vs 4.1 Informationssäkerhet vid datorn på jobbet

Version 4.2
Informationssäkerhet
Vid datorn på jobbet
KUNSKAP – OCH SUNT FÖRNUFT
Många av oss i Västra Götalandsregionen (VGR) ägnar stora delar av arbetstiden vid datorn. Datorn är ett viktigt verktyg som möjliggör arbetet, men som också ställer särskilda krav på säkerhet.
För dig som använder dator och IT-system i arbetet finns det lagar, föreskrifter och regionala riktlinjer för informationssäkerhet1 som du måste känna till och följa. Detta både för din egen, arbetskamraternas och din verksamhets skull.
Rutiner och förutsättningar varierar förstås beroende på var du arbetar. Ta reda på vad som gäller på din arbetsplats. Säkerhet bygger på både kunskap och sunt förnuft.
I den här foldern hittar du information som gör ditt arbete vid datorn säkrare.
DINA SKYLDIGHETER
behöver data från bokföringen. Din närmaste chef ansvarar för att du får en avändaridentitet och att du tilldelas de behörigheter som du behöver för att kunna utföra dina arbetsuppgifter. Ditt personliga lösenord får
du efter särskild ansökan. För de som arbetar med patientinformation finns ett övergripande beslut kring behörighetstilldelning3 som antagits av regionstyrelsen
den 25 augusti 2009.
 Som datoranvändare är det viktigt att du har kunskap om att:
 Du är skyldig att informera dig om de föreskrifter
som gäller när du använder datorn.1
 Du är ansvarig för den information som du lagrar
på datorn.
 Du får bara ta del av information och data som du
behöver för att kunna utföra ditt arbete.
 Du ska rapportera brister, risker, funktionsfel och
säkerhetsincidenter till närmaste chef eller via avvikelsesystemet MedControl.
 Du måste anmäla dataintrång2 eller misstanke om
dataintrång till närmaste chef.
VÅRDA DIN IDENTITET OCH DITT LÖSENORD
Lösenord ska vara personliga. Har ditt lösenord blivit
känt av någon annan ska det omgående bytas ut. Detta
gäller också försa gången du får ett lösenord. Muntlig
och skriftlig information om gällande regler får du av
din chef, arbetsledare eller motsvarande.
ATT TÄNKA PÅ NÄR DU ARBETAR VID DATORN
Ditt VGR-id och ditt lösenord får aldrig vara identiska.
Tänk på att inte använda lättgissade lösenord som till
exempel för- eller efternamn, bilmärken och personnummer. Skriv inte ner lösenordet och byt det på det
sätt som bestämts för varje system. Kom ihåg att du är
själv skyldig att skydda dina lösenord. Om en otillåten
åtgärd spåras till ditt VGR-id kan du hållas ansvarig,
om det visar sig att du varit oaktsam eller har lånat ut
ditt lösenord till en arbetskamrat.
All användning av nätanslutna datorer registreras i
loggfiler och kan granskas. Vid misstanke att föreskrifter och riktlinjer inte följs har arbetsgivaren rätt att undersöka din dator och kontrollera vilka system, webbplatser eller information du har tagit del av samt vilka
filer och e-post som finns lagrade på datorn.
ANVÄNDARIDENTITET OCH BEHÖRIGHET
När du arbetar vid en dator ska du ha en egen användaridentitet, ett VGR-id, och ett personligt lösenord
som aldrig får lånas ut. Alla VGR-id finns i registret
Katalog i Väst, där alla identiteter är sökbara.
Om du begär användarstöd från VGR IT kan det inträffa att den som lämnar support kan behöva ta kontroll över din dator. Du kan lämna ett sådant medgivande, men du ska via datorskärmen följa vilka åtgärder som vidtas.
Behov av behörigheter är olika. Den som arbetar i
sjukvården behöver behörigheter att komma åt patientdata och den som arbetar med ekonomisk redovisning
1
3
Riktlinjer för informationssäkerhet i Västra Götalandsregionen 2209-0708 ver 1.0 dnr RSK 703-2006.
2
Dataintrång är exempelvis när en anställd utan tillstånd och behörighet bereder sig tillgång till egen eller arbetskollegas dator, tillinformation eller
förstör information.
Regionövergripande villkor för behörighetstilldelning, spärr föråtkomst
samt regler för kontroll av åtkomst till patientuppgifter 2009-06-23, ver 1.0
dnr RSK 771-2208
1
TJÄNSTE-ID+ KORT
REGISTER FÖR PERSONUPPGIFTER
Som anställd i regionen ska du ha ett personligt
Tjänste-ID+ kort, som bland annat kan användas för
identifiering i passagesystem.
Personuppgifter är sådana uppgifter som kan knytas till
en person. Inga sådana register får skapas innan kontakt tagits med personuppgiftsombudet i din förvaltning. Ett register kan vara ett personregister utan att innehålla just personnummer – det räcker med att man
kan härleda uppgifter till en individ. Vid behandling av
personuppgifter gäller personuppgiftslagen (PuL) och
ändamålet med behandlingen ska vara:
På sikt kommer detta kort att ersätta användaridentitet
och lösenord för en säker inloggning till allt fler system. Kortet är en värdehandling och kan också användas som elektronisk legitimation, exempelvis för att
deklarera och anmäla föräldrapenning.


