Informationssikkerhed - til medarbejdere

Denne informationssikkerhedsside er rettet mod dig, som er medarbejder i Randers Kommune.

Som medarbejder har du en vigtig rolle, da du er med til at sikre, at de enkelte opgaver udføres på en sådan måde, at kommunen som myndighed efterlever den gældende lovgivning, kommunens informationssikkerhedspolitik samt de tilhørende retningslinjer og procedurer. Din nærmeste leder vil orientere dig om regler for informationssikkerhed, herunder ansvarlighed i relation til Randers Kommunens it-systemer samt i det daglige følge at informationssikkerheden overholdes.

Randers Byråd har vedtaget en informationssikkerhedspolitik, som fastlægger mål og rammer samt den overordnede organisering af informationssikkerhed i kommunen. Politikken bestemmelser udmøntes i kommunens interne retningslinjer i form af informationssikkerhedshåndbogen.

Folderen skal give dig et kendskab til de vigtigste regler og retningslinjer, der gælder for informationssikkerhed i kommunen. Den skal også give dig et overblik over de opgaver, du som medarbejder har i forhold til informationssikkerhed, så du i praksis ved, hvad du skal gøre.

Vil du vide mere, kan du altid læse yderligere i informationssikkerhedshåndbogen. Under "EU databeskyttelsesforordning" finder du selve databeskyttelsesforordningen, vejledninger fra Datatilsynet, interne vejledninger, awarenessmateriale mv.

Informationssikkerhed skal generelt indgå i arbejdet i alle projekter. Krav til informationssikkerhed skal indgå som en del af kravspecifikationen fx krav til kryptering, autorisation og kontroller. Hvis der indgår persondata i systemet, skal der indgås en databehandleraftale, laves risikoanalyse, udarbejdes en systembeskrivelse mv. Se indkøbsguiden for yderligere information.

Det er udelukkende enheder der er anskaffet og konfigurereret af IT & Digitalisering, der må tilsluttes Randers Kommunes netværk. Enhederne må kun anvendes af dig som ansat i Randers Kommune og i forbindelse med varetagelse af dine opgaver. Der er dog undtagelse for mobiltelefoner, hvis man bliver beskattet af brugen. Private enheder må således ikke anvendes til løsning af arbejdsopgaver.

På mobile enheder (tablets og telefoner) skal du som bruger selv opdatere operativsystem og eventuelle apps. Det er her vigtigt, at der hurtigst muligt opdateres til nyeste version. Du vil normalt få at vide, hvornår der er kommet en ny version.

Som udgangspunkt er det ikke tilladt at opbevare persondata eller fortrolige data på fysiske medier. Fysiske medier er fx bærbar pc, mobiltelefoner, tablets, USB-nøgler, eksterne harddiske og lignende. Du kan i den nedenstående figur se nærmere, hvor du må gemme hhv. almindelige, fortrolige og følsomme personoplysninger.

I forbindelse med din ansættelse var der til ansættelsesbrevet vedlagt et bilag med information om Randers Kommunes behandling af medarbejderes oplysninger i henhold til reglerne om databeskyttelse. I ansættelsesbrevet fremgår det, at medarbejdere skal følge reglerne i databeskyttelsesforordningen. I din velkomstmail har du modtaget link til at gennemføre et obligatorisk kursus om GDPR og et obligatorisk kursus om informationssikkerhed. Det er vigtigt at disse gennemføres, så du bliver klædt på til at arbejde i kommunen.

Når du får tildelt adgange til forskellige systemer, så skal det altid være arbejdsmæssigt begrundet. Det vil sige, at adgangen tildeles efter "Need-to-know-princippet" – altså kun adgang til de systemer og informationer, som der er behov for til løsning af dine opgaver. Der er dog mulighed for i nogle systemer som fx P-data, at opnå adgang til flere oplysninger end nødvendigt. Men det er ikke tilladt at tilgå oplysninger, som ikke er nødvendige i forhold til dine arbejdsopgaver.

