Sikkerhet for personopplysninger reguleres av Personopplysningslovens §§ 13 og 14 om informasjonssikkerhet og internkontroll. Personopplysningsforskriften kap. 2 inneholder lovens sikkerhetsbestemmelser. Bestemmelsene gjelder for behandlinger av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler.
Ved behandling av sensitive personopplysninger er det strengere krav til behandlingen enn om man behandler andre personopplysninger. Sensitive personopplysninger er definert i § 2 i loven som:
- rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning
- at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling
- helseforhold
- seksuelle forhold
- medlemskap i fagforeninger
Personalmapper vil kunne inneholde opplysninger som den enkelte anser som høyst personlig informasjon, og som også er sensitive etter personopplysningsloven. Dette betyr at innholdet kun skal være tilgjengelig for en meget begrenset krets av personer, og beskyttes mot uautorisert innsyn. Bare personer med tjenstlig behov for opplysningene skal ha tilgang, dvs. at personalmappene bare skal være tilgjengelig for ansatte som er avhengige av tilgang for å kunne utføre sine arbeidsoppgaver. I Rauma Kommune har lederne tilgang til sine egne ansatte pr. avdeling. Lønns- og personalavdelingen og HR har tilgang til alle personalmappene. Lederne skal sende melding til arkiv når en ansatt med tilganger slutter eller går ut i langvarig fravær/permisjon, eller ved bytte av stilling.
Elektroniske registre må lagres på såkalte sikre soner, og det må iverksettes tiltak som hindrer at data kan komme på avveier. Dette kan for eksempel være etablering av brannmurer, logging av oppslag eller tilgangskontroll. Rauma Kommune har brannmurer, logging av oppslag og tilgangskontroll. Alle oppslag blir elektronisk loggført, med dato og tidspunkt.
Rauma Kommune skal gjennomføre årlig tilgangskontroll i P360/Personalsaker. Ansvarlig for å initiere gjennomgangen er arkivtjenesten.
Følgende sikkerhetsrutiner skal følges av saksbehandler:
- Utlån av brukerid/passord skal ikke forekomme
- Ikke gå fra åpen maskin (trykk windows-tast + L for å låse)
- Lagring av dokumenter på andre medier skal ikke forekomme
- Personopplysninger i personalarkivet skal kun lagres i sak-/arkivsystemet
- Ikke la utskrifter ligge igjen på skriver. Bruk sikker print.