061014 - Steinkjer kommune
Protokoll fra styremøte for Inn-Trøndelag IKT06.10.14 Saker: 14/ 9 Regnskapsrapport pr august 2014 14/ 10 Handlingsplan 2014 14/ 11 Omdisponering av investeringsmidler 14/ 12 Budsjett 2015 14/ 13 Investeringsbudsjett 2015 14/ 14 Databehandleravtale med Inderøy og Verran 14/ 15 Informasjons- og datasikkerhet – fellesstyringsdokumenter i Inn-Trøndelagsamarbeidet 14/ 16 Utredning – Snåsakommune – eventuelt inn som deltager i IKTInn-Trøndelag Sak 14/9 Regnskapsrapport Vedtak: Vedlagt budsjett og regnskapsrapport pr august tas til orientering Oppdatert handlingsplan med budsjettoversikt tas til orientering Saksfremstilling: Justert budsjett og investeringsbudsjett 2014 ble behandlet i samtlige tre kommunestyrer i juni. Det er rapport i forhold til dette som nå fremlegges til administrativt styre. Det har våren 2014 blitt gjennomført en organisasjonsutviklingsprosess i enheten. En oppdatert handlingsplan er utarbeidet og følger vedlagt. I møtet presenteres IKT Inn-Trøndelag pr dato. Enheten rapporterer uten avvik. Det er et overforbruk på lønn som dekkes inn av refusjon fra NAV. Overforbruket på overtidslønn skyldes omfattende arbeid utenfor kontortid i en driftskritisk periode ved inngangen til budsjettår. Dette avtar betydelig 2. halvår. Vedlikehold av bygg og maskiner er benyttet til utbedringer av infrastruktur hvor driftsvansker har oppstått. Dette er nettverksrelaterte anskaffelser. Behovet for kjøp av tjenester har vært noe mindre enn antatt. Økonomi Rådmannen IKT Inn-Trøndelag Rev. budsjett Regnskap hiå Beskrivelse 201408 Forbruk i % Prognose avvik Prog Prognose forbruk i% forbruk Netto drift og finans 10 354 0 0,00 -1 -1 0,00 Netto driftsresultat 10 354 -445 -2326,72 -1 -446 100,22 Sum driftsutgifter 10 661 17 728 60,14 150 17 878 100,85 1 926 3 500 55,04 -50 3 450 98,57 Vikar med refusjon 182 0 0,00 182 182 0,00 Overtid 170 100 169,95 0 100 100,00 Sosiale utgifter 674 1 110 60,72 40 1 150 103,60 Kontorutgifter 41 50 81,61 0 50 100,00 3 0 0,00 3 3 0,00 10 10 99,86 10 20 200,00 1 009 2 000 50,44 -85 1 915 95,75 Annonse, reklame og informasjon 7 28 25,43 0 28 100,00 Opplæringstiltak 5 75 7,01 0 75 100,00 Oppgavepliktige godtgjørelser 13 45 28,73 0 45 100,00 Andre utgifter 10 30 34,57 0 30 100,00 2 688 3 870 69,45 0 3 870 100,00 106 210 50,55 0 210 100,00 67 110 60,45 0 110 100,00 142 150 94,75 50 200 133,33 2 253 3 415 65,98 0 3 415 100,00 402 1 000 40,16 0 1 000 100,00 0 25 0,00 0 25 100,00 954 2 000 47,69 0 2 000 100,00 -307 -18 173 1,69 -18 324 100,83 -103 -150 68,38 0 -150 100,00 0 -300 0,00 0 -300 100,00 -29 0 0,00 0 0 0,00 -151 0 0,00 -151 -151 0,00 0 -2 000 0,00 0 -2 000 100,00 -24 -15 723 0,16 0 -15 723 100,00 Netto finansresultat 0 445 0,00 0 445 100,00 Sum finansutgifter 0 445 0,00 0 445 100,00 0 445 0,00 445 100,00 10 354 0 0,00 -1 0,00 Lønn i faste stillinger Medisiner, medikamenter og matvarer Forbruksvarer Post, bank og telefon Leie av lokaler og grunn Inventar og utstyr Kjøp, leie og leasing av transportmidler Vedlikehold av bygg og maskiner Serviceavtaler og reparasjoner Kjøp av tjenester Kjøp av varer og tjenester fra kommuner Moms generell kompensasjonsordning Sum driftsinntekter Annet avgiftspl. salg av varer og tjenester Fordelte utgifter Overføringer fra staten Overføringer fra trygdeforvaltningen Refusjon moms driftsregnskapet Overføringer fra kommuner Renter og andre finansutgifter I alt -151 0 Enhetsleders kommentarer: Enheten rapporterer uten avvik. Det er et overforbruk på lønn som dekkes inn av refusjon fra NAV. -1 Sak 14/10 Handlingsplan 2014 Vedtak: Oppdatert handlingsplan med budsjettoversikt tas til orientering Saksfremstilling: Handlingsplan 2014 IKT strategi behandlet i administrativt styre er lagt frem for ansatte i IKT Inn-Trøndelag og følgende handlingsplan for 2014 er utarbeidet med bakgrunn i revidert investeringsbudsjett for enheten gjennom behandling av sak 14/3. IKT-strategi I Inn-Trøndelagsamarbeidet utnyttes IKT for å nå virksomhetenes målsettinger. Et godt fungerende og stabilt nett inklusive telefoni legges til grunn i all saksbehandling og kommunikasjon i Inn-Trøndelagskommunene. IKT må av den grunn jobbe ut fra følgende strategiske innsatsområder i 2014-2018: Bedre samhandlingen, øke effektivitetsgevinsten og tjenestekvaliteten gjennom den samlede kompetansen som nå er lagt til IKT Inn-Trøndelag Stabilisere IKT infrastruktur gjennom en funksjonell serverpark og back-up løsninger Gi mer helhetlig bistand til enheter og enkeltbrukere gjennom help-desk, fagapplikasjonsbistand og med bistand fra kjøpte tjenester. Strømlinjeforme utstyr som brukes i saksbehandling og kommunikasjon Handlingsplan 2014 Prosjekt nr 1601 1602 1603 1604 1605 1606 1607 1608 1609 1610 5512 5828 Prosjekttittel Budsjett Felles IKT – Serverkapasitet Felles IKT - Core switch Felles IKT - Backup offsite Felles IKT – Fjernnettløsning Felles IKT - Servere og backup Felles IKT – Telefoni Felles IKT – infrastruktur Felles IKT – viritualisering Felles IKT - recovery site Felles IKT - livsløpsvedlikehold servere DIFI - Felles AD og arbeidsflate IKT IKT og kontorstøttetjenesten - IKT skole/barnehage 145 600 800 000 353 500 100 000 457 400 510 100 36 400 500 000 600 000 200 000 Ansvarlig Stian Espen/Ragnar Stian Stian Stian Kenneth Espen Stian Stian/Ragnar Stian 695 000 Ragnar/Aud 3 808 600 Ragnar/ Steinar 5920 Konvergert løsning servere 1 500 000 Stian 1611 Oppdatering fagapplikasjoner (ePhorte) 500 000 Randi 1612 Kjøling/ brannsikring 300 000 Stian/Ragnar 1613 Lokal serverutvidelse 300 000 Stian Aktiviteter til handlingsplanen som ikke inngår i enhetens eget investeringsbudsjett for 2014: Prosjekt Agresso ASP Elevnett AD Elevnett Skoleportal Elevnett infrastruktur Steinkjer Nødstrøm/hovedtavle Mobil Omsorg IKT ansvarlig Stian Steinar/Ragnar Steinar/Ragnar Steinar/Ragnar IOKS Ny kopiavtale Ny telefoniavtale Førstelinje-prosjektet e-Handel Barnehageutbygging Steinkjer Infrastruktur Samfunnshuset Steinkjer Valg 2015 Ragnar/Espen Odd Erik Kenneth Randi Ragnar/Stian Aud Tidspunkt 1.10.14 15.8.14 Pågående forhandlinger med leverandører, H2014 1.10.14 (gjelder etterhvert alle tre kommuner) 16.11.14 Påbegynnes etter avtale med fagansvarlige i kommunene. Fortløpende 2014 Påbegynnes 2014. Klar innen 1.8.15 Påbegynnes 2014. Klar innen 1.4.15 Espen 1.11.14 Fortløpende 2014 Espen 1.12.14 Randi/Kari Oppfølging 14/11 Omdisponering av investeringsmidler Vedtak: Utarbeidet forslag til omdisponering av investeringsmidler legges til grunn for enhetens arbeid. Saksfremlegg: IKT Inn-Trøndelag har i 2014 følgende rammer for investeringer: Prosjekttittel Budsjett Restbeløp Forbruk per 1.9.2014 Kommentarer på forbruk og status Felles IKT – Serverkapasitet 145 600 145 324 Felles IKT - Core switch 800 000 0 Felles IKT - Backup offsite 353 500 0 Felles IKT – Fjernnettløsning 100 000 0 Felles IKT - Servere og backup 457 400 123 361 Felles IKT – Telefoni 510 100 191 352 Felles IKT – infrastruktur 300 000 263 600 Felles IKT – virtualisering 500 000 32 189 Felles IKT - recovery site 600 000 592 679 Felles IKT - livsløpsvedlikehold servere 200 000 0 DIFI - Felles AD og arbeidsflate IKT 695 000 19 337 3 808 600 2 408 150 1 500 000 1 260 600 500 000 441 735 58 265 300 000 500 000 0 300 000 99 423 400 577 11 270 200 5 577 750 5 692 450 IKT og kontorstøttetjenesten - IKT skole/barnehage Konvergert løsning servere Oppdatering fagapplikasjoner (ePhorte) Kjøling/ brannsikring Lokal serverutvidelse Totalt 276 Konkurranse800 000 grunnlag utarbeidet Bestilt. Nært 353 500 oppbrukt 100 000 Bestilt. Nært 334 039 oppbrukt 318 748 36 400 Ønskes overført 467 811 til tankeløsning klienter 7 321 Ønskes overført 200 000 til anskaffelse core 675 663 Løpende 1 400 450 anskaffelser og prosjekt 239 400 Med anskaffelsen av ny konvergert løsning for drift av felles datasenter for kommunene ved siste årsskifte ble behovsbildet for investeringer også endret. Dette gjelder to