IKT-reglement for Hole Kommune

Brukere av kommunens IKT-ressurser skal bidra til å opprettholde sikkerhetsnivået, bla. ved å: 

• Forhindre uautorisert tilgang til IKT-løsninger. 
• Forhindre at personopplysninger blir tilgjengelige for uvedkommende.  
• Være oppmerksom på trusler som for eksempel skadelig programvare.  

Ved mistanke om hendelser som truer informasjonssikkerheten i Hole kommune skal brukeren umiddelbart rapportere dette til sin leder eller til IKT-avdelingen. 
 

  2.1. Identitet 

2.2. Formålstjenlig 

Brukerne skal kun benytte sine tilganger og utlevert IKT-utstyr til lovlig, formålstjenlig bruk. 

Dette betyr: 

• Det er ikke tillatt for kommunalt ansatte å søke etter, tilegne seg, bruke eller besitte andre opplysninger i journaler, fagsystemer eller andre registre uten at det er saklig begrunnet i den ansattes arbeidsoppgaver. Det er forbudt å lese, søke etter eller på annen måte tilegne seg, bruke eller besitte helseopplysninger som behandles etter helseregisterloven uten at det er begrunnet i helsehjelp til pasienten, administrasjon av slik hjelp eller har særskilt hjemmel i lov eller forskrift, jf. helseregisterloven §18. 
• Bruker skal sette seg inn i regelverk for håndtering av taushetsbelagte opplysninger og øvrig konfidensiell informasjon. 
• Kommersiell bruk av kommunale IKT-ressurser er ikke tillatt. Produksjon av kryptovaluta går under dette og er dermed ikke tillatt. 

2.3. Privat bruk 

Privat bruk av nettverk og filområder/onedrive er tillatt kun i svært begrenset omfang. Slik informasjon skal legges i mapper merket «Privat» slik at de holdes adskilt fra Hole Kommune sine data.  

Dette betyr 

• Eventuell privat bruk skal ikke oppta store ressurser og skal lagres i egen mappe merket «Privat».  
• IKT-ressurser skal ikke benyttes til egen næringsvirksomhet. 
• Ansatte skal benytte privat e-post konto til privat bruk (for eksempel gmail). Det er altså ikke tillatt å benytte hole.kommune e-post til private tjenester. Mottar du e-poster av privat karakter skal disse legges i en mappe merket "Privat" eller slettes.

2.4. Rettigheter 

Alle brukere skal respektere gjeldende lover angående opphavsrettigheter, lisenser og vilkår i henhold til avtaler Hole Kommune har inngått. Dette gjelder både programvare og annen rettighetsbelagt informasjon som tekst, bilde og lyd. 
 

Dette betyr  

• ​Det er brukers plikt å undersøke om det vedkommende gjør tilgjengelig for andre ved hjelp av Hole Kommune sine IKT-ressurser, er vernede verk. 
• Det er ikke tillatt å gjøre data, musikk- og media-filer, tilgjengelig på eller via Hole Kommune sine IKT-ressurser uten tillatelse fra rettighetshaver.  
• Det er brukerens plikt å innhente de nødvendige tillatelsene fra rettighetshavere før rettighetsbelagt innhold gjøres tilgjengelig for andre. 
• Det ikke tillatt for brukere å legge ut lenker til ulovlig materiale, eller benytte fildelingsprogram, på Hole Kommune sine IKT-ressurser. 
• Kopiering av programvare til privat bruk uten tillatelse er forbudt. 

2.5. Sømmelig bruk 

Hole kommune sine IKT ressurser skal ikke brukes til å:  

• krenke privatlivets fred  
• fremsette ærekrenkelser eller diskriminerende uttalelser  
• gjøre opptak av skjermbilder og/eller distribusjon uten samtykke  
• tilegne seg, se eller formidle materiale som er forbudt ved lov  
• spre taushetsbelagte opplysninger  
• utføre, oppfordre eller medvirke til straffbare handlinger.  

2.6. Taushetsplikt 

3.1. Kommunalt IT-utstyr

• Datautstyr som eies av Hole Kommune skal oppbevares slik at det er lav risiko for at det blir stjålet eller ødelagt.
• Datamaskinen skal låses når du ikke har synlig kontroll på den.
• Kommunalt IKT-utstyr skal i utgangspunktet ikke brukes av andre enn ansatte i Hole kommune.
• Kun programvare lisensiert til Hole kommune, og godkjent av IKT-avdelingen kan benyttes på kommunens datautstyr og nettverk.
• Bruker skal vise årvåkenhet og aktsomhet for å unngå at ondsinnet eller skadelig programvare blir kjørt på kommunalt IKT-utstyr.
• Det er i utgangspunktet ikke tillatt å bruke fjernstyringsverktøy (Teamviewer o.l.) med mindre dette er godkjent av IKT-avdelingen.  
• Handlinger for å omgå sikkerhetsinnstillinger og mekanismer rundt dette er under ingen omstendigheter tillatt.

