map Kart account_circle Min side
Forside  /   Informasjonssikkerhetshåndbok

Innledning

Informasjonssikkerhet handler om sikring av informasjonsverdier med betydning for både offentlig forvaltning, virksomheter, organisasjoner og enkeltpersoner, derfor angår det oss alle.

Tilgang til informasjon og informasjonssikring skal ikke være to motstridende interesser. Målet med informasjonssikring er å sikre informasjonen mot misbruk.

Krav til sikring av informasjon

Kravene til sikring av informasjon bestemmes i hovedsak av to faktorer:

  1. informasjonenes innhold
  2. hvilken sammenheng den behandles i

Den største trusselen mot informasjonssikkerheten er primært oss mennesker og vår manglende forståelse for behovet for sikring. Det kan handle om manglende sikring eller om manglende kompetanse. Sikringstiltak, systematikk, rutiner og prosedyrer skal ivareta informasjonssikkerheten på en formell, systematisk og etterprøvbar måte.

Informasjonssikkerhet er knyttet til behandling av personopplysninger. Innholdet her gjelder behandling av både sensitive og ikke sensitive personopplysninger om ansatte, elever, barnehagebarn, tjenestemottakere og andre kommunen behandler personopplysninger om.

Det er viktig å ha en lovlig grunn til å behandle personopplysninger. Grunnlag for behandling er normalt basert på lovhjemmel eller samtykke fra den registrerte. Uavhengig av grunnlaget har virksomheten plikt til å informere den registrerte om hvordan den har tenkt å behandle opplysningene. Det betyr at det må informeres om formål, rettigheter og lagringstid for opplysningene.

Informasjonssikkerhet handler om:

  • Konfidensialitet
    • informasjonen er kun tilgjengelig for de som har behov for det i jobben sin
  • Integritet
    • informasjonen er fullstendig, nøyaktig og gyldig, og ikke er endret av uvedkommende
  • Tilgjengelighet
    • informasjonen er tilgjengelig til riktig tid for de som har behov for det
Hvem gjelder informasjonssikkerhetshåndboka for?

Informasjonssikkerhetshåndboken er vedtatt i kommuniedirektørens ledergruppe, og gjelder for alle som skal ha tilgang til Sandnes kommune sine IT-systemer. Bestemmelsene i håndboken gjelder for all behandling av informasjon i kommunen. Intern informasjon, offentlig informasjon, informasjon unntatt fra offentlighet eller personopplysninger - herunder sensitive personopplysninger. 


Hvorfor trenger vi denne håndboka?

I Sandnes kommune skal vi beskytte informasjonen og informasjonssystemene slik at informasjon ikke kommer på avveie. Sandnes kommune skal sikre at behandlingen av innbyggerinformasjon oppfyller lovpålagte krav, kontraktsmessige forpliktelser og dekker behovet for personvern og etisk ansvar. 

Informasjonssikkerhetshåndboken beskriver regler og retningslinjer for behandling av informasjon for å ivareta informasjonssikkerheten og personvernet til våre samarbeidsparter, innbyggere, ansatte og elever.

Det skal utarbeides og tas i bruk rutinebeskrivelser for behandling av informasjon i system og på fagområder, som er i tråd med gjeldende lovverk. Alle som benytter kommunens systemer er forpliktet til å kjenne til og følge informasjonssikkerhetshåndboken.

Sikkerhetsstrategi

Valg og prioriteringer for å sikre personopplysninger og behandling av disse.

  • Arbeidet med informasjonssikkerhet skal forankres i øverste ledelse og inngå i ansvarsområdet en leder til enhver tid har
  • Tilgang til systemer og informasjon gis til ansatte etter arbeidsrelaterte behov
  • Det skal gis opplæring og informasjon til ansatte som bruker kommunens datasystem for å sikre at gjeldende sikkerhetskrav blir ivaretatt
  • Uvedkommende skal hindres tilgang til systemer og informasjon
  • Det skal sikres at personopplysninger ikke forandres utilsiktet eller uautorisert
  • Det skal være mulig å spore uønskede hendelser knyttet til bruk av kommunens datasystem
  • Fysisk sikring skal hindre at uautoriserte får adgang til lokaler der personopplysninger lagres og behandles
  • Det er rutiner og prosesser for å håndtere uønskede hendelser, avvik rapporteres i f.t. Compilo
  • Det skal gjennomføres tilfredsstillende intern kontroll, herunder sikkerhetsrevisjoner og ledelsens årlige gjennomgang

