Go to Top

Datainstruks

Datainstruks

Alle bedrifter er avhengig av fungerende datasystemer, og det er viktig at det er laget klare og tydelige retningslinjer om bruk av virksomhetens datasystemer, mobiltelefoner og annet elektronisk utstyr som ansatte har fått utlevert av bedriften.

Riktig bruk av datasystemer og håndtering av elektroniske dokumenter ivaretar sine immaterielle verdier, og skal forhindre at bedriften mister virksomhetskritiske dokumenter. Derfor bør alle bedrifter utarbeide en Datainstruks som de ansatte skal følge.

Runbox AS vil bidra til at bedrifter har et opplegg som gjør at bedriften sikrer verdifull informasjon, og på en god måte kan håndtere situasjoner som kan oppstå i forhold til Personopplysningsforskriftens §9, som gir arbeidsgiver under visse omstendigheter innsynsrett i ansattes epost. Du kan lese hele forskriften her: http://www.lovdata.no/cgi-wift/wiftldles?doc=/usr/www/lovdata/for/sf/fa/fa-20001215-1265.html&emne=personopplysningsforskrift*&&

Nedenfor følger et eksempel på datainstruks der hensyn til Personopplysningsforskriften er ivaretatt.

For spesielt om epost: Se Epost og personopplysningsforskriften og Enkel instruks for bruk av epost.

Datadisiplininstruks for [bedriftens navn]

Denne datadisiplininstruksen* gjelder bruk av [bedriftens navn]s datautstyr, nettverk og datasystemer, inkludert fjernpålogging og mobiltelefoner.

1. Hovedprinsipp

Den ansatte skal ikke gjennom bedriftens nettverk tilegne seg eller forsøke å tilegne seg informasjon han/hun ikke er ment å ha tilgang til.

Den ansatte skal sørge for at arbeidsrelatert informasjon er tilgjengelig for arbeidsgiver og, som hovedregel, andre ansatte.

2. Bruker-ID og passord

Passord legitimerer den ansatte som rettmessig bruker av sin bruker-ID. Passordet er den ansattes personlige nøkkel til systemene og de data som ligger der. Passordet skal ikke meddeles andre med mindre det er godkjent av nærmeste leder. Ved mistanke om at utenforstående har fått kjennskap til passordet, skal passordet endres umiddelbart.

3. Logg ut og slå av

For å hindre at uvedkommende/andre får tilgang til din datamaskin når du selv ikke bruker den/ ikke er på arbeidsplassen, skal maskinen enten slås av eller sperres ved ctrl-alt-del, eller tilsvarende. For å unngå misbruk, men også av hensyn til strømforbruk og brannfare skal maskinen fysisk slås av ved arbeidstidens slutt.

4. Sikkerhetstiltak

Alle ansatte er forpliktet til å følge de sikkerhetstiltak arbeidsgiver iverksetter. Lagringsmedier (minnepinner, CD-plater og papirdokumenter) som inneholder personopplysninger eller taushetsbelagte opplysninger skal håndteres og oppbevares på en måte som gjør at opplysningene ikke kommer på avveie.

Papirutskrifter og andre lagringsmedier som inneholder personopplysninger eller taushetsbelagte opplysninger den ansatte ikke lenger har behov, for skal makuleres.

Da håndholdt datautstyr som mobiltelefoner ofte tas med utenfor arbeidsgivers lokaler, må det utvises særlig forsiktighet ved nedlasting av filer til slikt håndholdt datautstyr. Så snart den ansatte blir oppmerksom på det, skal tap av slikt utstyr tilhørende arbeidsgiver rapporteres til IT-ansvarlig eller nærmeste overordnede, og mobiltelefonabonnement skal sperres.

5. Lagring av og tilgang til data  arbeidsgivers datanettverk

Arbeidsrelaterte dokumenter skal, uavhengig av opprinnelse, som hovedregel lagres i bedriftens elektroniske arkivsystem, slik at disse dokumentene på en enkel måte gjøres tilgjengelige for andre ansatte.

Arbeidsgiver har på lik linje med øvrige ansatte adgang til den informasjon som ligger på datanettverkets fellesområde, herunder i bedriftens elektroniske arkivsystem. Arbeidsgiver har full tilgang til alle dokumenter/ alle filer som er lagret på fellesområdene.

Private dokumenter lagres på vedkommendes P-område. Den ansatte skal foreta løpende rydding på sine områder. Arbeidsgiver har i utgangspunktet ikke adgang til å gå inn på den enkelte ansattes P-området.

Blir arbeidsgiver oppmerksom på at det er stor sannsynlighet for at det lagres arbeidsrelaterte dokumenter på P-området, lokale disker eller andre lagringsenheter kan arbeidsgiver gi en kort frist for å rette opp i tråd med instruksen. Hvis opprydding ikke er foretatt innen fristen kan arbeidsgiver likevel gå inn. Det samme gjelder hvis det er begrunnet mistanke om at det praktiseres i strid med gjeldende retningslinjer eller norsk lov, eller det lagres filer som tar stor plass/kapasitet, eller lagring av ulovlig materiale.