områder. Ny løsning for virtualisering av serverportefølje inngår som en del av den nye konvergerte løsningen, slik at mye av avsetningen til dette formålet fristilles. Med anskaffelsen av ny konvergert løsning ble også avsetningen til livsløpsvedlikehold på servere fristilt. Samtidig har behovet for ytterligere finansiering på to tiltak økt. I forbindelse med etablering av nytt felles elevnett for kommunene er det behov for å få på plass en plattform for klargjøring og konfigurasjonsstyring på PC'er og nettbrett. Dette omtales som en tankeløsning for klienter. Det er ønskelig å omdisponere avsetningen fra virtualisering, kr 467 811,- av serverportefølje til dette formålet. Anskaffelsen av core switch synes å få en høyere kostnad enn først anslått etter de sonderinger som er gjort i markedet. Det er ønskelig å omdisponere avsetningen til livsløpsvedlikehold servere, kr 200 000,- til dette formålet. Sak 14/12 Budsjett 2015 Vedtak: Utarbeidet budsjettforslag legges til grunn i kommunenes budsjett for 2015. Saksfremstilling: Det vises til vedlagte tabell med kommentarer. Budsjettet legges inn i Steinkjer kommunes samlede budsjett for 2015. Budsjettforslaget vil bli gjennomgått i møtet. Sak 14/13 Investeringsbudsjett 2015 Vedtak: Utarbeidet budsjettforslag legges til grunn i kommunenes budsjett for 2015. Saksfremstilling: Plan for investeringer innenfor en ramme på 5,1 millioner til fellesinvesteringer har følgende sammensetning: Tiltak Vedlikehold infrastruktur Steinkjer Rådhus Vedlikehold infrastruktur kantsvitsjer Utvidelse brannvegger Utvidelse core iPolitiker Print/kopi Disaster recovery Backup Klientutrulling Livsløpsvedlikehold servere Sikker sone (citrix) Tynnklient Brukerhåndtering Exchange/Lync/Office365 Totalt Kostnad 500 000 500 000 800 000 150 000 500 000 150 000 300 000 200 000 200 000 200 000 400 000 500 000 500 000 200 000 5 100 000 Tiltakene beskrives i korthet i det følgende. Vedlikehold infrastruktur Steinkjer Rådhus Steinkjer rådhus har en infrastruktur for data og telefoni som er lagt over tid. Man ser nå et behov for en samlet gjennomgang av nå-situasjonen, og en opprydding og oppgradering av infrastrukturen (el/tele-/datakommunikasjon) for å sikre drift og muligheter for tilvekst av infrastrukturbehov. Steinkjer rådhus fasiliterer også felles datasenter for kommunene Inderøy, Verran og Steinkjer. Den delen av infrastrukturen som inngår i denne siden av driften inngår også i vedlikeholdsbehovet. Vedlikehold infrastruktur kantsvitsjer Det er gjennom år blitt gjort investeringer i nettverkselektronikk i de tre kommunene Inn-Trøndelag IKT leverer tjenester til uten at det har vært tatt høyde for et livsløp på disse investeringene. En livsløpsplan på disse driftsmidlene sikrer en kontinuerlig planmessig utskiftning med den sikkerhetsgevinst en slik vedlikeholdsplan innebærer. Denne budsjettposten har til hensikt å øremerke midler slik at man kan etablere et planmessig vedlikeholdsarbeid på nettverkselektronikk i leddet utenfor den leveransen Inn-Trøndelag IKT leverer med en nettverkstilknytning sentralt på hver kommunale lokasjon. Utvidelse brannvegger Brannveggene som sikrer nettverkstrafikk både internt i kommunene, mellom kommunene og eksternt mot Internett og andre eksterne nettverkstilknytninger produseres i dag på maskinvare som ble anskaffet for trafikk- og sikkerhetsmessige behov ulikt de behov vi erfarer i dag. Det er et behov for å flytte brannvegg-produksjonen over i et mer fleksibelt miljø med henblikk på kapasitet, og å gjennomgå en historisk tilvekst til de regelsett brannveggene styres av, med mål om å kunne utnytte den nettverksmessige kapasiteten som er tilgjengelig. Utvidelse core Kjernen i nettverks infrastrukturen til kommunene Inderøy, Verran og Steinkjer er under utskiftning i 2014. Investeringen som er under etablering er skaffet til veie under rammene av det budsjettet som ble lagt for inneværende år. For å holde budsjettrammen i 2014 vil man midlertidig benytte noen komponenter med en lav kostnad i inneværende driftsår, for så å gjenbruke disse i mindre kritiske knutepunkt i nettet når midler er tilgjengelig for å oppgradere til komponenter med en høyere pålitelighet for den sentrale kjernen i nettet. iPolitiker Høsten 2015 skal det gjennomføres kommunestyre- og fylkestingsvalg. Dette innebærer en milepæl i utvikling og drift av konseptet for papirløs dokumenthåndtering for de folkevalgte. I denne budsjettposten legges behov for en utskiftning av nettbrett for alle folkevalgte i de tre kommunene Inn-Trøndelag IKT leverer til, tilhørende tilleggsutstyr til disse, og programvarelisenser til dokumenthåndtering for den enkelte bruker. Print/kopi I juli 2015 skal det være etablert en ny felles rammeavtale på print/kopi-løsning for kommunene InnTrøndelag IKT leverer til. Gjeldende rammeavtale innebærer en løsning basert på leie av maskiner fra Konica Minolta og en tilhørende lisensavtale for programvare som håndterer et flerbruker-miljø på multifunksjonsmaskiner. Budsjettposten viser til behovet for å kunne dekke skiftekostnaden knyttet til etableringen av en ny løsning for print/kopi. Disaster recovery I 2014 er det iverksatt et arbeid med etablering av recovery site som redundans til kommunenes felles datasenter i Steinkjer rådhus. Dette er gjort ved å etablere fjernbackup i driftspartneres datasenter i Trondheim. Det er mulig og ønskelig å utvide denne katastrofeberedskapen slik at man er i stand til å kunne håndtere en begrenset/prioritert kapasitet til å opprettholde tjenesteproduksjonen for IKT i en katastrofesituasjon. Backup De siste to driftsårene har Inn-Trøndelag IKT gradvis flyttet arbeidet med backup fra en historisk løsning med backup til tape fra et miljø med fysiske server til en backup-plattform hvor fokus er å ivareta backup-behovet med henblikk på å betjene virtuelle servere med en løsning basert på backup til disk. Formelle krav opprettholder i dette bildet noe behov for å ta backup til tape eller annet godkjent medie for varig lagring. Det er behov for å avsette investeringsmidler til å dekke opp livsløpskostnader for backup-løsningen med rotasjon av disker og taper som inngår i denne. Klientutrulling Under denne investeringsposten planlegges etablering av en ny plattform for klargjøring og konfigurasjonsstyring av PC'er som benyttes av brukerne i felles nettverk for Inderøy, Verran og Steinkjer. Dagens verktøy og arbeidsrutiner for håndtering av klientene er ressurskrevende og utnytter ikke tilstrekkelig stordriftsfordelene som følger av den felles infrastruktur som kommunene har investert i. Livsløpsvedlikehold servere Serverparken som er plassert i datasenteret i Steinkjer Rådhus har et kontinuerlig behov for utskiftninger i tråd med levetiden på utstyret. Levetiden på volumkomponenter på serversiden regnes å være fem år i gjennomsnitt. Kritikaliteten til utstyret, hvilken vedlikeholdsplan de inngår i og hvilke anvendelser de rettes mot vil bidra til en variasjon på dette. Det er derfor behov for å gjøre avsetninger som muliggjør å opprettholde en serverplattform med en forsvarlig standard i produksjonen. Sikker sone Siden etableringen av felles sikker sone for kommunene Inderøy, Verran og Steinkjer våren 2013 har man høstet erfaringer med publisering av en omfattende portefølje applikasjoner med ulike systemtekniske krav til driftsmiljøet. Til dette er det benyttet verktøy som inngår i gjeldende lisensavtale med Microsoft. Man ser at det ligger begrensninger i disse som går ut over tjenesteleveransen til brukerne. Det er derfor behov for å investere i publikasjonsverkøy for applikasjonene i sikker sone som gir bedre styringsmuligheter enn hva dagens plattform tilbyr. Tynnklient Et omfattende volum av klienter til brukere av applikasjoner fra driften til Inn-Trøndelag IKT er såkalte tynne klienter. Dette innebærer at det er servermaskiner som leverer det meste av regnekraft, minne og lagringskapasitet