 

Informasjonssikkerhet for alle ansatte

Tilgang og brukerkontroll
  1. Alle ansatte får tildelt brukernavn og passord som oppgis for å autentisere den ansatte og gi tilgang til Sandnes kommunes IT-utstyr, systemer og nettverk.
  2. Passordet skal holdes hemmelig for andre, og det skal læres utenat. Passordet skal ikke skrives ned. Det er ikke tillatt å bruke andres brukernavn og passord.
  3. Bruk unike passord i kommunens systemer.
  4. Hvis ansatte har glemt passordet, eller mistenker at passordet er blitt kjent for andre, skal den ansatte kontakte IT Servicedesk for å få endret passordet umiddelbart. 
  5. Ansatte, konsulenter, vikarer og andre som skal ha tilgang til IT-systemene skal ha undertegnet taushetserklæring. 
  6. Når ansatte forlater PC-en, nettbrett, mobiltelefon m.m. skal enheten låses.

Lagring og behandling av data

Informasjon som lagres på kommunens løsninger skal være jobbrelatert. Dersom personopplysninger behandles i løsningen, skal det føres behandlingsprotokoll etter GDPR-regler. Kontakt personvernombud for mer informasjon.

Før løsninger tas i bruk skal det gjennomføres en ROS-analyse. 

Bruk av IT-utstyr, programvare og nettverk

Ansatte skal følge Sandnes kommune sine retningslinjer om bruk av programmer, utstyr og tjenester knyttet til utstyret. Ansatte skal rapportere forhold som kan ha betydning for IT-utstyrets sikkerhet til IT Servicedesk så raskt som mulig. 

Retningslinjer for Sandnes kommune ligger på kommunens intranett (Pulsen) – under Hjelp i jobben.

 

Bruk av elektronisk kommunikasjon (mobile enheter)

Med elektronisk kommunikasjon menes mobile enheter til bruk for internettilknytning (eks. nettbrett, mobiltelefoner). Elektronisk kommunikasjon brukes der ansatte har behov for tilgjengelighet, beredskap, fleksibilitet samt at det er et verktøy i arbeidshverdagen.

Se kapittel Bruk av IT-utstyr, programvare og nettverk.


Den enkeltes ansvar ved opphør av arbeidsforhold

Den enkelte ansatte har ansvar for å rydde opp i filer, e-post, Teams o.l. Det er leder sitt ansvar å stanse brukertilgangen ved opphør av ansattforhold. Denne slettes etter 3 måneder.
Nærmeste leder har tilgang til ansattes OneDrive-område 30 dager etter at ansatte har sluttet.

 

Informasjonssikkerhet for ledere

Tilgang og brukerkontroll

Lederen er ansvarlig for at ansatte har undertegnet ansettelseskontrakt og taushetserklæring før de får tilgang til IT- og fagsystemene.

Lederen skal sørge for at ansatte i sin virksomhet er registrert i kommunens HR-system slik at den ansatte kan få utdelt brukernavn og passord og tilgang til kommunes IT-utstyr, fagsystemer og nettverk.

Lederen er ansvarlig for at ansattes tilgang i systemer og programmer er begrenset til kun det de har behov for i jobben

Lederen er ansvarlig for å gi riktig tilgang til enhetens lokaler.

Når ansatte slutter skal leder sørge for at tilgang til nettverk, system, data, skytjenester og lokaler opphører.


Lagring og behandling av data

Leder har ansvar for å legge til rette for at ansatte lagrer og behandler opplysninger i fagsystemene, på hjemme- eller fellesområdet eller i Teams, SharePoint og OneDrive for kommune. Leder har ansvar for at formålet med behandling av data skal registreres i Draftit. Det skal utarbeides Ros analyser ved nye system eller større endringer i et fagsystem.


