Transcript Inwido Norway – Datadisiplininstruks

Inwido Norway – Datadisiplininstruks
Oppdatert: 2010-12-03
Denne Datadisiplininstruks gjelder for alle ansatte i selskapene under Inwido Norway.
Denne datadisiplininstruksen gjelder bruk av arbeidsgivers datautstyr, nettverk og
datasystemer, inkludert fjernpålogging, bærbare maskiner eid av arbeidsgiver,
mobiltelefoner/smarttelefoner.
Hovedprinsipp
Den ansatte skal ikke gjennom arbeidsgivers nettverk tilegne seg eller forsøke å tilegne seg
informasjon han/hun ikke er ment å ha tilgang til.
Bruker-ID og passord
Passord legitimerer den ansatte som rettmessig bruker av sin bruker-ID. Passordet er den
ansattes personlige ”nøkkel” til systemene og de data som ligger der. Passordet skal holdes
hemmelig for alle andre, med mindre annet er godkjent av arbeidsgiver. Passordet kan oppgis til
kolleger dersom det er nødvendig i forbindelse med fravær fra kontoret. Når den ansatte får
beskjed om å endre passordet, skal han/hun velge et passord som ikke lett kan knekkes av
andre (bruk for eksempel ikke navn, fødselsdato, bilmerke). Ved mistanke om at utenforstående
har fått kjennskap til passordet, skal passordet endres umiddelbart.
Logg ut og slå av
Av hensyn til faren for misbruk er det viktig at den ansatte sikrer tilgangen ved å logge ut eller
benytte skjermsparer når han/hun ikke er tilstede, fordi uvedkommende med letthet ellers kan
tilegne seg informasjon ved hjelp av vedkommendes maskin. Arbeidsgiver legger inn
skjermsparer med passord på alle maskinene, og denne er den ansatte forpliktet til å bruke. For
å spare strøm og for å minske risikoen for brann skal maskinen fysisk slås av ved arbeidstidens
slutt.
Sikkerhetstiltak
Sikkerhetstiltak som blir satt i verk, skal følges. Lagringsmedier (som disketter, CD-plater, tape
og papirdokumenter) som inneholder personopplysninger og/eller konfidensiell informasjon,
skal håndteres og oppbevares på en måte som gjør at slik informasjon ikke kommer på avveie.
Utskrifter som inneholder personopplysninger og/eller konfidensiell informasjon den ansatte
ikke lenger har behov for, skal makuleres. Forpliktelser etter dette punkt supplerer
taushetserklæringer for dem som er bundet av slike.
Arbeidsgiver står fritt til å sperre alle tjenester som kan medføre en sikkerhetsrisiko.
Da håndholdt datautstyr som f.eks. USB-brikker og mobiltelefoner/smarttelefoner også vil bli
tatt med utenfor arbeidsgivers lokaler, må det utvises særlig forsiktighet ved nedlasting av filer
til slikt håndholdt datautstyr. Dette gjelder spesielt bruk av USB Minnebrikker. Så snart den
1 av 4
ansatte blir oppmerksom på det, skal tap av slikt utstyr tilhørende arbeidsgiver rapporteres til
arbeidsgiver, og mobiltelefonabonnement skal sperres.
Privat bruk av arbeidsgivers datautstyr
Arbeidsgivers datautstyr (PC’er, servere, fellesnett og øvrig infrastruktur) er stilt til den ansattes
disposisjon for bruk som arbeidsverktøy. Dette datautstyret kan bare tillates brukt privat i
begrenset omfang, det vil si til et mindre antall brev og filer, begrenset bruk av internett o.l.
Sunn fornuft og god dømmekraft må være førende for all privat bruk. Bruk av arbeidsgivers
utstyr for å utføre egen næringsvirksomhet eller annet arbeid/annet oppdrag, kan bare skje så
lenge oppdraget skjer i overensstemmelse med de retningslinjer som er fastsatt av eller etter
avtale med arbeidsgiver.
