230215 - Steinkjer kommune
Transcription
230215 - Steinkjer kommune
Protokoll for styremøte for fo Inn-Trøndelag IKT 23.02.15 Tilstede: Fra styret: Jacob Almlid, Jon Arve Hollekim, Torunn Austheim I tillegg møtte: Truls Eggen og Anders Haraldsen Saker: 01/15 Databehandleravtale med ed Inderøy og Verran – utsatt sak 14/14 02/15 Informasjons- og datasikke kerhet – felles styringsdokumenter i Inn-Trøndela elagsamarbeidetutsatt sak 14/15 03/15 Årsmelding og regnskap 2014 04/15 Kostnadsfordeling Microsoft TUP på avtale 5654506 for 2013 05/15 IKT Kostnads- og modenhetsanalyse Sak 01/15 Databehandleravtale med Inderøy og Verran Forslag til vedtak: Det inngås databehandleravtale med kommunene som inngår i Inn-Trøndelagssamarbeidet ut fra utarbeidet mal. Vedtak 06.10.2014: Saken utsettes Vedtak: Det inngås databehandleravtale med kommunene som inngår i Inn-Trøndelagssamarbeidet ut fra utarbeidet mal. Saksfremstilling: Inn-Trøndelag IKT har denne høsten fokus på å få på plass styrende sikkerhetsdokumenter. Da det ikke er inngått egne databrukeravtaler med eksterne samarbeidspartnere, er det jobbet med å få dette på plass. I tillegg bør det foreligge en databrukeravtale mellom kommunene i samarbeidet og Inn-Trøndelag IKT. Vedlagte foreslås benyttet. Databehandleravtale Avdeling: Inn- Trøndelag IKT Dokument-ID: Avdelingsnavn: Inn- Trøndelag IKT Første gang opprettet: Gyldig fra: Gyldig til: Erstatter: Avtalens hensikt Avtalens hensikt er å regulere rettigheter og plikter etter lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven) og forskrift av 15. desember 2000 nr. 1265 (personopplysningsforskriften). Det samme gjelder også etter Lov av 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger (helseregisterloven). Avtalens parter: I denne avtalen er….. kommune å anse som Databehandlingsansvarlig og Inn-Trøndelag IKT å anse som Databehandler, jfr. pol. § 2 nr 4 og 5 og helseregisterloven § 2 nr. 8 og 9. Avtalen regulerer Databehandlers bruk av personopplysninger på vegne av Databehandlingsansvarlig, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse. Databehandlingsansvarlig bestemmer formålet for behandlingen av personopplysningene og hvilke hjelpemidler som skal brukes, mens Databehandleren behandler personopplysningene på vegne av Databehandlingsansvarlig. Databehandlingsansvarlig har også ansvar for at dette er ivaretatt hos Databehandleren, enten denne er intern eller en ekstern part. Dette reguleres i lovens § 15 og i tilhørende forskrift § 2-15. Databehandleren kan kun behandle personopplysninger tilgjengeligjort av Databehandlingsansvarlig i henhold til denne avtale. Behandlingens formål skal ikke endres av noen av partene uten at ny avtale undertegnes. Formål og virkeområde for avtalen Formålet med avtalen er å regulere behandlingen av personopplysninger som Databehandleren gjør på vegne av den Databehandlingsansvarlige. Avtalen skal sikre at personopplysninger om de registrerte, ikke brukes urettmessig eller kommer uberettigede i hende. Varighet og oppsigelse Avtalen trer i kraft ved at begge parter undertegner denne. Avtalen kan sies opp av begge parter med 6 måneders varsel. Når avtalen utløper plikter Databehandleren uten opphold å slette de personopplysningene som denne har behandlet på vegne av Databehandlingsansvarlig. Dette gjelder ikke dersom noe annet er bestemt mellom partene eller Databehandleren har plikt til å lagre opplysningene etter norsk lov. Databehandlerens plikter Databehandleren kan bare behandle personopplysningene i henhold til de formål som er bestemt av den behandlingsansvarlig og i samsvar med de vilkår som fremgår av denne avtalen. Databehandleren plikter å gjennomføre planlagte og systematiske tiltak som skal sørge for tilfredsstillende sikring av personopplysningene, jf personopplysningslovens § 13 og personopplysningsforskriftens kapittel 2 om informasjonssikkerhet. Databehandleren plikter å gjøre seg kjent med