Formål og ansvar for informasjonssikkerhet
Formålet med sikkerhetsorganisasjon er å beskrive organiseringen av arbeidet med informasjonssikkerhet slik at det er tydelig hvem som er ansvarlig på ulike områder, og hva de er ansvarlig for. Ansvaret for informasjonssikkerhet innebærer både et overordnet ansvar for at kommunen har tilfredsstillende og dekkende informasjonssikkerhet iht. gjeldende lovverk, og et ansvar for at ledere på alle nivåer, ansatte, innleid personell og leverandører følger de spesifikke krav og plikter som gjelder i kommunen. Databehandler har et selvstendig ansvar for at gjeldende lovverk følges slik det er regulert i avtale med kommunen eller andre parter.
Loven- Personvernforordningen
Personvernforordningen artikkel 24 :
"Lov om behandling av personopplysninger (personopplysningsloven)
EUROPAPARLAMENTS- OG RÅDSFORORDNING (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) [PVF, GDPR]
KAPITTEL IV Behandlingsansvarlig og databehandler
Avsnitt 1 Generelle forpliktelser
Artikkel 24.Den behandlingsansvarliges ansvar
1. Idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter, skal den behandlingsansvarlige gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med denne forordning. Nevnte tiltak skal gjennomgås på nytt og skal oppdateres ved behov.
|
2. Dersom det står i et rimelig forhold til behandlingsaktivitetene, skal tiltakene nevnt i nr. 1 omfatte den behandlingsansvarliges iverksetting av egnede retningslinjer for vern av personopplysninger.
|
3. Overholdelse av godkjente atferdsnormer som nevnt i artikkel 40 eller godkjente sertifiseringsmekanismer som nevnt i artikkel 42 kan brukes som en faktor for å påvise at den behandlingsansvarliges forpliktelser overholdes".
|
Den behandlingsansvarliges ansvar (utdrag): Skal den behandlingsansvarlige gjennomføre egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med denne forordning.
- Kommunedirektøren har det overordnete ansvar for at informasjonssikkerheten i kommunen ligger på et forsvarlig nivå.
- Kommunedirektøren er som behandlingsansvarlig ansvarlig for at det etableres en sikkerhetsorganisasjon som koordinerer og gjennomfører informasjonssikkerhetsarbeidet.
- Behandlingsansvarlig kan delegere operativt ansvar for daglige arbeidsoppgaver, men ikke ansvaret i forhold til loven.
- Utøvelsen av sikkerhetsansvaret og -arbeidet vil skje på ulike nivå i organisasjonen. Organiseringen og innholdet i oppgaver og roller vil være dynamisk.
Behandlingsansvarlig:
|
|
Stilling:
|
Kommunedirektør Inger-Eline Eriksen Fjellgren
|
Telefon:
|
46400300
|
Epost:
|
inger.fjellgren@tana.kommune.no
|
Rapporterer til:
|
Kommunestyret
|
Myndighet:
|
Øverste ansvarlige
|
Ansvarsområde
- Fastsette krav til sikkerhetsmål og -strategi for informasjonsbehandling i organisasjonen
- Oppnevne sikkerhetsleder og medlemmer til et sikkerhetsutvalg
- stille til rådighet de ressurser som er nødvendig for å utføre lovpålagte oppgaver og opprettholde sin dybdekunnskap
- sikre at personvernombudet på riktig måte og i rett tid involveres i alle spørsmål som gjelder personopplysninger
- gi tilgang til personopplysninger og behandlingsaktiviteter
- sikre at personvernombudet er uavhengig og ikke mottar instrukser om utførelsen av sine oppgaver
- sikre at personvernombudet ikke avsettes eller straffes for å utføre sine oppgaver
- sørge for at personvernombudet er bundet av taushetsplikt
- at personvernombudets kontaktopplysninger gjøres kjent for ansatte/de registrerte og tilsynsmyndigheten (Datatilsynet) -Opplysningene om personvernombudet er registrert på hjemmesida
- Sørge for at organisasjonen gjennomfører nødvendige sikkerhetstiltak i samsvar med overordnede krav og retningslinjer
- Sørge for at informasjonen er klart og entydig definert og at forholdene er lagt tilrette for gjennomføring
- Lage mål og strategiplaner for informasjonssikkerhet
- Initiere ledelsens gjennomgang av informasjonssikkerheten minimum en gang i året
- Sikkerhetsrevisjon
- Kartlegging av risikoområder knyttet til personvern
- Revisjon av prosedyrer under GDPR
- Sikre at informasjonssikkerhet drøftes i eget fora
Myndighet
Øverste ansvarlige i organisasjonen. Organiserer ansvar, roller og oppgaver innenfor arbeidet med informasjonssikkerhet.
Sikkerhetsutvalg/kvalitetsutvalg (leder eller ansvar for å delegere videre).
Sikkerhetsleder -
Daglig ansvarlig
Rolle:
| Virksomhetsleder/Avdelingsleder
|
Stilling:
|
Virksomhetsleder/Avdelingsleder
|
Telefon:
|
|
Epost:
|
|
Rapporterer til:
|
Tjenestevei
|
Myndighet:
|
Følger delegasjonsreglement
|
Rolle:
Behandlingsansvarlig
Ansvarsområde
- Er daglig ansvarlig for sikker behandling av personopplysninger i egen organisasjon.
