Instruks for bruk av IT-systemene
Innledning
Denne instruksen beskriver retningslinjer for bruk av IT-systemene ved museer hvor KulturIT har ansvar for IT-driften og leveransen av IT-relaterte tjenester. Instruksen gjelder for alle ansatte, konsulenter og vikarer. Den skal være lest og signert. Etter signering leveres den til administrasjonen hos den ansattes arbeidsgiver/konsulentens oppdragsgiver for oppbevaring.
Museet er arbeidsgiver (evt. oppdragsgiver for konsulenter). KulturIT representerer IT-avdelingen på vegne av arbeidsgiver. Alle ansatte i KulturIT har taushetsplikt.
Ved bruk av internett og e-post er du en representant for museets virksomhet. Dine handlinger identifiseres som museets handlinger. Du har derfor et ansvar for at din arbeidsgiver kan stå inne for det du gjør. Husk at informasjon som sendes ut i e-post eller på andre måter legges ut på Internett, kan misbrukes av andre. Vis derfor varsomhet ved utsendelse eller deling av sensitive opplysninger.
Det vises også til arbeidsmiljølovens §9-5 vedrørende regler for innsyn i ansattes e-post og filområder. Reglene ble tilføyd ved lov 9 jan 2009 nr. 3, endret ved lov 15 juni 2018 nr. 38 (ikr. 20 juli 2018 iflg. meddelelse 17 juli 2018 nr. 1195).
1. Bruk av IT-systemene
1.1 IT-systemene er beregnet for jobbrelaterte formål. Privat bruk, f.eks. e-post og tilgang til internett tillates i begrenset omfang, så lenge det ikke påvirker jobbrelaterte oppgaver. Evt. private e-poster kan med fordel lagres i en egen mappe som merkes "Privat", evt. private hendelser i Outlook kalender angis som privat. På denne måten kan arbeidsgiver ved behov for å gå inn på din epostkonto for å hente ut bedriftsinformasjon, enkelt se hva som er arbeidsrelatert og hva som er privat.
1.2 Det er strengt forbudt å benytte epostkontoen til videresending eller oppbevaring av pornografisk, rasistisk eller annet ulovlig eller støtende materiale. Dersom slikt materiale mottas, skal du kontakte KulturIT for at de kan vurdere å blokkere avsenderen fra e-posttjenesten. Det er heller ikke tillatt å benytte internett til å surfe på sider med slikt innhold eller å laste ned slikt innhold.
1.3 All jobbrelatert informasjon skal lagres på filservere eller i andre sentrale systemer dersom dette er beskrevet i egne rutiner av arbeidsgiver.
1.4 Hjemmekatalogen og OneDrive skal primært brukes for personlig, jobbrelatert informasjon som den enkelte ønsker å ta vare på. Hjemmekatalogen eller andre personlige filområder skal ikke benyttes til å oppbevare data som ikke er jobbrelatert.
1.5 Utskrifter skal fjernes fra skriveren så snart utskriftsjobben er ferdig. Passord skal settes på sensitive utskrifter.
1.6 Nærmeste overordnede er ansvarlig for at tilgang til informasjon følger prinsippet om tilgang i henhold til tjenstlig behov, og gir beskjed til autorisert bestiller hos arbeidsgiver om behov for opprettelse av nye områder.
2. Innsyn i e-postkasse og annet elektronisk lagret materiale
2.1 Arbeidsgiver kan i visse situasjoner åpne og lese e-post i arbeidstakers epostkasse samt personlige filområder/hjemmeområder. Reglene om dette er tatt inn i Arbeidsmiljølovens kapittel 9 i forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale, som trådte i kraft 20.07.2018.
2.2 Vilkårene for å gjennomføre slikt innsyn er at det er nødvendig for å ivareta:
• Den daglige driften av virksomheten, eller andre berettigede interesser ved virksomheten
• Det er begrunnet mistanke om at arbeidstaker bruker e-post eller annet elektronisk utstyr på en måte som innebærer grovt brudd på de pliktene som gjelder i arbeidsforholdet, eller kan gi grunnlag for oppsigelse eller avskjed.