ELEKTRONISK POST
Outlook är det e-postsystem som används i VGR och
din e-post är ett arbetsverktyg, Offentlighetsprincipen
och lagar som gäller för konventionell post tillämpas
också för e-post. Det innebär bland annat att du är
skyldig att bevaka din e-postlåda när du är i tjänst. Epost får inte heller ligga oläst vid frånvaro.
Senare behandling får inte heller strida mot det ursprungliga ändamålet.
Personuppgifter ska:



Du får inte skicka sekretessbelagd information med epost, som exempelvis journaler eller annan patientinformation.
Om du har ansvar för webbsidor, så måste du tänka på
att uppgifter av privat karaktär eller fotografier inte får
publiceras utan skriftligt samtycke.
SKÄRM OCH SKRIVARE
Du får däremot publicera arbetsrelaterade uppgifter om
anställda på internet och intranät.
Lika självklart som att du inte låter känslig information
ligga framme på ditt skrivbord, lika naturligt är det att
skydda informationen som finns i din dator. Placera
därför din datorskärm så att ingen obehörig kan ta del
av informationen.
DET HÄR ÄR FÖRBJUDET
Du får inte använda VGR:s tekniska utrustning för internetsurfing, om det inte ingår i arbetsuppgiften eller i
annat legitimt forskningssammanhang.
Går du ifrån din dator, som fler personer kan använda,
ska du alltid logga av. Går du tillfälligt från din dator
ska du logga av eller ”låsa” datorn (Ctrl + Alt + Del).
Du får inte med hjälp av datorn installera, lagra, skriva
ut, sprida, söka eller i övrigt ha befattning med
material eller besöka internetsidor som innehåller:



vara korrekta, relevanta och inte fler än nödvändiga
vara riktiga och aktuella
inte sparas längre än nödvändigt
Vid behandling av personuppgifter inom hälso- och
sjukvården gäller personuppgiftslagen (PuL) om det
inte finns tillämpliga regler i i patientdatalagen (PDL).
Alltså gäller PDL före PuL.
PUBLICERING PÅ INTERNET


