Prosedyren lages for å sikre lik praksis og at det skal være forutsigbar hva som skjer
Gjelder alle som er underlagt databehandlingsansvarlig (administrerende direktør) sin instruksjonsmyndighet og som gjennom sitt arbeid kommer i kontakt med sensitive personopplysninger
som tilhører helseforetaket. Prosedyren omfatter også eventuelle brudd som skjer utenom arbeidstiden.
Sensitive personoplysninger skal kun behandles når det er tjenestlig behov for det og skal kun brukes itråd med forutsetningene.
Det er ikke lov til å innhente slike opplysninger dersom det ikke foreligger tjenestlig behov.
Det sistnevnte benevnes "snoking" og strider bla mot Helsepersonellovens § 21 a. Det er en plikt til, etter samme lovs § 21, å bevare taushet om slike opplysninger.
Se også dokumentet "Prinsipper for informasjonssikkerhet"
Databehandlingsansvarlig (administrerende direktør) har ansvar for å utarbeide de dokumenter som skal ivareta informasjonssikkerheten, samt stille nødvendige systemer til rådighet.
Informasjonssikkerhetsansvarlig/-rådgiver skal være med å avklare mulige brudd og omfanget, samt ivareta kontakt med myndighetene.
Personalsjefen bistår linjen med avklaring av konsekvensene for den ansatte ved brudd på retningslinjene og lovverket
Ledere på alle nivå skal aktivt bidra til at informasjonssikkerheten ivaretas.
Den enkelte ansatte pliker å holde seg oppdatert på de til enhver tid gjeldende dokumenter i EQS og lovverket på dette området.
Alle plikter å melde mulige brudd på prinsippene gjennom vårt avvikssystem
Behandlingsansvalig for de som som har fått krenket integritet/personvern skal vurdere om disse kan gjøres kjent med forholdet
Nærmeste leder informerer dersom det er en ansatt som har fått krenket sin integritet/personvern.
Den som avdekker mulig brudd, plikter å ta dette opp med nærmeste leder. (Dette kan avdekkes gjennom bla.
at en observerer brudd, varsel om brudd eller ved gjennnomgang av logg).
Leder innkaller den angjeldende ansatte til møte vedrørende mulig brudd på prinsippene for informasjonssikkerhet.
Den ansatte kan ta med tillitsvalgt eller annen person om ønskelig.
Informasjonssikkerhetsansvarli/-rådgiver deltar på møter ved spørsmål om brudd på infromasjonssikkerheten mot pasienter og ansatte.
Leder sjekker ut om bedriftshelsetjenesten (BHT) er tilgjengelig for en samtale etter møtet dersom den ansatte ønsker det.
BHT blir ikke informert om navn.
I første møte fremlegges funnet, og det bes om en forklaring på det mistenkelige forholdet.
Dersom det fremkommer en akseptabel forklaring slik at en kan konkludere med at det ikke foreligger brudd avsluttes saken.
Dersom det konkluderes med at det foreligger et brudd er det en berettiget mistanke om at prinsippene ikke er overhold og omfanget må kartlegges.
Det er arbeidsgiver som har bevisbyrde, så det er viktig at en i første møte ikke utvider omfanget til å gjelde mer enn det som var grunnlaget for møtet.
Det vil snarlig bli holdt et nytt møte hvor resultatet av videre kartlegging vil bli meddelt.
Det blir også informert om at Personalsjefen vil bli tatt med i det videre arbeidet.
Leder skriver referat fra møtet. Referatet lagres i ansattes personalmappe.
Før neste møte
Klinikkleder og administrerende direktør informeres.
HR-sjefen involveres i saken.
Ytterligere informasjon innhentes, og Informasjonssikkerhetsansvarlig/-rådgiver presenterer funnene for leder og HR-lsjefen
HR-sjefen starter avklaringen av mulige konsekvenser.
Leder sjekker ut om bedriftshelsetjenesten (BHT) er tilgjengelig for en samtale etter møtet dersom den ansatte ønsker det.
BHT blir ikke informert om navn.
Andre møte
Eventuelle nye funn fremlegges.
Dersom det ikke er gjort nye funn, skisseres konsekvense og videre oppfølging ut fra det.
Om ytterligere brudd bekreftes, ses dette opp mot forsett og om det er gjort gjentatte ganger.
Den ansatte får en foreløpig vurdering av hvordan arbeidsgiver ser på dette.
Videre oppfølging skisseres.
Den ansatte kan få tilbud om samtale med bedriftshelsetjenesten.
Etter andre møte
Administrerende direktør orienteres.
Ut fra hva bruddene består, i vurderes om forholdet skal politianmeldes, meldes Fylkeslegen og om melding skal sendes Datatilsynet.
HR-sjefen, sammen leder, avklarer hvilke konsekvenser bruddene får for tilsettingsforholdet.
Snoking, brudd på taushetsplikt, uautorisert utlevering av sensitive personopplysninger