til brukeren, i motsetning til en personlig PC som er en tykk klient som inneholder disse ressursene lokalt ute hos brukeren. Etter flere års drift er det behov for en videreutvikling av vårt konsept for tynne klienter. I dette inngår å utvikle en løsning som bedrer tynnklient-konsept med henblikk på håndtering av multimedialt innhold.. Brukerhåndtering Inn-Trøndelag IKT forvalter drift og utvikling av tjenester knyttet til et stort volum applikasjoner og basistjenester for brukere i de tre kommunene. Det meldes et stadig økende behov for å håndtere integrasjoner mellom disse applikasjonene og mellom applikasjonene og basistjenester på data- og telekommunikasjon i kommunene. I et driftsbilde med ulike kildesystemer for brukerdata til ulike formål er det en utfordring å utvikle løsninger med en god kvalitet og god brukeropplevelse. Det er i 2014 etablert en teknisk plattform for brukerhåndtering i kommunenes elev-nett. Samme konseptuelle arkitektur ønsker vi å utvide til å favne om alle brukere i kommunene Inderøy, Verran og Steinkjer i 2015. Exchange/Lync/Office 365 Kommunene som mottar tjenester fra Inn-Trøndelag IKT står ovenfor et samlet veivalg på teknologier for kontorstøtteverktøy og samhandlingsverktøy. Bakgrunnen for dette er at kommunene har gjort et samlet valg av verktøy basert på innholdet i en Enterprise-avtale med Microsoft. Microsoft er i ferd med å flytte sitt strategiske fokus fra å være en produktleverandør til å bli en tjenesteleverandør. I praksis betyr dette at innhold som tidligere ble levert som en tradisjonell klient/tjener-løsning hos kunden, er i ferd med å flyttes til en helhetlig tjeneste levert på Internett. Det er behov for at kommunene revurderer lisensporteføljen med henblikk på hvilket innhold tjenestene skal ha og på hvilken måte disse skal leveres til våre brukere. I dette bildet ligger også aspekter av konkrete driftsbehov, blant annet en re-etablering av e-post-tjenestene for å sikre kapasitet og stabilitet slik brukerne ønsker. På utviklingssiden av dette bildet ligger en uforløst kapasitet i å utnytte samhandlingsverktøy innad og mellom kommunene, og med eksterne. 14/14 Databehandleravtale med Inderøy og Verran Vedtak: Saken utsettes. Forslag til vedtak: Det inngås databehandleravtale med kommunene som inngår i Inn-Trøndelagssamarbeidet ut fra utarbeidet mal. Saksfremstilling: Inn-Trøndelag IKT har denne høsten fokus på å få på plass styrende sikkerhetsdokumenter. Da det ikke er inngått egne databrukeravtaler med eksterne samarbeidspartnere, er det jobbet med å få dette på plass. I tillegg bør det foreligge en databrukeravtale mellom kommunene i samarbeidet og Inn-Trøndelag IKT. Vedlagte foreslås benyttet. Databehandleravtale Avdeling: Inn- Trøndelag IKT Dokument-ID: Avdelingsnavn: Inn- Trøndelag IKT Første gang opprettet: Gyldig fra: Gyldig til: Erstatter: Avtalens hensikt Avtalens hensikt er å regulere rettigheter og plikter etter lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven) og forskrift av 15. desember 2000 nr. 1265 (personopplysningsforskriften). Det samme gjelder også etter Lov av 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger (helseregisterloven). Avtalens parter: I denne avtalen er….. kommune å anse som Databehandlingsansvarlig og Inn-Trøndelag IKT å anse som Databehandler, jfr. pol. § 2 nr 4 og 5 og helseregisterloven § 2 nr. 8 og 9. Avtalen regulerer Databehandlers bruk av personopplysninger på vegne av Databehandlingsansvarlig, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse. Databehandlingsansvarlig bestemmer formålet for behandlingen av personopplysningene og hvilke hjelpemidler som skal brukes, mens Databehandleren behandler personopplysningene på vegne av Databehandlingsansvarlig. Databehandlingsansvarlig har også ansvar for at dette er ivaretatt hos Databehandleren, enten denne er intern eller en ekstern part. Dette reguleres i lovens § 15 og i tilhørende forskrift § 215. Databehandleren kan kun behandle personopplysninger tilgjengeligjort av Databehandlingsansvarlig i henhold til denne avtale. Behandlingens formål skal ikke endres av noen av partene uten at ny avtale undertegnes. Formål og virkeområde for avtalen Formålet med avtalen er å regulere behandlingen av personopplysninger som Databehandleren gjør på vegne av den Databehandlingsansvarlige. Avtalen skal sikre at personopplysninger om de registrerte, ikke brukes urettmessig eller kommer uberettigede i hende. Varighet og oppsigelse Avtalen trer i kraft ved at begge parter undertegner denne. Avtalen kan sies opp av begge parter med 6 måneders varsel. Når avtalen utløper plikter Databehandleren uten opphold å slette de personopplysningene som denne har behandlet på vegne av Databehandlingsansvarlig. Dette gjelder ikke dersom noe annet er bestemt mellom partene eller Databehandleren har plikt til å lagre opplysningene etter norsk lov. Databehandlerens plikter Databehandleren kan bare behandle personopplysningene i henhold til de formål som er bestemt av den behandlingsansvarlig og i samsvar med de vilkår som fremgår av denne avtalen. Databehandleren plikter å gjennomføre planlagte og systematiske tiltak som skal sørge for tilfredsstillende sikring av personopplysningene, jf personopplysningslovens § 13 og personopplysningsforskriftens kapittel 2 om informasjonssikkerhet. Databehandleren plikter å gjøre seg kjent med og etterleve Databehandlingsansvarligs internkontrollsystem, jf. personopplysningslovens § 14 og personopplysningsforskriftens kapittel 3 om internkontroll. Etter forespørsel fra Databehandlingsansvarlig plikter Databehandleren å dokumentere at kravene til informasjonssikkerhet og internkontroll er ivaretatt. Risikovurderinger skal gjennomføres og fremlegges for Databehandlingsansvarlig. Databehandler skal behandle personopplysningene i samsvar med akseptabelt risikonivå som Databehandlingsansvarlig setter. Dersom personopplysninger kommer på avveie, eller at det er mistanke om at disse er kompromittert, skal Databehandler uten ugrunnet opphold varsle Databehandlingsansvarlig. Databehandlingsansvarlig skal ha fullt innsyn i hele saken ved en slik hendelse. Databehandler skal etablere rutiner for logging av feil og avvik i henhold til personopplysningsforskriftens kapittel 2. Sikkerhet hos Databehandler Databehandler skal sikre personopplysningenes konfidensialitet, integritet og tilgjengelighet, jfr. personopplysningsloven §§ 13-15 med forskrifter. Tilgang til tjenester og eget nettverk skal være basert på individuelle brukerkonti og passord. Lagring av personopplysninger som behandles på vegne av Databehandlingsansvarlig skal sikres slik at kun autorisert personell har adgang til disse. Databehandlingsansvarlig og Databehandler skal alltid vurdere behovet for tilgang før slik gis til Databehandlerens medarbeidere. Databehandleren skal til enhver tid ha oversikt over hvilke medarbeidere som har tilgang til personopplysingene. Avviksmeldinger etter personopplysningsforskriftens § 2-6 skal skje ved at databehandler melder avviket til behandlingsansvarlig. Behandlingsansvarlig har ansvaret for avviksmelding sendes datatilsynet. Sikkerhetsrevisjoner Behandlingsansvarlig skal avtale med databehandler at det gjennomføres sikkerhetsrevisjoner jevnlig for systemer og lignende som omfattes denne avtalen. Bruk av underleverandører Dersom databehandler benytter seg av underleverandører eller andre som ikke normalt er ansatt hos databehandler skal dette avtales skriftlig med behandlingsansvarlig før behandlingen av personopplysninger starter. (tilleggsavtale) Samtidig som på vegne av databehandler utfører oppdrag av de aktuelle personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse. Taushetsplikt Partene skal bevare taushet om alle konfidensielle opplysninger, noens personlige forhold, sikkerhetsmessige og forretningsmessige forhold, opplysninger som kan skade en av partene eller som kan utnyttes av utenforstående