Ved åpning av P-området i henhold til avsnittet foran skal to personer fra arbeidsgiver og en representant for vedkommende ansatte (tillitsvalgte eller verneombud) være til stede. Det utarbeides protokoll som sendes den ansatte. Det skal ikke åpnes dokumenter i større utstrekning enn nødvendig for å ivareta formålet med innsynet.

6. Uautoriserte installasjoner av utstyr og programvare/ekstern tilgang

Installasjon av programvare utover det som utgjør [bedriftens navn]s IT-plattform skal være faglig begrunnet og skal bare gjøres etter avtale med IT-ansvarlig/[bedriftens navn]. Dette fordi PC-oppsettet er standardisert og egne installasjoner vil forsvinne ved reinstallering eller bytte av PC.

Den ansatte forplikter seg til å følge de lisensvilkår, lover og regler som gjelder for bruk av programvare. Den ansatte skal bare installere programvare som han/hun som bruker har lisens til å benytte. Arbeidsgiver forbeholder seg retten til uten forutgående varsel å fjerne programvare som ikke følger lisensvilkårene eller norsk lov. Herunder er kopiering av lisensiert programvare forbudt med mindre arbeidsgivers avtale med leverandør uttrykkelig gir adgang til dette.

7. Ansattes epostbruk

Arbeidsgivers epostsystem er opprettet som et arbeidsverktøy, hvor den enkelte ansatte i den anledning har fått stilt til disposisjon en epost adresse (nn@bedriftensnavn.no) med tilhørende epostkasse. Epost som inngår som del av saksbehandlingen skal videresendes postmottaket.

Arbeidsgivers epostsystem tillates også brukt til private formål, forutsatt at den ansatte benytter sin private epost-adresse som arbeidsgiver har stilt til disposisjon. Privat bruk skal dog ha et begrenset omfang. Sunn fornuft og god dømmekraft må være førende for all privat bruk. Epostsystemet skal ikke brukes til å spre materiale som er diskriminerende, pornografisk, obskønt eller på annen måte fremstår som støtende.

Den ansatte skal foreta løpende rydding på sitt epostområde.

Utover det angitte foran gjelder følgende regler ved bruk av epost:

  • Epost skal ikke brukes når det gis konfidensiell eller sensitiv informasjon uten at innholdet er kryptert eller anonymisert. Ved forsendelse av personopplysninger gjelder personopplysnings­loven.
  • Ved lengre fravær (over 3 arbeidsdager) skal fraværsagenten brukes.
  • Kjedebrev eller lignende tillates ikke videresendt eller distribuert.
  • Intern post til «Alle» er ikke tillatt uten særskilt godkjenning.

Det skal for øvrig vises stor varsomhet med å sende epost som masseutsendelser.

8. Arbeidsgivers innsyn i den ansattes epostkasse

Det er ikke adgang til å gi andre brukertilgang til egen epostkonto, og arbeidsgiver skal i utgangs­punktet ikke gå inn i den enkelte ansattes epostsystem uten samtykke fra den ansatte.

For å sikre tilgang til arbeidsrelatert epost kan arbeidsgiver  om nødvendig  gå inn i den enkeltes epostsystem ved fratredelse av stilling og i tilfeller der den ansatte har lengre fravær og det er vanskelig å få kontakt. Det vises i den sammenheng til bruk av fraværsagent, se ovenfor.

Det samme gjelder hvis det er begrunnet mistanke om at det praktiseres i strid med gjeldende retningslinjer eller norsk lov, eller det lagres filer som tar stor plass/ kapasitet ,eller det lagres ulovlig materiale.

9. Saksbehandlingsregler ved innsyn

Hvis arbeidsgiver vurderer å gjennomføre innsyn i den ansattes epostkasse, skal den ansatte så langt det er mulig bli varslet og gis anledning til å uttale seg før arbeidsgiver gjennomfører innsynet.

Varselet bør av bevishensyn gis skriftlig. I varselet skal den ansatte bli orientert om grunnlaget for at arbeidsgiver ønsker å gjennomføre innsyn, den ansattes rett til å være til stede under gjennomføringen av innsynet og retten til å la seg bistå av tillitsvalgt eller annen representant i sakens anledning.

Før eventuell åpning skal det vurderes om det er andre muligheter til å innhente opplysningene på. Tillitsvalgt og/eller verneombud skal rådføres.

Arbeidstaker skal så langt som mulig gis anledning til å være tilstede under gjennomføringen av innsynet, og har rett til å la seg bistå av tillitsvalgt eller annen representant.

Dersom innsyn i den ansattes epostkasse viser at det ikke foreligger dokumentasjon som arbeidsgiver har rett til innsyn i, skal epostkassen og dokumenter i denne straks lukkes. Eventuelle kopier skal i denne sammenheng slettes.

