Bilag 19 Sikkerhedsregler for Kalundborg Kommune Sikkerhedsregler for Kalundborg Kommune i henhold til Justitsministeriets bekendtgørelse nr. 528 af den 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, der behandles for den offentlige forvaltning. 1. Almindelige bestemmelser Disse sikkerhedsregler gælder for behandling af personoplysninger, som foretages for Kalundborg Kommune helt eller delvis med hjælp af elektronisk databehandling i henhold til lov nr. 429 af 31. maj 2000 (persondataloven). For personoplysninger, som er af særlig interesse for fremmede magter, skal der træffes foranstaltninger, der gør det muligt at bortskaffelse eller tilintetgøre personoplysningerne tilfælde af krig eller lignende forhold. Datatilsynet fører tilsyn med Kalundborg Kommunes overholdelse af bekendtgørelse nr. 528 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, og kan i den forbindelse komme med henstillinger over for Kalundborg Kommune om sikkerhedsforanstaltningerne. Når Kalundborg Kommune anmelder anmeldelsespligtige registre til Datatilsynet, skal der henvises til sikkerhedsregler for Kalundborg Kommune i henhold til lov nr. 429 af den 31. maj 2000. 2. Generelle sikkerhedsbestemmelser 2.1. Regler om sikkerhedsforanstaltninger til uddybning af disse sikkerhedsregler fremgår af - Bilag I, autorisation og adgangskontrol (rev. 3. august 2005) - Bilag II, behandling af uddatamateriale - Bilag III og III a, fysisk sikring. Bilag er vedhæftet som PDF-dokumenter nederst. Reglerne omfatter organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Reglerne indeholder endvidere instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af it-udstyr. Desuden indeholder reglerne retningslinier for tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat. Vedtaget på Kommunalbestyrelsesmøde den 19. december 2007, punkt 1 1/6
2.2. Borgmesterkontoret er ansvarlig for, at sikkerhedsreglerne mindst én gang årligt bliver gennemgået med henblik på at kontrollere, at de er fyldestgørende og afspejler de faktiske sikkerhedsforhold i Kalundborg Kommune. Borgmesterkontoret er bemyndiget til at tilpasse og tilrette bilagene til sikkerhedsreglerne efter behov. Kommunaldirektøren er bemyndiget til at godkende bilagene til sikkerhedsreglerne. Økonomiudvalget skal én gang årligt have forelagt sikkerhedsreglerne til godkendelse. 2.3. Alle medarbejdere i Kalundborg kommune som helt eller delvis ved hjælp af elektronisk databehandling behandler personoplysninger i henhold til persondataloven (lov nr. 429 af 31. maj 2000) skal være bekendt med og overholde disse sikkerhedsregler. 2.4. Hvis en behandling af personoplysninger foretages af en databehandler på Kalundborg Kommunes vegne, skal der foreligge en skriftlig aftale, hvoraf det fremgår, at Kalundborg Kommunes sikkerhedsregler og bekendtgørelse nr. 528 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger ligeledes gælder for behandlingen ved databehandleren. 2.5. Der er indrettet hjemmearbejdpladser, og der foregår behanding på pc-arbejdsplader uden for Kalundborg Kommunes lokaliteter (hjemmearbejdsplads). For brug af hjemmearbejdspladser gælder samme retningslinier, som for brug af it på øvrige arbejdsplader. 3. Organisatoriske forhold 3.1. Byrådet har ansvaret for at sikkerhedsreglerne bliver overholdt, men har delegeret dette til Økonomiudvalget. 3.2. Kommunaldirektøren er af Byrådet udpeget til at være ansvarlig for at sikkerhedsregler i Kalundborg Kommune bliver overholdt - øverste sikkerhedsansvarlige. Sekretariatschefen på Borgmesterkontoret er stedfortræder. Kommunaldirektøren er bemyndiget af Byrådet til at fastsætte regler for kontrollen med databehandlingen, og skal føre løbende tilsyn med forvaltningschefernes varetagelse af deres forpligtelser i henhold til persondataloven, sikkerhedsreglerne samt de instrukser m.v., der er udstedt i henhold til disse bestemmelser. 3.3. Forvaltningscheferne er over for kommunaldirektøren ansvarlige for overholdelse af sikkerhedsreglerne inden for den pågældende forvaltnings område. Det påhviler forvaltningscheferne at føre løbende tilsyn med databehandlingen. Forvaltningscheferne kan udpege stedfortrædere. Vedtaget på Kommunalbestyrelsesmøde den 19. december 2007, punkt 1 2/66