i næringsvirksomhet. Databehandlerens medarbeidere skal undertegne taushetserklæring. Taushetsplikten gjelder også etter at avtalen er opphørt. Ansatte og andre som fratrer sin tjeneste hos driftsoperatøren skal pålegges taushet også etter fratredelse om forhold som nevnt over. Mislighold Dersom Databehandlingsansvarlig får sanksjoner i mot seg som følge av brudd på bestemmelsene i personopplysningsloven med forskrift (for eksempel overtredelsesgebyr etter § 46 eller erstatning etter § 49), og årsaken til dette ligger hos Databehandleren, kan Databehandlingsansvarlig kreve at Databehandleren dekker det økonomiske tapet. Rettsvalg Partenes rettigheter og plikter etter denne avtalen bestemmes i sin helhet av norsk rett. Undertegning Denne avtalen er undertegnet i to eksemplarer hvorav partene beholder ett eksemplar. Sted/Dato, Behandlingsansvarlig For Virksomheten: Databehandler For leverandøren: 14/15 Informasjons- og datasikkerhet – felles styringsdokumenter i Inn-Trøndelagsamarbeidet Vedtak: Saken utsettes. Forslag til vedtak: Vedlagte utkast til informasjonssikkerhetsbok implementeres i alle tre kommuner i InnTrøndelagsamarbeidet. Saksfremstilling: Inn-Trøndelag IKT har denne høsten fokus på å få på plass styrende sikkerhetsdokumenter. Databrukeravtale for den enkelte ansatte og reglement for bruk av data bør være felles for alle som er ansatt i Inn-Trøndelagsamarbeidet. I tillegg har det også vært dialog mellom kommunenes sikkerhetsansvarlig med tanke på å utarbeide en felles informasjonssikkerhetshåndbok. Dette arbeidet er nå påbegynt, og kan implementeres i den landsomfattende sikkerhetsmåneden oktober. Det vises til vedlagte dokumenter. INFORMASJONSSIKKERHETSHÅNDBOK REVISJON 2014 Håndhevelse i kommunen av personopplysninger i henhold til personopplysningsloven 2013/4490 Utkast 12.09.14 1 1 INNLEDNING 1.1 Lover - Personopplysningsloven inklusive dens forskrift - Helseregisterloven - Offentlighets- og forvaltningsloven - Ulike særlover og bestemmelser for informasjonssikkerhet er retningsgivende for behandling av personopplysninger og taushetsplikt i det offentlige. Håndtering av personopplysninger gjelder både ved - Elektronisk databehandling - Papirdokumenter - Muntlig tale Personopplysningsloven setter klare og strenge krav til kommunal forvaltning av personopplysninger, og ikke minst rettes det et spesielt fokus på ansvaret til ledelsen men også ansvaret til den enkelte medarbeider klargjøres i denne loven og i særlovene. Personopplysningsloven gjelder for a) behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler. b) annen behandling av personopplysninger når disse inngår eller skal inngå i et personregister. Formålet med personopplysningsloven er å beskytte den enkelte mot at personvernet blir krenket gjennombehandling av personopplysninger. Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger. Definisjoner fra personopplysningsloven, se vedlegg 1. 1.2 Kommunale oppgaver Personopplysningsloven pålegger alle instanser inklusiv kommunene klare oppgaver og rammer for behandling av personopplysninger. Loven forutsetter at den behandlingsansvarlige dvs kommunene skal ha en sikkerhetsstrategi som beskriver arbeidet med informasjonssikkerhet. Dette gjøres ved at kommunene etablerer internkontroll ved å opprette tiltak som er nødvendige for å oppfylle kravene i loven og forskriften. Datatilsynet har utarbeidet retningslinjer for data- og informasjonssikkerhet i kommunene knyttet opp mot bestemmelsene i Personopplysningsloven. Denne håndboka bygger på disse retningslinjene; (for mer info se: www.datatilsynet.no) 2 2 ANSVAR 2.1 Ansvarsfordeling. Følgende ansvarsfordeling gjelder: Kommunestyret/formannskap Har det formelle overordnede ansvaret for informasjonssikkerheten i kommunen og fastsetter de overordnede mål. Rådmannen Har ansvaret for at det utarbeides en helhetlig sikkerhetsplan for kommunen og at plane n etterleves. Rådmannen skal sørge for at alle lover og retningslinjer i forbindelse med informasjonssikkerhet overholdes Avdelingssjef Iverksetter nødvendige informasjonssikkerhetstiltak i forhold til elektronisk databehandling, papirdokumenter og muntlig tale i avdelingen Ansvarlig for avdelingens registre og utarbeidelse av rutiner Er behandlingsansvarlig, og bestemmer derfor formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes Er systemeier for avdelingsvise fagapplikasjoner og gir skriftlig ansvar til fagapplikasjonen systemansvarlige Tjenesteenhetsleder og registeransvarlig Skal legge forholdene til rette slik at tilsatte i enheten får nødvendig sikkerhetsforståelse kunnskap. Nytilsatte skal umiddelbart få nødvendig IKT – innføring og opplæring Vurdere og iverksette nødvendige tiltak for å sikre håndteringen av personopplysninger i sin enhet. Fagansvarlig IKT Har ansvar for forvaltning og drift av teknisk informasjonssikkerhet og infrastruktur Har ansvaret for drift av systemer i henhold til teknisk sikkerhet Skal i tett samarbeid med IT-sikkerhetsansvarlig utarbeide retningslinjer for informasjonssikkerhet og beredskapsplaner Initierer statusmøter for systemansvarlige Informasjonssikkerhetsansvarlig Har ansvaret for at rutiner for håndtering av personvern/datasikkerhet blir fulgt opp og egenkontroll gjennomføres Planlegge og organisere informasjonssikkerhetsarbeidet Skal utarbeide retningslinjer for informasjonssikkerhet i tråd med lovverket Systemansvarlig Hvert dataprogram/ fagapplikasjon har en systemansvarlig (eget vedlegg for hver kommune) som: Skal påse at opplæringstilbudet og dokumentasjon er tilfredsstillende Ansvarlig for kvaliteten på de informasjoner som behandles av systemet Ansvarlig for at systemet følger de lover og forskrifter som gjelder for fagområdet Bestemme sammen med avdelingssjef hvilke rettigheter den enkelte person skal ha Ansatte Skal overholde og etterleve vedtatte instrukser og bestemmelser om sikring av informasjon Forstå konsekvensene ved eventuell brudd på sikkerhetsbestemmelsene 3 Eventuelle sikkerhetsbrudd skal rapporteres i EQS 2.2 Sikkerhetsorganisasjon Internkontroll gjennomføres i tråd med vedtatte rutiner. Rutiner for avviksmelding og håndtering av disse skal innarbeides i kommunens overordnede kvalitetssystem EQS. 3 SIKKERHETSMÅL Det er fastsatt følgende mål for informasjonssikkerhet: Kommunens innbyggere skal være trygge for at kommunes ansatte til enhver tid håndterer taushetsbelagte opplysninger på en forsvarlig måte. Kommunens ledelse skal gi de ansatte god opplæring i personvern og hvordan man behandler temaet i hverdagen. Ved elektronisk behandling av personopplysninger skal opplysningene sikres tilstrekkelig: • • • 4 slik at opplysningene ikke blir kjent for uvedkommende, (konfidensialitet), slik at ansatte kan utføre pålagte oppgaver, (tilgjengelighet) slik at opplysningene ikke utilsiktet eller tilsiktet endres ved behandlingen, (integritet) SIKKERHETSSTRATEGI OG RUTINER 4.1 Ledelse og ansatte - alle ledere sørger for at kommunens datasikkerhet- og informasjonssikkerhetsrutiner og bestemmelser etterleves innenfor sin enhet - alle ledere sørger for at tilsatte, nyansatte, vikarer og sommervikarer får nødvendig kjennskap til kommunens sikkerhetsrutiner og programvarer som benyttes Alle tilsatte gis nødvendig opplæring i forhold til sikkerhet i sitt daglige virke og underskriver taushetserklæring og databrukeravtale. 4.2 Oversikt over personopplysninger/personregister Hver tjenesteenhet skal ha oversikt over sine personopplysninger/-register. Formålet, lovhjemmel og omfanget må være avklart. 4.3 Risikovurdering Det skal årlig i sikkerhetsmåneden oktober gjennomføres risiko- og sårbarhetsanalyser (ROS)– kartlegging av uønskede hendelser og vurdering av konsekvensene hvis slike hendelser oppstår. Vedlagt skjema-mal skal benyttes. Risiko er et resultat sannsynligheten for og konsekvensene av uønskede hendelser. Sårbarhet er et uttrykk for et systems evne til å fungere og oppnå sine mål når det utsettes for påkjenninger. Slike vurderinger må i tillegg til årlig runde gjøres når det skjer større endringer i enheten. Resultatet av ROS-analysen skal tas vare på, og kan ved forespørsel forelegges den administrative ledelsen i kommunen. 