i en risikovurdering av personvern og informasjonssikkerhet, og følge opp gjennomføring og etterlevelse av tiltakene, samt hvorvidt de har planlagt effekt.
Den enkelte leder må vurdere hvilke ytterligere sikkerhetstiltak som er nødvendig i egen enhet, dokumentere dette som tiltak i en risikovurdering av personvern og informasjonssikkerhet, og følge opp gjennomføring og etterlevelse av tiltakene, samt hvorvidt de har planlagt effekt.
For mer informasjon om beskyttelsestiltak, se Veileder i fysisk sikring fra Nasjonal sikkerhetsmyndighet.
6. Kontroll
Kontrollerende dokumentasjon har til formål å verifisere at aktivitetene har foregått i samsvar med fastsatte prosedyrer og instrukser. Kontrollerende dokumentasjon kan betraktes som et «sikkerhetsnett» som bidrar til at styringsdokumentene følges og at eventuelle avvik lettere oppdages.
6.1 Kontrollfunksjoner som ivaretas av resultatenhetsleder Hensikten er å sørge for daglig kontroll av etterlevelse av interne og eksterne krav til personvern og informasjonssikkerhet.
Resultatenhetsleder har ansvar for å kontrollere at rutinene for håndtering av personopplysninger blir etterlevd som forutsatt.
Dersom en internkontroll eller sikkerhetsrevisjon avdekker avvik fra etablerte retningslinjer, skal det behandles som avvik. Resultatet fra internkontroll eller sikkerhetsrevisjon skal dokumenteres i Bk360, rapporteres opp til nærmeste leder, og inngå som en del av grunnlaget for ledelsens gjennomgang.
Resultatenhetsleder har ansvar for at det minimum årlig gjennomføres en egenkontroll i resultatenheten.
Det er utarbeidet en sjekkliste (vedlegg 5) for sikkerhetsrevisjon som skal benyttes for å sikre at sentrale tema dekkes i sikkerhetsrevisjoner.
6.2 Kontrollfunksjoner som ivaretas av seksjon HRDV
Hensikten er å kontrollere interne og eksterne krav til personvern og informasjonssikkerhet etterleves.
Seksjon HRDV kan gjøre selvstendige undersøkelser av hvorvidt det er en betryggende praksis innen personvern og informasjonssikkerhet for alle nivåer i hele BBSI. I likhet med resultatenhetsleder skal seksjon HRDV kontrollere at styrende dokumentasjon for personvern og informasjonssikkerhet er kjent og etterleves, men også at de fungerer etter hensikten. Det siste betyr at Seksjon HRDV må samle inn informasjon om i hvilken grad prosedyrer, veiledninger, sjekklister, støttedokument med mer er hensiktsmessig utformet, og dersom det ikke er tilfellet, sørge for at nødvendige justeringer gjøres slik at de er lettfattelige og fungerer tilfredsstillende. Videre må det jevnlig testes, vurderes og evalueres hvor effektive de risikoreduserende tiltakene som er besluttet og iverksatt er.
For å sikre effektiv ressursbruk vil det være en risikobasert tilnærming, der tema og enheter for kontroll velges ut basert på en vurdering av risikoen for brudd på interne og eksterne krav.
Hensikten med kontinuitets- og beredskapsplanlegging er å sikre hvordan virksomheten skal håndtere uventede avbrudd i arbeidsprosessene, samt å beskytte kritiske tjenester og systemer mot negative konsekvenser ved feil eller uhell.
Ansvar for beredskap i personvern og informasjonssikkerhet i BBSI er lagt til seksjon HRDV. Seksjonen har utarbeidet en Kontinuitets- og beredskapsplan for BBSI, som består av aksjonskort. Alle aksjonskortene er vedlegg til dette reglementet.
Dette er en plan som har særlig tre forhold.
1) Kommunisere planens formål og innhold overfor det politiske nivået i kommunen og som svar på tiltak etter revisjon av informasjonssikkerhet i skolesektoren i Bergen, 2019.
2) Kommunisere planens formål og innhold for øvrige som er opptatt av personvern og informasjonssikkerhet, som elever, foresatte og media.
3) Kommunisere ulike tiltak som har til hensikt å implementere planen i byrådsavdeling for barnehage, skole og idrett.
Kommunikasjonsplanen skal beskrivefølgende:
- Beskrivelse av tiltak for å implementere planen.
- Målgruppene
- Hvilke kommunikasjonskanaler som skal benyttes
- Hvem som er ansvarlig for de ulike tiltakene
- Frist for gjennomføring
- Logging av dato for når tiltaket er gjennomført
- Kommentarer til hvert enkelt tiltak.
1) Kommunisere planens formål og innhold overfor det politiske nivået i kommunen og som svar på tiltak etter revisjon av informasjonssikkerhet i skolesektoren i Bergen, 2019.
