Retningslinjer for informationssikkerhed i Quick Care Side 1 af 9
Med udførelsen af kerneydelserne for kommunernes jobcentre, er alle ansatte i Quick Care i berøring med informationer, som kategoriseres personfølsomme. Alle disse data skal sikres, så den enkelte borgers informationer ikke kommer andre i hænde end de ansatte ved Quick Care, som det har relevans for. I vores arbejde: - Opbevarer personfølsomme data i filer og mails - Sender vi personfølsomme informationer omkring borgere via mail til kommunerne - Registrerer vi detaljer omkring borgere i vores egenudviklede journalsystem - Modtager personfølsomme informationer fra jobcentre på papir I forbindelse med, at vi har disse personfølsomme informationer, skal vi tage foranstaltninger, som sikrer, at disse ikke kan tilgås af uvedkommende. I vores IT setup har man fra IT administrationen forholdt sig til informationssikkerheden, og har indført foranstaltninger, som skal hjælpe den enkelte medarbejder til at imødekomme kravene til IT sikkerhed. Dette dokument beskriver, hvordan medarbejdere skal forholde sig til personfølsomme data, og retningslinjer til at undgå, at informationer kommer uvedkommende i hænde. Side 2 af 9
Definiton på personfølsomme data i Quick Care De informationer, som Quick Care har om borgere i forløb indeholder som oftest helbredsinformationer, hvorved vi i Quick Care skal gå ud fra, at AL INFORMATION OM BORGERE I FORLØB ER AF STÆRKT PERSONFØLSOM KARAKTER. VI VIL IKKE SKELNE IMELLEM DET ENE OG ANDET FORLØB ELLER BORGERGRUPPE, FOR AT UNDGÅ GRÅZONER Så snart vi har informationer af borgere indeholdende CPR nummer, eller fornavn, efternavn og adresse, så er informationerne STÆRKT PERSONFØLSOMME. Side 3 af 9
Retningsliner: Som medarbejder skal du kun tilgå de informationer omkring borgere, som vedrører dig i dit arbejde i hverdagen, og IKKE ANDRE BORGERINFORMATIONER. Hvis du som medarbejder oplever, at der kunne være mulighed for forbedringer i forhold til personfølsomme oplysninger, skal du rette henvendelse til IT support og berette herom. BEMÆRK: ALT KAN IKKE GØRES VHA. IT SYSTEMER. TÆNK OVER DIN EGEN ADFÆRD! Opbevaring af personfølsomme informationer elektronisk Når der er behov for, at personfølsomme informationer skal opbevares i filer udenfor journaliseringssystemet, så skal man ALTID logge ind på sit eget fjernskrivebord, og arbejde derinde. Ved at medarbejdere arbejder på fjernskrivebordet sikrer man, at der ikke kommer til at ligge personfølsomme informationer lokalt på den computer, som man arbejder på, men ligger på fjernskrivebordet, og derved er der ingen risiko for at personfølsomme informationer kommer i forkerte hænder, hvis ens computer bliver stjålet. Side 4 af 9
E-mail til jobcentre Alle som har behov for at kommunikere personfølsomme informationer med kommunens jobcentre, skal bestille en personlig digital signatur hos deres respektive ledere, som bestiller dem fra IT afdelingen. Når I modtager jeres personlige signatur, får I også vejledning i hvordan denne anvendes fra IT afdelingen til kryptering & signering af jeres mails. Som udgangspunkt skal al mailkorrespondance med kommunens jobcentre krypteres & signeres. Ved at al mailkorrespondance krypteres & signeres, vil der ikke ske fejlvurdering omkring informationer er personfølsomme eller ikke. E-mail internt imellem Quick Care medarbejdere Mail korrespondance imellem Quick Care medarbejdere skal ikke indeholde personfølsomme data. Al elektronisk informationsudveksling imellem Quick Care ansatte skal ske via journaliseringssystemet, som er sikret med personlige logins og kryptering. Anvendelse af afdelings mailboks For de afdelinger, som har en afdelings mailboks, skal medarbejdere, som har adgang til afdelingsmailboksen, ALTID SKAL INDSÆTTE PERSONLIG SIGNATUR I MAILS SOM BLIVER AFSENDT FRA DEN. Side 5 af 9
Registrering i journaliseringssystemet Når medarbejdere skal registrere informationer omkring borgere, skal dette altid ske via journaliseringssystemet og når muligt fra fjernskrivebordet. Ved at tilgå journaliseringssystemet fra jeres fjernskrivebord, sikrer man sig, at al kommunikation til serveren foregår internt i Quick Cares netværk, og derved kan andre udefra ikke lytte med. Side 6 af 9
Personfølsomme informationer på papir Når man har personfølsomme informationer på papir i afdelingerne skal man sikre sig, at de bliver låst inde i skabene med lås på. Hvis papiret har karakter af visitation eller har karakter af sagsdokument for en borger, så skal det opbevares i 5 år. Opbevaring af sagsdokumenter foregår i hovedkontoret i Herning, hvorved disse skal bringes til kontoret i Birk ved arkivering. Indtil endelig arkivering skal dokumenterne opbevares i skabet med lås på i afdelingen, og skabet skal være aflåst til enhver tid. Når dokumenter med personfølsomme informationer skal bortskaffes, så SKAL de makuleres. Side 7 af 9
Tommelfingerregler: - Ekstern mail krypteres & signeres - Brug altid fjernskrivebordet i dagligdagen - Lås papirer inde Side 8 af 9
Processer Bestilling af certifikater - Medarbejder går til sin leder og beder om certifikater - Leder skriver til IT Support med bestilling - IT afdelingen opretter certifikat, og tilknytter det brugerprofilen i Outlook på fjernskrivebordet - IT afdelingen eller afdelingslederen tager fat i medarbejderen og instruerer vedkommende i brugen af certifikatet Adgang til mapper på fællesdrev - Medarbejders kontakter leder og beskriver behov - Leder vurdere relevansen og leder bestiller adgang via IT afdelingen - IT afdelingen giver rettighed til vedkommende mappe, hvis det vurderes relevant for udarbejdelsen af medarbejders arbejde Adgang til afdelingspostkasser - Leder kontakter IT support for tildeling af adgang til medarbejder - IT afdelingen opretter adgangen til medarbejder Adgang til afdelinger i journaliseringssystemet - Ved ansættelse tilknyttes medarbejder til specifikke afdelinger - Hvis medarbejder skal have adgang til andre afdelinger skal vedkommende forespørge leder - Leder kontakter IT afdelingen - If afdelingen giver medarbejder adgang til afdelingen Side 9 af 9