4 4.4 Rutinebeskrivelser Avdelingene/enhetene skal ha rutinebeskrivelser for alle sårbare rutiner inklusive håndtering av taushetsbelagte opplysninger. Disse skal presenteres i EQS. 4.5 Egenkontroll Internkontroll gjennomføres ved større endringer og minimum en gang pr år, da i sikkerhetsmåneden oktober. Gjennom den sektorovergripende internkontrollen formidler rådmannen sine forventninger til organisasjonen. 4.5 Fysisk sikkerhet Kommunen skal: - - I arkivplanen beskrive de fysiske områder av virksomheten og/eller hele bygninger som skal beskyttes som følge av behandling av personopplysninger Ha rutiner og tekniske tiltak for adgangskontroll til beskyttede områder Følge opp med ettersyn og tekniske tiltak for å forhindre og redusere eventuelle skader ved innbrudd, vanninntrengning og brann Bruke låst skjerm på påslått pc når kontor forlates og stenging av pc ved dagens slutt Ha låste kontor der det oppbevares sensitive data 5 TILTAK - 5.1 Lederoppgaver I kap 2.1 er det en gjennomgang av de viktigste oppgavene for lederne i kommunen: Lederne skal blant annet sørge for at medarbeiderne undertegner - taushetserklæring - databrukeravtale 5.2 Ansattes oppgaver Alle nytilsatte, vikarer skal ha nødvendig opplæring før de får bruke kommunens datautstyr. Nytilsatte med behov for tilgang til servere får slik tilgang (passord etc.) av IKT Inn-Trøndelag. Når tilsatte slutter, skal IKT Inn-Trøndelag ha melding om dette slik at tilganger/passord etc. slettes. Ved de ytre enheter vil enhetsleder ha tilsvarende ansvar. Databrukeravtalen skal undertegnes av tilsatte og ledere. Alle tilsatte er forpliktet til å etterleve vedtatte bestemmelser. Brudd på disse bestemmelsene kan få alvorlige konsekvenser for tilsettingsforholdet i kommunen. 5.3 Behandling av personregister Vedlegg 3 inneholder et skjema for personregister. Hver avdeling skal fylle ut vedlagte skjema for å ha kontroll. For hvert register skal det gis følgende opplysninger: begrunnelse og lovhjemmel klassifikasjon: personopplysninger, sensitive opplysninger sikringstiltak lagringssted fysikk eller data registerets omfang – antall personer i registeret 5 - formålet med registeret sletting av personopplysninger 5.4 Risikovurdering I henhold til Datatilsynets "Veiledning om internkontroll og informasjonssikkerhet" skal kommunene gjennomføre risiko- og sårbarhetsanalyse. Analysen skal gi en beskrivelse/vurdering av hvilke uønskede hendelser og trusler som kan inntre på tjenestestedet. I tillegg skal det beskrives hvilke tiltak som bør iverksettes for å redusere og unngå nevnte hendelser. Virksomheten må derfor fastlegge kriterier for akseptabel risiko det er forbundet med behandlingen av personopplysninger. Risikobegrepet rommer to størrelser; sannsynlighet for at noe skal skje, og hvilke konsekvenser denne hendelsen kan få. Innenfor hver enhet skal følgende analyser gjennomføres: 5.4.1 Type trussel Ved vurdering av hvilke trusler informasjonssystemet er utsatt for kan det være en fordel å besvare følgende spørsmål: Hvilke trusler eksisterer som kan gjøre at informasjon tilflyter personer som ikke skulle hatt tilgang til den? Hvilke trusler eksisterer som kan gjøre at informasjon forsvinner, endre eller feilregistreres? Hvilke trusler eksisterer som kan gjøre at informasjon blir utilgjengelig for kortere eller lengre tidsrom? Ved vurdering av frekvens tas det utgangspunkt i følgende klassifiseringer: 5.4.2 Sannsynlighet (hyppighet): Angir hvor ofte trusselen kan inntreffe: Svært sjelden: Sjelden: Ofte: Svært ofte: 5.4.3 Ca. 1 pr. 5. år Ca.1 pr. år Ca. 1 pr. måned Flere ganger pr. måned Konsekvens Ved vurdering av konsekvenser skal en sette opp hva slags følger trusselen kan ha om den skulle inntreffe. Sammen med en beskrivelse av konsekvensene skal den graderes etter hvor alvorlig den ansees å være: Konsekvenser: Liten - Moderat – Stor – Katastrofal Vedlegg 4 inneholder et skjema for utfylling og gjennomgang av en risikovurdering. 5.4.4 Tiltak For hver trussel skal det beskrives hvilke tiltak som er nødvendig for å redusere eller unngå de uønskede hendelsene. 6 5.5 Rutiner/prosedyrer Kommunen skal ha gode rutiner for alle oppgavene innen informasjonsvirksomheten. Av aktuelle rutiner kan nevnes (lista er ikke uttømmende): - opplæring/veiledning av nytilsatte - kompetansekontroll av tilsatte - skjerming av sensitive opplysninger, personlige data og andre saker unntatt offentlighet f.eks: - rutiner for postmottak rutiner for outlookbruk rutiner for at pasient/klient/kardex ikke er tilgjengelig for uvedkommende rutiner for karakterprotokoller rutiner for rapporter om ekstra oppfølging av barn i barnehage rutiner for avviksmeldinger rutine for årlig risikovurdering rutiner for sletting av personopplysninger rutiner for innsyn Hver enhets rutinebeskrivelser legges inn i EQS. 6 TEKNISKE FORHOLD I Datatilsynets veileder skal kommunen ha tilfredsstillende opplegg og rutiner for teknisk informasjonssikkerhet. Kort beskrevet skal følgende hovedtiltak gjennomføres: Områder hvor sensitiv informasjon behandles, skal sikres mot uautorisert tilgang og innsyn. Servere og kommunikasjonsutstyr skal stå i sikrede rom. Systemteknisk sikkerhet omhandler krav til maskinvare, kommunikasjonsenheter, programvare og hvordan disse samhandler. Det skal forefinnes konfigurasjonsskisse som også beskriver soneinndeling, tilgangskontroll. Videre skal det forefinnes rutiner backup rutiner etc. 7 MELDINGER TIL DATATILSYNET 7.1 Oppgaver for kommunen: Kommunene har en rekke plikter etter personopplysnings- og helseregisterloven; konsesjonsog meldeplikt for behandling av personopplysninger. Konsesjonsplikten gjelder for elektronisk behandling av sensitive opplysninger. Meldeplikten gjelder for elektronisk behandling av ikke-sensitive personopplysninger, samt manuell behandling av sensitive personopplysninger. Kommunene har unntak fra konsesjonsplikt for behandlinger av personopplysninger som har hjemmel i egen lov. Når behandlingen er unntatt konsesjonsplikt, skal den meldes til Datatilsynet i stedet. 7 For informasjon om dette: http://www.datatilsynet.no/Sektor/Kommune-stat/Kommuners-konsejons--og-meldeplikt/ Meldingsskjema: http://www.datatilsynet.no/Global/personvernombud/Skjema%20_maler/Meldeskjema_pvo_ bm.pdf 7.1.1 Meldeplikt Den behandlingsansvarlige (avdelingssjef/ stabssjef) skal gi melding til Datatilsynet før: a) behandling av personopplysninger med elektroniske hjelpemidler b) opprettelse av manuelt personregister som inneholder sensitive personopplysninger Disse virksomheter har meldeplikt i stedet for konsesjonsplikt: Barnevern, sosialtjenesten, rusmiddeletaten, PP-tjenesten, kommunehelsetjenesten (journal og pasientadministrasjon; jfr helsepersonelloven §26), pleie- og omsorgsinstitusjonene. Dette forutsetter at registrene behandles innenfor rammen av særlovene. 7.1.2 Konsesjonsplikt Behandling av sensitive personopplysninger der behandlingen ikke er hjemlet i egen lov eller forskrift. ( De registre som følger egen lov er det meldeplikt). Noen få behandlinger vil fortsatt ha konsesjonsplikt. Dette gjelder elektronisk behandling av sensitive personopplysninger der behandlingen ikke er hjemlet i lov; blant annet: Forskningsprosjekter som ikke er omfattet av unntaket fra konsesjonsplikt i personopplysningsforskriften § 7-27 De fleste tverrsektorielle tiltak der bruken av personopplysninger ikke er dekket av egen lov eller forskrift Kommunale helseregistre på individnivå for planlegging, informasjon og samordning vil være konsesjonspliktige etter helseregisterloven så sant de ikke må ha egen forskrift som lokalt helseregister (Helseregisterloven § 7). Datasikkerhetsansvarlig koordinerer meldingene/søknadene til Datatilsynet. Avdelingssjef har ansvaret for å utarbeide registre/søknader for sin avdeling. 