Det foreligger en politisk bestilling fra bystyret i Bergen om å gjøre rede for hvordan forvaltningsrapporten om informasjonssikkerhet i skolesektoren fra 2019, er fulgt opp.
Det utarbeides et notat som beskriver ulike tiltak og aksjoner. Dette gjøres i samarbeid med seksjon for digitalisering og innovasjon, SDI, som utarbeider styringssystemet for personvern og informasjonssikkerhet i Bergen kommune. Notatet skal være sluttført fra BBSI innen oppsatt frist i mai 2020.
2) Kommunisere planens formål og innhold for øvrige som er opptatt av personvern og informasjonssikkerhet, som elever, foresatte og media.
Planen publiseres på kommunens nettsider i sin helhet og vil være tilgjengelig som digitalt dokument. Slik er planens innhold tilgjengelig for alle interessenter.
3) Kommunisere ulike tiltak som har til hensikt å implementere planen i byrådsavdeling for barnehage, skole og idrett.
Det nye reglementet skal innarbeides i byrådsavdelingen og kommunikasjonsplanen beskriver hvordan dette skal ivaretas for å sikre at overordnet, styrende og veiledende dokumentasjon innarbeides som gjeldende praksis.
Vedlegg 1 Noen begreper i personvern og informasjonssikkerhet
Under defineres noen fagbegreper som benyttes i dokumentet Reglement for personvern og informasjonssikkerhet i BBSI.
• Anonymisering er å gjøre personopplysninger anonyme.
• Avidentifisering vil si at alle personentydige kjennetegn er fjernet fra opplysningene, slik at de ikke lenger kan knyttes til en enkeltperson.
• Behandlingsansvarlig og databehandler
Personvernforordningen skiller mellom begrepene behandlingsansvarlig og databehandler. Den behandlingsansvarlige bestemmer over personopplysningene, mens databehandleren opptrer på vegne av den behandlingsansvarlige. Databehandleren kan derfor bare behandle personopplysninger etter instruks fra den behandlingsansvarlige.
• Dataminimering innebærer at det ikke skal samles inn flere personopplysninger enn det som er nødvendig for å oppfylle den oppgaven (formålet) som opplysningene er samlet inn for å løse.
• Skytjenester / cloud computing er en samlebetegnelse på alt fra dataprosessering og datalagring til programvare på servere som er tilgjengelig fra eksterne serverparker tilknyttet internett.
Vedlegg 2. Sentral sikkerhetsinformasjon
1. Styringssystem: Reglement for trygg digitalisering
2. Strategi for informasjonssikkerhet
4. Oppdrag – personvern og informasjonssikkerhet for kommunaldirektør
5. Mandat for informasjonssikkerhetsforum
6. Oppdrag – personvern og informasjonssikkerhet for systemeiere
7. Oppdrag – personvern og informasjonssikkerhet for resultatenhetsledere
8. Oppdrag – personvern og informasjonssikkerhet for leder av EDD
10. Reglement for akseptabel bruk av IKT
11. Overordnet rutine for håndtering av avvik som gjelder personvern og informasjonssikkerhet
12. Retting og sletting av personopplysninger
13. Risikovurdering – personvern og informasjonssikkerhet
14. Personvernkonsekvensvurdering (DPIA)
Vedlegg 3. Xxxxxxxxxx når ansatt starter i stillingen.
Punktene i listen skal utføres så snart som mulig etter at ny medarbeider er ansatt. Noen punkter er det særlig viktig at ansatte blir gjort kjent med så fort som mulig, slik som taushetsplikten.
Personvern og informasjonssikkerhet | ||
Aktivitet | Beskrivelse | Utført (dato / signatur) |
Taushetserklæring | Taushetserklæring er lest og underskrevet første arbeidsdag | |
Reglement for akseptabel bruk av IKT | Reglement for akseptabel bruk av IKT er lest første arbeidsdag | |
Opplæring | Leder sørger for at den ansatte får tilstrekkelig opplæring innen personvern og informasjonssikkerhet. | |
Tilgang til fagsystemer | Leder sørger for at brukerfullmakter / -tilganger i alle fagsystemer den ansatte skal benytte er bestilt / aktivert. Leder skal gjøre en kritisk vurdering av hvilke tilganger den ansatte har behov for, for å utføre arbeidsoppgavene sine, og skal ikke bestille bredere tilganger enn dette. Ved behov etterbestilles tilganger dersom det vurderes som nødvendig å gi flere tilganger til den ansatte utover i arbeidsforholdet. Leder skal sørge for at den ansatte får tilstrekkelig opplæring i de fagsystemer vedkommende skal ha tilgang til, for å kunne utføre nødvendige oppgaver i systemene og håndtere data på betryggende vis. | |
Den ansattes nærmeste leder er ansvarlig for å sikre at praksis er i henhold til overnevnte sjekkliste.
