Roller og ansvar - personvern og informasjonssikkerhet

Er du fast eller midlertidig ansatt, innleid personell, student eller praktikant i Ringsaker kommune er sjansen stor for at du behandler personopplysninger. Du har et ansvar for å passe på innbyggernes og kommunens data. Her finner du informasjon om hva du må tenke på for å ivareta personvernet i din arbeidshverdag.

• Setter deg inn i og signere taushetserklæring 
• Sørger for sikker behandling av informasjon i forbindelse med eget arbeid. 
• Er kjent med og følger gjeldende aktuelle lovverk, instrukser og rutiner innen informasjonssikkerhet og personvern.
• Rapporterer avvik (EQS)
• Deltar i opplæring innen informasjonssikkerhet og personvern.
• Foreslår tiltak til forbedringer.
• Har kjennskap til 
  • Personvernpolicy i Ringsaker kommune
  • Hvilket behandlingsansvar Ringsaker kommune har i systemene vi benytter. Sureway gir deg oversikt  
  • Avviksrapporteringssystemet EQS.  

Alle ansatte skal gjennomføre opplæring og kompetansehevende tiltak  

• grunnleggende opplæring for medarbeidere og studenter 
• opplæringstiltak for vedlikehold av kompetanse
• tilpasset opplæring dersom du har spesielle oppgaver (for eksempel sikkerhetskopiering, tildeling av autorisasjon, tilbaketrekking av autorisasjon)
• særskilt opplæring dersom du har tilgang til helseopplysninger 

Hvordan kan du som ansatt ivareta sikkerheten på en god måte, slik at du unngår at informasjon kommer på avveie eller går tapt?

Enhetsleder er autorisasjonsansvarlig for manuelle og elektroniske behandlinger av personopplysninger i din enhet. 

Dersom du er leder med personalansvar har du ansvar for å: 

• sørge for at at alle nye ansatte, vikarer og periodisk personell får tilgang til aktuelle informasjonssystemer ved tilsetting i henhold til tjenstlige behov.
• skriftlig informere aktuelle instanser (IKT Brukerhjelpen, systemansvarlige o.l.) om endringer i behov for tilgang til informasjonssystemene.
• trekke tilbake autorisasjoner når ansatte slutter eller ikke lenger har tjenstlig behov for autorisasjonen.
• ved endringer i arbeidsforhold eller ansvar skal den ansattes tilganger i kommunens informasjonssystemer vurderes.
• føre et autorisasjonsregister med oversikt over hvilke IKT-løsninger / manuelle behandlinger hver enkelt ansatt er autorisert for. Dette autorisasjonsregisteret skal oppdateres hver gang det skjer endringer og skal oppbevares i minst 5 år.
• årlig gjennomgå brukertilganger i egen enhet og gi melding til IKT Brukerhjelpen og andre dersom tilganger skal slettes eller endres.
• sørge for at personer med periodisk arbeid for kommunens, f.eks. konsulenter, håndverkere, studenter og praktikanter, underskriver taushetserklæring, og kjenner til gjeldende regler:
  • Hva de kan gjøre, ikke kan gjøre, og hvor de kan oppholde seg
  • Hvilke informasjoner de kan få tilgang til
  • Hvilke konsekvenser eventuelle sikkerhetsbrudd kan få. 

Er du fagansvarlig har du ansvar for å: 

Overfor systemeier (kommnalsjef/seksjonssjef) bidra til at:

• Informasjonssikkerhet og personvern på ansvarsområdet blir tilfredsstillende ivaretatt iht. gjeldende lovverk, instrukser og rutiner, og at det skapes en positiv sikkerhetskultur på området.
• Ansvarsområdets avvik innen informasjonssikkerhet og personvern følges opp med nødvendige tiltak.
• Gjeldende brukerinstruks for bruk av ansvarsområdets IKT-løsninger følges.
• Nye eller endrede regler eller behov i behandling av personopplysninger på ansvarsområdet blir gjort kjent. 

Det daglige operative behandlingsansvaret for informasjonssikkerheten i den enkelte sektor er delegert fra Behandlingsansvarlig til kommunalsjefer og seksjonssjefer, herunder ansvaret for rollen som systemeier for de fag-IKT-systemer som benyttes i vedkommende ansvarsområde.

Systemeier, som kan delegere deler av det daglige operative behandlingsansvaret til enhetsleder og systemansvarlig, skal sørge for tilfredsstillende informasjonssikkerhet og personvern på sitt virksomhetsområde, herunder: 

Hvis du, gjennom din stilling, er utpekt som system- eller tjenesteeier medfølger dette ansvaret for at personvernet er ivaretatt i systemet eller tjenesten din. Her gis informasjon om hva ansvaret innebærer og hva du må tenke på i de ulike stegene, fra innkjøp/utvikling til avvikling av systemet eller tjenesten.

Du som systemeier skal:

• Påse at gjeldende lovverk, instrukser og rutiner følges.
• Gjennomføre årlig egenkontroll av informasjonssikkerheten i virksomhetsområdet.
• Påse at avvik blir rapportert og følges opp.
• Oppnevne og autorisere systemansvarlige med stedfortredere og superbrukere ved behov.
• Sikre at forholdet til leverandører, partnere og andre eksterne aktører er i samsvar med gjeldende krav.
• Påse at det utarbeides brukerinstrukser og gjennomføres risikovurderinger for alle behandlinger av personopplysninger.
• Påse at aktuelle saker blir meldt opp til Informasjonssikkerhetsutvalget.
• Påse at oversikt/protokoller over behandlinger av personopplysninger innenfor eget virksomhetsområde holdes oppdatert til enhver tid.
• Støtte enhetsledere i arbeidet med informasjonssikkerhet 

Kommunedirektøren er behandlingsansvarlig i Ringsaker kommune. 

Som den behandlingsansvarlige i Ringsaker kommune, skal kommunedirektøren sørge for: 

• Å fastsette mål og strategi for informasjonssikkerhet
• At kommunen har en Sikkerhetsorganisasjon med ansvar for å etablere og iverksette et styringssystem for informasjonssikkerhet, dokumentere systemet, samt gjennomføre tiltak knyttet til informasjonssikkerheten.
• At det etableres rutiner som sikrer at Personvernombudet på riktig måte og til rett tid involveres i alle spørsmål som gjelder vern av personopplysninger.
• Tilstrekkelige ressurser, både personell og økonomiske, slik at tilfredsstillende informasjonssikkerhet og personvern opprettholdes.
• At styringssystem for informasjonssikkerhet er en del av kommunens helhetlige internkontroll.

Behandlingsansvarlig kan delegere det daglige operative behandlingsansvaret for informasjonssikkerhet, til Systemeier (kommunalsjef eller seksjonssjef).

• Personvernregelverk (GDPR)
• Personvern i Ringsaker kommune
• Personvernombud