Utskriftsvennlig versjon

Dokumentsikkerhet

Foreta risikovurdering. Følgende punkter er eksempler, listen er ikke utfyllende:

  • Får man tilgang til system/dokument i eksternt nett? Muligheter for uautorisert tilgang/rolle til systemet?
  • Gis det uautorisert tilgang/rolle?
  • Lånes det ut brukerid/passord og maskin til andre?
  • Lagres det dokument på andre medier (minnepenn/usb, screen print, iPad/laptop etc.)?
  • Står maskiner «åpne/forlatt» for innsyn?
  • Hvem har tilgang til skannerområde (mapper, maskin)?
  • Blir dokumenter av sensitiv art utvekslet via e-post?
  • Sendes utskrift til skrivere i egen virksomhet?
  • Er det mulighet for uautorisert tilgang via klientmaskiner?
  • Er nedlastning av program/websider klarert med IT-tjenesten?
  • Er nettverksløsning klarert for rettmessige brukere, og er innstillingene sikkerhetsklarert?
  • Sammenligne resultat fra risikovurdering med akseptabelt risikonivå

-          Det forutsettes at alle saksbehandlere følger sikkerhetsrutinene som er utarbeidet

  • Iverksette sikkerhetstiltak

-          Autorisert tilgang til skanner og skannermapper av arkivtjenesten/arkivleder

-          Tilgang til system/dokument mulig bare i internt nettverk (bak brannmur)

-          Autorisert tilgang/roller via leder og systemansvarlig(e)

  • Følgende sikkerhetsrutiner skal følges av saksbehandler

-          Utlån av brukerid/passord skal ikke forekomme

-          Ikke gå fra åpen maskin

-          Lagring av dokumenter på andre medier skal ikke forekomme. Personopplysninger skal kun lagres på server, ikke lokalt på maskinen

-         Ikke la utskrift ligge igjen på skriver

Sikkerhet for personopplysninger blir regulert av personopplysningslova §§ 13 og 14 om informasjonssikkerhet og internkontroll. Personopplysningsforskrifta kap. 2 inneholder lova sine sikkerhetsbestemmelser. Bestemmelsene gjeld for behandling av personopplysning som heilt eller delvis skjer med elektroniske hjelpemidler.

Ved behandling av sensitive personopplysninger er det strengere krav til behandling enn om en behandler andre personopplysninger.

Sensitive personopplysning er definert i § 2 i lova som:

a) Rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning

b) At en person har vært mistenkt, sikta, tiltalt eller dømt for en straffbar handling

c) Helseforhold

d) Seksuelle forhold

e) Medlemskap i fagforening

Laster...