Innholdsfortegnelse
1.4 Øvrige relevante dokumenter og krav
2.2 Informasjonsbehandling og virksomhetens bruk av opplysninger
2.4 Behandling av personopplysninger og sensitiv informasjon
2.5 Akseptabel bruk av virksomhetens IKT-utstyr
2.5.1 Virksomhetens IKT-utstyr
2.5.3 Privat eller tredjeparts IKT-utstyr
2.5.4 E-post, kalender, samhandlingsløsninger o.l.
2.6 Retningslinjer for bruk av sosiale medier
2.7 Identitet, passord og tilgangsstyring
2.8 Avhending av informasjon og IKT-utstyr
2.10 Melding om brudd på informasjonssikkerhet og personvern
Denne sikkerhetsinstruksen, heretter omtalt som «Instruksen», etablerer et felles sett med sikkerhetsregler for alle medarbeidere ved bruk av virksomhetens IKT-løsninger (informasjonssystemer) og elektronisk produserte og lagrede opplysninger. Instruksen gjelder uansett om opplysningene er direkte identifiserbare ved navn, fødselsnummer, pasient-ID, eller pseudonymiserte personopplysninger hvor et referansenummer gir koblingen til navn og andre direkte kjennetegn, og ellers annen informasjon som krever beskyttelse.
Instruksen er en del av det regionale styringssystemet for informasjonssikkerhet og personvern i Helse Midt-Norge, og er derfor gjeldende for den enkelte virksomhet i helseregionen.
Instruksen gjelder for alle medarbeidere, leverandører, konsulenter, vikarer og andre som gis tilgang til virksomhetens elektroniske tjenester. Dette omfatter all bruk av virksomhetens informasjonssystemer, inkludert, men ikke begrenset til, stasjonært og bærbart utstyr, nettverk, pasientsystemer og andre behandlingsrettede helseregistre, programvare, medisinskteknisk utstyr m.m.
Instruksen, samt et e-læringskurs om informasjonssikkerhet og personvern, skal være lest og gjennomgått av den enkelte, innen én måned etter at tilgang til virksomhetens elektroniske tjenester er gitt.
Avvik på denne instruks meldes i virksomhetens avvikssystem. Informasjonssikkerhetsrådgiver og/eller personvernombud skal varsles.
Virksomheten skal sørge for at Instruksen og e-læringskurset er lett tilgjengelig for alle ledere og medarbeidere i virksomheten. Enhver leder er ansvarlig for å informere sine medarbeidere om Instruksen og kurset, samt å følge opp at sine medarbeidere har gjennomført kurset og lest instruksen.
|
ID |
Dokument |
Link |
|
|
Overordnede prinsipper for regionalt styringssystem for informasjonssikkerhet og personvern |
|
|
|
Personvernerklæring |
|
|
|
Regional passordpolitikk |
|
|
|
Bruk av IKT-utstyr ved reiser til risiko-land |
|
|
|
Krav og retningslinjer for klassifisering av informasjons og informasjonssystemer i Helse Midt-Norge |
Forklaring/definisjoner av forkortelser, ord og begreper benyttet i dette dokumentet:
|
Begreper |
Forklaring/definisjon |
|
Medarbeider |
Et hvert individ som har tilgang til, behandler eller forvalter informasjon som ansatt, som leder eller på oppdrag for Helse Midt-Norge. |
Medarbeideren har et generelt ansvar for informasjonssikkerhet og personvern, som innebærer følgende plikter:
|
Generelle plikter |
|
|
#1. |
Du plikter å ha kjennskap til og etterleve denne sikkerhetsinstruksen. |
|
#2. |
Du plikter å gjøre deg kjent med ditt ansvar, og dine oppgaver og plikter som de er beskrevet i styringssystem for informasjonssikkerhet og personvern. |
|
#3. |
Du plikter å gjennomføre e-læringskurs om informasjonssikkerhet og personvern. |
Virksomheten eier all informasjon som blir til i regi av virksomheten og er ansvarlig for informasjon som gjøres tilgjengelig for deg i ditt arbeid. Dette inkluderer alle pasientopplysninger, alle ansattopplysninger, forskningsdata og administrative opplysninger. Det betyr følgende:
|
Informasjonsbehandling og virksomhetens bruk av opplysninger |
|
|
#4. |
Informasjon og IKT-utstyr skal kun brukes for virksomhetens formål, med mindre det er gitt eksplisitt tillatelse til slik bruk i denne instruksen eller andre deler av styringssystemet. |
