Ikrafttrædelsesdato: 1. juni 2019 Godkendt af: Direktionen d. 23. maj 2019 PROCEDURE FOR TRANSPORT AF FYSI- SKE MEDIER INDEHOLDENDE PERSON- DATA VI HAR KUN BORGERNES DATA TIL LÅNS, OG SKAL PASSE GODT PÅ DEM TRANSPORTER DOKUMENTER OG ANDRE DATA SIKKERT OG MED OMHU INDLEDNING Termer og forkortelser som er fremhævet med blåt, første gang de fremstår, er forklaret i procedurens sidste afsnit: DEFINITIONER OG FORKOR- TELSER For at undgå sikkerhedsbrud, skal vi altid sikre os, at vi passer på de data og informationer, som vi behandler, såvel de elektroniske data som de data vi har på papir og på andre fysiske medier. Det er derfor vigtigt, når du transporterer fysiske medier med persondata, at du kun fragter dem direkte fra kontor, printer, medicindepot m.m. til brugsstedet og derefter retur til oprindelsesstedet igen. Dette gælder såvel indenfor som udenfor kommunens egne lokationer. Vi må aldrig efterlade fysiske medier, så de er tilgængelige for uvedkommende, og vi skal altid være opmærksomme på at håndtere vores telefoner, ipads, bærbare pc er, papir m.m. på en forsvarlig måde. Hvis uheldet er ude, og du mister medier med persondata eller får mistanke om, at uvedkommende har set og læst fortrolige og følsomme persondata, skal det behandles som sikkerhedsbrud og meldes til informationssikkerhedsfunktionen (herefter ISF), se afsnittet Roller og Ansvar samt Ref. 1. SAGSBEHANDLER: HENRIK HOUNSGAARD DOKUMENTNR.: 89424/19 SAGSNR.: 18/42540 FORMÅLET MED DENNE PROCEDURE ER: At vi altid overholder gældende lovgivning vedr. persondata At vi er opmærksomme på at håndtere borgerens og medarbejderens data på en forsvarlig måde
SIDE 2/6 At vi sikrer en ensartet håndtering af papir og andre fysiske medier, når det er nødvendigt at transportere fra et punkt til et andet At vi undgår uheld og fejl, når vi transporterer information ROLLER OG ANSVAR Denne procedure gælder for alle medarbejdere i Guldborgsund Kommune, der ind imellem har behov for at transportere papir eller andre fysiske medier indeholdende persondata. SOM LEDER I GULDBORGSUND KOMMUNE ER DET DIT ANSVAR, AT Sikre, at dine medarbejdere kender og arbejder efter denne procedure Indskærpe overfor alle medarbejdere, at sikkerhedsbrud altid omgående skal meldes til dig som leder, se Ref. 1 Sikkerhedsbrud omgående meldes til ISF ved brug af Skema til indberetning af sikkerhedsbrud, se Ref. 2. Underrette borgere om sikkerhedsbrud efter aftale med ISF SOM ANSAT I GULDBORGSUND KOMMUNE ER DET DIT ANSVAR, AT Du udelukkende transporterer fysiske medier indeholdende persondata som beskrevet i denne procedure Sikre persondata mod, at uvedkommende får adgang til at læse informationerne, som beskrevet i næste afsnit Melde til din leder, hvis du mister persondata eller får mistanke om, at uvedkommende har haft adgang til disse. TRANSPORT AF FYSISKE MEDIER DER INDEHOLDER PER- SONDATA Når vi transporterer papir, telefoner, pc er, ipads, m.m. med persondata, skal vi, som udgangspunkt, altid transportere det direkte til bestemmelsesstedet og retur. Papir skal altid være i lukkede mapper under transporten o Kørelister, medicinlister m.m. printes ud om morgenen og makuleres eller kommes i sikret papirskraldespand til fortroligt materiale umiddelbart efter brug samme dag Alle medier skal opbevares i lukkede tasker under transporten Medier må ikke efterlades synligt i bilen
SIDE 3/6 Er det absolut nødvendigt, at du medbringer fysisk materiale indeholdende persondata med hjem, i relation til dit arbejde, må du ikke efterlade det i bilen uden opsyn Lad være med at lægge telefon, ipad, papirer m.m. på taget af bilen HVORDAN HÅNDTERER JEG DOKUMENTER PÅ PAPIR? Arbejdspapirer, kørelister, medicinlister m.m., som er nødvendige at have med på papir, for at du kan udføre dit arbejde, skal altid opbevares i et lukket uigennemsigtigt chartek eller en mappe og må ikke opbevares løst dette gælder også ved transport inde på din arbejdsplads. Ved transport mellem din arbejdsplads og en borger, skal papir, ligesom andre medier, altid transporteres i en lukket og gerne aflåst taske. HVORDAN HÅNDTERER JEG ELEKTRONISK UDSTYR Det forudsættes at alle bærbare computere, telefoner, usb-nøgler m.m. opfylder kommunens IT-politik, se Ref. 3, og de burde derfor være sikrede mod utilsigtet adgang. Persondata skal altid skrives direkte ind i de gældende fagsystemer, og må ikke forekomme på computerens skrivebord eller c-drev heller ikke midlertidigt. Benyttes telefonen som kamera, er det vigtigt, at billeder omgående overføres til fagsystemet og efterfølgende slettes fra telefonen. Vedrørende brug af ipads i hjemmeplejen og sygeplejen og transport af disse, se bilag 1. Vedrørende transport af medicin, se bilag 2. I visse tilfælde, kan det være nødvendigt, at fx print af informationer om personer og deres forhold skal opbevares hos sagsbehandleren i en periode. I disse tilfælde skal du være opmærksom på, at du ikke efterlader materialet i bilen, men altid tager det med ind i boligen, når bilen forlades. Fortrolige og følsomme persondata bør i disse situationer opbevares i aflåst chartek eller taske. DEFINITIONER OG FORKORTELSER EMNE / FORKOR- TELSE Fortrolige oplysninger Fysiske medier FORKLARING Følsomme oplysninger, cpr-nummer, ikke følsomme oplysninger i visse situationer (f.eks. beskyttet adresse, formue-forhold, tvangsanbringelsessager og ansættelsesforhold) Papir, usb-stik, computer, ipad, m.m. som indeholder information.