Sensitive opplysninger

Ha informasjonssikkerhet som fast punkt på møter i virksomheten.


Anskaffelse av IT-utstyr og programvare/lisenser

Programvare og utstyr skal anskaffes etter Sandnes kommunes reglement for innkjøp. Se Pulsen for mer informasjon.

IT og digitalisering, personvernombud og informasjonssikkerhetssjef skal alltid involveres ved anskaffelser av nye programvareløsninger.  

IT og digitalisering skal alltid involveres ved kjøp av IT-utstyr.


Opplæring

Ansatte skal ha tilstrekkelig opplæring i de systemene som skal benyttes. Dette innbefatter:

  • grunnleggende kompetanse i kontorstøtteverktøy
  • følge retningslinjer for hvor informasjonen lagres, brukes og deles
  • opplæring i aktuelle fagprogram og rutiner knyttet til bruken av systemer
  • kunnskap om innholdet i informasjonssikkerhetshåndboken

Når ansatte slutter

Leder er ansvarlig for å personalmelde opphør av ansattforhold.
Leder er ansvarlig for at innsamling av nøkler og ID-kort (se egen sjekkliste på Pulsen).


Avvik

Alle ansatte skal ha kjennskap til hvordan avvik skal registreres i kommunens avvikssystem. Dette skal gjøres med en gang etter avviket er oppdaget.

 

Organisering og ansvar

  1. Kommunedirektør
  2. Kommunedirektørens ledergruppe
  3. Personvernombud
  4. Informasjonssikkerhetssjef
  5. Digitalisering- og IT-sjef
  6. Virksomhetsledere
  7. Alle ansatte

Ansvaret for at informasjonssikkerhetshåndboken overholdes følger linjeledelsen.


Roller

Alle ansatte i Sandnes kommune skal overholde informasjonssikkerhetsreglementet, og beskytte verdien som ligger av informasjon i fagsystemer, elektroniske enheter og infrastruktur.


Personvernombud

Personvernombud skal bistå ansatte, registrerte og ledelsen i spørsmål om personvern og informasjonssikkerhet. Personvernombud har taushetsplikt, skal ikke motta instruksjoner i forbindelse med utføring av oppgavene som personvernombud rapporterer til rådmannens ledergruppe.

Personvernombud kontrollerer overholdelse av forordningen og skal kunne gi råd i personvernkonsekvensutredninger og kontrollere gjennomføringen av den.

Alle ansatte som oppdager et brudd på informasjonssikkerheten og brudd på reglementet skal varsle om dette til personvernrombud, og på den måten bidra til å begrense eller hindre at opplysninger kommer på avveie, blir urettmessig endret eller forsvinner.


Ledere

Den enkelte leder har det daglige ansvaret for den praktiske oppfølgingen av sikkerhetsarbeidet i egen virksomhet. Leder er også ansvarlig for å initiere og bistå i risikovurderinger. For råd og veiledning ta kontakt med informasjonssikkerhetssjef.


Informasjonssikkerhetssjef

Informasjonssikkerhetssjefen er ansvarlig for trygg og god forvaltning av kommunens informasjon. Veilede og gi råd til ansatte og ledere i informasjonssikkerhetsspørsmål. Være en pådriver og tilrettelegger for å sikre god forvaltning av informasjon. Drive holdningsskapende arbeid, spre kunnskap og være en pådriver for fagfeltet.

Bistå ledere med risikovurderinger ved innføring av nye eller ved endring av eksisterende IKT-løsninger.

Bistå ved gjennomføring av sikkerhetsrevisjoner.


Behandlingsansvarlig

Kommunedirektøren har hovedansvaret for behandling av personopplysninger i Sandnes kommune. Det daglige ansvaret er delegert til virksomhetsleder for den aktuelle behandlingen. Delegeringen omfatter kun oppgavene, ikke ansvaret.

Virksomhetsleder er ansvarlig for å behandle personopplysninger på en lovlig, rettferdig og gjennomsiktig måte, ha et behandlingsgrunnlag, behandle personopplysningene på en sikker måte og sikre at de registrerte får utøvd sine rettigheter.