|
#5. |
Som hovedregel gjøres det ikke innsyn i e-post og lokal/personlig lagret informasjon. I den grad slik oppslag gjøres, skjer det i henhold til gjeldende regler for innsyn i arbeidstakeres epost og personlig lagringsområde. Virksomheten logger bruk av IKT-utstyr og benytter disse til å kontrollere etterlevelse av blant annet bestemmelsene i styringssystem for informasjonssikkerhet og personvern (se Personvernerklæring og Krav og retningslinjer for logging og overvåkning i HMN (linker). |
Alle medarbeidere har lovpålagt taushetsplikt etter Forvaltningsloven § 13 når det gjelder personopplysninger og andre opplysninger man får tilgang eller kjennskap til i forbindelse med jobben. Helsepersonell har en utvidet taushetsplikt etter Helsepersonelloven § 21, når det gjelder alle personopplysninger de får tilgang til eller kjennskap til i kraft av å være helsepersonell.
Medarbeidere skal i tillegg signere en taushetserklæring som også gjelder sensitiv informasjon som medarbeidere får tilgang eller kjennskap til i forbindelse med jobben.
Taushetsplikten medfører:
|
Taushetsplikt |
|
|
#6. |
Du skal aktivt bidra til å hindre at uvedkommende får tilgang til taushetsbelagt informasjon. Taushetsplikten stiller altså ikke bare krav til at du ikke selv skal gi/dele informasjonen, det stiller også krav til at du gjør ditt for å hindre at uvedkommende får tilgang til informasjon. |
|
#7. |
Du skal kun gi taushetsbelagt informasjon til personer som er autorisert og har tjenstlig behov for den. |
|
#8. |
Du skal ikke forsøke å få tilgang til eller på annen måte gjøre deg kjent med informasjons som du ikke er autorisert eller har tjenstlig behov for. |
|
#9. |
Du plikter å følge virksomhetens prosedyrer for behandling og for utlevering av personopplysninger. |
For å ivareta pasienters og medarbeideres personvern og virksomhetens interesse er det avgjørende at virksomheten har full kontroll med hvordan personopplysninger og sensitiv informasjon behandles. Dette innebærer følgende:
|
Behandling av personopplysninger og sensitiv informasjon |
|
|
#10. |
Du skal bare behandle (inkludert lagre og utlevere) personopplysninger og annen sensitiv informasjon i henhold til godkjente prosedyrer og kun benytte program- og maskinvare som er godkjent for formålet. |
|
#11. |
Du skal bidra til at all behandling av personopplysninger er dokumentert og følger retningslinjene for behandling av personopplysninger. |
Virksomheten stiller program- og maskinvare til rådighet for medarbeidere til arbeidsrelaterte formål. For en fungerende informasjonssikkerhet er det viktig for virksomheten å ha kontroll med alt utstyr som benyttes for virksomhetens formål.
Dette innebærer:
|
Virksomhetens IKT-utstyr |
|
|
#12. |
Du skal kun bruke virksomhetens godkjente program- og maskinvare til å utføre dine arbeidsoppgaver. Dette omfatter også bruk av skytjenester. |
|
#13. |
Du skal ikke låne eller låne bort IKT-utstyr til andre, med mindre utstyret er godkjent for deling og det lånes bort til kolleger som bruker egen elektronisk identitet for å få tilgang til utstyret. |
|
#14. |
Virksomhetens IKT-utstyr kan brukes til begrenset privat bruk, så lenge dette ikke påvirker arbeidet. |
|
#15. |
Minne-penner og andre former for eksterne lagringsenheter skal ikke kobles til virksomhetens IKT-utstyr, med mindre disse er godkjent for bruk i virksomheten og man kjenner til enhetens opprinnelse. Sørg for at slike enheter ikke på noe tidspunkt blir delt med eller gjøres tilgjengelige for uvedkommende personer eller tilkobles ukjent utstyr. |
Arbeid hjemme, på reiser eller på annet sted utenfor arbeidsplassen må gjøres i tråd med øvrige bestemmelser. Ettersom teknisk og fysisk miljø ikke er sikret må det i tillegg tas ekstra forholdsregler for å hindre sikkerhetsbrudd.