SIDE 4/6 Følsomme oplysninger Informationssikkerhedsfunktionen Informationssikkerhedskoordinator ISF ISK Sikkerhedsbrud Race, etnisk oprindelse, politisk, religiøs el. filosofisk overbevisning, fagforeningsmæssige tilhørsforhold, genetiske data, biometriske data med henblik på entydig identifikation, helbredsoplysninger, seksuelle forhold eller orientering. Er en central enhed placeret i Center for Politik & Personale, Informationshåndtering & Stadsarkiv. ISF har fokus på data- og informationskvalitet. ISF modtager og registrerer anmeldelser af sikkerhedsbrud, varetager GBS kontakt til DPO, samt anmelder brud til Datatilsynet. ISF er tovholder for ISK-korpset. En eller flere personer udpeget i hvert center, som varetager det decentrale tilsyn med informationssikkerhed. Kommissorium og liste over ISKere er tilgængeligt på GUFI. ISKerne er lokale ambassadører for informationssikkerhed og medvirker til begrænsning af sikkerhedsbrud og er en del af beredskabet ved sikkerhedsbrud. Informationssikkerhedsfunktionen Informationssikkerhedskoordinator Sikkerhedsbrud betyder, at uvedkommende har fået adgang til fortrolige eller følsomme personoplysninger, eller at der er en risiko for, at dette er tilfældet. REFERENCER Ref. 1 Ref. 2 Ref. 3 Gældende Procedure for underretningspligt ved sikkerhedsbrud, finder du på Informationssikkerhedssiden på GUFI. Gældende Skema til indberetning ved sikkerhedsbrud finder du på Informationssikkerhedssiden på GUFI. Gældende IT-sikkerhedspolitik pixiudgave finder du her
SIDE 5/6 BILAG 1: BRUG OG TRANSPORT AF IPADS I CENTER FOR SUNDHED & OMSORG I Center for Sundhed & Omsorg benyttes et større antal ipads, som led i hjemme- og sygeplejens arbejde. Disse ipads er sat op med en fælles brugeradgang for en større gruppe eller enhed, dvs. samme apple-id og adgangskoder (password) for flere brugere. Den fælles bruger-id betyder, at man fra én ipad kan have adgang til alle informationer, der samles på samtlige ipads i gruppen, idet disse informationer synkroniseres og lagres under samme id i skyen. Hver ipad skal derfor indstilles, således at denne funktion ikke er mulig. BRUG AF IPADS Der må ikke forekomme personfølsomme og fortrolige data på ipads. Benyttes en ipad som kamera, SKAL billederne slettes, så snart disse er overført til det benyttede fagsystem. Medicinlisten, som hentes via ipad eller telefon, indeholder ikke personfølsomme eller fortrolige data. Adgangs-id må IKKE være registreret i opsætningen, da dette er i strid med kommunens IT-sikkerhedsregler TRANSPORT AF IPADS Der har været tilfælde, hvor ipads er glemt, er tabt eller er blevet stjålet under transporten, så derfor er det vigtigt, at den pågældende gruppe, afdeling, distrikt eller institution har en procedure, for fælles ipads der bl.a. beskriver at: ipads der fragtes fra arbejdspladsen om morgenen, skal bringes retur efter arbejdstids ophør samme dag ipads skal tælles og tjekkes dagligt for at sikre, at der ikke mangler nogen, herunder også beskrive, hvem der er ansvarlig for optællingen ipads Apple id eller password ikke må fremstå sammen med ipad, og fx ikke må påklæbes ipad eller ligge i ipads etui eller taske. Det ikke på anden måde må være muligt for uvedkommende at få adgang til id og password Password skal skiftes jævnligt fx hvert kvartal ipads altid skal transporteres i en lukket taske (rygsæk) ipads aldrig må efterlades synligt i en bil ipads ikke må efterlades tændt og tilgængelige for borgerne
SIDE 6/6 BILAG 2: TRANSPORT AF MEDICIN Af etiketterne på borgernes medicin fremgår cpr nummer, navn og medicintype, hvilket er følsomme og fortrolige informationer om borgeren. Derfor skal medicin håndteres som papir og andre medier indeholdende personrelaterede data.