Vedlegg 4. Xxxxxxxxxx når ansatt slutter i stillingen.
Den ansattes nærmeste leder er ansvarlig for å sikre at praksis er i henhold til overnevnte sjekkliste.
Personvern og informasjonssikkerhet | ||
Aktivitet | Beskrivelse | Utført (dato/ sign.) |
Taushetserklæring | Minne om at taushetserklæringen som den ansatte signerte ved tiltredelse også gjelder etter at vedkommende har avsluttet sitt arbeidsforhold i Bergen kommune. | |
Brukerkonto for IKT, og tilgang til fagsystemer | Resultatenhetsleder har ansvar for at alle systemtilganger oppheves når en ansatt slutter. Dette skal primært skje via bestillingsweb, men systemeier og systemkoordinator skal også ha melding. Her meldes det også fra om avslutning av den ansattes e-post adresse. Resultatenhetsleder skal påse at brukerfullmakter/-tilganger i alle fagsystemer den ansatte har benyttet avbestilles/deaktiveres, som f. eks.; - Agresso HR - melde fra via Henvendelsesskjema. - Tilganger profil – melde fra til systemkoordinator. - Tilgang til OAS avmeldes til systemkoordinator. Sletting av tilganger meldes til Helpdesk. Det er spesielt viktig å sikre at tilganger avsluttes i systemer som den ansatte får tilgang til via internett. Dette fordi tidligere ansatt kan få tilgang til disse selv om vedkommende ikke befinner seg på kommunens nett. | |
Tjenstlig informasjon / pågående saker | Resultatenhetsleder sikrer at den ansatte overfører tjenstlig informasjon i form av elektronisk kommunikasjon og dokumenter knyttet til saksbehandling, eller som på annen måte er relevant for BBSIs virksomhet, til fellesområde / fagsystem. | |
PC, nettbrett, mobiltelefon, harddisk, minnepinner o.l. | Resultatenhetsleder skal sørge for at alt IKT-utstyr tilhørende kommunene blir samlet inn og ved behov forsvarlig avhendet (se: Skjema for avhending av elektronisk utstyr). Alternativt kan utstyret omfordeles til andre ansatte. Før dette kan gjøres skal utstyret leveres inn til Helpdesk i Bergen kommune som sikrer at utstyret er trygt å benytte og ikke inneholder informasjon fra tidligere ansatt. Dersom mobiltelefon / nettbrett skal overtas av en annen ansatt eller benyttes felles må det gjøres endringer i MAS. | |
Bk360 BrukerID (brukernavn) | Nærmeste leder sikrer at BrukerID slettes i Bk360. Informasjon om prosedyre for dette finnes på Bestille, endre og slette brukerid. | |
Bk360 / Xxxxxxxx dokumenter | Les hva ansatt og leder må gjøre i forhold til dokumenter m.m. i Bk360 når en ansatt skifter avdeling eller slutter. | |
Tjenstlig informasjon lagret på privat utstyr | Den ansattes nærmeste leder må informere den ansatte om krav til at vedkommende skal tilbakeføre/slette all informasjon som evt. er lagret på privat utstyr, som mobiltelefon, skytjeneste, minnepinner osv. Hvis tjenstlig informasjon har vært lagret privat, må skriftlig bekreftelse på at det er slettet leveres nærmeste leder. | |
Tilbakelevert utstyr | Den ansatte skal levere inn ID-kort, nøkler, og evt. nøkkelkort og fleksitidskort. | |
Utmelding av WinTid | Den ansattes nærmeste leder skal sørge for at vedkommende meldes ut av WinTid. | |
Vedlegg 5. Sjekkliste for sikkerhetsrevisjon.
