Fellesdel

Avviksmelding

2.5.4 Sikkerhet og risikoanalyse vedrørende oppbevaring av personopplysninger

PROSEDYRE

Kap 2. HMS

P-2.5.4

Sikkerhet og risikoanalyse vedrørende oppbevaring av personopplysninger

SIKKERHET OG RISIKOANALYSE VEDRØRENDE OPPBEVARING AV PERSONOPPLYSNINGER

1. Hensikt og omfang

Å sikre at personopplysninger i Normisjon blir forsvarlig oppbevart, slik at konfidensialitet ivaretas og nødvendige sikkerhetstiltak følges opp.

2. Ansvar

Generalsekretæren er ansvarlig for prosedyren.
Personalleder er ansvarlig for oppdatering av prosedyren.
Linjelederne er ansvarlig for at prosedyren er kjent for medarbeidere i linjen.
Alle er ansvarlige for å følge prosdyren.

3. Beskrivelse

3.1 Områder dette gjelder:

-  Opplysninger som er oppbevart elektronisk
-  Opplysninger som er oppbevart i manuelle arkiver

3.2 Sikkerhetsstrategi

Normisjon har:
-  Avtale med Intility om drift, support og vedlikehold av datautstyr og programvare
-  Notat fra Intilty om Økt sikkerhet og Sikre Rutiner for backup og ”disaster recovery”
-  Låsbare skap til manuelle personalarkiv hvor kun personer med ansvar for personalarbeid har nøkkel

Avdelingsledere/seksjonsledere må sjekke sitt område minst en gang per år for å se om personaldokumenter er forsvarlig sikret, jf. Personopplysningsforskriftens § 2-11 Sikring av konfidensialitet.

3.3 Risikovurdering

Ulike typer personopplysninger kan komme på avveie:
Fødselsnummer, opplysninger om givertjeneste, helseopplysninger/sykefravær, personalsaker.

 Hva som kan gå galt:
- Skap kan stå ulåst
- Dataarkivet blir liggende åpent
- Personopplysninger blir lagt på åpent område
- Uvedkommende kan få tilgang til systemet med givertjenesopplysninger, personnummer mm
- Personopplysninger blir liggende og flyte på kontorene

3.4 Prosedyre

Alle som har ansvar for å oppbevare personalopplysninger/sensitive opplysninger manuelt, skal sørge for at dette oppbevares i låsbare skap og at skap holdes låst.

Alle som har ansvar for personalopplysninger i dataarkiv, skal sørge for at dette oppbevares i låste mapper der kun de som skal behandle informasjonen har tilgang. Alle avdelingsledere/seksjonsledere skal årlig (i november) gå gjennom sitt område og sjekke at ikke sensitiv informasjon ligger usikret.

4. Kontroll

Gjennomgang av informasjonssystemet:

Gjennomgang en gang pr år. Gjennomgangen skal dokumenteres og kan gi grunnlag for eventuell endring av sikkerhetsmål og strategi.

5. Referanser

FOR 2000-12-15 nr 1265: Forskrift om behandling av personopplysninger(personopplysningsforskriften)

Personopplysningsloven § 13 Informasjonssikkerhet

 

6. Vedlegg

 

Godkjent av:
Generalsekretær

Saksbehandler:
Personalleder

Gyldig fra:
01012013
Versjon: 001

Sist endret: