Gå til innholdet

Lagring av personopplysninger i ustrukturerte lagringsområder

  1. Formål:

    Personopplysninger skal lagres slik at kravene til konfidensialitet, integritet og tilgjengelighet er oppfylt. Personopplysninger skal som hovedregel lagres i VIDs produksjonssystemer eller e-arkiv. P360. Denne retningslinjen skal benyttes når personopplysninger unntaksvis må lagres i ustrukturerte lagringsområdet.
     
  2. Virkeområde

    Denne retningslinjen gjelder ansatt, studenter, og andre som ha tilganger til VID system og behandler personopplysninger for VID.
     
  3. Ustrukturerte lagringsområder
    - File server (bl.a. GHQ)
    - SharePoint
    - e-post
    - flyttbare/bærbare  
    - lagringsenheter
    - lync/chatteløsninger
    - fysiske arkiv (papir)
     
  4. Prinsipper for å sikre etterlevelse
    1. personopplysninger om studenter og ansatte skal som hovedregel ikke lagres i ustrukturerte lagringsområder. Dersom det er nødvendig å lagre personopplysninger i ustrukturerte lagringsområder, skal dette begrunnes, godkjennes av leder og dokumenteres som en del av enhetens internkontroll.
    2. personopplysninger på ustrukturerte lagringsområder skal kun lagres på lukkede områder der tilgangen er begrenset til de med tjenstlig behov for opplysningene.
    3. Alle ustrukturerte lagringsområder, inkludert områder på SharePoint, mapper på filservere, felles e-postbokser og fysiske arkiv, skal ha en ansvarlig eier (forretningsmessig eier) Ansvarlig eier bør være på seksjonsledernivå. Men dette er ikke et absolutt krav. Eier skal sørge for riktig tilgang styring basert på tjenstlig behov og at sletting av dokumenter vurderes og foretas regelmessig (minimum årlig) samsvar med gjeldende rutiner. For SharePoint –områder er administrator ansvarlig for å sikre riktig tilgang styring og sletterutiner.
    4. Ved eventuelle endringer i organisasjonen, eller andre endringer som kan påvirke den etablerte strukturen for laging, skal nåværende eier sørge for at respektive lagringsområder blir overført til riktig forretningsområde og sikre at ny eier overtar ansvaret for lagringsområdene. Dokumentene skal flyttes over i sin helhet, kopi av informasjonen skal ikke ligge igjen på gammelt område.
    5. leder skal ha oversikt og kontroll over felles lagringsområder som benyttes i enheten og er ansvarlig at retningslinjer for laging og sletting av personopplysninger etterleves. Leder har overordnet fellesområder til produksjonssystemer.
    6. personopplysninger skal slettes når det ikke lenger er tjenstlig behov for å oppbevare disse.
    7. Dokumenter lagret i ustrukturerte lagringsområder skal merkes slik at det fremgår at mappen /områder inneholder personopplysninger. Personopplysninger lagret i felles epostkasser og filservere, bør samles i egne mapper tydelig merket at inneholder personopplysninger.
    8. Dersom det er ønskelig å oppbevare dokumenter f-eks. som mal for framtidige saker, skal personopplysninger anonymiseres.
    9. Korrespondanse som er overflyttet til strukturert system skal slettes fra det ustrukturerte lagringsområdet.
    10. Hver støtteområdene som ledd i egen internkontroll, sal dokumentere at prinsippene er implementert.