Nedlasting av filer
Nedlastning av store billed-, film- og musikkfiler, bruk av radio over internett og annen bruk som
tar stor kapasitet er kun tillatt dersom dette er nødvendig som ledd i den ansattes arbeid.
Uautorisert nedlasting eller lagring av materiale som er opphavsrettsmessig beskyttet skal ikke
forekomme på selskapets systemer. Nedlasting av pornografisk materiale, annet materiale som
er egnet til å støte eller som er forbudt ved norsk lov skal ikke forekomme.
Lagring av- og tilgang til data
Arbeidsrelaterte dokumenter skal lagres på fellesområde. Data som ikke er ment å være
tilgjengelig for andre skal lagres på den ansattes private område på server, og ikke på lokal
harddisk. På den måten vil også disse dokumentene bli sikkerhetskopiert sentralt.
Arbeidsgiver har adgang til den informasjon som ligger på fellesområdet. Arbeidsgiver har i
utgangspunktet ikke anledning til å gå inn på den ansattes private område. Dette gjelder likevel
ikke dersom det er gode holdepunkter for at det lagres arbeidsrelatert informasjon her.
Foreligger det begrunnet mistanke om brudd på gjeldende retningslinjer eller norsk lov (for
eksempel om konkurrerende virksomhet, uberettiget lagring av filer som tar stor kapasitet, jf.
punkt 6 eller lagring av pornografisk materiale) kan arbeidsgiver også åpne private
brukerområder. Ved slik mistanke kan arbeidsgiver også nekte den ansatte tilgang til ITsystemet inntil saken er nærmere avklart. Dersom arbeidsgiver skal åpne private dokumenter
fordi det foreligger begrunnet mistanke om brudd på denne instruksen eller norsk lov, skal
minimum to personer fra arbeidsgiver være tilstede. I tillegg skal en representant for den
ansatte være tilstede. Det skal utarbeides en protokoll som skal sendes til den ansatte. Private
dokumenter skal ikke åpnes i større utstrekning enn det som er nødvendig for å fastslå om
mistanken medfører riktighet.
Den ansatte skal rydde løpende på sine brukerområder og overholde instrukser gitt av
arbeidsgiver.
Særlig om e-post
Arbeidsgivers e-post-system er opprettet som et arbeidsverktøy, og skal som hovedregel ikke
benyttes til privat korrespondanse. I den grad privat korrespondanse lagres på arbeidsgivers
2 av 4
utstyr, skal dette lagres i egen mappe som skal være merket ”Privat”. Den ansatte oppfordres til
å etablere en uavhengig e-postadresse til privat korrespondanse med tilgang gjennom Internett.
Så lenge omfanget begrenses vil det være tillatt å etablere tilgang til slik privat e-postkonto
gjennom selskapets systemer. Det forutsettes at slik tilgang ikke krever nedlasting av spesiell
programvare, men at tilgangen oppnås gjennom vanlig Internett-tilgang.
Sunn fornuft og god dømmekraft må være førende for all privat bruk av selskapets systemer. Epost-systemet skal ikke brukes til å spre materiale som er diskriminerende, pornografisk eller på
annen måte fremstår som støtende.
Arbeidsgiver vil i utgangspunktet ikke gå inn på den enkeltes e-post-system. For å sikre tilgang til
arbeidsrelatert informasjon kan arbeidsgiver likevel, om nødvendig, gå inn i den enkeltes e-postsystem ved fratredelse av stilling og i tilfeller der det er praktisk vanskelig å komme i kontakt
med arbeidstaker (for eksempel på grunn av fravær). Arbeidsgiver skal i slike tilfelle ikke åpne
e-post som åpenbart fremstår som privat. Dette er ikke til hinder for at e-posten blir åpnet ved
tvil om den er av privat karakter eller ikke.