|
Utenfor arbeidssted |
|
|
#16. |
Du skal ikke jobbe med taushetsbelagt informasjon på steder der uvedkommende kan få innsyn (f.eks. på fly, tog, kafé, etc). Dette gjelder også telefonsamtaler som omhandler taushetsbelagt informasjon i det offentlige rom. |
|
#17. |
Du skal kun koble til trådløse nettverk du kjenner og som du har lov til å bruke. Ved tvil skal mobilnett benyttes for nettverkstilkobling. |
|
#18. |
Du skal holde PC og all taushetsbelagt informasjon under oppsyn, eller eventuelt oppbevare den innelåst eller på et annet sikkert sted. For eksempel skal PC og taushetsbelagt informasjon ikke sendes som innsjekket bagasje. |
|
#19. |
For reiser til land som PST har definert som risiko-land skal egne regionale krav og retningslinjer for bruk av IKT utstyr følges. Se dokument «Bruk av IKT-utstyr ved reiser til risikoland» (link). |
|
Privat eller tredjeparts IKT-utstyr |
|
|
#20. |
Privat IKT-utstyr skal kun kobles i virksomhetens trådløse gjestenettverk. |
|
#21. |
Du kan bruke private mobiltelefoner og nettbrett til e-post og kalenderinformasjon bare dersom det er inngått avtale om dette og enhetene er under kontroll av virksomhetens løsning for kontroll med mobile enheter. |
Informasjonssikkerhetsutfordringene med e-post, kalender og samhandlingsløsninger (som f.eks. Teams) er i all hovedsak knyttet til
a) utilsiktet eller usikret utlevering av taushetsbelagt informasjon,
b) utilsiktet utlevering av autentiseringsinformasjon (brukernavn og passord) eller annen personlig informasjon, eller
c) fare for at PC blir infisert av og sprer skadelig programvare.
Husk at e-post og kalenderinvitasjoner er relativt enkelt å forfalske, også avsenderadresse. Når du sender e-post, kalenderinvitasjoner, tale- og tekstmeldinger eller benytter samhandlingsløsninger (chat etc) skal du gjøre det du kan for å hjelpe mottakeren med å skjønne at det er en ekte melding.