og etterleve Databehandlingsansvarligs internkontrollsystem, jf. personopplysningslovens § 14 og personopplysningsforskriftens kapittel 3 om internkontroll. Etter forespørsel fra Databehandlingsansvarlig plikter Databehandleren å dokumentere at kravene til informasjonssikkerhet og internkontroll er ivaretatt. Risikovurderinger skal gjennomføres og fremlegges for Databehandlingsansvarlig. Databehandler skal behandle personopplysningene i samsvar med akseptabelt risikonivå som Databehandlingsansvarlig setter. Dersom personopplysninger kommer på avveie, eller at det er mistanke om at disse er kompromittert, skal Databehandler uten ugrunnet opphold varsle Databehandlingsansvarlig. Databehandlingsansvarlig skal ha fullt innsyn i hele saken ved en slik hendelse. Databehandler skal etablere rutiner for logging av feil og avvik i henhold til personopplysningsforskriftens kapittel 2. Sikkerhet hos Databehandler Databehandler skal sikre personopplysningenes konfidensialitet, integritet og tilgjengelighet, jfr. personopplysningsloven §§ 13-15 med forskrifter. Tilgang til tjenester og eget nettverk skal være basert på individuelle brukerkonti og passord. Lagring av personopplysninger som behandles på vegne av Databehandlingsansvarlig skal sikres slik at kun autorisert personell har adgang til disse. Databehandlingsansvarlig og Databehandler skal alltid vurdere behovet for tilgang før slik gis til Databehandlerens medarbeidere. Databehandleren skal til enhver tid ha oversikt over hvilke medarbeidere som har tilgang til personopplysingene. Avviksmeldinger etter personopplysningsforskriftens § 2-6 skal skje ved at databehandler melder avviket til behandlingsansvarlig. Behandlingsansvarlig har ansvaret for avviksmelding sendes datatilsynet. Sikkerhetsrevisjoner Behandlingsansvarlig skal avtale med databehandler at det gjennomføres sikkerhetsrevisjoner jevnlig for systemer og lignende som omfattes denne avtalen. Bruk av underleverandører Dersom databehandler benytter seg av underleverandører eller andre som ikke normalt er ansatt hos databehandler skal dette avtales skriftlig med behandlingsansvarlig før behandlingen av personopplysninger starter. (tilleggsavtale) Samtidig som på vegne av databehandler utfører oppdrag av de aktuelle personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse. Taushetsplikt Partene skal bevare taushet om alle konfidensielle opplysninger, noens personlige forhold, sikkerhetsmessige og forretningsmessige forhold, opplysninger som kan skade en av partene eller som kan utnyttes av utenforstående i næringsvirksomhet. Databehandlerens medarbeidere skal undertegne taushetserklæring. Taushetsplikten gjelder også etter at avtalen er opphørt. Ansatte og andre som fratrer sin tjeneste hos driftsoperatøren skal pålegges taushet også etter fratredelse om forhold som nevnt over. Mislighold Dersom Databehandlingsansvarlig får sanksjoner i mot seg som følge av brudd på bestemmelsene i personopplysningsloven med forskrift (for eksempel overtredelsesgebyr etter § 46 eller erstatning etter § 49), og årsaken til dette ligger hos Databehandleren, kan Databehandlingsansvarlig kreve at Databehandleren dekker det økonomiske tapet. Rettsvalg Partenes rettigheter og plikter etter denne avtalen bestemmes i sin helhet av norsk rett. Undertegning Denne avtalen er undertegnet i to eksemplarer hvorav partene beholder ett eksemplar. Sted/Dato, Behandlingsansvarlig For Virksomheten: Databehandler For leverandøren: Sak 02/15 Informasjons- og datasikkerhet – felles styringsdokumenter i InnTrøndelagsamarbeidet Forslag til vedtak: Vedlagte utkast til informasjonssikkerhetsbok implementeres i alle tre kommuner i InnTrøndelagsamarbeidet. Vedtak 06.10.2014: Saken utsettes. Vedtak: Vedlagte utkast til informasjonssikkerhetsbok implementeres i alle tre kommuner i InnTrøndelagsamarbeidet. Saksfremstilling: Inn-Trøndelag IKT har denne høsten fokus på å få på plass styrende sikkerhetsdokumenter. Databrukeravtale for den enkelte ansatte og reglement for bruk av data bør være felles for alle som er ansatt i Inn-Trøndelagsamarbeidet. I tillegg har det også vært dialog mellom kommunenes sikkerhetsansvarlig med tanke på å utarbeide en felles informasjonssikkerhetshåndbok. Dette arbeidet er nå påbegynt, og kan implementeres i den landsomfattende sikkerhetsmåneden oktober. Det vises til vedlagte dokumenter. INFORMASJONSSIKKERHETSHÅNDBOK Håndhevelse i kommunen av personopplysninger i henhold til personopplysningsloven 23.02.15 1 INNLEDNING 1.1 Lover - Personopplysningsloven inklusive dens forskrift - Helseregisterloven - Offentlighets- og forvaltningsloven - Ulike særlover og bestemmelser for informasjonssikkerhet er retningsgivende for behandling av personopplysninger og taushetsplikt i det offentlige. Håndtering av personopplysninger gjelder både ved - Elektronisk databehandling - Papirdokumenter - Muntlig tale Personopplysningsloven setter klare og strenge krav til kommunal forvaltning av personopplysninger, og ikke minst rettes det et spesielt fokus på ansvaret til ledelsen men også ansvaret til den enkelte medarbeider klargjøres i denne loven og i særlovene. Personopplysningsloven gjelder for a) behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler. b) annen behandling av personopplysninger når disse inngår eller skal inngå i et personregister. Formålet med personopplysningsloven er å beskytte den enkelte mot at personvernet blir krenket gjennombehandling av personopplysninger. Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger. Definisjoner fra personopplysningsloven, se vedlegg 1. 1.2 Kommunale oppgaver Personopplysningsloven pålegger alle instanser inklusiv kommunene klare oppgaver og rammer for behandling av personopplysninger. Loven forutsetter at den behandlingsansvarlige dvs kommunene skal ha en sikkerhetsstrategi som beskriver arbeidet med informasjonssikkerhet. Dette gjøres ved at kommunene etablerer internkontroll ved å opprette tiltak som er nødvendige for å oppfylle kravene i loven og forskriften. Datatilsynet har utarbeidet retningslinjer for data- og informasjonssikkerhet i kommunene knyttet opp mot bestemmelsene i Personopplysningsloven. Denne håndboka bygger på disse retningslinjene; (for mer info se: www.datatilsynet.no) 2 ANSVAR 2.1 Ansvarsfordeling. Følgende ansvarsfordeling gjelder: Ansvarsfordeling. Følgende ansvarsfordeling gjelder: Kommunestyret/formannskap Har det formelle overordnede ansvaret for informasjonssikkerheten i kommunen og fastsetter de overordnede mål. Rådmannen Har ansvaret for at det utarbeides en helhetlig sikkerhetsplan for kommunen og at planen etterleves. Rådmannen skal sørge for at alle lover og retningslinjer i forbindelse med informasjonssikkerhet overholdes Avdelingssjef Iverksetter nødvendige informasjonssikkerhetstiltak i forhold til elektronisk databehandling, papirdokumenter og muntlig tale i avdelingen Ansvarlig for avdelingens registre og utarbeidelse av rutiner Er behandlingsansvarlig, og bestemmer derfor formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes Er systemeier for avdelingsvise fagapplikasjoner og gir skriftlig ansvar til fagapplikasjonens systemansvarlige Tjenesteenhetsleder og registeransvarlig Skal legge forholdene til rette slik at tilsatte i enheten får nødvendig sikkerhetsforståelse og kunnskap. Nytilsatte skal umiddelbart få nødvendig IKT – innføring og opplæring Vurdere og iverksette nødvendige tiltak for å sikre håndteringen av personopplysninger i sin enhet. Fagansvarlig IKT Har ansvar for forvaltning og drift av teknisk informasjonssikkerhet og infrastruktur Har ansvaret for drift av systemer i henhold til teknisk sikkerhet Skal i tett samarbeid med IT-sikkerhetsansvarlig utarbeide retningslinjer for informasjonssikkerhet og beredskapsplaner Initierer statusmøter for systemansvarlige Informasjonssikkerhetsansvarlig Har ansvaret for