• Arbeidsgiver har ikke rett til å overvåke arbeidstakers bruk av elektronisk utstyr, herunder bruk av internett, med mindre formålet for overvåkning er a) å administrere virksomhetens datanettverk, eller b) å avdekke eller oppklare sikkerhetsbrudd i nettverket.
• Arbeidstaker skal så langt som mulig varsles og få anledning til å uttale seg før arbeidsgiver gjennomfører innsyn. I varselet skal arbeidsgiver begrunne hvorfor vilkårene for innsyn anses å være oppfylt og orientere om arbeidstakers rettigheter etter denne bestemmelsen. Arbeidstaker har innsigelsesrett etter personvernforordningen artikkel 21.
• Arbeidstaker skal så langt som mulig gis anledning til å være til stede under gjennomføringen av innsynet og har rett til å la seg bistå av tillitsvalgt eller annen representant.
• Er innsyn foretatt uten forutgående varsel eller uten at arbeidstaker var til stede, skal arbeidstaker gis skriftlig underretning om dette så snart innsynet er gjennomført. Underretningen skal inneholde hvorfor vilkår for innsyn anses å være oppfylt, opplysninger om hvilken metode for innsyn som ble benyttet, hvilke e-poster eller andre dokumenter som ble åpnet samt resultatet av innsynet.
• Innsyn må gjennomføres på en slik måte at opplysningene så langt som mulig ikke endres og at frembrakte opplysninger kan etterprøves.
• Åpnede e-poster, dokumenter eller tilsvarende som det viser seg at ikke er nødvendige eller relevante for formålet med innsynet, skal straks lukkes. Eventuelle kopier skal slettes.
• Reglene om innsyn i e-post gjelder tilsvarende for arbeidsgivers rett til å gjennomføre innsyn i arbeidstakers personlige område på virksomhetens datanettverk og i andre elektroniske kommunikasjonsmedier som er stilt til rådighet for bruk i arbeidet.
3. Opplæring
Når du får tilgang til de aktuelle informasjonssystemene, skal du ha gjennomgått nødvendig opplæring. Dersom du mener du ikke har fått nødvendig opplæring er det viktig at du gir informasjon om dette til nærmeste overordnede.
4. Brukernavn, passord og skjermsparer
4.1 Du får tildelt brukernavn og førstegangs passord av KulturIT.
4.2 Påloggingspassord er strengt personlig og skal ikke oppgis til eller lånes ut til andre. Dette er et personlig ansvar.
4.3 Vær særlig oppmerksom på at det i dag er svært vanlig med «sosial manipulering» ved at utenforstående søker å få tilgang til passord og dermed også sensitiv informasjon ved å ta kontakt med deg som bruker og presentere et konstruert behov. Passord skal aldri oppgis over telefon.
4.4 Velg et passord som er lett å huske, men pass på at det ikke inneholder navn på familiemedlemmer, fødselsnummer eller andre opplysninger som lett lar seg knytte til brukeren.
4.5 Passordet skal bestå av en kombinasjon av store og små bokstaver, tall og tegn, og være på minst 8 tegn. Siste 10 passord skal ikke gjenbrukes.
4.6 Dersom du har mistanke om at passordet har blitt kjent av uvedkommende, skal passordet byttes og hendelsen snarest rapporteres til nærmeste overordnede og KulturIT.
4.7 Passord-beskyttet skjermsparer skal benyttes når arbeidsplassen forlates i kortere perioder. Maskinen er satt opp med automatisk skjermsparer med aktivering etter 15 minutters inaktivitet, men vi anbefaler at du setter på skjermsparer selv før du går fra maskinen.
4.8 Du skal alltid logge ut før du overlater maskinen til andre eller går for dagen.
4.9 Vær forsiktig med bruk av «Husk passord» og/eller brukernavnfunksjoner på internett. Slik informasjon lagres på PC-en og er dermed tilgjengelig for andre som benytter samme PC.
4.10 IT-avdelingen vil av prinsipp aldri spørre deg om ditt passord. Du som bruker, bør unngå å sende passord til KulturIT. Dersom det er behov for oversending av passord, skal dette gjøres per SMS eller ved bruk av andre sikre tjenester, godkjent av KulturIT.
4.11 KulturIT anbefaler at 2-faktor pålogging benyttes på alle tjenester der det er mulig, dette gjelder også tjenester som ikke er levert av KulturIT, men som benyttes i jobbsammenheng.
5. Oppdatering av antivirusprogram og operativsystem
5.1 Antivirusprogram oppdateres automatisk.
5.2 Operativsystemet oppdateres automatisk for sikkerhetskritiske oppdateringer.
6. Internett
6.1 Ansatte har tilgang til å benytte Internett samt sende og motta e-post fra PC som disponeres i arbeidet.
6.2 Det er ikke tillatt å laste ned utuktig materiale eller opphavsrettslig beskyttet materiale (f.eks. bilder, musikk, filmer og programvare) eller annet som er i strid med lovverket.
6.3 Vær generelt alltid forsiktig med å laste ned filer fra ukjente nettsteder og med å legge igjen personlig informasjon på websider som krever dette. Dette kan misbrukes og blant annet føre til at du får mer søppelpost. Husk at du ikke har noen garanti for at en person eller et nettsted er den/det vedkommende utgir seg for å være.
6.4 Tjenester for fildeling (f.eks. Dropbox), utover tjenester som installert eller avklart med KulturIT, tillates ikke på grunn av sikkerhetsrisiko knyttet til disse tjenestene.
6.5 Ressurskrevende tjenester, eksempelvis radiolytting og TV/video streaming, skal begrenses for ikke å negativt påvirke jobbrelatert trafikk i nettet.
6.6 KulturIT har anledning til å logge informasjon om Internett og eposttrafikk for å sikre alminnelig drift samt for sporing ved eventuelle sikkerhetsbrudd.
6.7 Det er ikke tillatt å forsøke å forbigå sikkerhetsmekanismer, for eksempel ved å skjule ikke-tillatte tjenester gjennom andre tjenester.
7. E-post
7.1 All e-post (innkommende og utgående) skal gå gjennom epost tjenester som leveres av KulturIT. Det er derfor ikke tillatt å hente eller mellomlagre e-post på tjenester som ikke er levert av KulturIT. Privat e-post konto skal ikke benyttes til arbeidsrelaterte formål.
7.2 Dersom du mottar tvilsom epost fra ukjent avsender og som inneholder vedlegg. Ikke åpne vedlegget, men ta kontakt med KulturIT for å avklare risiko
7.3 All e-post skal arkiveres i henhold til arbeidsgivers rutiner.
7.4 Vedlegg skal lagres på filservere eller i andre sentrale systemer dersom dette er beskrevet i egne rutiner av arbeidsgiver.
7.5 Ved planlagt fravær (ferier/permisjoner etc.) skal den ansatte legge inn fraværsassistent i Outlook med informasjon om hvor lenge fraværet varer samt hvem som kan kontaktes i den ansattes fravær.
7.6 E-post fra arbeidsgiver skal kun benyttes til jobbrelatert arbeid. Den ansatte bes være særskilt varsom dersom den har roller i andre selskaper, lag eller foreninger. E-post-adresse fra arbeidsgiver skal ikke brukes til disse formålene.
8. Tilkobling til trådløse nettverk
Det er en viss sikkerhetsrisiko knyttet til bruk av trådløse nettverk. Du kan imidlertid ta forholdsregler som kan bidra til å minimere sikkerhetsrisikoen når du bruker et trådløst nettverk.
8.1 Gjør en vurdering av det trådløse nettverket du ønsker å koble til. Når det er mulig, kobler du bare til trådløse nettverk som krever en nettverkssikkerhetsnøkkel eller har en annen form for sikkerhet, som et sertifikat. Dersom du er i tvil om det aktuelle nettverket er sikkert, anbefaler KulturIT at du ikke kobler til nettverket og heller benytter delt internett fra mobiltelefon.
8.2 Hvis du kobler til et nettverk som ikke er sikkert, må du være oppmerksom på at personer som har de riktige verktøyene kan se alt du gjør, inkludert webområdene du besøker, dokumentene du arbeider med og brukernavnene og passordene du bruker.
9. Bærbar PC, mobiltelefon og annet bærbart utstyr
9.1 Bærbar PC, er i utgangspunktet konfigurert av KulturIT. Dette oppsettet skal ikke endres av den ansatte.
9.2 Beskyttelsesverdig informasjon skal kun mellomlagres på bærbar PC, mobiltelefon eller annet bærbart utstyr.
9.3 Bærbar PC som benyttes som klient i nettverket som driftes av KulturIT, kan benyttes i forbindelse med jobb på reiser og hjemme i samråd med arbeidsgivers retningslinjer. Jobb-PC skal ikke benyttes til annet enn jobbrelaterte oppgaver.
9.4 Skjermlås eller passordbeskyttelse skal også benyttes på bærbare enheter.
9.5 La aldri bærbar PC, mobiltelefon, annet lagringsutstyr eller annet bærbart utstyr ligge synlig uten tilsyn.
9.6 Ved tap av PC eller mobiltelefon der jobbkonto har vært benyttet, skal KulturIT kontaktes umiddelbart for sikring av brukerdata og identitet.
9.7 Ved kassering eller salg av mobiltelefoner, skal disse tilbakestilles til fabrikkinnstillinger og alle brukerdata slettes.
10. Sikkerhetskopiering
10.1 For å sikre at det blir tatt sikkerhetskopier, skal all jobbrelatert informasjon lagres på, eventuelt kopieres til, servere/tjenester som driftes av KulturIT.
10.2 Lagre filer/dokumenter ved opprettelse og regelmessig under arbeid, da unngår man unødvendig tap av pågående arbeid.
10.3 For PC som benyttes i forbindelse med reiser og hjemmearbeid, må oppdatering mot servere/tjenester som driftes av KulturIT gjøres regelmessig, spesielt dersom andre er avhengig av informasjonen. Tilse at din PC er regelmessig tilkoblet internett og hjemmekontor-løsning, slik at dokumenter og filer blir synkronisert.
10.4 Gjenoppretting av sikkerhetskopiert data utføres kun i helt spesielle tilfeller, hvor det ikke er mulig å gjenskape data innen rimelig tid. Behov for gjenoppretting vurderes av den ansatte i samråd med nærmeste leder og KulturIT. 1
0.5 Minnepinner og eksterne harddisker som ikke lengre er i bruk skal overleveres KulturIT for destruering.
11. Installasjon av programvare og maskinvare
1.1 Det skal ikke benyttes programvare som avviker fra lisensavtaler til produsenter. Behov for programvare ut over det som allerede er installert avklares med nærmeste leder/arbeidsgiver i samråd med KulturIT.
11.2 All programvare på maskinen skal godkjennes av KulturIT. Arbeidstaker skal ikke installere noen form for programvare på egenhånd bortsett fra programvare som allerede er klargjort for installasjon, disse programmene kan installeres fra «Programvaresenter».
11.3 Ved behov for programvare utover det som er forhåndsinstallert, ta kontakt med KulturIT som gjør en vurdering av programvaren evt. sammen med arbeidsgiver, samt innhenter eventuell pris. Eventuelle lisenskostnader vil bli fakturert arbeidsgiver. Kostnadene og behovet må godkjennes av autorisert bestiller hos arbeidsgiver.
11.4 Programvare som kan kjøres på PC direkte fra portabelt utstyr, for eksempel programvare som kjøres fra minnepenn, tillates ikke
12. Nettbaserte løsninger/skytjenester (SaaS)
Ved behov for tjenester som leveres av eksterne tjenesteleverandører, ta kontakt med KulturIT som gjør en vurdering av behovet sammen med autorisert bestiller hos arbeidsgiver. Dette gjelder både gratis og betalbare tjenester hvor man registrerer en bruker/abonnement.
13. Privat PC
13.1 Behov for PC i jobbsammenheng skal dekkes av arbeidsgiver.
13.2 Privat PC skal ikke benyttes i jobbsammenheng
13.3 Jobbrelatert informasjon tillates ikke lagret på privat PC. Jobbrelaterte data skal lagres på servere/tjenester som driftes av KulturIT.
14. Reparasjon, service og vedlikehold
14.1 Alle feil eller mistanker om feil i informasjonssystemet (både maskinvare og programvare) skal rapporteres til KulturIT snarest mulig.
14.2 Det er kun KulturIT som kan iverksette arbeid som utføres på IT-systemene. Evt. eksterne leverandører kan iverksette arbeid i samråd med KulturIT.
15. Flytting av maskinvare som er knyttet til nettverk
15.1 Nettverkspunktene i kontornettene er i utgangspunktet låst til en maskin.
15.2 Ved behov for flytting av maskin til annet nettverkspunkt må dette meldes til KulturIT i god tid før flyttingen finner sted, slik at KulturIT kan utføre nødvendige endringer innenfor ordinær åpningstid.
16. Håndtering av informasjon
Disker, utstyr som inneholder harddisker og annet lagringsmateriale (f.eks. minnebrikker, backuptape etc.), skal leveres til KulturIT for forsvarlig destruksjon.
17. Opphør av arbeidsforhold
17.1 Når arbeidstaker fratrer sin stilling skal arbeidstaker rydde i egen e-postkonto og sørge for at meldinger overføres/videresendes i samråd med nærmeste overordnede.
17.2 Dersom arbeidstaker ikke har anledning til å gjennomgå personlige områder (personlig e-postkonto eller personlige lagringsområder) er det opp til arbeidsgiver å vurdere behovet for innsyn.
17.3 Etter at arbeidstaker har fratrådt sin stilling vil epostkonto bli slettet. Sikkerhetskopier, «back up» mv. vil også bli slettet.
18. Bruk av kunstig intelligens (KI)
18.1 Ansatte skal utvise forsiktighet ved bruk av KI. Bedriftssensitive, personsensitive eller konfidensiell informasjon skal ikke benyttes i KI-løsninger der museet ikke eier løsningen eller løsningen er spesielt godkjent for bruk av denne type informasjon.
18.2 Ansatte skal være kildekritiske ved bruk av KI. Informasjon og kilder skal kvalitetssikres før tekst eller informasjon fra KI benyttes.
18.3 Ved bruk av åpne KI-løsninger skal du ikke dele informasjon du ikke ville delt utenfor et møterom, i nyhetsbrev eller på nettsider.
19. Personvern 1
9.1 Hvilke Personopplysninger lagres: Det vil bli lagret personopplysninger om arbeidstakere i forbindelse med arbeidssituasjonen. Eksempler på dette er navn, adresse, ansattnummer, fødselsnummer, kontonummer, telefonnummer og epostadresse. Personopplysningene lagres slik at arbeidsgiver kan følge opp sine forpliktelser overfor den ansatte, eller dersom det er nødvendig i forbindelse med forvaltning av museets samlinger. Det vil også i begrenset grad og tid lagres historikk rundt pålogginger og tilganger til museets systemer. Formålet med loggføringen er å sikre museets verdier og data.
19.2 Arkivering av personopplysninger: Enkelte av museets fagsystemer krever langtidslagring av den ansattes navn. Formålet med dette er å sikre det enkelte museumsobjekts proveniens og følger av museets samfunnsoppdrag generelt.
19.3 Sletting av personopplysninger: Personopplysninger museet etter bokføringsloven er forpliktet til å bevare, vil lagres inntil 5 år. Andre personopplysninger skal slettes fra museets systemer innen 3 måneder etter at den ansattes arbeidsforhold avsluttes. Unntak vil gjelde for enkelte fagsystemer for forvaltning av museets gjenstander og samlinger.
Personellsikkerhet
Sikkerhetsinstruks Ansatte, konsulenter og vikarer skal rette seg etter Sikkerhetsinstruks for bruk av IT-systemene (dette dokumentet) og underskrive denne.
Konsekvenser ved brudd på retningslinjene
Konsekvenser for ansatte som har forårsaket brudd på sikkerhetsreglene, vil bli vurdert av arbeidsgiver i hvert enkelt tilfelle og kan ved alvorlige brudd føre til oppsigelse/avskjed.
Rapportering av sikkerhetsbrudd/hendelser
Meld straks fra til support@kulturit.no dersom du oppdager sikkerhetsbrudd eller hendelser som kan ha betydning for sikkerheten.
Sikkerhetsinstruksen for bruk av IT-systemene er lest og akseptert:
Sted og dato: ________________________________________________________________
Navn (blokkbokstaver): ________________________________________________________
Signatur: ___________________________________________________________________