särskilt och uttryckligt angivet
bestämt redan vid insamlingens början
Skrivare ska placeras där endast behörig personal kan
ta del av utskriften. Utskrifter av dokument på gemensamma skrivare ska hämtas omgående, eftersom kvarglömda dokument kan komma i orätta händer. Du bör
använda brevlådefunktion om sådan finns.
pornografiskt material
hot, förtal, våld, terror, rasism, hets mot folkgrupp
uppmaning till droganvändning
mobbing i form av bilder, texter och filer
diskriminering på grund av kön, etnisk bakgrund, religion eller annat.
TÄNK PÅ ATT SPARA – OCH VAR
Säkerhetskopior tas varje dag på all information som
sparas på centrala servrar i nätverket. Tänk på att spara
ner viktiga dokument på serverutrymme och inte enbart på C-disken i din lokala dator. Observera att du
inte får spara ner filer med privata filmer, bilder och
ljud på VGR:s tekniska utrustning.
Du får inte besöka webbplatser som erbjuder olika typer av spel, exempelvis poker, tips eller hästar.
Du får inte blogga, chatta eller använda twitter om det
inte är arbetsrelaterat.
TEKNISK UTRUSTNING OCH PROGRAM
Du får inte spara filer med privata filmer, bilder och
ljud på din arbetsdator.
All teknisk utrustning som ansluts till regionens nätverk och alla programvaror som används och installeras ska godkännas av VGR IT. Även om programvara
är godkänd får den inte installeras av användaren själv.
Den som bryter mot något av förbuden kan bli föremål
för disciplinära åtgärder.
2
Detta ska göras av VGR IT. Risken är att du kan få in
datavirus eller orsaka driftstörningar om du installerar
okända program, skärmsläckare, skrivbordsteman,
bakgrunder etc.
Säkerheten är också viktig när du använder elektronisk
överföring, som exempelvis fax, bilder och sms. När
du skickar fax ska du tillämpa rutiner för säker fax.
Datorn och dess innehåll tillhör arbetsgivaren. Användandet ska utgå från din förvaltnings eller verksamhets
värdegrund.
MOBIL UTRUSTNING OCH FLYTTBARA MEDIER
Du som använder mobil utrustning, som exempelvis
bärbar dator, handdator eller mobiltelefon, är själv ansvarig för att säkerhetskopiera all information som
finns i det lokala minnet. Det är viktigt att även en bärbar dator ofta ansluts till VGR-nätet, för att ta emot
uppdatering av bland annat virusskydd.
INFORMATIONSSÄKERHET
Informationen i din dator är ofta mer skyddsvärd än utrustningen som används för att bearbeta, överföra och
lagra den med. Därför är informationssäkerhet så viktigt. Informationssäkerhet innebär att säkerställa information och data i alla dess former – som skriftlig,
muntlig och elektronisk. Det är viktigt att informationen finns tillgänglig när den behövs, att den är korrekt, att obehöriga inte kan få tillgång till den och att
händelser kan spåras.
Det är lätt att förlora ett digitalt minne (exempelvis
USB-minne) och tänk därför på hur du bäst skyddar information som finns i din dator och i din mobila utrustning.
Tänk noga på att förvara datorer och mobila utrustningar på ett säkert sätt, eftersom de är särskilt stöldbegärliga.
Informationssäkerheten kan illustreras med följande
bild:
TÄNK PÅ ATT
RIKTIGHET
Du får inte använda VGR:s tekniska utrustning till sådant som kan skada arbetsgivaren eller påverka din arbetsinsats negativt. På internet får du söka efter information som du behöver i ditt arbete.
Vara
korrekt
och
oförvanskad
TILLGÄNGLIGHET
Vara
tillgänglig
för
användare
SEKRETESS
SPÅRBARHET
Vara
skyddad
för
obehöriga
Kunna
spåras
till
enskild
användare
HJÄLP TILL FÖR SÄKERHETS SKULL
Reglerna och skyldigheterna i den här foldern är till för att skydda ditt arbete i Västra Götalandregionen.
Om du har synpunkter på informationssäkerheten, hur den kan förändras och helst förbättras – ta då kontakt med oss på regionala säkerhetsfunktionen. Från ansvarigt håll ser vi regelbundet över informationssäkerheten medambitionen att göra den ännu bättre.
MER INFORMATION
Ytterligare information i säkerhetsfrågor får du på din förvaltningsintranätplats.
Du kan också besöka regionala säkerhetsfunktionens intranätsplats intra.vgregion.se/sakerhet
3