Virksomhetsleder må sørge for å etablere alle nødvendige organisatoriske og tekniske tiltak for å sikre at regelverket etterleves til enhver tid. Virksomhetsleder må kunne vise at den opptrer i samsvar med reglene. Dette gjelder også med hensyn til forsvarlig valg av databehandler. Virksomhetsleder kan med andre ord ikke frasi seg ansvaret for å etterleve regelverket fordi selve behandlingen av personopplysningene skjer hos en annen virksomhet.


Elever

Elever er brukere av Sandnes kommunes IT-systemer, og det er skolens ansvar å sørge for elevenes informasjonssikkerhet og personvern. 


IT og digitalisering

Virksomhetsleder for IT og digitalisering er ansvarlig for at informasjonssikkerheten ivaretas i infrastruktur, maskinvare og sikkerhetssystemer.

Virksomhetsleder for IT og digitalisering ivaretar sentral beredskapsplan for å håndtere driftsavbrudd som vurderes å være av et slikt omfang at de skaper vesentlige forstyrrelser for større deler av kommunens virksomhet, og/eller som kan gi følgeskader for tredjepart.


Systemeier

Systemeier er eier av fagsystemene/IT-systemene som naturlig hører inn under området virksomhetsleder/enhetsleder er ansvarlig for. Systemeier er ansvarlig for å ivareta informasjonssikkerheten i fagsystemene/IT-systemene. Virksomhetsleder/enhetsleder oppnevner en person for daglig ivaretakelse av superbruker/fagsystemansvarlig rollen. 


Superbruker/fagsystemansvarlig

Superbruker/fagsystemansvarlig er utpekt av virksomhetsleder/enhetsleder. De har hovedansvar for å gi opplæring til ansatte av fagsystemene/IT-systemene om forsvarlig forvaltning av informasjonen. De har også ansvar å utarbeide risikoanalyse og registrere fagsystemene i Draftit.


Systemansvarlig

Digitalisering og IT er teknisk ansvarlig for at fagsystemene/IT-systemene er tilgjengelig for ansatte. Digitalisering og IT vil bistå med teknisk kompetanse ved videreutvikling i dialog med superbruker/fagsystemansvarlig. 


Leverandør/partner

Informasjonssikkerhet reguleres i kontrakt og databehandleravtale mellom leverandører og kommunen. Det skal inngå databehandleravtale med leverandører/firmaer/partner som behandler personopplysninger. Kommunen skal alltid ha rett til innsyn og måling av hvorvidt sikkerhetskrav blir fulgt av leverandør eller eksterne ansatte.

Det skal inngå databehandleravtale med leverandører/firmaer/partner som behandler personopplysninger. Mal til databehandleravtale finnes på Pulsen. Anskaffelser kan bistå med utforming av databehandleravtaler. Alle databehandleravtaler arkiveres i kommunens sak-/arkivsystem.


Anskaffelse av nytt IT-system

I anskaffelsesprosessen skal det stilles krav om innebygd personvern og personvern som standardinnstilling. Det er viktig å sikre at personopplysninger ikke kommer på avveie, derfor må det stilles krav til løsninger hvor personvern har høy prioritet.

Det skal utnevnes en systemeier som er behandlingsansvarlig for systemet og har ansvaret for at oppgavene rundt forvaltningen og risikoanalyse. Systemeieren rådfører seg med personvernombud i alle spørsmål knyttet til personvern og behandling av personopplysninger.

Systemeier sammen med informasjonssikkerhetssjef er ansvarlig for å gjennomføre ROS analyse der formålet med behandlingen av systemets behandling av personopplysninger blir gjennomført og personopplysningene blir redegjort for. Det skal alltid vurderes om en DPIA skal utarbeides.


Forvaltning av IT-systemet

Det skal gjennomføres årlig informasjonssikkerhetsgjennomgang med oppdatering av risikovurderingen. Det er systemeier som er ansvarlig for gjennomføring av årlig informasjonssikkerhetsgjennomgang, og informasjonssikkerhetsanavarlig og/eller personvernrådgiver samt representant fra digitalisering og IT skal delta.

Databehandleravtaler skal gjennomgås og fornyes ved behov.


