5.1.1 Vilkår og betingelser
5.1.1 Vilkår og betingelser
Alle medarbeidere i virksomheten skal jevnlig læres opp i krav om ivaretakelse av taushetsplikten, informasjonssikkerheten og personvernet. Dette bør inkluderes i arbeidsavtalen eller avtales skriftlig på annen måte.
Virksomheten bør innhente taushetserklæring for den enkelte medarbeider.
Virksomheten bør utarbeide en instruks for informasjonssikkerhet og personvern som omfatter de vesentlige kravene.
Virksomheten skal ha retningslinjer for privat bruk av informasjonssystemer og utstyr.
5.1.2 Opplæring og kompetanse
Virksomheten skal sørge for at medarbeidere som gis tilgang til virksomhetens informasjon, infrastruktur og/eller systemer har tilstrekkelig kompetanse, og er gjort kjent med relevante sikkerhetstiltak.
Kompetansebygging skal være kontinuerlig og tilpasset ulike roller og brukergrupper. Det bør følges opp at opplæringstiltakene gir ønsket effekt. Gjennomført opplæring og vurdering av effekt bør dokumenteres. Nye opplæringstiltak skal vurderes ved teknologiske endringer eller endring i rutiner.
Virksomheten bør ha en oppdatert oversikt over medarbeideres kompetanse og behov for opplæring.
5.1.3 Opphør av arbeidsforhold
Når et arbeidsforhold opphører, skal alle medier (herunder digitalt, papir, osv.) som kan inneholde helse- og personopplysninger, leveres tilbake. Adgangskort skal leveres tilbake og deaktiveres All tilgang til virksomhetens nettverk- og informasjonssystemer skal sperres for å sikre at den tidligere ansatte, leverandører og oppdragstakere ikke lenger har tilgang.
Virksomheten skal ha rutiner for å rydde opp i informasjon den ansatte kan ha lagret på egen brukerkonto.
Virksomheten bør gjennomføre tiltak for å gjøre medarbeideren oppmerksom på at taushetsplikten gjelder etter at arbeidsforholdet er opphørt.