7.1.3 Unntak fra konsesjons- og meldeplikt Unntakene: - barnehager, skolefritidsordninger - personellregistre - For planlegging, informasjon og samordning av helsetjenester ved bruk av statistisk materiale (anonymt). 8 EGENKONTROLL Formålet med egen kontroll er å sikre at kommunens sikkerhetsmål, strategi og rutiner etterleves i hele virksomheten. På sikt vil egenkontrollen danne grunnlag for vurderingene av fastsatte sikkerhetsmål etc. Ved gjennomføring av kontrollen skal bl.a følgende elementer gjennomgås: 8 - ansvars- og myndighetsforhold (i samsvar med virkeligheten) sikkerhetstiltak, herunder utprøving av tekniske sikkerhetsløsninger gjennomgang av risikovurderinger og eventuelle nye tiltak gjennomgang av eventuelle avvik gjennomgang av rutiner Vedlegg Vedlegg 1: Definisjoner Vedlegg 2: Oversikt over fagapplikasjoner og systemansvarlige Vedlegg 3: Skjema for det enkelte tjenestesteds personregister Vedlegg 4: ROS-analyse-skjema Vedlegg 5: IKT reglement Vedlegg 6: Databrukeravtale Vedlegg 7:Taushetserklæring 9 Vedlegg 1 - Definisjoner Personopplysningsloven gir følgende førende definisjoner: 1. Personopplysning: Opplysninger og vurderinger som kan knyttes til en enkeltperson. For eksempel navn, fødselsnummer, e-post og avidentifiserte opplysninger (se dette begrepet forklart uttrykk og begreper brukt). 2. Behandling av personopplysninger: Enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksområder. 3. Personregister: Registre, fortegnelser med videre der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen. 4. Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal bruke i behandlingen. 5. Databehandler: Den som behandler personopplysninger på vegne av den behandlingsansvarlige. En databehandler er en ekstern person eller virksomhet som befinner seg utenfor den behandlingsansvarliges virksomhet. 6. Registrert: Den enkeltperson en personopplysning kan knyttes til. 7. Samtykke: En frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv. 8. Sensitive personopplysninger: Opplysninger om: a) rasemessig eller etnisk bakgrunn, elle politisk, filosofisk eller religiøs oppfatning b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling c) helseforhold d) seksuelle forhold e) medlemskap i fagforeninger 9. Fødselsnummer (11 siffer): Fødselsnummer er en unik identifikator som har en særlig bestemmelse om nødvendig bruk i personopplysningslove § 12. Det skal kun brukes der det er saklig behov for sikker identifisering og metoden er nødvendig for slik identifisering. I tillegg er det en særbestemmelse om kryptering ved elektronisk kommunikasjon i personopplysningsforskriften § 10-2. 10. Akseptkriterier: Fastlegging av kriterier for akseptabel risiko forbundet me behandling av personopplysninger, jf. Personopplysningsforskriften § 2-4 første ledd og § 2-2. 10 11. Avvik: Med avvik menes enhver håndtering av personopplysning som ikke utføres i henhold til gjeldende regelverk, retningslinjer og/eller prosedyrer, samt andre sikkerhetsbrudd. Avvik meldes Datatilsynet i henhold til personopplysningsforskriften § 2-6. 12. Konfidensialitet: Konfidensialitet betyr at personopplysninger må være sikret mot at uvedkommende får kjennskap til opplysningene. 13. Integritet: Med integritet menes at personopplysninger må være sikret mot utilsiktet eller uautorisert endring eller sletting. 14. Tilgjengelighet: Tilgjengelighet betyr at personopplysninger som skal behandles, er tilgjengelig til den tid og på det sted det er behov for opplysningene. 15. Internkontroll: Med internkontroll menes planlagte, systematiske og dokumenterte tiltak som skal sikre at personopplysninger blir behandlet i samsvar med personopplysningsloven med forskrift. 11 Vedlegg 2: - Fagapplikasjoner NAVN PÅ PROGRAMVARE LEVERANDØR SYSTEMANSV. / LEDER (Registereier) LUKKET NETT Profil Velferd HsPro PPI Flyktning Acos Barnevern Visma Visma Visma Visma Visma Acos Elin Jegersen Toril Benum / Annbjørg Olsen Trude Viem Dahl / Marianne Vollen Tove T. Hansen/Kenneth Arntzen Else Landsem /Turid M. Eian Janne S. Brandtzæg/Gunlaug Rønsberg Ergo Ergo Ergo Capitech NorConsult NorConsult Norkart Grontmij A/S Transportation & Mobility Front Systemer Visma Trio Syncronos / Logica Brødr. Strand Ing.firma AS Norkart Geoservice Marit Iversen Randi Teigen Myrstad/ Kari Aarnes Randi Teigen Myrstad/ Kari Aarnes Judith Grønnesby / Iren H. Haugen Knut Aurstad / Knut Morten Husby Knut Aurstad/ Knut Morten Husby Lars Magnus Billdal /Geir Gilde Per Stølan/ Even Blengsli Even Blengsli Svein Kåre Haugen Lillian Høisæther/ Kari Aarnes Karsten Saugestad Ketil Lysheim Gunnar Vorum Marit Iversen Even Blengsli Knut Aurstad/ Knut Morten Husby Gunnar Vorum Lars Magnus Billdal/ Geir Gilde Anita Saugestad/ Gunvor Aursjø Ketil Lysheim Ketil Lysheim Målfrid Sem/ Ketil Lysheim Ketil Lysheim Knut Aurstad/ Ester Stølan Knut Morten Husby Gunnar Vorum Gunnar Vorum Haavard Bye Haavard Bye Solveig Moen/ Hallfrid Skimmeli Eva Bruheim/ Eva Løe Karsten Saugestad Anne Utgaard Karin Grøttum Lars Petter Svarte/ Elisabeth Jonassen ÅPENT NETT Agresso Ephorte Ephorte i Sharepoint Capitech ISY ProAktiv ISY ProAktiv - GPS Import Gisline / Gisline Arealpl. Rosy Front Parkering Kulturskole Trio Present WinTid / MinTid VPRO Norkart OFM Time VAR InfoLand GeoWeb KK Idretssanlegg SD-Anlegg EM Portal RenPlan SiPass (Adg.kontr.++) ScanVekt Gemini VA Mofut InfoSys Feierregisteret DBE FøreVar Bibliofil Ekasys EQS CIM WinMed Oppad Norsk Eiend.Informasjon Geomatikk Kulturdepartementet Johnson Controls Siemens Scanvaegt Norge 12 Vedlegg 3: - Personregistre (som skal fylles ut av den enkelte tjenesteenhet) Enhet:……………………….. SikringsTiltak Lagring og kommunikasjon Omfang Meldeplikt Konsesjonsplikt Hjemmel Sensitiv Konfidensielt Offentlig Register - navn Formål 13 Vedlegg 4: - Eksempel på en Ros – Analyse: Trussel Sannsynlighet/ hyppighet Letthet Årsak Konsekvens Stor. En risikerer at sensitive personopplysninger om en eller flere kommer ut og truer klientenes personvern Svært ofte Maskiner blir stående pålogget uten skjermbeskytter med passordbeskyttelse mens ikke – autoriserte ansatte utfører arbeid uten at autoriserte ansatte er til stede. Ikke-autoriserte ansatte med nøkkel skaffer seg tilgang selv om kontoret er låst Utilsiktet utlevering f eks e-post Skjermbildet lett synlig for besøkende Sjelden/ vanskelig Sammenbrudd i online lagringssystem. Brann Ikke – autoriserte Svært ofte/Lett ansatte, uvedkommende kan få adgang til sensitive og personopplysninger samt saker unntatt offentlighet Besøkende kan få tilgang til sensitive opplysninger (Aktiv eller passiv utlevering) Tap av klientdata Tiltak Bevisstgjøring av de ansatte omkring nødvendigheten av benytte skjermsparer med passord når de forlater kontoret. Evt. kreve avlogging før man forlater kontoret Stor. En risikerer at Prøve å sørge for at sensitive skjermen ikke er personopplysninger om synlig for besøkende en eller flere kommer Gå ut av dataut og truer klientenes programmet når personvern man har besøk og når man forlater kontoret. Katastrofal ? Andre trusler: 1 2 3 14 Vedlegg5: IKTreglement Databrukeravtale for kommunene Inderøy, Verran og Steinkjer Denne avtalen regulerer den enkelte ansattesansvarog plikter ved bruk av arbeidsgiverensog InnTrøndelagIKT sine IT-tjenester bestående avmaskinvare,programvare,fagapplikasjoner, nettverk og data. Avtalensesi sammenhengmed IKT-reglementet, informasjonssikkerhetshåndboka og gjeldende regelverk for behandling av personopplysninger. Leder Min underskrift på dette dokumentet bekrefter at jeg somleder har ansvaret for at informasjon om gjeldende regelverk er formidlet og at nødvendig opplæring er gitt. (dato og år): leder: Medarbeider Min underskrift på dette dokumentet bekrefter at jeg er gjort kjent med og har forstått IKTreglementet og er kjent med gjeldende regelverk ved behandling av personopplysninger. Jeg forplikter megtil å følge det som til enhver tid er gjeldende IKT-reglement og aksepterer at overtredelsevil kunne medføre sanksjoner fastsatt avarbeidsgiver. (dato og år): medarbeider: 15 Vedlegg6: Databrukeravtale IKT-reglement Felles datanett for kommunene Inderøy, Verran og Steinkjer Inn-TrøndelagIKTBrukerstøtte: Tlf: 74 16 93 33 [email protected] 16 9 Innhold 1. Innledning ...................................................................................................................................... 