Avhending av IT-system

Når et IT-system ikke lenger skal brukes, skal data som ligger i systemet sikres med hensyn til konfidensialitet, integritet og tilgjengelighet. Informasjonen skal arkiveres i hht lovverket, og det skal være mulig å videreføre bruk i andre systemer.

Systemeier er ansvarlig for at informasjonen blir ivaretatt på en trygg måte når systemet ikke lenger skal tas i bruk. Dokumentsenter bistår sammen med systemeier for å sikre rett forvaring.


Internkontroll

Avviksbehandling

Formålet med avviksbehandlingen er å få kunnskap om hendelser slik at kommunen samlet kan begrense skadene, lære av hendelsene og endre rutiner og implementere gode løsninger. Dette for å hindre at vi unngår at liknende hendelser skjer igjen samt sikre at vi til enhver tid ivaretar våre innbyggeres personvern.

Hendelser som skal meldes som avvik kan være enkeltepisoder, gjentakende episoder, overtredelser, svikt i rutiner, funksjonsfeil i fagsystemet eller liknende, der personopplysninger har kommet på avveie, ikke lenger er korrekte eller oppdaterte, eller har gått tapt. Også personopplysninger som er kryptert kan gå tapt eller komme på avveie, og de skal også meldes til datatilsynet. Det er viktig at de registrerte også får beskjed så tidlig som mulig slik at de kan gjøre nødvendige tiltak.

Alle som oppdager et avvik har ansvar for å melde dette i avvikssystemet Compilo. Alvorlige brudd vil bli varslet personvernombud.


Mottak og behandling av avviksmelding

Personvernombud kan motta avviksmeldingen som en muntlig henvendelse, tekstmelding, telefon eller som et avviksmeldingsskjema. En melding om avvik til personvernombudet skjer i fortrolighet, og personvernombudet har taushetsplikt og ivaretar melderens anonymitet. Personvernombudet vil også kunne igangsette avviksbehandling på eget initiativ, uten at en formell avviksmelding er mottatt.

  1. Avvik registreres i Compilo. Dersom avviket er av en slik karakter at det er fare for personopplysninger har kommet på avveie, blitt urettmessig endret eller gått tapt skal avviket meldes datatilsynet
  2. Følg instruksene i Compilo for melding til datatilsynet.
  3. En egen enhet «Personvern GDPR» som håndterer melding om avviket til datatilsynet. Meldingen sendes uten ugrunnet opphold og senest 72 timer etter at avviket er oppdaget. Melding til Datatilsynet skal ikke unntas offentligheten
  4. På bakgrunn av opplysninger oppgitt i avviksmelding vil personvernombudet kontakte aktuelle ressurser, f. eks systemansvarlig, behandler eller leder for å avklare realiteten i og omfang av avviket, og finne forslag til tiltak for å lukke avviket og begrense skaden
  5. Personvernombudet, Informasjonssikkerhetssjef, behandlingsansvarlig og systemeier vurderer avvikets omfang, alvorlighetsgrad og allerede igangsatte tiltak.
    • Har personopplysninger kommet på avveie, blitt urettmessig endret eller slettet slik at Datatilsynet skal varsles?
    • Har det allerede blitt igangsatt tilstrekkelig gode tiltak for å lukke avviket og hindre nye avvik kan avvikssaken lukkes?
    • Ved behov kontakter personvernombudet Datatilsynet om spørsmål ved hendelsen.
  6. Personvernombudet utformer og sender melding til de registrerte på vegne av behandlingsansvarlig og systemeieren i de tilfeller der personopplysninger har kommet på avveie, blitt urettmessig endret eller gått tapt. Meldingen til de registrerte signeres av behandlingsansvarlig og skal sendes uten ugrunnet opphold. Den kan være i form av e-post, pressemelding eller annen skriftlig melding som vil nås alle berørte.
  7. Dokumentbehandlingen skal skje i saksmappen personvernombud [årstall] i sak/arkivsystemet, der de i utgangspunktet unntas i offentlighet.
  8. Personvernombudet utformer notat for avvikssaken. Ved avvik der tilstrekkelige tiltak for å lukke og hindre nye avvik er igangsatt, kan avvikssaken foreslås lukket. Avviksmelding til Datatilsynet og melding til de registrerte legges ved der dette er aktuelt. Notatet med vedlegg sendes til behandlingsansvarlig som beslutter om avvikssaken kan lukkes.