at rutiner for håndtering av personvern/datasikkerhet blir fulgt opp og egenkontroll gjennomføres Planlegge og organisere informasjonssikkerhetsarbeidet Skal utarbeide retningslinjer for informasjonssikkerhet i tråd med lovverket Systemansvarlig Hvert dataprogram/ fagapplikasjon har en systemansvarlig (eget vedlegg for hver kommune) som: Skal påse at opplæringstilbudet og dokumentasjon er tilfredsstillende Ansvarlig for kvaliteten på de informasjoner som behandles av systemet Ansvarlig for at systemet følger de lover og forskrifter som gjelder for fagområdet Bestemme sammen med avdelingssjef hvilke rettigheter den enkelte person skal ha Ansatte Skal overholde og etterleve vedtatte instrukser og bestemmelser om sikring av informasjon Forstå konsekvensene ved eventuell brudd på sikkerhetsbestemmelsene Eventuelle sikkerhetsbrudd skal rapporteres i EQS 2.2 Sikkerhetsorganisasjon Internkontroll gjennomføres i tråd med vedtatte rutiner. Rutiner for avviksmelding og håndtering av disse skal innarbeides i kommunens overordnede kvalitetssystem EQS. 3 SIKKERHETSMÅL Det er fastsatt følgende mål for informasjonssikkerhet: Kommunens innbyggere skal være trygge for at kommunes ansatte til enhver tid håndterer taushetsbelagte opplysninger på en forsvarlig måte. Kommunens ledelse skal gi de ansatte god opplæring i personvern og hvordan man behandler temaet i hverdagen. Ved elektronisk behandling av personopplysninger skal opplysningene sikres tilstrekkelig: • • • 4 slik at opplysningene ikke blir kjent for uvedkommende, (konfidensialitet), slik at ansatte kan utføre pålagte oppgaver, (tilgjengelighet) slik at opplysningene ikke utilsiktet eller tilsiktet endres ved behandlingen, (integritet) SIKKERHETSSTRATEGI OG RUTINER 4.1 Ledelse og ansatte - alle ledere sørger for at kommunens datasikkerhet- og informasjonssikkerhetsrutiner og bestemmelser etterleves innenfor sin enhet - alle ledere sørger for at tilsatte, nyansatte, vikarer og sommervikarer får nødvendig kjennskap til kommunens sikkerhetsrutiner og programvarer som benyttes Alle tilsatte gis nødvendig opplæring i forhold til sikkerhet i sitt daglige virke og underskriver taushetserklæring og databrukeravtale. 4.2 Oversikt over personopplysninger/personregister Hver tjenesteenhet skal ha oversikt over sine personopplysninger/-register. Formålet, lovhjemmel og omfanget må være avklart. 4.3 Risikovurdering Det skal årlig i sikkerhetsmåneden oktober gjennomføres risiko- og sårbarhetsanalyser (ROS)– kartlegging av uønskede hendelser og vurdering av konsekvensene hvis slike hendelser oppstår. Vedlagt skjema-mal skal benyttes. Risiko er et resultat sannsynligheten for og konsekvensene av uønskede hendelser. Sårbarhet er et uttrykk for et systems evne til å fungere og oppnå sine mål når det utsettes for påkjenninger. Slike vurderinger må i tillegg til årlig runde gjøres når det skjer større endringer i enheten. Resultatet av ROS-analysen skal tas vare på, og kan ved forespørsel forelegges den administrative ledelsen i kommunen. 4.4 Rutinebeskrivelser Avdelingene/enhetene skal ha rutinebeskrivelser for alle sårbare rutiner inklusive håndtering av taushetsbelagte opplysninger. Disse skal presenteres i EQS. 4.5 Egenkontroll Internkontroll gjennomføres ved større endringer og minimum en gang pr år, da i sikkerhetsmåneden oktober. Gjennom den sektorovergripende internkontrollen formidler rådmannen sine forventninger til organisasjonen. 