18 2. Virkeområde .................................................................................................................................. 18 3. Definisjoner ................................................................................................................................... 18 4. Informasjonssikkerhet ................................................................................................................... 18 5. Akseptabel bruk av IT-ressurser .................................................................................................... 19 6. Brukerens rettigheter .................................................................................................................... 19 7. Inngrep og sanksjoner ................................................................................................................... 19 8. Brukerkonto og passord ................................................................................................................ 19 9. Epost .............................................................................................................................................. 20 10. Lagring ....................................................................................................................................... 21 11. Innsyn og overvåking ................................................................................................................. 21 12. Avslutning av ansettelsesforhold .............................................................................................. 21 17 1. Innledning 1.1 Dette dokumentet regulerer ansvar, plikter og rettigheter for alle som benytter IT-ressurser tilknyttet kommunene Inderøy, Verran og Steinkjer. IKT-reglementet skal bidra til å hindre uønsket bruk av de IT-ressursene det omfatter og til å styrke informasjonssikkerheten i kommunene. Alle brukere med tilgang til IT-ressursene skal gjennom å signere en databrukeravtale bekrefte at de har lest og forstått innholdet i dette reglementet. 2. Virkeområde 2.1 IT-ressursene består av alle fysiske komponenter (nettverk bestående av kabling, nettverkselektronikk og datamaskiner), programvare, og andre IT-baserte ressurser anskaffet av, eller som disponeres av kommunene. IT-ressursene inkluderer også tilgang og bruk av internett og epost. 3. Definisjoner 3.1 Bruker: Personer som har tilgang til kommunenes IT-ressurser. 3.2 Brukerkonto: En brukers definerte tilgang til IT-ressurser som datamaskiner, nettverk, fagapplikasjoner m.m. 3.3 Brukernavn: En unik symbolsk betegnelse som identifiserer en bruker/brukerkonto med tilgang til en IT-ressurs. 3.4 Passord: En sekvens av tegn som sammen med tilhørende brukernavn gir en autorisert bruker tilgang til en IT-ressurs. 3.5 Driftsansvarlig: Personer som er ansvarlig for driften av maskinvare, programvare eller nettverk. 4. Informasjonssikkerhet 4.1 Informasjonssikkerhet er tiltak og mekanismer for å ivareta konfidensialitet, tilgjengelighet og integritet for informasjon og systemer som behandler disse. Alle brukere plikter å sette seg inn i lover, regelverk og retningslinjer som har som formål å ivareta informasjonssikkerheten i deres daglige virke. 4.2 Brukere av IT-ressursene skal bidra til å opprettholde sikkerhetsnivået, for eksempel ved å forhindre uautorisert tilgang til IT-ressurser, forhindre krenking av personlig informasjon og være oppmerksom på trusler som skadelig programvare. Alle har et ansvar for informasjonssikkerheten. 4.3 Ved mistanker om hendelser som truer informasjonssikkerheten skal brukeren rapportere dette til leder eller Inn-Trøndelag IKT. 18 5. Akseptabel bruk av IT-ressurser 5.1 Bruk av kommunenes IT-ressurser skal være forenelig med institusjonenes formål. Det er ikke tillatt å bruke IT-ressurser til et formål som strider mot etiske og moralske normer eller som er i konflikt med norsk lov. 5.2 Det er ikke tillatt å bruke IT-ressurser på en måte som opptar unødvendig stor kapasitet. Det skal ikke installeres eller brukes programvare eller maskinvare som har et destruktivt bruksområde eller som legger beslag på unødige ressurser. 5.3 Maskinvare som ikke er godkjent og avklart med Inn-Trøndelag IKT skal ikke installeres eller tas i bruk som en del av datanettet. Dette gjelder både datamaskiner, nettverkskomponenter og andre perifere enheter. 5.4 Handlinger for å omgå sikkerhetsinnstillinger og mekanismer rundt dette er under ingen omstendigheter tillatt. 5.5 Vis nett-vett: http://www.nettvett.no/ 6. Brukerens rettigheter 6.1 Kommunene skal sette klare retningslinjer for bruk av IT-ressurser. Inn-Trøndelag IKT har utarbeidet IKT-reglementet for bruk av IT-ressurser og disse skal gjøres tilgjengelige i oppdatert versjon for alle brukere til enhver tid. 6.2 Brukere har krav på at deres personvern ikke blir krenket på noe vis gjennom deres tilgang til IT-ressursene. Det skal ikke utleveres opplysninger om brukere eller data tilhørende brukere der dette ikke er nødvendig som følge av vedtatte reglement eller norsk lov. 7. Inngrep og sanksjoner 7.1 Brudd på IKT-reglementet kan føre til sanksjoner fastsatt av kommunen brukeren er ansatt i. Forhold som vurderes som brudd på norsk lov vil bli politianmeldt. 7.2 Inn-Trøndelag IKT kan ved mistanke om brudd på IKT-reglementet eller andre årsaker som truer systemets integritet og funksjonalitet, gjøre nødvendige grep for å gjenopprette normal drift. Dette kan innebære stenging av brukerkontoer, maskinkontoer eller andre tiltak som kan føre til stopp i brukerens tilganger. Slike inngrep skal varsles brukeren så snart det er praktisk mulig. 8. Brukerkonto og passord 8.1 En brukerkonto er strengt personlig og skal ikke brukes av andre enn den personen den er tilknyttet, dette gjelder også tiltrodde personer som kolleger og familiemedlemmer. Det er ikke tillatt å utgi seg for å være en annen bruker ved bruk av IT-ressurser. 19 8.2 Et passord skal holdes hemmelig og ikke oppbevares slik at andre kan lære det, for eksempel nedskrevet på en lapp. Ved mistanke om at passordet er kjent for andre skal det endres umiddelbart. 8.3 I tilfeller der det eksisterer systembrukere hvor flere personer har kjennskap til brukernavn og passord, plikter de som har denne tilgangen å påse at ingen uautoriserte personer får kjennskap til passordet. 8.4 Det er viktig at passord ikke gjenbrukes, for eksempel at brukeren har samme passord i kommunens systemer som i andre tjenester. 8.5 Ved glemt passord, mistanke om at passord er på avveie eller andre påloggingsproblemer, ta kontakt med Inn-Trøndelag IKT sin helpdesk: https://helpdesk.ikt-inntrondelag.no/ 8.6 Passordregime: Passord skal endres hver 6.mnd Passordet må oppfylle følgende krav til syntaks: o Være minst 8 tegn o Inneholde små bokstaver (a-z) o Inneholde store bokstaver (A-Z) o Inneholde tall (0-9) eller spesialtegn (. - _ + ! ? ( ) < > & ….) Passordet må være forskjellig fra de siste tre passordene dine. Passordet bør ikke inneholde ord eller navn som kan knyttes til brukeren, for eksempel navn på familiemedlemmer, stedsnavn, titler, årstall etc. - - 9. Epost 9.1 Enhver som benytter eposttjenesten driftet av Inn-Trøndelag IKT skal utvise skjønn for fornuftig bruk. Dette inkluderer blant annet å begrense privat bruk av epostkontoen, samt å slette eposter som ikke lenger er aktuelle. Epostboksen er ikke et arkivsystem. 