4. Fysisk sikring 4.1. På steder, hvor der foretages behandling af personoplysninger, skal det sikres at uvedkommende ikke har adgang til oplysningerne. Reglerne om fysisk sikring fremgår af bilag III og III a. Sidstnævnte er ikke offentligt tilgængeligt. 5. Inddateringsmateriale som indeholder personoplysninger 5.1. Ved inddatamateriale forstås det grundmateriale (papirbaseret eller elektronisk) hvorfra der hentes oplysninger til videre elektronisk databehandling. Inddatamateriale, som indeholder personoplysninger, må kun anvendes af personer, som er beskæftiget med databehandling. Inddatamateriale skal opbevares aflåst, når det ikke anvendes. 5.2 Inddatamateriale, som er nævnt i punkt 5.1. skal slettes eller tilintetgøres, når det ikke længere skal anvendes til de formål, som behandlingen varetager, eller til kontrol med de inddaterede personoplysninger, når der ikke er administrativ eller retlig brug for oplysningerne. 5.3. Regler for opbevaring og tilintetgørelse af inddatamateriale er beskrevet i bilag III om fysisk sikring. 6. Autorisation og adgangskontrol 6.1. Kun de personer, som autoriseres hertil, må have adgang til de personoplysninger, der behandles. 6.2. De enkelte brugere må kun autoriseres til anvendelser, som de har behov for. 6.3. Der må endvidere autoriseres personer, for hvem adgang til oplysninger er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver. Regler for autorisation og adgangskontrol fremgår af bilag I. Vedtaget på Kommunalbestyrelsesmøde den 19. december 2007, punkt 1 3/66
7. Uddatamateriale som indeholder personoplysninger 7.1. Uddatamateriale må kun anvendes af personer, der er beskæftiget med databehandling af personoplysningerne. 7.2. Uddatamateriale må anvendes af personer, som er beskæftiget med revision eller drifts- og systemtekniske opgaver i det pågældende system. 7.3. Uddatamateriale skal opbevares således, at uvedkommende ikke kan få adgang til personoplysningerne. 7.4. Uddatamateriale skal slettes eller tilintetgøres når der ikke længere er retligt eller administrativt brug for oplysningerne. 7.5. Ved tilintetgørelse af uddatamateriale skal det sikres, at materialet ikke misbruges eller uvedkommende får adgang til det. Regler for opbevaring og tilintetgørelse af uddatamateriale fremgår af bilag III, fysisk sikring. 8. Eksterne kommunikationsforbindelser Der må kun etableres eksterne kommunikationsforbindelser, hvis det sikres, at uvedkommende ikke gennem disse forbindelser kan få adgang til personoplysninger. Kommunikation på eksterne linier kan opdeles i 3 kategorier: Faste datalinier, Internet trafik og modem opkoblinger. Faste datalinier 8.1. Her er der etableret en fast forbindelse mellem IT-afdelingen og eksempelvis Kommunedata. Disse linier er sikret med lukkede netværk og bokse, så uvedkommende ikke kan komme ind på linierne. Vi har i dag sådanne forbindelser til Kommunedata og institutioner. Internet trafik 8.2 Al kommunikation, der foregår fra Kalundborg Kommunes interne netværk og til Internettet, er beskyttet med en "firewall". Vores "firewall" bliver efter behov tjekket for sikkerhedshuller af et konsulentfirma med speciale i kommunikationssikkerhed. Der er i dag enkelte brugere, der har adgang til Kalundborg Kommunes interne netværk via Internettet. Dette er sikret via kryptering og VPN-opkoblinger. Vedtaget på Kommunalbestyrelsesmøde den 19. december 2007, punkt 1 4/66
Modem opkoblinger 8.3. Alle ISDN kald til det interne net, er beskyttet med VPN-opkobling. Hjemmearbejdspladser 8.4 For brug af hjemmearbejdspladser gælder samme retningsliner, som forbrug af it på øvrige arbejdspladser. 9. Supplerende sikkerhedsforanstaltninger for anmeldelsespligtige behandlinger Bestemmelserne i punkt 9.1., 9.2. og 9.3. finder anvendelse, når de behandlede oplysninger er omfattet af anmeldelsespligt til Datatilsynet. 9.1. Autorisation og adgangskontrol Autorisationer efter punkt 6 skal angive, i hvilket omfang brugeren må forespørge, inddatere eller slette personoplysninger. Forvaltningscheferne er ansvarlige for, at de autoriserede personer fortsat opfylder betingelserne i punkt 6 om autorisation og adgangskontrol og det tilhørende bilag II. Dette skal kontrolleres mindst én gang hvert halve år. 9.2. Kontrol med afviste adgangsforsøg Der skal foretages registrering af alle afviste adgangsforsøg. Hvis der inden for en fastsat periode er registreret et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg fra samme arbejdsstation eller med samme brugeridentifikation, skal der blokeres for yderligere forsøg. Der skal løbende ske opfølgning i kommunen. Regler for autorisation, adgangskontrol og logning fremgår af bilag I. 9.3. Logning Der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Ved et særligt behov kan loggen opbevares i op til 5 år. Regler for autorisation, adgangskontrol og logning fremgår af bilag I. Vedtaget på Kommunalbestyrelsesmøde den 19. december 2007, punkt 1 5/66
10. Ikrafttræden Disse sikkerhedsregler træder i kraft den 1. april 2001 og erstatter "Sikkerhedsforanstaltninger (Uddybende regler) for Kalundborg Kommune" godkendt af Kalundborg Byråd den 12. oktober 1993. Godkendt af Kalundborg Byråd den 10. april 2001. Gitte Høegh Frejbæk Anders Villadsen Borgmester Kommunaldirektør 1. revision godkendt af Økonomiudvalget den 6. august 2002 2. revision godkendt af Økonomiudvalget den 5. august 2003 Behandlet i Økonomiudvalget 3. august 2004, ingen ændringer. 3. revision godkendt af Økonomiudvalget den 23. august 2005 Vedtaget på Kommunalbestyrelsesmøde den 19. december 2007, punkt 1 6/66