Når man som medarbejder får adgang til Randers Kommunes netværk og dermed adgang til Internettet, påhviler det den enkelte it-bruger at sikre, at færden på internettet hverken kompromitterer sikkerheden eller Randers Kommunes anseelse. Færden på internettet bliver logget og sker som en teknisk sikkerhedsforanstaltning med henblik på at identificere og blokere virus, malware, andre it-sikkerhedsmæssige trusler samt til fejlfinding. Derudover tilgår Randers Kommune kun undtagelsesvist loggen med det formål at kontrollere medarbejdernes adfærd, og såfremt der er begrundet mistanke om alvorlige brud på reglerne. På tilsvarende måde tilgår Randers Kommune loggen i fagsystemer.

Som it-bruger i Randers Kommune er du ansvarlig for at sikre bruger-id og adgangskode, som er strengt personlige og ikke må deles med andre. Du må ikke registrere adgangskoder på papir, bag tastaturet, i en fil eller lignende, men skal lagre koden forsvarligt og i henhold til god skik. Man bør ikke bruge samme adgangskode til mail, systemer mv., som man også anvender privat til fx sociale medier. Hvis du får mistanke om, at andre har fået kendskab til din adgangskode, så skal du straks ændre koden og orientere nærmeste leder.

Kryptering er en metode til at gemme og transmittere data i en form, hvor læsbare data bliver konverteret ved hjælp af en algoritme til et ikke læsbart format. Data kan kun afkodes tilbage til deres oprindelige form ved at anvende en specifik dekrypteringsnøgle.

Når fortrolige eller følsomme personoplysninger skal sendes uden for Randers Kommunes netværk, så skal de altid sendes krypteret. Til dette formål skal anvendes digital post eller sikker mail.

Når der arbejdes uden for Randers Kommunes lokationer skal der altid anvendes VPN på pc'en, hvilket sker automatisk på kommunens pc'er. VPN står for "Virtual Private Network" og giver mulighed for at oprette en beskyttet netværksforbindelse, når der bruges det offentlige netværk. VPN krypterer internettrafikken og skjuler derfor brugerens identitet på nettet.

It-brugere skal sikre, at udstyr, som er uden opsyn, er passende beskyttet. Det kan fx ske ved aflåsning af dør til lokalet. Yderligere skal aktive sessioner, applikationer og netværkstjenester afsluttes, når de ikke længere bruges og pc'en slukkes. Forlades pc'en i løbet af arbejdsdagen skal skærmlås aktiveres (gøres nemt ved tryk på flag + L på tastaturet).

Fysisk papir med følsomme eller fortrolige data skal låses inde i et skab eller pengeboks, når de ikke benyttes. Dette gælder både indenfor og udenfor normal arbejdstid.

Malware er en fællesbetegnelse for skadelige programmer som fx virus, orme og spyware, som er blevet installeret på pc'en uden der er givet tilladelse til det. Man kan få malware, hvis der fx er klikket på et ukendt link i en mail eller har downloadet et ukendt program. Får man mistanke om at man har fået malware, skal man straks kontakte IT & Digitalisering.

Indberetning af et sikkerhedsbrud som fx utilsigtet offentliggørelse af cpr-numre, en utilsigtet udlevering af personoplysninger eller lignende skal ske til Randers Kommunes Databeskyttelsesrådgiver (DPO) ved at gøre følgende:

• Klik på IT-support ikonet på dit skrivebord
• Vælg "Anmeld sikkerhedshændelse" og "Anmeld brud på persondatasikkerheden"
• Udfyld formular og klik på "Indsend".

Yderligere skal nærmeste leder orienteres.

Ved brud på persondatasikkerheden, skal kommunen uden unødig forsinkelse og senest 72 timer efter, at kommunen er blevet bekendt med det, anmelde bruddet på persondatasikkerhed til Datatilsynet. Det betyder at så snart du får kendskab til et sikkerhedsbrud, skal du indberette dette til DPO'en