Notatet for avvikssaken skal inneholde:

  1. Orientering om saken
  2. Beskrivelse av hendelsen, når hendelsen ble oppdaget, når hendelsen skjedde, hvem som var involvert og andre relevante opplysninger om hendelsen skal beskrives
  3. Regler og retningslinjer som ligger til grunn for saken
  4. Drøftelse av saken
  5. Vurdering av avviket, forslag til tiltak og vurdering av foreslåtte tiltak for å lukke avviket og hindre nye avvik
  6. Konklusjon med eventuelle oppfølgingspunkter


Meldingen til Datatilsynet skal inneholde:

  1. Beskrivelse av brudd på personvernet, hva slags brudd det er og hvor mange registrerte som er berørt (se eget skjema på kommunens intranett, Pulsen)
  2. Kontaktopplysninger på personvernombudet eller en annen kontaktperson ved varsling til datatilsynet
  3. Beskrivelse av mulige konsekvenser
  4. Beskrivelse av iverksatte tiltak og tiltak som er planlagt iverksatt mot personvernbruddet. Der det er aktuelt, beskriv tiltak for å hindre mulige bivirkninger av tiltakene
  5. Brudd på personvernet skal dokumenteres. Dokumentasjonen skal inneholde fakta om bruddet, konsekvensene og tiltakene som er gjort for å begrense skaden. Dokumentasjonen verifisere at pålegget er fulgt
  6. Kontaktopplysninger til personvernombudet om det er behov for utfyllende opplysninger
  7. Ved brudd på personvernet skal de(n) registrerte varsles uten ugrunnet opphold av behandlingsansvarlige


Meldingen til de registrerte skal inneholde:

  1. Beskrivelse av brudd på personvernet
  2. Beskrivelse av mulige konsekvenser
  3. Beskrivelse av iverksatte tiltak og tiltak som er planlagt iverksatt mot personvernbruddet. Der det er aktuelt, beskriv tiltak for å hindre mulige bivirkninger av tiltakene
  4. Eventuell beskrivelse av tiltak den registrerte anbefales å gjøre
  5. Kontaktopplysninger på personvernombudet og leder/systemeier eller en annen kontaktperson

Loggføring

For å sikre integritet og sporbarhet skal all aktivitet i fagsystemer som behandler personinformasjon loggføres, slik som endring og sletting av opplysninger, men også søk etter opplysninger. Gjennomsyn og kontroll av logger gjøre ved behov av systemeier og leder.


Innsyn 

Sandnes kommunes rutiner for innsyn i dokumenter finnes på kommunens arkivplan: http://sandnes.arkivplan.no/content/view/full/89860


Oppdatering av systemoversikt i Draftit

Alle systemenes behandling for informasjonssikkerhetsgjennomgang utgjør grunnlaget for systemoversikten i Draftit som til enhver tid skal være oppdatert.

Personvernombudet og informasjonssikkerhetssjef koordinerer arbeidet med årlig gjennomgang av informasjonssikkerheten, og sikrer at informasjonssikkerhetsgjennomgang med risikovurdering blir dokumentert, og oppdatert i Draftit. Systemeiere har ansvaret for at nye opplysninger om sine system blir oppdatert i Draftit.


Ledelsens gjennomgang av informasjonssikkerheten

Ledelsens gjennomgang skal holdes årlig for rådmannens ledergruppe. I møte skal det oppsummeres status for informasjonssikkerhetsarbeidet i kommunen, samt avdekke om sikkerheten ivaretas ihht mål, strategier og prosedyrer og beslutte tiltak for det videre sikkerhetsarbeidet. Tiltak som skal sikre at sikkerhetsmål, strategi og organisering av informasjonssikkerhetssystemet er oppdaterte og i samsvar med kommunens behov.

