Skal Kan Må ikke Instrukser for brug af dataudstyr ved OUH Afdelingen for Driftsoptimering og IT
Vi er til for borgerne, og bruger dataudstyr for at sikre effektivitet og kvalitet. Vi skal have en høj informationssikkerhed for at beskytte personfølsomme oplysninger, samt sikre stabil drift. Det er derfor vigtigt, at vi undgår uautoriseret adgang til systemerne. Denne pjece tager udgangspunkt i lovgivningen for datasikkerhed, og tilsidesætter naturligvis ikke øvrig gældende lovgivning. tage udgangspunkt i vores værdigrundlag. Det er dit ansvar, at retningslinjerne følges. Brug din sunde fornuft. Venlig hilsen Jane Kraglund Administrerende direktør 2
Indledning Denne instruks omhandler alt dataudstyr, som kan indeholde mails og data. Det gælder computere, telefoner, tablets, håndholdte enheder, kopimaskiner mv. Med baggrund i lovgivning for datasikkerhed og med udgangspunkt i vores værdigrundlag skal instrukserne for brug af dataudstyr ses som en rettesnor for, hvad du skal, hvad du kan og hvad du ikke må. Generelt er der følgende rettesnor: Skal - udføre jobrelaterede opgaver - overholde lovgivning for datasikkerhed. Kan - udføre jobrelaterede opgaver, som sikrer faglig vækst. Må ikke - foretage ulovlige handlinger og handlinger, der kan ødelægge produktionsapparatet. Generelt På OUH gør vi følgende: Alle medarbejderes aktiviteter på it-systemer og internettet logges. Der tages sikkerhedskopi af alle medarbejderes mail og dokumenter på serverne. Ved fravær eller sygdom kan nærmeste leder åbne en medarbejders e-mails. Forinden orienteres medarbejderen om dette. Er det ikke muligt, orienteres pågældendes tillidsrepræsentant. It-supporten i Afdelingen for Driftsoptimering og IT, nulstiller password efter leders anmodning. Der skal tages særlige forholdsregler, når det drejer sig om medarbejdere, der varetager specielle hverv, f.eks. tillidsrepræsentanter og arbejdsmiljørepræsentanter. Medarbejdere med tillidshverv skal udpege en person, som i tilfælde af, at lederen ønsker adgang til deres mail, kan åbne og videresende relevante mails til lederne. Medarbejderen skal orientere lederen om udpegningen. HUSK at du bør give kollegaer adgang til at læse din mail, hvis du er fraværende i en periode. Dette gør du i Outlook Indstillinger Stedfortrædere. 3
Du må i begrænset omfang bruge udstyret privat i arbejdstiden til at sende og modtage mails, gå på internettet og til dokumentbehandling. Kun OUH relateret software må installeres på udstyret. Hvis du ønsker at benytte anden software, skal du aftale dette i hvert enkelt tilfælde med Afdelingen for Driftsoptimering og IT. Data, dokumenter og programmer må ikke kopieres eller videregives til personer, der ikke har legitim adgang til disse. Ethvert personligt kodeord er fortroligt og må ikke videregives. Du skal udvise største agtpågivenhed ved brug af internettet og ved modtagelse af mails fra ukendte afsendere for at undgå virus. Private dokumenter, billeder mv. må ikke gemmes på OUH s servere men kan gemmes på dit C-drev. Ved fratrædelse skal du fjerne alle private mapper og foldere fra dit dataudstyr. Det er dit eget ansvar at markere private mapper og foldere. Som medarbejder er det dit eget ansvar at tage hensyn til reglerne om beskatning. 4
Adfærd ved brug af dataudstyr Password Dette afsnit handler om password til netværket, og ikke til de enkelte kliniske systemer. Der benyttes password til mange kliniske systemer, og passwordskift i disse systemer, følger systemet. anvende et personligt password med mindst 8 tegn, bestående af store og små bogstaver og tal. Password udløber efter 3 måneder, udtænke et password, som er nemt at huske for dig, men ikke kan gættes af andre, skifte dit password, hvis det bliver kendt af andre (f.eks. it-supportmedarbejdere, der har hjulpet dig), sætte password på din mobiltelefon og tablet, hvis den synkroniserer med mail og/eller kan lagre dokumenter. anvende oplysninger, som vedrører dig selv, til dit password (f.eks. familiens navne, fødselsdatoer, bilnummer o.l.), bruge dine passwords til systemer uden for OUH, f.eks. til din private post eller på internettet, skrive dit password ned, videregive dit password til andre. Du kan altid henvende dig til din it-supporter for hjælp til at få password på alt dit dataudstyr. 5