4.5 Fysisk sikkerhet Kommunen skal: - I arkivplanen beskrive de fysiske områder av virksomheten og/eller hele bygninger som skal beskyttes som følge av behandling av personopplysninger Ha rutiner og tekniske tiltak for adgangskontroll til beskyttede områder Følge opp med ettersyn og tekniske tiltak for å forhindre og redusere eventuelle skader ved innbrudd, vanninntrengning og brann Bruke låst skjerm på påslått pc når kontor forlates og stenging av pc ved dagens slutt Ha låste kontor der det oppbevares sensitive data 5 TILTAK - 5.1 Lederoppgaver I kap 2.1 er det en gjennomgang av de viktigste oppgavene for lederne i kommunen: Lederne skal blant annet sørge for at medarbeiderne undertegner - taushetserklæring - databrukeravtale 5.2 Ansattes oppgaver Alle nytilsatte, vikarer skal ha nødvendig opplæring før de får bruke kommunens datautstyr. Nytilsatte med behov for tilgang til servere får slik tilgang (passord etc.) av IKT Inn-Trøndelag. Når tilsatte slutter, skal IKT Inn-Trøndelag ha melding om dette slik at tilganger/passord etc. slettes. Ved de ytre enheter vil enhetsleder ha tilsvarende ansvar. Databrukeravtalen skal undertegnes av tilsatte og ledere. Alle tilsatte er forpliktet til å etterleve vedtatte bestemmelser. Brudd på disse bestemmelsene kan få alvorlige konsekvenser for tilsettingsforholdet i kommunen. 5.3 Behandling av personregister Vedlegg 3 inneholder et skjema for personregister. Hver avdeling skal fylle ut vedlagte skjema for å ha kontroll. For hvert register skal det gis følgende opplysninger: begrunnelse og lovhjemmel klassifikasjon: personopplysninger, sensitive opplysninger sikringstiltak lagringssted fysikk eller data registerets omfang – antall personer i registeret - formålet med registeret sletting av personopplysninger 5.4 Risikovurdering I henhold til Datatilsynets "Veiledning om internkontroll og informasjonssikkerhet" skal kommunene gjennomføre risiko- og sårbarhetsanalyse. Analysen skal gi en beskrivelse/vurdering av hvilke uønskede hendelser og trusler som kan inntre på tjenestestedet. I tillegg skal det beskrives hvilke tiltak som bør iverksettes for å redusere og unngå nevnte hendelser. Virksomheten må derfor fastlegge kriterier for akseptabel risiko det er forbundet med behandlingen av personopplysninger. Risikobegrepet rommer to størrelser; sannsynlighet for at noe skal skje, og hvilke konsekvenser denne hendelsen kan få. Innenfor hver enhet skal følgende analyser gjennomføres: 5.4.1 Type trussel Ved vurdering av hvilke trusler informasjonssystemet er utsatt for kan det være en fordel å besvare følgende spørsmål: Hvilke trusler eksisterer som kan gjøre at informasjon tilflyter personer som ikke skulle hatt tilgang til den? Hvilke trusler eksisterer som kan gjøre at informasjon forsvinner, endre eller feilregistreres? Hvilke trusler eksisterer som kan gjøre at informasjon blir utilgjengelig for kortere eller lengre tidsrom? Ved vurdering av frekvens tas det utgangspunkt i følgende klassifiseringer: 5.4.2 Sannsynlighet (hyppighet): Angir hvor ofte trusselen kan inntreffe: Svært sjelden: Sjelden: Ofte: Svært ofte: 5.4.3 Ca. 1 pr. 5. år Ca.1 pr. år Ca. 1 pr. måned Flere ganger pr. måned Konsekvens Ved vurdering av konsekvenser skal en sette opp hva slags følger trusselen kan ha om den skulle inntreffe. Sammen med en beskrivelse av konsekvensene skal den graderes etter hvor alvorlig den ansees å være: Konsekvenser: Liten - Moderat – Stor – Katastrofal Vedlegg 4 inneholder et skjema for utfylling og gjennomgang av en risikovurdering. 5.4.4 Tiltak For hver trussel skal det beskrives hvilke tiltak som er nødvendig for å redusere eller unngå de uønskede hendelsene. 5.5 Rutiner/prosedyrer Kommunen skal ha gode rutiner for alle oppgavene innen informasjonsvirksomheten. Av aktuelle rutiner kan nevnes (lista er ikke uttømmende): - opplæring/veiledning av nytilsatte - kompetansekontroll av tilsatte - skjerming av sensitive opplysninger, personlige data og andre saker unntatt offentlighet f.eks: - rutiner for postmottak rutiner for outlookbruk rutiner for at pasient/klient/kardex ikke er tilgjengelig for uvedkommende rutiner for karakterprotokoller rutiner for rapporter om ekstra oppfølging av barn i barnehage rutiner for avviksmeldinger rutine for årlig risikovurdering rutiner for sletting av personopplysninger rutiner for innsyn Hver enhets rutinebeskrivelser legges inn i EQS. 6 TEKNISKE FORHOLD I Datatilsynets veileder