Eidfjord fjellstyres behandling av personopplysninger skal være i samsvar med regulatoriske, interne og avtalerettslige krav til informasjonssikkerhet. Personopplysninger og annen beskyttelsesverdig informasjon skal sikres på en betryggende måte gjennom fysiske, tekniske og organisatoriske tiltak.
Eidfjord fjellstyre har definert en rekke prinsipper for behandling av personopplysninger i Eidfjord fjellstyre som skal etterleves, se punkt 1.
Opplysningene i Eidfjord fjellstyre skal sikres med hensyn til
Konfidensialitet
Personopplysninger og annen beskyttelsesverdig informasjon som behandles i Eidfjord fjellstyre skal være beskyttet mot uautorisert tilgang. Personopplysninger behandles konfidensielt og kan bare deles med andre medarbeidere i den grad det er tjenstlige behov. Personopplysninger om egne arbeidstakere kan kun behandles av den som har tjenstlig behov. Eksempler på brudd på konfidensialitet (personopplysninger kommer på avveie) er tap av bærbart utstyr eller lagringsmedium, utskrifter blir liggende på skriver, utilsiktet utlevering av ansattopplysninger via e-post eller annen spredning mv.
Integritet
Personopplysninger som Eidfjord fjellstyre har ansvaret for blir bare innsamlet og endret av ansatte, eller av eksterne som har fullmakt til dette. Informasjon skal ikke slettes eller endres utilsiktet. Brudd på integritet (personopplysninger blir endret) kan være innbrudd i virksomhetens lokaler eller nettverk, uvedkommendes bruk av tilgang til utstyr hvor personopplysninger og andre virksomhetskritiske data er lagret, angrep av virus eller andre ondsinnede kode/programvare mv.
Tilgjengelighet
Personopplysninger skal bare være tilgjengelige for autoriserte brukere ved behov. Brudd på tilgjengelighet (personopplysninger er utilgjengelige) kan være at nettverk eller system ute av drift, brann, vannskade og strømsvikt, hærverk og angrep på it-systemene mv.
Robusthet
Systemer hvor personopplysninger lagres og behandles skal være motstandsdyktig og robust. Når uønskede fysiske eller tekniske hendelser inntreffer, bidrar beredskapstiltak til å begrense skaden og at Eidfjord fjellstyre raskt kommer tilbake til normal drift dersom Eidfjord fjellstyre blir påvirket av hendelsene. Dette inkluderer å gjenopprette tilgjengelighet og tilgang til personopplysninger i rett tid.
Daglig leder i Eidfjord fjellstyre har det overordnede ansvaret for all informasjonssikkerhet hos Eidfjord fjellstyre.
11.1 Sikkerhetsmål
Følgene sikkerhetsmålene er besluttet for Eidfjord fjellstyre:
Eidfjord fjellstyre skal sikre at informasjon behandles kun i henhold til relevante lover og forskrifter og etter adferdsnormer og sertifiseringer som gjelder for Eidfjord fjellstyre.
Sikkerheten ved Eidfjord fjellstyre skal ha forankring i ledelsen ved Eidfjord fjellstyre og skal ivaretas som en integrert del av hele Eidfjord fjellstyres organisasjon.
Den fysiske sikkerhet ved Eidfjord fjellstyre skal hindre at uautoriserte får adgang til lokaler der personopplysninger og andre opplysninger kan være lagret og behandles.
Eidfjord fjellstyre skal sikre tilgjengelighet til systemer, tjenester og informasjon til rett tid for de personer som er autorisert. Tilgang til systemer og informasjon gis kun til medarbeidere etter behov («Need to Know») og tilgang til systemer og informasjon for uvedkommende skal forhindres.
Eidfjord fjellstyre skal sikre at informasjonsbehandling er korrekt og at informasjon ikke forandres uten lovlig tilgang.
Rutinene skal sikre uønskede og virksomhetskritiske hendelser. Det skal forhindres at personer eller systemer hos Eidfjord fjellstyre bevisst eller ubevisst er årsak til sikkerhetsmessig uønskede hendelser mot egen eller andre virksomheter eller fysiske personer.
Eidfjord fjellstyre skal sikre at medarbeidere som bruker Eidfjord fjellstyres informasjonssystemer og behandler personopplysninger har en tilstrekkelig kompetanse for å ivareta Eidfjord fjellstyres sikkerhetsbehov/krav.
11.2 Avvik og hendelser
Ansatte som oppdager avvik fra rutiner, skal rapportere om dette til daglig leder, som skal behandle avviket sammen med de som er relevante for slik behandling og beslutte eventuelle rutinemessige eller tekniske tiltak for å forhindre at avvik gjentar seg.
Et avvik er enhver hendelse eller tilstand som bryter med Eidfjord fjellstyres internkontroll.
Hendelser kan defineres inn i følgende kategorier:
- Avvik fra gjeldende rutiner
- Hendelser som kan ha sikkerhetsmessig konsekvens
- Utført av ansatte, som brudd på sikkerhetsbestemmelser
- Utført av eksterne, som fysisk innbrudd, elektroniske angrep
- Beredskapshendelser
Ansatte som oppdager uønskede hendelser skal snarest rapportere om dette til nærmeste overordnede eller daglig leder. Ledere som oppdager uønskede hendelser eller blir informert av underordnede, skal snarest rapportere dette til daglig leder.
Foreligger det brudd på personopplysningssikkerheten skal Eidfjord fjellstyre uten ugrunnet opphold og når det er mulig, senest 72 timer etter å ha fått kjennskap til det, melde bruddet til Datatilsynet, med mindre det er lite trolig at bruddet vil medføre en risiko for fysiske personers rettigheter og friheter. Meldes til ikke bruddet til Datatilsynet innen 72 timer, skal årsakene til forsinkelsen oppgis.