Pauseskærm Pauseskærm er i denne sammenhæng det skærmbillede, hvor du skal skrive dit brugerid og password for at kunne logge ind på dataudstyret. aktivere pauseskærmen, når du forlader din arbejdsplads, selv for en kortere periode. Dette gøres ved at trykke på ctrl+alt+delete eller flag + L, og vælge Lås computer. Du låser den op igen ved at trykke ctrl+alt+delete og taste dit password. deaktivere din pauseskærm (den skærm som fremkommer automatisk efter nogle minutter). I enkelte tilfælde er det krævet at fjerne pauseskærmen, f.eks. på operationsstuer eller andre lukkede områder, hvor adgangskontrollen er øget. Dette aftales i hvert enkelt tilfælde med Afdelingen for Driftsoptimering og IT. Dokumenter, der indeholder personfølsomme data, må kun gemmes i systemer, der er beregnet til det, aldrig på C-drevet. Du kan opbevare persondata på fællesdrev, personligt drev eller i mail-systemet i op til 30 dage uden særlige sikkerhedsforanstaltninger, hvis det indgår som led i behandlingen af en sag. Skal du arbejde med dokumenter, som indeholder personfølsomme data udenfor OUHs netværk, skal det foregå via VPN-forbindelse. Ved bestilling af en VPN skal du oprette en sag hos it-supporten, og du vil herefter modtage en mail med installation og vejledning. lagre arbejdsdata på dit C-drev, USB-nøgler eller lign., hvor de kan blive slettet uforvarende eller måske komme til uvedkommendes kendskab. Brug af lagringsmedier lagre dine arbejdsdokumenter og andre arbejdsrelaterede data på serverne, hvor der er backup og andre sikkerhedsforanstaltninger. 6
Virus kontakte din it-supportfunktion, hvis dit dataudstyr har virus eller opfører sig mærkeligt, kontakte din it-supportfunktion, hvis du har mistanke om, at antivirusprogrammet ikke virker korrekt, Du kan evt. kontakte it-supportfunktionen, hvis du har brug for hjælp. Programmer sikre, at licensforholdene er i orden for de programmer, der ikke er leveret af OUH, og som efterfølgende er godkendt af Afdelingen for Driftsoptimering og IT. Du kan anvende programmer, som er godkendt til brug på OUH. Er du i tvivl, så kontakt Afdelingen for Driftsoptimering og IT. Trådløse net Du kan anvende dit dataudstyr på trådløse net uden for OUH, opkobling til netværket sker via VPN-software selv opsætte trådløse netværk på OUHs lokationer. Bærbare computere, mobiltelefoner mm. medbringe dit dataudstyr som håndbagage, når du har udstyret med på rejse. efterlade dataudstyr uden opsyn, medmindre de er forsvarligt sikret med adgangskode. fjerne de sikkerhedskontroller (antivirus, adgangskontrol og lign.), som er installeret på dataudstyret, selv installere f.eks. synkronisering til mail og kalender på dit private dataudstyr, benytte backupsystemer som ikke er godkendt af OUH, f.eks Drop-box. 7