|
E-post, kalender, Teams osv. |
|
|
#22. |
Du skal ikke bruke e-post til å sende taushetsbelagt informasjon, med mindre det er i henhold til en dokumentert og godkjent prosedyre (se også #8). Vær særlig oppmerksom på videresending av e-post. |
|
#23. |
Du skal kontrollere at du har skrevet riktige adresser til samtlige mottakere og at eventuelle vedlegg er korrekte. |
|
#24. |
Du skal beskrive eventuelle vedlegg eller lenker i teksten og forklare hva de inneholder. |
|
#25. |
Du bør være nøktern og saklig i all kommunikasjon. E-poster og Chat-meldinger kan videresendes. |
For epost, kalenderinvitasjoner, Teams og tekstmeldinger (chat), gjelder følgende regler:
|
E-post, kalender, Teams osv. |
|
|
#26. |
Kontroller at avsenderadressen stemmer med navn og virksomhet til avsender. |
|
#27. |
Du skal kun åpne vedlegg med filtyper du kjenner. Ukjente filtyper og kjørbare filer (f.eks .EXE, .BAT, .COM, .PIF, .VBS) skal ikke åpnes. |
|
#28. |
Du skal deaktivere macroer i Word eller Excel-filer du mottar som vedlegg, med mindre du har fått bekreftet i separat kommunikasjon hva makroene gjør og at de er nødvendige for informasjonen i filen. |
|
#29. |
Du skal bare følge lenker til nettsteder (domener) du kjenner og bare dersom lenken er forventet basert på innhold og avsender. |
|
#30. |
Dersom du mottar epost med taushetsbelagt informasjon skal du straks varsle avsender per e-post eller telefon. Taushetsbelagt informasjon skal fjernes fra epost før den sendes. |
|
#31. |
Dersom du du mottar epost med vedlegg eller lenker du ikke forventer, ikke skjønner eller som på annen måte gjør deg usikker, skal du ikke åpne disse før du eventuelt har fått bekreftet fra avsender at eposten er ekte. |
I utgangspunktet skal bruk av internett i virksomhetens nettverk skal være jobbrelatert, men begrenset privat bruk tillates så lenge følgende overholdes:
|
Internett |
|
|
#32. |
Du skal kun benytte virksomhetens utstyr til lovlig aktivitet og opptre i samsvar med etablerte etiske normer og HMNs etiske retningslinjer. |
|
#33. |
Det er ikke tillatt å laste ned, laste opp eller installere programvare, mediefiler eller virksomhetens informasjon dersom ikke det er godkjent og direkte knyttet til dine arbeidsoppgaver. |
|
#34. |
Du skal ikke lagre passord i nettleseren. |
Sosiale medier kan være nyttige verktøy også i jobbsammenheng. Imidlertid må bruken av slike medier være behersket, for å hindre at det ikke utsetter deg selv eller virksomheten for fare. Spesielt gjelder dette å begrense informasjon som kan benyttes til sosial manipulering av deg selv eller dine kolleger. Derfor er følgende viktig:
|
Retningslinjer for bruk av sosiale medier |
|
|
#35. |
Du skal ikke bruke sosiale medier til å formidle taushetsbelagt informasjon. Dette gjelder selv om mottakere er autorisert for slik informasjon og har tjenstlig behov. |
|
#36. |
Du skal ikke oppgi eller formidle informasjon om virksomhetens sikkerhetstiltak eller sårbarheter i sosiale medier. Dette gjelder også egne eller andres tilgangsrettigheter, sikkerhetsrutiner, programvareversjoner, etc. |
|
#37. |
Du bør være kritisk til og forsiktig med hvilke opplysninger du deler i sosiale medier. |
Tilgangsstyring er helt sentralt for arbeidet med informasjonssikkerhet i virksomheten. Brukernavn eller Pulskort representerer din personlige digitale identitet og danner grunnlaget for hva du har tilgang til i henhold til den rolle og det ansvaret du har i virksomheten.
|
Identitet, passord og tilgangsstyring |
|
|
#38. |
Din digitale identitet (Pulskort) er personlig og skal aldri deles med eller lånes bort til andre, heller ikke kolleger. Du skal derfor ikke dele innloggingen med andre. |
|
#39. |
Du skal ikke benytte samme passord på jobb og privat |
|
#40. |
Du skal bruke unike passord per tjeneste eller applikasjon. |
|
#41. |
Du skal være oppmerksom, dersom du via epost, sms, sosiale media, nettsider eller lignende blir bedt om å oppgi passord/PIN eller ID på annen måte enn det som er normalen. |
|
#42. |
Passord og PIN-koder skal holdes hemmelig og skal ikke oppgis eller utleveres til noen andre. |
|
#43. |
Du skal velge et passord i tråd med virksomhetens passordpolitikk. |
|
#44. |
Du skal være autorisert og ha tjenstlig behov for de systemer og informasjon du bruker i arbeidet ditt. |
|
#45. |
Du skal ikke etterlate din PC med Pulskortet stående i, uten at du har tilsyn med denne. |
|
#46 |
Dersom du via e-post, tekstmeldinger eller lignede, blir bedt om å oppgi eller endre personlige koder, ID eller påloggingsinformasjon til programmer eller tjenester du er bruker av, skal du utvise forsiktighet. Slike henvendelser kommer normalt ikke på e-post eller SMS og du bør derfor vurdere om dette kan være en falsk henvendelse. Benytt alltid den offisielle, standardiserte, kjente og sikre tilgangsmetoden til applikasjoner og/eller tjenester når du skal skrive inn eller endre personlige passord, koder, ID eller annen påloggingsinformasjon. |
All taushetsbelagt informasjon må håndteres sikkert i hele livsløpet. Det vil si at det også må være en sikker måte å destruere eller avhende informasjonen eller informasjonsmediet når det ikke lenger er bruk for den.