Det er daglig leder som er ansvarlig for at brudd på personopplysningssikkerheten meldes.
Meldingen til Datatilsynet skal minimum angi:
- Beskrivelse av arten av bruddet på personopplysningssikkerheten, herunder, når det er mulig, kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall personopplysningsposter som er berørt,
- navnet på og kontaktopplysningene til kontaktpunkt der mer informasjon kan innhentes,
- beskrivelse av de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten,
- beskrivelse de tiltak som er truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.
Er det ikke mulig å gi all informasjon samtidig, kan den gis trinnvis uten ytterligere ugrunnet opphold til Datatilsynet.
Er det sannsynlig at bruddet på personopplysningssikkerheten vil medføre en høy risiko for de registrertes rettigheter og friheter, skal de registrerte varsles om bruddet uten ugrunnet opphold.
Varslet til de registrerte skal inneholde en klar og tydelig beskrivelse av arten av bruddet på personopplysningssikkerheten og skal minst inneholde følgende:
- Navnet på og kontaktopplysningene til kontaktpunkt der mer informasjon kan innhentes.
- Beskrivelse av de sannsynlige konsekvensene av bruddet på personopplysningssikkerheten.
- Beskrivelse av de tiltak som den behandlingsansvarlige har truffet eller foreslår å treffe for å håndtere bruddet på personopplysningssikkerheten, herunder, dersom det er relevant, tiltak for å redusere eventuelle skadevirkninger som følge av bruddet.
Varsling av de registrerte er ikke nødvendig dersom noen av følgende vilkår er oppfylt:
- Det er gjennomført egnede tekniske og organisatoriske sikkerhetstiltak, og disse tiltakene er blitt anvendt på personopplysningene som er berørt av bruddet på personopplysningssikkerheten, særlig tiltak som gjør personopplysningene uleselige for enhver person som ikke har autorisert tilgang til dem, f.eks. kryptering.
- Eidfjord fjellstyre har truffet etterfølgende tiltak som sikrer at det er lite trolig at den høye risikoen for de registrertes rettigheter og friheter vil oppstå.
- Det vil innebære en uforholdsmessig stor innsats å varsle de registrerte. Dersom dette er tilfellet, skal allmennheten isteden underrettes, eller det skal treffes et lignende tiltak som sikrer at de registrerte underrettes på en like effektiv måte.
Det skal sørges for dokumentasjon av ethvert brudd på personopplysningssikkerheten, herunder de faktiske forhold rundt nevnte brudd, virkningene av det og hvilke tiltak som er truffet for å utbedre det.
Det skal sikres i databehandleravtaler at Eidfjord fjellstyres databehandlere skal melde om brudd på personopplysningssikkerheten til Eidfjord fjellstyre uten ugrunnet opphold etter å ha fått kjennskap til et brudd på personopplysningssikkerheten.
11.3 Tekniske og organisatoriske tiltak
Følgende tekniske og organisatoriske tiltak skal iverksettes for sikre informasjonssikkerhet:
- Rutiner for håndtering av tilgang til virksomhetens informasjonssystem. I dette ligger kontroll av passord, rettigheter, applikasjoner mv. Vanskelighetsgraden for passord skal håndteres av systemet og ligge på et høyt nivå.
- Rutiner med hensyn til ansattes håndtering av transportable lagringsmedium, slik som bærbare datamaskiner, for å unngå at informasjon havner på avveier.
- Rutiner for låsing av lokalene, håndtering av gjester og bruk av alarm utenom arbeidstid.
- Prosedyrer for plassering og sikring av komponenter, lagringsmedium, dokumenter eller øvrige bestanddeler som er vitale for virksomhetens drift.
I tillegg gjelder det egen sikkerhetsinstruks for de ansatte, som er tatt inn i punkt 12.
Alle som får tilgang til beskyttelsesverdig opplysninger om Eidfjord fjellstyre skal underskrive en taushetserklæring. Dette gjelder Eidfjord fjellstyres ansatte, leverandørers ansatte eller andre som måtte komme i kontakt med slik informasjon. Dersom det følger taushetsplikt av de ansattes arbeidsavtale, er ikke egen taushetserklæring nødvendig.
Ansatte hos Eidfjord fjellstyre skal gjennom opplæring og rutiner oppnå tilstrekkelig kunnskap til å forvalte informasjon og systemer på en sikker måte. Dette innebærer å ha lest og forstått Rutinene.
Brudd på sikkerhetsreglene beskrevet i sikkerhetsinstrukser, taushetserklæring og eventuell konfidensialitetserklæring, vil bli vurdert i henhold til gjeldende lover og kan få følger for ansettelsesforholdet.
11.4 Fysisk sikring
Adgangskontroll innebærer nødvendig kontroll med at uvedkommende ikke kommer seg ukontrollert inn i, eller oppholder seg uten nødvendig tilsyn i, Eidfjord fjellstyres lokaler.
Det skal etableres kontroll med tilgang til Eidfjord fjellstyres lokaler.
Det skal sørges for tilstrekkelig brannsikring av Eidfjord fjellstyres lokaler.
Sikkerhetskopi skal tas på betryggende måte og oppbevares utenfor huset på sikkert sted.
Lokaler med it-utstyr skal være forsvarlig fysisk sikret mot urettmessig tilgang, samt brann, vannskade, tyveri, og lignende hendelser.
Alle dokumenter og lagringsmedia som inneholder beskyttelsesverdig informasjon, skal oppbevares, forsendes og destrueres på en slik måte at det ikke kommer uvedkommende i hende.
Bærbare enheter som er ment å bringes utenfor virksomhetens lokaler skal sikres med kryptering.