Nummer | Krav | Er kravet ivaretatt? | |
Ja | Nei | ||
1 | Er alle avviksmeldinger av personopplysninger meldt til Personvernombudet? | ||
5 | Håndteres risiko i henhold til BBSIs definisjon av akseptabel risiko for konfidensialitet, integritet og tilgjengelighet? | ||
6 | Er det gjennomført og dokumentert risikovurderinger av alle behandlinger av personopplysninger? | ||
7 | Er det dokumentert tiltak med ansvarlig og tidsfrist for å håndtere uakseptabel risiko? | ||
8 | Er dokumenterte tiltak iverksatt i henhold til plan? | ||
9 | Er ansatte kjent med hvilke konsekvenser det kan få dersom en ansatt tilegner seg eller forsøke å tilegne seg opplysninger man ikke har tjenstlig behov for beskrevet? (jf. bestemmelser om taushetsplikt, informasjonssikkerhet, sanksjoner, advarsel og oppsigelse i Arbeidsreglement for Bergen kommune). | ||
11 | Er autorisasjoner og tilganger bare gitt i den grad det er nødvendig for vedkommende sitt arbeid, begrunnet i tjenstlig behov og er i henhold til bestemmelser om taushetsplikt? | ||
12 | Gjennomføres tildeling av autentiseringskriteria (som brukernavn og passord) på en betryggende måte? | ||
13 | Benyttes to-faktor pålogging til alle systemer som inneholder personopplysninger og annen beskyttelsesverdig informasjon? | ||
14 | Registreres alle forsøk på uautorisert bruk av informasjonssystemene? | ||
16 | Lagres det en logg over oppslag og endringer den enkelte ansatte gjør i alle systemer som inneholder personopplysninger? | ||
17 | Behandles brudd på prosedyrer som avvik? | ||
18 | Er det en praksis der passord og annen konfidensiell informasjon beskyttes? | ||
19 | Får de som er registrert nødvendig informasjon om virksomhetens behandling av personopplysninger, og sine rettigheter til innsyn i, retting, sletting og begrensning av behandling av personopplysninger? | ||
20 | Er den registrertes rettigheter til retting / sletting / begrensning av personopplysninger ivaretatt på betryggende vis? | ||
22 | Er personopplysninger som lagres lokalt på mobilt utstyr og hjemmekontor beskyttet / kryptert på betryggende vis? | ||
23 | Har virksomheten oversikt over, og kontroll på, alt utstyr og programvare som benyttes i behandlingen av personopplysninger? | ||
28 | Foretas det jevnlig test av at sikkerhetskopiene er korrekte og kan tilbakeføres? | ||
29 | Er det iverksatt tiltak for å hindre at særlige kategorier av personopplysninger oversendes ved hjelp av ukryptert epost? | ||
32 | Forstår alle ansatte hvilket ansvar de har for å melde avvik? | ||
33 | Følges BBSIs krav om at personvernombudet snarest skal varsles ved alle avvik? | ||
Vedlegg 6. Tentativ kommunikasjonsplan
(Ajourført pr. 22.6.2020)
Tiltak (beskrivelse) | Målgruppe(er) | Hvordan/ Kanal | Ansvarlig | Frist | Utført | Kommentar | |
1 | Utarbeide notat til politisk behandling | Byråd Kommunal- direktør | I møter | Seksjon HRDV | Mai/juni 2020 | Godkjen- ning av reglementet | |
2 | Utarbeide svar til bystyret | Politisk overordnet nivå | Seksjon HRDV og SUU | Mai 2020 | |||
3 | Informere om Reglement for personvern og informasjons- sikkerhet | Ledergruppen | Ledermøter | Kommunal- direktør | Juni 2020 | Vurdere samarbeid med SDI i presenta- sjonen. | |
Organisasjonene | Felles informasjons og drøftings- møter | ||||||
Til øvrige ansatte i BBSI | HRDV bistår i å utarbeide info. materiell | ||||||
4 | Publisere reglementet | Alle ansatte i BBSI og andre interessenter i kommunen | 1.Faghjelpen 2. BkKvalitet 3. Innbygger- hjelpen? | HRDV | Juni – September 2020 | Sammen med Seksjon for informasjon og SDI. | |
5 | Informasjon om planlagt opplæring (Nanokurs, work- shop, osv.) på kort sikt. | Ledergruppen Alle ansatte Organisasjonene | Ledermøter E-post tilpasset mottakerne. Felles og til bestemte grupper. | Leder- gruppen. HRDV for metode og materiell. | August - september 2020 | I samarbeid med SDI og personvern, HR konsern | |
6 | Informasjon om planlagt opplæring på lengre sikt. | Ledergruppen Alle ansatte Organisasjonene | Ledermøter E-post tilpasset mottakerne. Felles og til bestemte grupper | Leder- gruppen. HRDV for metode og materiell. | September 2020 | I samarbeid med SDI og personvern, HR konsern | |
7 | Informasjon om system for oppfølging av og vedlikehold av Reglementet for personvern og informasjonssikker het i BBSI. | Ledergruppen Alle ansatte Organisasjon-ene | Ledermøter E-post tilpasset mottakerne. | Leder- gruppen. HRDV for metode og materiell. | September 2020 | I samarbeid med SDI og personvern, HR konsern. Intern- kontroll og virksomhetss tyring | |
Gjennomførte aktiviteter (gjort parallelt med utarbeidelsen av nytt reglement. | |||||||
8 | Informasjonssikker het og personvern i alle relevante fora. Generelt om personvern og spesifikt for Bergen kommune og vår byrådsavdeling. Informasjon om planlagt opplæring og utarbeidelse av planredskaper. | Alle lederne | Juleavslutning for ledergruppene | Kommunal- direktør | Desember 2019 | Xxx ledet av kommunaldir ektøren. Andre som bidra var: Nasjonal sikkerhets- myndighet, personvern- ombudet, seniorråd- giver HRDV. | |