E-mail benytte sikker e-mail, hvis du sender fortrolige eller følsomme personoplysninger til modtagere uden for Region Syddanmarks netværk. Sikker e-mail er krypteret og signeret e-mail, som sendes med et virksomhedscertifikat. Hvis du har brug for at anvende sikker e-mail, kan du kontakte it-supportfunktionen. behandle e-mails fra ukendte afsendere og/eller med ukendt eller manglende emne med varsomhed. De kan indeholde virus. Husk, at mails indeholdende personfølsomme data skal slettes fra mailsystemet inden 30 dage. Du kan sende fortrolige og personfølsomme e-mails internt i Region Syddanmarks netværk Internet være varsom med at opgive din e-mailadresse på internettet. Den kan blive brugt til spam, anvende internettet med omtanke og uden at være til gene for eller virke stødende på dine kolleger eller andre. Du kan kontakte it-supportfunktionen, hvis du har brug for et program. downloade, opbevare eller surfe på sider, som indeholder ulovligt, stødende, pornografisk eller racistisk materiale, ulovligt downloade eller distribuere materiale med copyright på. Findes der ulovligt materiale på dataudstyret vil dette blive meldt til politiet straks, og nærmeste leder orienteres sammen med HR. Al dataanvendelse i Region Syddanmark logges. Det betyder, at man kan spore, hvem der har set eller arbejdet med bestemte data. Loggen anvendes ikke til at kontrollere medarbejdernes brug af internet og e-mail, med mindre der er mistanke om kriminelle forhold, overtrædelse af sikkerhedsbestemmelserne eller i forbindelse med systemproblemer og fejlretning. 8
Behandling af persondata være omhyggelig med at sikre, at uvedkommende ikke får adgang til personfølsomme eller fortrolige data. Du kan udveksle fortrolige oplysninger eller personoplysninger internt med dine kolleger, hvis det er nødvendigt og lovligt i forhold til de arbejdsopgaver, du udfører (evt. oprettet et lukket område på et fællesdrev til bestemte brugere). skaffe dig oplysninger om personer, hvis du ikke skal bruge det i dit arbejde, opbevare eller behandle fortrolige eller personfølsomme data på din private computer eller eksterne lagringsmedier. bruge din medarbejdersignatur til private formål, bruge din private signatur i forbindelse med dit arbejde. Reparation og bortskaffelse af dataudstyr aflevere dataudstyr, som skal repareres eller kasseres. Dette skal ske til din it-supportfunktion. Dette sker ved henvendelse til IT-supporten. tage kasseret udstyr med hjem. Digital signatur beskytte din digitale medarbejdersignatur på samme måde som passwords, kontakte din it-supportfunktion, hvis du har mistanke om, at din signatur bliver misbrugt. 9
Sikkerhedsbrud fortælle din nærmeste leder, hvis du opdager eller har mistanke om et sikkerhedsbrud. være klar over, at brud på sikkerheden kan have konsekvenser for ansættelsesforholdet. være klar over, at lovovertrædelser meldes til politiet. OUH tester løbende nye programmer, og der kan derfor være andre arbejdsgange end de beskrevne i denne instruks. Såfremt et projekt godkendes og gøres til en standard, vil denne instruks blive rettet til. I øjeblikket arbejdes der med adgang til netværket via adgangskort, og såfremt dette gøres til standard vil denne instruks blive rettet til. Ligeledes arbejdes med Single Sign On, og dette kan ligeledes medføre ændrede arbejdsgange. 10
Lovgrundlag Lovgrundlaget der ligger til grund for ovenstående retningslinjer er: Sundhedsloven Autorisationsloven Lov om elektroniske signaturer Persondataloven Sikkerhedsbekendtgørelsen Ligningsloven I øvrigt henvises til Datatilsynets hjemmeside, til Retsinformations hjemmeside, samt til Skats vejledning til beskatning pjece til borgere og virksomheder. Afdelingen for Driftsoptimering og IT har en side på intranettet med bla. vejledninger og instruktionsvideoer. På siden vil du også kunne finde oplysninger om afdelingen og hvad vi tilbyder. Sager oprettes ved at telefonisk at kontakte (6541) 7 9 13 vælge den 'gule smiley' i vinduet med programmer Du kan finde afdelingen for Driftsoptimering og IT på: http://info.ouh.dk/wm358693 Her findes også en oversigt over IT-supporterne på OUH. 11
Odense Universitetshospital Afdelingen for Driftsoptimering og IT Driftssektionen regionsyddanmark.dk ID 23789 - Januar 2012