- Informere ansatte om sikkerhetsprosedyrer og sørge for at disse følges.
- Sørge for:
- Opplæring i informasjonssikkerhet og fagsystem i egen organisasjon.
- At internkontrollsystemet blir brukt i egen organisasjon.
- At lokalene er sikret på en forsvarlig måte slik at uvedkommende ikke får tilgang til personopplysninger.
- At risikovurderinger blir gjennomført.
- Gjennomføring og dokumentasjon av egenkontroll.
- Behandle meldte avvik i tråd med gjeldende prosedyrer.
- Sikre at alle ansatte har riktige tilganger.
- Ha oversikt over, og ta avgjørelser om autorisert bruk.
- Bestemme tilganger til systemer/nivå/funksjoner.
- Leder sikrer personopplysninger ved:
- At personopplysningene blir delt med medarbeidere som har bruk for informasjonen i arbeidet sitt.
- At den enkelte medarbeider får forholdene tilrettelagt slik at hun/han kan ivareta sitt personlige sikkerhetsansvar.
IT-sikkehetsansvarlig - ansvarlig for teknisk løsning
Rolle:
| Systemansvarlig/IT-leder
|
Stilling:
|
Systemansvarlig/IT-leder Inger Petterson
|
Telefon:
|
|
Epost:
|
ip@tana.kommune.no
|
Rapporterer til:
|
Ved intern organisering, tjenestevei
|
Myndighet:
|
Ved ekstern organisering, se driftsavtale
|
Ansvarsområde
- Utarbeide en beredskapsplan for å sikre at driftstekniske datasystem er operative dersom det skulle oppstå uforutsette hendelser (eks strømbrudd, flom, brann, hærverk, sabotasje mm).
- Ved ekstern driftspartner på it-drift reguleres forholdet gjennom databehandleravtale og driftsavtale.
- Avslutte brukerkontoer ved opphør av arbeidsforhold.
- Sørge for oppdatert kunnskap om trusselbildet og at det iverksettes tiltak ved behov.
- Utvikle, dokumentere og forvalte sikkerhetsarkitekturen.
- Utarbeide et styringssystem og driftsdokumentasjon for it-drift av organisasjonens lokale løsninger.
- Følge opp avvik knyttet til IT-sikkerhetshendelser.
- Gjennomføre og fasilitere risikovurderinger ved behov, på forespørsel eller ved endringer i sikkerhetsarkitekturen.
- Sørge for tilstrekkelige budsjettmidler til tekniske sikkerhetstiltak.
- Veilede systemeiere og systemansvarlige (administratorer) i forhold til sikkerhetstiltak og -krav.
- Sørge for at kontrakter med interne og eksterne leverandører ivaretar vedtatt teknisk sikkerhetsarkitektur gjennom kravspesifisering.
- Utarbeide rapport til ledelsens gjennomgang sammen ed informasjonssikkerhetsansvarlig i kommunen.
- Vedlikeholde og oppdatere relevante kapitler i styringssystemet for informasjonssikkerhet.
- Drive med holdningsskapende arbeid.
Myndighet
Delegert ansvar.
Personvernombud
Rolle:
| Personvernombud
|
Stilling:
|
Personvernombud Bjørn Nilsen
|
Telefon:
|
90689838
|
Epost:
|
bjorn.nilsen@sikri.no
|
Rapporterer til:
|
Behandlingsansvarlig (kommunedirektør)
|
Myndighet:
|
Delegert myndighet
|
Ansvarsområde
- Informere og gi råd til den behandlingsansvarlige, ansatte og databehandler om plikter de har etter regelverket om personopplysninger.
- Kontrollere overholdelse av regelverket, herunder fordeling av ansvar, holdningsskapende tiltak og opplæring av personellet som utfører behandlingsaktiviteter og revisjon.
- På anmodning gi råd om vurdering av personvernkonsekvenser og kontrollere gjennomføring der dette er påkrevd.
- Samarbeide med og være kontaktpunktet for tilsynsmyndighet (Datatilsynet).
- Være kontaktpunktet for de registrerte angående alle spørsmål som omhandler behandling av deres personopplysninger.
- Bundet av taushetsplikt eller en plikt til konfidensiell behandlinga av opplysninger.
- Personvernombudet kan i tillegg til dette ha andre oppgaver, så lenge det ikke fører til interessekonflikter.
Arkivleder
|
|
Stilling:
|
Arkivleder
|
Telefon:
|
46400304
|
Epost:
|
aslaug.iversen@tana.kommune.no
|
Rapporterer til:
|
Nærmeste overordnede leder
|
Myndighet:
|
Delegert myndighet
|
Ansvarsområde
- Sørge for at:
- Opplæring i informasjonssikkerhet og fagsystem gjennomføres i egen organisasjon
- Risikovurderinger for arkiv blir gjennomført
- Arkivplan blir oppdatert
- Data og dokumenter blir klassifisert og lagret etter gjeldende retningslinjer
- Egenkontroll blir gjennomført og dokumentert
- Bistå i avklaringer omkring arkivformålet, allmenhetens interesse, forsking, vitenskapelig, historisk og statistikk (PVF art 89 nr1) - annet (personopplysninger som fortjener sterkere vern).
- Bistå etter behov ved alle henvendelser når det gjelder den registrertes rettigheter.
Myndighet
Overordnet faglig myndighet for den samlede dokumentasjonsvirksomheten i kommunen.
Laster...