I ledelsens gjennomgang skal bl.a. følgende punkter gjennomgås og vurderes:

  • Resultater og hovedkonklusjoner fra informasjonssikkerhetsrevisjoner
  • Registrerte avvik
  • Rapporter fra offentlige og interne tilsyn
  • Endringer i lover, forskrifter og offentlige sikkerhetskrav
  • Endringer i de personopplysninger virksomheten skal behandle
  • Endringer i trusselbildet som kommer fram i gjennomførte risikovurderinger
  • Status på hendelser rundt teknisk informasjonssikkerhet
  • Organisatoriske endringer
  • Bygningsmessige endringer
  • Planer og fremdrift for å ivareta intern kontroll og informasjonssikkerhet

Overvåking

Kameraovervåking

Kameraovervåking skal ha som formål å hindre at uvedkommende skaffer seg adgang til virksomhetens områder, og skal virke preventivt på uønskede hendelser som tyveri, innbrudd, vold, hærverk mv. Kameraovervåking av personer som kan gjenkjennes er et inngrep i personvernet, så det skal gjennomføres en vurdering av personvernkonsekvenser ved systematisk overvåking i stor skala av et offentlig tilgjengelig område. Kameraovervåking skal ikke finne sted dersom problemet kan løses eller risikoen minimeres gjennom alternative tiltak. Kameraovervåking skal etter sitt formål være saklig begrunnet i virksomheten, og skal utøves i henhold til bestemmelsene i personopplysningsloven.

Behandlingsansvarlig ivaretar det overordnede ansvaret for kameraovervåking ved virksomhetene. Det løpende ansvaret for oppfyllelse av den behandlingsansvarliges plikter ivaretas av den enkelte virksomhetsleder.

Personopplysninger skal lagres slik at de slettes eller anonymiseres når de ikke lengre er nødvendige for formålet de ble innhentet for.


Lydopptak

Lydopptak kan gjøres der formålet er å sikre dokumentasjon for en eventuell politisak samt for å ivareta et HMS-perspektiv, og der formålet er å sikre dokumentasjon for de anførsler som fremsettes samt hva som er lovet av respons.

Innringer varsles om at opptak gjøres når opptaket starter dersom ikke det i seg selv vurderes som en risiko.

  1. Når innringer oppfattes som truende eller fremsetter konkrete trusler.
  2. Når innringer fremsetter en klage og ikke vil snakke med saksbehandler, eller saksbehandler ikke er tilgjengelig. Det bør lages et notat til saksbehandler i kommunens sak-og arkivsystem på den aktuelle saken.


Oppbevaring og sletting

Kameraopptak og lydopptak kan inneholde sensitive personopplysninger og skal oppbevares slik at informasjonssikkerheten og personvernet blir ivaretatt. Opptak skal slettes når det ikke lenger er saklig grunn for oppbevaring. Sletteplikten gjelder likevel ikke dersom det er sannsynlig at opptaket vil bli utlevert til politiet i forbindelse med etterforskning av straffbare handlinger eller ulykker.


ID-kort

ID-kortet brukes av ansatte som:

  1. Adgangskort
  2. Utskriftskort for skrivere i alle virksomheter i Sandnes kommune
  3. ID-kort/svømmekort


Utstedelse av ID-kort:

  1. Ny-ansatte tar bilde selv som sendes på epost sammen med skjema via leder til: Anita Løland og Tove Iren Vatne
  2. ID-kort produseres og sendes med internposten eller hentes på rådhuset
  3. Når en ansatt slutter leveres kortet siste arbeidsdag til leder, som sender dette til: Anita Løland og Tove Iren Vatne
  4. Tap av kort meldes omgående til leder.
  5. Det tapte kortet skal deaktiveres snarest og nytt kort må bestilles.
  6. Ansatte på rådhuset som har glemt kort og trenger lånekort kan ta kontakt med Servicekontoret.

Avhending av datautstyr

Digitalisering og IT tar imot datautstyr (EE-avfall) både med og uten lagret informasjon, og sørger for sikker sletting og gjenbruk av utstyr. Avtal alltid tidspunkt for levering av datautstyr med digitalisering ot IT på IT Servicedesk (se kommunens intranett, Pulsen).

Publisert: 15.05.2019

Sist endret: 15.05.2019