Foreligger det begrunnet mistanke om brudd på denne instruks eller norsk lov (for eksempel om
konkurrerende virksomhet eller spredning av støtende materiale) kan arbeidsgiver også åpne epost som fremstår som privat. Ved slik mistanke kan arbeidsgiver også nekte den ansatte tilgang
til e-post-systemet inntil saken er nærmere avklart. Dersom arbeidsgiver skal åpne slik post skal
minimum to personer fra arbeidsgiver være tilstede. I tillegg skal en representant for den
ansatte være tilstede. Det skal utarbeides en protokoll som skal sendes til den ansatte. Private
dokumenter skal ikke åpnes i større utstrekning enn det som er nødvendig for å fastslå om
mistanken medfører riktighet.
Arbeidsgiver kan av administrative eller tekniske årsaker (eksempelvis for å håndtere eventuelle
virus) være nødt til å gå inn i den enkeltes e-post-system, og kan gjøre dette uten brukers
godkjennelse. Arbeidsgiver skal i tilfelle gi en generell underretning i ettertid om at så har vært
gjort. Slik tilgang kan kun autoriseres av administrerende direktør.
Den ansatte skal rydde løpende i mail-boksen sin og overholde instrukser gitt av arbeidsgiver.
- e-post skal ikke benyttes for konfidensiell/sensitiv informasjon siden e-post ikke regnes
som sikkert medium. Ved forsendelser av personopplysninger gjelder
personopplysningslovens bestemmelser med tilhørende forskrifter. Bestemmelsene her
må overholdes.
- Ved fravær skal fraværsmarkering i e-post systemet benyttes.
- Intern e-post til "Alle" skal kun skje når kritisk informasjon skal formidles.
- Kjedebrev og lignende tillates ikke distribuert eller formidlet videre.
Uautoriserte installasjoner av utstyr og programvare/ekstern tilgang
Den ansatte skal være varsom med installasjon av programvare på den maskinen han/hun
disponerer. Enhver installasjon av programvare utover det som utgjør arbeidsgivers IT-plattform
skal være faglig begrunnet. Den enkelte ansatte er selv ansvarlig for konsekvensene av de
3 av 4
installasjonene han/hun selv gjør og at han/hun forholder seg til seriøse leverandører. Den
ansatte forplikter seg til å følge de lover og regler som gjelder for bruk av programvare. Den
ansatte skal kun installere programvare som han/hun som bruker har lisens til å bruke.
Arbeidsgiver forbeholder seg retten til uten forutgående varsel å fjerne programvare som ikke
følger norsk lov eller som arbeidsgiver blir kjent med at det ikke er betalt nødvendig lisens for.
Kopiering av lisensiert programvare er forbudt med mindre arbeidsgivers avtale med leverandør
uttrykkelig gir adgang til dette.
Det er ikke tillatt å koble privat eller fremmed IT-utstyr opp mot arbeidsgivers nettverk uten
godkjenning.
Datavirus
Arbeidsgiver har god beskyttelse mot virus. Oppdaterte virusprogrammer må benyttes for at
dette systemet skal virke sikkert nok. For å komplettere må alle ansatte være forsiktige ved bruk
av e-post og internett. Brukere av hjemme-PC og hjemme-kontor må følge instruks for
oppdatering av virusprogrammer. Dersom datavirus oppdages, skal arbeidsgiver varsles så fort
som mulig.
Hjemme – PC
Når det gjelder hjemme-PC vises det til eventuelle egne avtaler/instrukser om dette.
Orientering om aktivitetslogger
IT-systemet har innebygde logger som kan spore aktivitet tilbake til den enkelte PC (for
eksempel logges IP adresser når internett brukes). Disse loggene brukes for å administrere
systemet og for å avdekke/oppklare brudd på sikkerheten i IT-systemet.
Arbeidsgiver vil ikke bruke personopplysninger som fremkommer som følge av denne loggingen
for løpende overvåking eller kontroll av den enkelte.
4 av 4