9.2 Epost anses ikke som et verktøy for sikker kommunikasjon med mindre den er kryptert. Sensitive personopplysninger skal derfor ikke forekomme i epost. Meldinger som inneholder sensitive opplysninger skal ikke sendes eller distribueres videre hvis den mottas 9.3 Ved mistanke om at epost inneholder skadelig programvare eller forsøk på svindel, skal eposten slettes umiddelbart. Linker eller vedlegg må ikke åpnes hvis avsenderen eller meldingen ikke kan tolkes som en seriøs henvendelse. 9.4 Det er ikke tillatt til å starte eller videresende kjedebrev. 9.5 Det må utvises varsomhet når epostadresser legges igjen på nettsider og registreringsskjema. Dette er for å forebygge at epostadressen blir inkludert i lister som brukes for spam. 9.6 Ved utsending av epost til mange mottakere som ikke er en distribusjonsliste, skal mottakere legges inn i feltet for blind-kopi. Dette er for å hindre uønsket spredning av epostadresser. 20 10. Lagring 10.1 Områder på filservere som er tilgjengelig for brukere skal kun brukes for tjenstlige formål. Dette gjelder også de private lagringsområdene (Q:). Det skal ikke forekomme private filer som bilder, applikasjoner eller multimediefiler (filmer, musikk, spill) på disse filområdene. 10.2 Lagring og sikkerhetskopiering er en begrenset ressurs, og filer som ikke lenger er aktuelle skal slettes. 10.3 Det er ikke tillatt å benytte private kontoer for skytjenester i tjenstlig formål eller synkronisering mellom kommunenes IT-ressurser og slike tjenester. Eksempler på disse er Dropbox, OneDrive og Jottacloud. 10.4 Informasjon som inneholder personopplysninger skal ikke lagres på eksterne lagringsmedier som eksterne harddisker eller minnepinner. 11. Innsyn og overvåking 11.1 Brukere kan selv gi ledere og andre ansatte innsyn i epost og filområder ved behov, for eksempel ved sykdom eller permisjon. 11.2 Beslutning om innsyn tas av leder ved vedkommende enhet eller IT-leder. 11.3 Det kan tas beslutning om innsyn i epostkasse eller filområde hvis det er behov for å ivareta daglig drift, kommunens ansvar eller omdømme. 11.4 Det kan tas beslutning om innsyn hvis det er mistanke om at epostkasse eller filområde inneholder materiale som er i strid med norsk lov eller ved brudd på bestemmelsene i IKTreglementet. 11.5 Brukeren skal varsles om innsynet på forhånd og få mulighet til å være tilstede hvis dette er praktisk og tidsmessig mulig og det ikke er fare for bevisødeleggelser. 11.6 Tiltak for innsyn skal dokumenteres i en rapport. 11.7 Inn-Trøndelag IKT benytter systemverktøy som overvåker IT-ressurser, og informasjon og logger fra disse brukes til driftsformål. 11.8 IKT-driftsansvarlige har taushetsplikt med hensyn til informasjon om brukeren og brukerens virksomhet som den IKT-driftsansvarlige får på denne måten. 12. Avslutning av ansettelsesforhold 12.1 Når et ansettelsesforhold avsluttes skal brukeren rydde i epostkasse og personlige filområder. Brukeren har selv ansvar for å ta vare på og videreformidle informasjon som skal bevares til rett person eller saksbehandlingssystem. 21 12.2 Epostkasse og personlig filområde vil bli bevart i 3 måneder etter endt ansettelsesforhold. Deretter vil informasjonen bli slettet. 12.3 Brukerkontoer til ansatte som slutter vil bli sperret når ansettelsesforholdet avsluttes. 12.4 Ved dødsfall vil epostkasse og personlig filområde bli slettet, med mindre det er sannsynlig at politiet vil ønske innsyn i opplysningene. Før sletting finner sted kan det foretas innsyn for å sortere ut virksomhetsrelatert e-post og filer i tråd med rutine for dette. 22 Vedlegg 7 - Taushetserklæring Det vises til forvaltningslovens § 13 (taushetsplikt): Enhver som utfører tjeneste eller arbeid for et forvaltningsorgan, plikter å hindre at andre får adgang eller kjennskap til det han i forbindelse med tjenesten eller arbeidet får vite om: 1. 2. noens personlige forhold, eller tekniske innretninger og fremgangsmåter samt drifts- eller forretningsforhold som det vil være av konkurransemessig betydning å hemmeligholde av hensyn til den som opplysningen angår. Som personlige forhold regnes ikke fødested, fødselsdato og personnummer, statsborgerskap, sivilstand, yrke, bopel og adresse, med mindre slike opplysninger røper et klientforhold eller andre forhold som må anses som personlige. Kongen kan ellers gi nærmere forskrifter om hvilke opplysninger som skal reknes som personlige, om hvilke organer som kan gi privatpersoner opplysninger som nevnt i punktumet foran og opplysninger om den enkeltes personlige status for øvrig, samt om vilkårene for å gi slike opplysninger. Taushetsplikten gjelder også etter at vedkommende har avsluttet tjenesten eller arbeidet. Han kan heller ikke utnytte opplysninger som nevnt i denne paragraf i egen virksomhet eller i tjeneste eller arbeid for andre. I tillegg gjelder taushetsplikt i henhold til alle særlover. Erklæring: Jeg, født bekrefter at jeg i mitt arbeide overfor Steinkjer kommune vil respektere den taushetsplikt som følger av Forvaltningslovens § 13 og særlover m.v., og ikke bringe videre opplysninger om noe forhold som strider mot nevnte bestemmelser. Steinkjer den 23 14/16 Utredning – Snåsa kommune – eventuelt inn som deltager i IKT Inn-Trøndelag Vedtak: Tilnærming mellom IKT Inn-Trøndelag og IKT i Snåsa kommune gjennomføres ut fra vedlagt skisse fra Snåsa kommune. IKT Inn-Trøndelag går inn i arbeidsgruppe og holder styret løpende orientert. Saksfremlegg: IKT Inn-Trøndelag er kontaktet med forespørsel om å delta i prosjektarbeid sammen med Snåsa kommune med tanke på å implementere Snåsa i IKT Inn-Trøndelag. Tilsendt skisse fra Snåsa presenteres for styret. Styret bes om å gi IKT Inn-Trøndelag oppstartsfullmakt for bl.a å gå inn i arbeidsgruppe. 24 Vedlegg Utredning – Snåsa kommune – eventuelt inn som deltager i IKT Inn-Trøndelag Punkt Overordnet mål Myndighet / ansvar Arbeidsgruppe Innhold Avdekke tekniske, praktiske, avtalemessig og økonomiske forutsetninger for at Snåsa kommune kan inngå som deltager i IKT Inntrøndelag. Konkret fremme sak for Snåsa formannskap og styret for IKT Inntrøndelag innen medio oktober 2014. Eventuell oppstart av eget prosjekt på flytting i løpet av jan. 2015. (Dersom dette er mulig; estimert flyttedato ??) Snåsa kommunestyre har fattet vedtak om samarbeidsretning sørover og bemyndiget adm til løpende å inngå samarbeid. IKT er et svært viktig område i denne sammenhengen. Behov for formell avklaring/aksept fra styret i IKT inntrøndelag om at denne prosessen kan starte. Utredningen krever deltagelse fra flere hold. Selvfølgelig deltagere/ fag; Snåsa kommune, Steinkjer kommune. Adm/IKT. Spørsmål om det er hensiktmessig med deltagelse fra IKTIN. I utredningen er det kan hende det kun er to spørsmål IKTIN må besvare: Tekniske spørsmål ved Snåsas exit. Økonomiske konsekvenser (muligens regionrådet) Oppfølging Roger forbereder sak til Snåsa f-skap om event. oppstart av prosjekt innen medio okt. 2014 Ragnar sørger for nødvendig formell myndighet til å gå i gang. Ragnar avklarer hensiktmessig deltagelse fra Steinkjer. Roger avklarer hensiktsmessig deltagelse fra Snåsa. Roger tar kontakt med IKTIN med fors Innhold i utredning - Er det mulig for Snåsa kommune å inngå i samarbeidet på det allerede utarbeidede avtalegrunnlaget som er i bruk for Steinkjer kommune, Inderøy kommune og Verran kommune. - Hva slags avtalemessig tilnærming skal man benytte for bemanning, ev. overflytting, prinsipp om stedlighet mv - Hva vil kostnadene være for de tekniske operasjonene med en eventuell overflytting? (Gjelder både fra IKTIN, Inntrøndelag IKT og eksterne konsulenter) - Endringer i kostnadene for lisenser, drift, serviceavtaler mv. - Er det særlig hensyn man må ta i forhold til spes. fag? Skole, helse – forsystemer mv? - Tidsplan for et eventuelt flytteprosjekt - Kartlegging av behov for kompetansestyrking og opplæring i eventuelt nytt samarbeid.
© Copyright 2024