• Det er ikke tillatt å utgi seg for å være en annen ansatt ved bruk av kommunens IKT løsninger.
• Passord og PIN-koder skal memoreres, holdes hemmelig og ikke oppbevares slik at andre kan finne det. Det skal for eksempel ikke nedskrives på en lapp.
• Passord skal ikke gjenbrukes. Passordet du benytter mot kommunens tjenester skal være unikt og ikke benyttes på andre nett-tjenester.
• Vi anbefaler å benytte en frase eller setning som passord, da det blir enklere å memorere. Passord bør være så langt som mulig (minst 16 tegn eller 5 ord), inneholde små bokstaver, store bokstaver, tall og tegn. Passord må være forskjellig fra de 5 foregående passord. Passord skal ikke inneholde navn som kan knyttes til brukeren – som for eksempel familiemedlemmer, stedsnavn, titler eller årstall.
• Passord til fagsystemer som ikke benytter «Singel sign-on» skal skiftes minimum 1 gang i året. IKT-avdelingen er ansvarlig for å sende ut påminnelser om dette.
• Ved glemt passord eller mistanke om passord på avveie, må passordet endres umiddelbart. Bruker skal også umiddelbart ta kontakt med IKT-avdelingen.

3.3. Anskaffelse av programvare eller utstyr
Anskaffelse av ny programvare og utstyr skal gjøres i henhold til kommunens innkjøpsreglement og i henhold til kommunens policy for anskaffelse og forvaltning av programvare (systemer, apper) som er beskrevet i kommunens styringssystem for informasjonssikkerhet. Det vises til Compilo og kommunens intranett.

3.4. Bruk av internett og e-post
E-post er ikke definert som en sikker kommunikasjonsplattform og skal ikke benyttes til distribusjon av sensitive opplysninger. Til dette benyttes alltid respektive fagsystemer.
E-postkontoen du får tildelt som ansatt i Hole kommune er kommunens eiendom.

• Dersom det mottas e-post med sensitiv eller taushetsbelagt informasjon skal denne ikke videresendes eller besvares uten at den sensitive informasjonen er slettet. Avsender bør alltid varsles om at det ikke er ønskelig å sende e-post med sensitiv informasjon til kommunen av personvernhensyn, samt at kommunen ikke kan bruke e-post til slik informasjon. Dersom e-post av bestemte grunner likevel må benyttes til sending av sensitiv informasjon, skal den sensitive informasjonen lagres i et dokument som er kryptert med 7-Zip. Passord til filen, må sendes separat på SMS til mottaker.
  Spør IT-avdelingen om hjelp dersom du trenger hjelp til å sende kryptert e-post.
• Hole kommune følger datatilsynets råd og veiledninger for håndtering av personopplysninger:

Les datatilsynets definisjon av personopplysninger her

Les datatilsynets retningslinjer rundt personnummer her

• Ved mistanke om at e-post inneholder skadelig programvare eller forsøk på svindel, skal e-posten slettes umiddelbart. Linker eller vedlegg må ikke åpnes ved mistanke om skadelig innhold. Utvis særlig aktsomhet ved mottak av e-post med vedlegg eller lenker fra ukjent avsender. Kontakt IKT helpdesk om du trenger hjelp til å vurdere e-poster eller nettsider.
• Husk at e-post og SMS benyttet i saksbehandling også skal arkiveres i kommunens sak/arkivsystem.
• Ikke skriv sensitiv eller taushetsbelagt informasjon i kalenderen, da denne kan være åpen for andre brukere og synkroniseres mot blant annet telefoniløsninger.
• Ved planlagt fravær er det den ansattes ansvar å aktivere fraværsassistent slik at avsendere får beskjed om hvem som kan ta imot og følge opp eposthenvendelser som haster.
• Ikke bruk Facebook, Gsuite, Dropbox eller lignende internettbaserte tjenester til lagring av data eller saksbehandling. Kun kommunens egne systemer skal brukes til formålet.
• Sensitiv informasjon må ikke utveksles med mindre godkjente krypteringsløsninger benyttes.
• Ikke trykk på lenker eller knapper uten at du er sikker på hva du trykker på.
• Ikke godkjenn endringer på din datamaskin eller andre enheter uten at du er trygg på endringene.
• Vis nettvett: Nettvettreglene - Nettvett.no
• Er du usikker og trenger hjelp til vurdering ovenstående kontakt IKT helpdesk.