|
Avhending |
|
|
#47. |
Papirutskrifter med taushetsbelagt informasjon skal makuleres i henhold til gjeldende prosedyre. |
|
#48. |
IKT-utstyr som ikke lenger er eller skal være i bruk, skal leveres til Hemit, for sikker destruksjon. Dette gjelder for eksempel PC’er, skrivere, minnepinner og eksterne harddisker. |
|
#49. |
Medisinsk-teknisk utstyr som har lagringsmedia med sensitiv informasjon, skal leveres medisinsk-teknisk avdeling for sikker destruksjon. |
Det er flere områder i virksomheten som har fysisk adgangskontroll. For at adgangskontrollen skal virke etter hensikt er det avgjørende at du bidrar og aktivt forhindrer at den brytes.
|
Fysisk sikkerhet |
|
|
#50. |
Du skal bære gyldig adgangskort godt synlig når du er på jobb. |
|
#51. |
Personer som oppholder seg i et område med adgangskontroll uten synlig adgangskort skal følges ut av området eller til annet autorisert personell som kan verifisere at vedkommende er autorisert for området. Når du går inn eller ut av et område med adgangskontroll, plikter du å sørge for at personer som går inn eller ut samtidig med deg har gyldig adgangskort eller at de kan verifiseres av andre med gyldig adgangskort. Ha inngangsområdet under oppsyn frem til døren er lukket etter deg. |
Smartkort/Puls-kort gir økt sikkerhet gjennom at det kreves et fysisk kort i tillegg til PIN-kode for å logge på en PC. Dette innebærer imidlertid at kort og PC aldri må oppbevares sammen når de ikke er under ditt oppsyn.
|
Fysisk sikkerhet |
|
|
#52. |
Du skal ta med Puls-kortet når du forlater en PC. |
|
#53. |
Du skal alltid oppbevare PC og Pulskort adskilt fra hverandre når disse ikke er i bruk. |
For å stadig forbedre arbeidet med informasjonssikkerhet og personvern er det viktig å få frem alle avvik og svakheter. På den måten kan styringssystemet og arbeidet endres slik at tilsvarende avvik og brudd unngås i fremtiden.
|
Melding om brudd |
|
|
#54. |
Du skal melde fra om brudd, eller mistanke om brudd, på bestemmelsene i styringssystem for informasjonssikkerhet og personvern. |
|
#55. |
Du skal melde fra om svakheter eller mangler i styringssystem for informasjonssikkerhet og personvern. |
|
#56. |
Plikten til å melde om avvik eller svakheter gjelder uavhengig av om det er du eller andre som er ansvarlig for at avviket eller svakheten har oppstått. |
|
#57. |
Du skal melde brudd, avvik og svakheter i EQS i henhold til gjeldende rutiner i styringssystemet i virksomheten. |
Brudd på taushetsplikt, bestemmelser i denne sikkerhetsinstruksen eller øvrige deler av styringssystem for informasjonssikkerhet kan medføre alvorlige konsekvenser for deg. Avhengig av alvorlighetsgraden og omstendighetene for øvrig kan følgende sanksjoner ilegges:
• Muntlig advarsel
• Skriftlig advarsel
• Begrensninger som databruker
• Innrapportering til Helsetilsynet
• Politianmeldelse
• Oppsigelse eller avskjedigelse, inkludert heving av kontrakt ved innleie.