Vägledande rutin för chefer om kontroll av hur arbetstagare använder kommunens IT-utrustning och ITresurser



Relevanta dokument
Syfte...1 Omfattning...1 Beskrivning...1

Regler för användning av Riksbankens ITresurser

POLISMYNDIGHETEN I IT-POLICY 1 (5) ÖSTERGÖTLANDS LÄN Förvaltningsavdelningen

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

Dataintrång - åtgärder vid misstanke om olovlig åtkomst

Riktlinjer för användande av kommunens datorer och Internet för anställda och förtroendevalda i Laholms kommun

Sammanfattning av riktlinjer

Dnr 2007/83 PS 004. Riktlinjer för elevernas IT användning i proaros skolverksamhet

Informationssäkerhet

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.3

Policy för användande av IT

Kommunstyrelsen. Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning

Gäller från 1 januari 2007 Antagen av KF 246/2006. IT-säkerhetsinstruktion för användare

RIKTLINJER FÖR ANVÄNDNING AV PTS IT- ARBETSPLATS

Handledning i informationssäkerhet Version 2.0

Malmö stads riktlinjer för sociala medier

IT-riktlinjer Nationell information

Informationssäkerhetsinstruktion användare

sociala medier), e-post och telefoni i Jönköpings kommun

IT-policy. Förvaltningen Björn Sandahl, förvaltningschef

Policy och strategi för informationssäkerhet

Kommunstyrelsen. Godkänt av kommunstyrelsen , 77 Kompletterad av kommunstyrelsen , 162

Personuppgiftspolicy. Vår hantering av dina personuppgifter

Rutin för webbpublicering av personuppgifter

Policy för Internet- och e-postanvändning i N.N. församling/samfällighet/stift

ANVÄNDARVILLKOR ILLUSIONEN

Informationssäkerhet - Instruktion för förvaltning

Informationssäkerhet, ledningssystemet i kortform

Policy för telefoni, mobilteknisk utrustning samt e-postanvändning

Handlingsplan för Skövde kommun mot trakasserier p.g.a. etnisk tillhörighet, religion eller annan trosuppfattning

2.3 För att ditt medlemskap skall beviljas måste du vara över 18 år och vara registrerad kund på Webbplatsen

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Personuppgiftsbehandling i forskning

Datainspektionens tillsyn av länsstyrelsernas elektroniska förvaltning

IT-policy Scenkonst Västernorrland AB

Policy för hantering av personuppgifter

Riktlinjer för publicering av personuppgifter på webbplatser 16 KS

ORU /2016 Användning av IT-resurser - riktlinjer vid Örebro universitet

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Riktlinjer för webbpublicering enligt PuL

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter vid rutinkontroll av förares innehav av taxiförarlegitimation

Offentlighetsprincipen och allmänna handlingar

IT-Policy Vuxenutbildningen

e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg

RIKTLINJER FÖR SOCIALA MEDIER. Bakgrund. Syfte. Användning av sociala mediekanaler. Ansvar för publicering. Sida 1(5)

RIKTLINJE FÖR JOURNALSYSTEM LOGGKONTROLLER I PROCAPITA

IT-säkerhetsinstruktion

Publicering på Internet

Informations- säkerhet

Rekryteringsmyndighetens interna bestämmelser

SÖDERTÄLJE KOMMUN Utbildningskontoret

Regler och riktlinjer för sociala medier i Örnsköldsviks kommun Version 1.1

som finns i skolan. Det hjälp. använder datorn. behandlad.

FÖRBUNDSINFO. Policy för användning av Svenska kyrkans gemensamma Internetanslutning och e-postsystem

Bilaga 1 - Handledning i informationssäkerhet

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

Dataskyddsförordningen - GDPR

Informationssäkerhetsinstruktion Mora, Orsa och Älvdalens kommuner

Det föreslagna beslutet medför inga kända ekonomiska konsekvenser för kommunen.

Regler Sociala medier. Antaget av kommunfullmäktige 28 maj 2012 att börja gälla 1 juni Reviderad , 29

Regler för behandling av personuppgifter vid Högskolan Dalarna

Tack för att du använder Vanderbilts webbplats. Vi vill nedan upplysa dig som användare av Vanderbilts webbplats om våra användarvillkor.

Sara Törnblom den 13 november 2014 Sociala medier och chefsansvaret i offentlig verksamhet. Lindahl i korthet

Farsta stadsdelsnämnd är personuppgiftsansvarig för behandlingen av personuppgifter inom nämndens verksamheter.

IT-Säkerhetsinstruktion: Förvaltning

Informationssäkerhetsinstruktion: Användare

Beslutad av Magnus Johansson, vård- och omsorgsdirektör den 4 april 2016.

Tillsyn enligt personuppgiftslagen (1998:204) VA Syds personuppgiftsbehandling inom avfallshanteringsverksamheten

AVTAL 1 (6) 2 Avtalstid Avtalet gäller från och med utdelning till och med den 1 juni 2016.

Elektronisk informationssäkerhet. Riktlinjer för Användare - anställda och förtroendevalda. Eslövs kommun

Information om behandling av personuppgifter

Punkt 21 Riktlinje för fritextfält

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Handlingsplan för persondataskydd

Riktlinje för hantering av personuppgifter i e-post och kalender

Riktlinjer användning IT- och telefonistöd

Loggkontroll - granskning av åtkomst till patientuppgifter

Posthantering inom Örebro kommun.

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Lathund Personuppgiftslagen (PuL)

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare

Personuppgiftsbehandling för forskningsändamål

Information om personuppgiftslagens tillämpning i Riksbanken

Denna instruktion syftar till att ge dig kunskaper och riktlinjer om hur du hanterar

Anmälan av en arbetsgivare för diskriminering eller missgynnande

Policy och handlingsplan mot sexuella trakasserier

Dina rättigheter. Begära rättelse. Personuppgiftsansvarig är Novo Sweden Dental AB org.nr

Regler och avtal för lån av bärbar dator, tillgång till Umeå skoldatanät samt bibliotekets låneregler

PM Tillämpning av PUL inom Barn- och utbildningsnämndens verksamheter

Användarvillkor för HEMSIDAN.COM. 1 Tjänsten. 2 Användarkonto. 3 Under utveckling. 4 Så här uppför man sig på Hemsidan.

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Kommunstyrelsens Ledningsutskott (18) HANTERING AV MASSMEDIA OCH AGERANDE PÅ SOCIALA MEDIER I

PERSONUPPGIFTSLAGEN (PUL)

Policy för sociala medier i Stockholms stad

Riktlinjer för användande av kommunens datorer och Internet för anställda och förtroendevalda i Laholms kommun

Anmälan om att en arbetsgivare brister i det förebyggande och främjande arbetet

Intresseavvägning enligt personuppgiftslagen

Transkript:

Rutin 2013-11-27 Vägledande rutin för chefer om kontroll av hur arbetstagare använder kommunens IT-utrustning och ITresurser KS-217 2004 000 Dokumentet antogs den 4 september 2006 av stadsjurist Martine Christensen och reviderades den 27 november 2013 av stadsjurist Martine Christensen Odenhall och informationssäkerhetssamordnare Fredrik Andersson Dokumentet ersätter Vägledning till chefer i fråga om kontroll av hur arbetstagare använder kommunens kommunikationsutrustning daterad den 4 september 2006. Dokumentet gäller Norrköpings kommun samt de kommunala bolagen där det är tillämpligt. Kan arbetsgivare kontrollera hur medarbetare använder kommunens IT-utrustning och ITresurser? Hur kan en sådan kontroll genomföras? Det här är en vägledning till dig som chef. I dokumentet finns också en processbeskrivning av kontroller av IT-användning. Kontaktpersoner Martine Christensen Odenhall, stadsjurist Fredrik Andersson, informationssäkerhetssamordnare KOMMUNSTYRELSENS KANSLI

2 (5) Bakgrund Kommundirektören har antagit riktlinjer (Riktlinjer för informationssäkerhet och Riktlinjer för praktisk informationssäkerhet) för hur vi medarbetare får använda kommunens kommunikationsutrustning, det vill säga datorer, telefoner, kopiatorer och faxar. För att följa upp att riktlinjerna följs finns det under vissa förutsättningar möjlighet för verksamheten till kontroll av hur utrustningen används. Utöver detta gör också IT-enheten stickprov. Vem ska besluta om kontroll? Det är du som förvaltningschef eller motsvarande som inom din förvaltning eller enhet avgör om kontroll enligt riktlinjerna får göras. Kontakta antingen chefen för IT-enheten, säkerhetschefen/säkerhetssamordnaren eller personalkontoret för stöd i frågan. Om du vill ge IT-enheten i uppdrag att ta fram utdrag från olika loggar ska du alltid börja med att göra en skriftlig begäran. Chefen för IT-enheten, säkerhetschefen/säkerhetssamordnaren och personalchefen har mandat att sedan ge uppdrag till IT-enheten om utdrag ur loggar. Den insamlade informationen kan lämnas ut fortlöpande eller vid ett enstaka tillfälle. Om du som chef har beslutat om kontroll lämnas uppgifterna ut av IT-enheten. IT-enheten gör alltså inte någon särskild prövning av om det är riktigt att lämna ut uppgifterna. I vissa fall kan ett utvärderingsmöte hållas för att få en samlad bild av logginformationen och hur den ska tolkas. Se vidare under Kontrollprocesser. I IT-enhetens verksamhet ingår att ha en kontinuerlig uppsikt över servrar och trafik och att göra stickprovskontroller. Om IT-enheten vid sådana kontroller ser någon misstänkt felaktig användning av kommunikationsutrustningen, kopplad till en viss person, ska IT-enheten inte vända sig direkt till den personen. Istället ska den berörda förvaltningschefen/enhetschefen kontaktas. Det är sedan du som chef, i egenskap av arbetsledare för den misstänkta personen, som bestämmer om saken ska föras vidare och om det ska lämnas ett uppdrag till IT-enheten att göra ytterligare kontroll. Innan dess ska IT-enheten inte göra någon ytterligare efterforskning med anledning av den ursprungliga misstanken. Undantag kan göras om det finns möjlighet att den felaktiga användningen påverkar eller kan komma att påverka övriga funktioner eller tjänster inom Norrköpings kommun. Allmänna förutsättningar för kontroll Enligt riktlinjerna för informationssäkerhet får loggning av e-post och trafik på Internet ske för en viss tidsperiod eller en viss användare vid misstanke om brott, eller om kommunen har välgrundade skäl att misstänka att arbetstagare allvarligt missbrukar utrustningen i strid mot riktlinjerna. I samma situationer medges möjlighet att kontrollera innehållet i samtalsregistreringsfunktionen för fast telefoni och registreringen hos operatören för mobiltelefonsamtal. Detsamma gäller för loggar i verksamhetssystem och arbetsstationen (datorn).

3 (5) Särskilda förutsättningar för kontroll Om de uppgifter som registreras vid loggning av e-post, Internettrafik, telefoni eller verksamhetssystem direkt eller indirekt går att knyta till en enskild individ är de att betrakta som personuppgifter. Kontroll av sådana uppgifter måste därför leva upp till personuppgiftslagens krav. Det innebär bland annat att kontroll bara får ske om kommunens intresse av att göra kontrollen väger tyngre än den anställdes intresse av skydd mot kränkning av den personliga integriteten. Vidare måste det så kallade efterforskningsförbudet, kopplat till den grundlagsfästa rätten att lämna uppgifter till media, respekteras. Kommunanställda har som huvudregel så kallad meddelarfrihet, om inte särskilda sekretessbestämmelser bryter meddelarfriheten. Meddelarfriheten ger de anställda vittgående möjligheter att lämna uppgifter till media för publicering. En myndighet eller dess företrädare får inte på något sätt efterforska vem som har utnyttjat sin meddelarfrihet. En kontroll av misstänkt felaktig användning av kommunikationsutrustningen får alltså inte innebära att en sådan grundlagsstridig efterforskning sker. För att leva upp till dessa krav kan du som chef utforma en kontroll på det här sättet: Om en enskild medarbetare är berörd bör du först be om att få hans eller hennes samtycke till kontroll om det är möjligt. Du bör sedan ge IT-enheten i uppdrag att låta medarbetaren stryka över de registrerade uppgifter som rör privata ändamål innan uppgifterna lämnas till dig för granskning. Ett undantag är om din misstanke gäller till exempel nedladdning av filer eller besök på webbplatser med material som är oförenligt med den kommunala arbetsuppgiften. Om de här möjligheterna till integritetsskydd för medarbetaren inte utnyttjas ska en intresseavvägning utifrån omständigheterna i det enskilda fallet göras av värderingsmötet enligt figur 1. Det krävs då att arbetsgivarens intresse av att granska uppgifterna klart väger över arbetstagarens behov av integritetsskydd. En granskning får dock aldrig göras i syfte att efterforska om en medarbetare har utnyttjat sin meddelarfrihet! Om det vid en granskning i annat syfte visar sig att en anställd har haft kontakter med media inom ramen för meddelarfriheten, får detta inte efterforskas närmare. Mera att läsa om arbetstagare och integritet Datainspektionens webbplats http://www.datainspektionen.se. Sök efter personuppgifter i arbetslivet. Datainspektionens rapport 2003:3, Behandling av personuppgifter för kontroll av anställda. Datainspektionens rapport 2005:3, Kontroll av de anställdas Internet- och e- postanvändning m.m. SOU 2002:18, Personlig integritet i arbetslivet (finns på www.regeringen.se).