3.5. Lagring av data og dokumentsikkerhet
Lagret informasjon er kommunens eiendom. For å sikre og sikkerhetskopiere informasjon er det viktig at kommunen har oversikt over hvor data blir lagret. Følgende regler gjelder:

• Sensitiv eller gradert informasjon skal kun lagres i fagsystemer som er godkjent for formålet.
• Tjenesterelaterte arbeidsdokumenter skal lagres på kommunens fellesområder, fortrinnsvis i kommunal Teams eller Onedrive plattform.
• IKT-avdelingen tar ikke ansvar for data som er lagret lokalt på PC eller andre enheter. Dette vil gå tapt ved tap av utstyr eller re-tanking.
• Taushetsbelagt informasjon skal ryddes bort og sikres tilfredsstillende når du forlater arbeidsplassen din.
• Sikker Print skal alltid benyttes om du skriver ut taushetsbelagt informasjon. Slike dokumenter skal sikres og makuleres etter bruk.

3.6. Mobile enheter og eksterne lagringsmedier
Mobile enheter utgjør en stor sikkerhetsrisiko. Følgende regler gjelder for mobile enheter som benyttes i jobbsammenheng:

• Mobile enheter skal skallsikres med tilgangskontroll som passord, pinkode, ansiktsgjenkjenning eller fingeravtrykk.
• Personopplysninger og annen gradert informasjon skal ikke produseres, lagres, sendes eller på annen måte mangfoldiggjøres uten at enheten er godkjent for dette av IKT.
• Minnepinnepinner og andre eksterne lagringsmedia skal krypteres der dette er gjennomførbart.
• Minnepinner eller andre flyttbare lagringsmedier som man finner, eller av andre grunner ikke kjenner opphavet til, skal ikke kobles til PC’er i kommunens nett.
• Telefon eller nettbrett som er mistet, stjålet eller kommet på avveie må meldes inn til IKT helpdesk umiddelbart, slik at SIM kort blir sperret og enheten fjernslettes der dette er mulig.
• SMS skal ikke brukes til å formidle sensitiv eller gradert informasjon.
• Det vises til kommunens retningslinjer for mobiltelefon.

Hole kommune følger Datatilsynets retningslinjer rundt Innsyn i e-post og annet elektronisk lagret materiale.

• Kommunedirektør kan fatte beslutning om innsyn i den enkelte ansattes postboks eller hjemmeområde dersom: det er nødvendig for å kunne ivareta driften av virksomheten eller andre berettigede interesser ved virksomheten eller ved mistanke om grove brudd på arbeidstakers plikter.
• Den ansatte skal varsles om innsynet på forhånd og få mulighet til å være til stede hvis dette er praktisk og tidsmessig mulig og det ikke er fare for bevisødeleggelser. Gjennomføring av innsyn skal dokumenteres, begrunnes og journalføres.
• Den enkelte ansatte kan selv gi ledere og andre ansatte innsyn i sine e-post- og filområder ved behov, for eksempel ved sykdom eller permisjon. En slik tillatelse skal alltid gis skriftlig. Innsyn skal dokumenteres og journalføres. 
• IKT-avdelingen i kommunen benytter systemverktøy som overvåker IKT-løsningene. Informasjon og logger fra disse brukes kun til driftsformål. I tillegg har alle datasystemer i kommunen varierende grad av sporbarhet gjennom ulike loggfunksjoner der brukernes aktivitet lagres. Alle slike logger vil bli kontrollert, systematisk eller gjennom stikkprøver.
• IKT-avdelingens ansatte, systemansvarlige og andre med en spesiell rolle i drift av kommunens IKT-løsninger, har taushetsplikt med hensyn til informasjon de på denne måten får tilgang til om den enkelte ansattes bruk av disse løsningene. 

• Alt kommunalt IKT-utstyr skal leveres tilbake til IKT-avdelingen ved avslutning av arbeidsforholdet. Lagrede data blir da slettet og utstyret blir renset / retanket.
• Den ansatte har selv ansvar for å videreformidle informasjon som skal bevares, enten til rett person eller at det legges inn i aktuelt fagsystem eller Team.
• Data lagret i postboksen og på hjemmeområdet vil bli slettet, men en backup blir bevart i 3 måneder etter endt ansettelsesforhold. Deretter vil informasjonen bli slettet for godt.
• Brukerkontoer til den ansatte som slutter vil bli sperret når ansettelsesforholdet avsluttes.
• Ved dødsfall vil postboks og hjemmeområde bli slettet etter 3 måneder, med mindre det er satt frem krav om innsyn i opplysningene.