Foretar arbeidsgiver innsyn uten at den ansatte er varslet i forkant, skal den ansatte motta en skriftlig underretning om dette så snart innsynet er gjennomført. En slik underretning skal, i tillegg til den informasjon som fremkommer ved varsel om innsyn, også inneholde opplysninger om hvilken metode for innsyn som ble benyttet, hvilke eposter eller andre dokumenter som ble åpnet, samt resultatet av innsynet.

Uavhengig av det som er bestemt i avsnittet foran kan arbeidsgiver uanmeldt gå inn når dette er nødvendig av administrative årsaker, eks. virusangrep. Den/ de ansatte skal i ettertid ha generell informasjon om dette. Samme informasjon skal gå til de tillitsvalgte.

Det er taushetsplikt på private opplysninger man blir kjent med ved innsyn.

10. Dokumenter lagret på den ansattes private område i arbeidsgivers datanettverk, mobiltelefon (epost/sms) eller andre elektroniske medier

Arbeidsgiver har som utgangspunkt ikke anledning til å gjennomsøke, åpne eller lese dokumenter eller informasjon som er lagret på mobiltelefon, bærbar pc eller andre elektroniske medier/lagringsenheter som arbeidsgiver har stilt til disposisjon for den ansatte til bruk i arbeidet. Tilsvarende gjelder for dokumenter som er lagret på den ansattes private område i arbeidsgivers datanettverk.

Arbeidsgiver har imidlertid adgang til å gjennomføre innsyn i ovenfor nevnte dokumenter, informasjon og lagringsmedier på samme måte og i samme omfang som arbeidsgiver kan foreta innsyn i ansattes epostkasse, se punkt 7 og 8.

11. Internettbruk

Internettbruk skal ta utgangspunkt i at all kommunikasjon på nettet kan spores tilbake til den maskinen du bruker (IP-adresse). Er du pålogget i arbeidstiden og benytter informasjons-systemet defineres du som pålogget i tjeneste.

All bruk på nettet blir loggført. Ved gjennomgang av logger som medfører innsyn i person-opplysninger brukes samme metode for innsyn som ved epost, se punkt 7.

Det anses som brudd på arbeidskontrakt å laste ned ulovlig materiale fra nettet uten at dette er godkjent av nærmeste leder som del av jobboppdrag. Under ingen omstendighet tillates nedlasting av ulovlig materiale som rammes av straffelovens §§ 204 og 204a (pornografi/barnepornografi). Det samme gjelder når det fra jobbmaskin gjøres forsøk på hacking eller annen uautorisert tilgang til andre informasjonssystemer.

12. Privat bruk av arbeidsgivers datautstyr

Arbeidsgivers datautstyr (PCer, mobiltelefoner, servere, fellesnett og øvrig infrastruktur) er stilt til den ansattes disposisjon for bruk som arbeidsverktøy. Dette datautstyret kan bare tillates brukt privat i begrenset omfang og på en slik måte at det ikke tar mye kapasitet i fellesnettet. Sunn fornuft og god dømmekraft må være førende for all privat bruk.

Bruk av [bedriftens navn]s utstyr for å utføre egen næringsvirksomhet eller arbeid/ oppdrag utenfor [bedriftens navn] kan bare skje så lenge oppdraget skjer i overensstemmelse med de retningslinjer som er fastsatt i personalhåndboken til de respektive enhetene i [bedriftens navn] eller etter avtale med arbeidsgiver.

13. Datavirus

For at [bedriftens navn]s virusbeskyttelse skal virke godt nok må oppdaterte virusprogrammer benyttes. Alle ansatte må dessuten være forsiktige ved bruk av epost og internett. Brukere av hjemme-PC og hjemmekontor må følge instruks for oppdatering av virus­programmer. Dersom datavirus oppdages, skal IT-avdelingen/[bedriftens navn] varsles så fort som mulig.

14. Særlige plikter ved opphør av arbeidsforhold

I forbindelse med at den ansattes arbeidsforhold opphører og senest innen fratreden, plikter den ansatte å slette all informasjon av privat karakter som befinner seg i epostkasse, mobiltelefon, bærbar pc eller andre elektroniske medier som arbeidsgiver har stilt til disposisjon for den ansatte til bruk i arbeidet.

Arbeidstaker plikter videre å gi arbeidsgiver tilgang til all arbeidsrelatert informasjon, ved at denne lagres på fellesområdet i arbeidsgivers datanettverk eller annet foreskrevet sted. Alternativt kan den ansatte samtykke til at innholdet i den ansattes epostkasse, på tidspunktet for fratreden, overføres til arbeidsgiver som en del av fellesområdet i arbeidsgivers datanettverk. For at et slikt samtykke skal være gyldig er det en forutsetning at den ansattes epostkasse gjøres utilgjengelig for mottak av ny informasjon utover tidspunktet for samtykkets avgivelse, og at informasjon underlagt taushetsplikt undergis særskilt behandling i henhold krav som måtte følge av lov eller forskrift.

*) Datadisiplininstruksen bygger på NHOs eksempel, og elementer fra Datainstruks for ansatte i Arendal kommune (som har tatt utgangspunkt i NHOs eksempel).