4 (5) Kontrollprocesser Misstanke eskalerat Kontakt med chef ITenheten Säkerhet Fortsatt insamling Polisanmälan Vid misstanke kontaktväg Kontakt med säkchef/ Säksamordnare Inhämtning av info Värderingsmöte Beslut Tillräckligt underlag Allvarlighet Undersökningsprocess slutförd Internt ärende Surf Arbetsstation Telefoni Personalenhet Ingen åtgärd Kontakt med personalkontoret Verksamhetssystem Figur 1 Process för kontroll vid misstanke. Stickprov Ingen åtgärd Vid stickprov Kontroll surf & nättrafik Surf Finns avvikelser? NEJ NEJ Har avvikelse setts vid tidigare stickprov? Kontakta aktuell enhet Beslutar om hantering Stickprov slut Verksamhetssystem ITundersökare Bandbreddsnyttjande Figur 2 Process för stickprovskontroller.

5 (5) Påföljder vid konstaterat missbruk av kommunens IT-utrustning eller resurser Om en medarbetare bryter mot riktlinjerna och/eller missbrukar kommunens IT-utrustning eller -resurser kan det få påföljder enligt bilden nedan. Missbruk av kommunens informations - och IT-resurser Uppfattat missbruk Upptäckare It-tekniker Rapportera till Chef IT-enheten Verksamhetsrepresentant Verksamhetschef Olovligt resursutnyttjande Förtal Tryckfrihetsbrott Obehörig åtkomst Sekretess Dataintrång Sedlighetsbrott Annan person Alt2 Alt1 Säkerhetchef Exempel på missbruk : Felaktig användning av IT - resurser (typ PC-servrar) genom lagring, utskrift, inkoppling, installation, lån, programkopiering m.m. Uppkoppling mot ej seriösa webbsidor, tex skadliga programvaror (hackerverktyg, trojaner m.m), skadlig program kod (virus). Utskick av kedjebrev, reklam (spamming), hacking, cracking m.m. Användning av e -post eller via annat media uttrycka kränkande, hotande, rasistisk- eller religiös propagande m.m. Dataintrång: Åtkomst till känslig eller sekretessklassad information utanför de uppdrag man har. Sekretessbrott: Utlämnanade av sekretessbelagd information till obehörig. Brott mot tystnadsplikten Uppkoppling mot ej seriösa webbsidor, tex. pornografiska, sadistiskarasistiska inslag m.m Vid nyttjande av e-post sprida bilder eller inspelningar som kan såra eller skada annan person eller organsiation. Rapportera. Säkerställ bevis. Analys av omfattning/innehåll. Kontrollera så att riktlinjer -instruktioner samt verksamhetsrutiner är tydliga samt känd hos alla medarbetare. 1. Personalärende Möjliga påföljder vid konstaterat missbruk är enskilt samtal, skriftlig varning (AB05 11), avstängning, uppsägning /avsked (AB05 10), polisanmälan beroende på missbrukets art och omfattning. Figur 3 - Påföljder vid konstaterat missbruk av utrustning och resurser.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss