Bodø kommunes overordnede krav til sikkerhetstiltak for behandling av personopplysninger:

Generelle sikkerhetsmål:

-          Opplysningene skal være tilgjengelige for rett personell til rett tid i henhold til fastsatte prinsipper for tilgangsstyring.

-          Opplysningene skal behandles i tråd med reglene om taushetsplikt og være beskyttet, slik at uvedkommende ikke får kjennskap til dem.

-          Opplysningene skal være fullstendige, oppdaterte og korrekte og et resultat av lovlige registreringer og kontrollerte aktiviteter.

-          Opplysningene skal begrenses, slik at det kun er dokumentert tjenstlig behov som utløser tilgang.

Konfidensialitet:

-          Personer utenfor Bodø kommune skal kun få tilgang til helse- og personopplysninger gjennom godkjent autorisasjon.

-          Personer i Bodø kommune skal gis tilgang i henhold til fastsatte prinsipper for tilgangsstyring

-          Alle tilganger skal registreres i form av logger i helseregistre (inkl. elektronisk pasientjournal EPJ) og i fagsystemer.

Integritet:

-          For å sikre sporbarhet skal det registreres i behandlingen hvem som har foretatt registrering, endring, retting og sletting.

-          Gjennom sikkerhetstiltak sikres at personer eller teknologi i eller utenfor Bodø kommune ikke skal kunne endre registrering, endring, retting og sletting uten autorisasjon.

-          Gjennom sikker identifisering sikres at helse- og personopplysninger kun blir tilgjengelige for rett person.

-          Helse- og personopplysninger føres i henhold til gjeldende lovverk.

-          Helse- og personopplysninger skal være fullstendige og ajourført for behandlingen av opplysningene.

Bodø kommune har omfattende prosedyrer og dokumenter for GDPR-informasjonssikkerhet i kvalitetssystemet kvalitetslosen. Dokumentsenteret forholder seg til de overordnede prosedyrer og har utarbeidet egne rutiner for egen virksomhet og den kontrollfunksjon som dokumentsenteret har.

Tilgangsstyring i Elements

Dokumentsenteret har systemansvaret for Elements og dermed også tilgangsstyring for systemet. Det er etablert en praksis hvor en rekke tilgangskoder styrer hvem som får tilgang til hva. Medarbeidere får tilgang ut fra tjenstlig behov for å utføre sine arbeidsoppgaver i henhold til roller og ansvar de har i sin stilling. Utvidet tilgang blir registrert i egen sak i Elements og hver person som får utvidet tilgang, får informasjon om det ansvaret dette medfører. Tilgangskodene bidrar til strengere tilgangsstyring fordi færre får tilgang til et fagområde med gradert innhold.

DigiOrden

Bodø kommune tok i bruk DigiOrden vinteren 2021. DigiOrden har en viktig funksjon for informasjonssikkerhetsarbeidet og datasikkerhet.

DigiOrden skal:

- Være et godt lederverktøy som gir oversikt over applikasjoner og datasett. I tillegg oversikt over økonomi og kostnader med applilkasjonene.

- Bevisstgjøre og ansvarliggjøre systemansvarlige

- Gi oss en oversikt over behandlingsprotokollen med tilhørende personvernerklæring for hver behandling