skal kommunen ha tilfredsstillende opplegg og rutiner for teknisk informasjonssikkerhet. Kort beskrevet skal følgende hovedtiltak gjennomføres: Områder hvor sensitiv informasjon behandles, skal sikres mot uautorisert tilgang og innsyn. Servere og kommunikasjonsutstyr skal stå i sikrede rom. Systemteknisk sikkerhet omhandler krav til maskinvare, kommunikasjonsenheter, programvare og hvordan disse samhandler. Det skal forefinnes konfigurasjonsskisse som også beskriver soneinndeling, tilgangskontroll. Videre skal det forefinnes rutiner backup rutiner etc. 7 MELDINGER TIL DATATILSYNET 7.1 Oppgaver for kommunen: Kommunene har en rekke plikter etter personopplysnings- og helseregisterloven; konsesjonsog meldeplikt for behandling av personopplysninger. Konsesjonsplikten gjelder for elektronisk behandling av sensitive opplysninger. Meldeplikten gjelder for elektronisk behandling av ikke-sensitive personopplysninger, samt manuell behandling av sensitive personopplysninger. Kommunene har unntak fra konsesjonsplikt for behandlinger av personopplysninger som har hjemmel i egen lov. Når behandlingen er unntatt konsesjonsplikt, skal den meldes til Datatilsynet i stedet. For informasjon om dette: http://www.datatilsynet.no/Sektor/Kommune-stat/Kommuners-konsejons--og-meldeplikt/ Meldingsskjema: http://www.datatilsynet.no/Global/personvernombud/Skjema%20_maler/Meldeskjema_pvo_ bm.pdf 7.1.1 Meldeplikt Den behandlingsansvarlige (avdelingssjef/ stabssjef) skal gi melding til Datatilsynet før: a) behandling av personopplysninger med elektroniske hjelpemidler b) opprettelse av manuelt personregister som inneholder sensitive personopplysninger Disse virksomheter har meldeplikt i stedet for konsesjonsplikt: Barnevern, sosialtjenesten, rusmiddeletaten, PP-tjenesten, kommunehelsetjenesten (journal og pasientadministrasjon; jfr helsepersonelloven §26), pleie- og omsorgsinstitusjonene. Dette forutsetter at registrene behandles innenfor rammen av særlovene. 7.1.2 Konsesjonsplikt Behandling av sensitive personopplysninger der behandlingen ikke er hjemlet i egen lov eller forskrift. ( De registre som følger egen lov er det meldeplikt). Noen få behandlinger vil fortsatt ha konsesjonsplikt. Dette gjelder elektronisk behandling av sensitive personopplysninger der behandlingen ikke er hjemlet i lov; blant annet: Forskningsprosjekter som ikke er omfattet av unntaket fra konsesjonsplikt i personopplysningsforskriften § 7-27 De fleste tverrsektorielle tiltak der bruken av personopplysninger ikke er dekket av egen lov eller forskrift Kommunale helseregistre på individnivå for planlegging, informasjon og samordning vil være konsesjonspliktige etter helseregisterloven så sant de ikke må ha egen forskrift som lokalt helseregister (Helseregisterloven § 7). Datasikkerhetsansvarlig koordinerer meldingene/søknadene til Datatilsynet. Avdelingssjef har ansvaret for å utarbeide registre/søknader for sin avdeling. 7.1.3 Unntak fra konsesjons- og meldeplikt Unntakene: - barnehager, skolefritidsordninger - personellregistre - For planlegging, informasjon og samordning av helsetjenester ved bruk av statistisk materiale (anonymt). 8 EGENKONTROLL Formålet med egen kontroll er å sikre at kommunens sikkerhetsmål, strategi og rutiner etterleves i hele virksomheten. På sikt vil egenkontrollen danne grunnlag for vurderingene av fastsatte sikkerhetsmål etc. Ved gjennomføring av kontrollen skal bl.a følgende elementer gjennomgås: - ansvars- og myndighetsforhold (i samsvar med virkeligheten) sikkerhetstiltak, herunder utprøving av tekniske sikkerhetsløsninger gjennomgang av risikovurderinger og eventuelle nye tiltak gjennomgang av eventuelle avvik gjennomgang av rutiner Vedlegg Vedlegg 1: Definisjoner Vedlegg 2: Oversikt over fagapplikasjoner og systemansvarlige Vedlegg 3: Skjema for det enkelte tjenestesteds personregister Vedlegg 4: ROS-analyse-skjema Vedlegg 5: IKT reglement Vedlegg 6: Databrukeravtale Vedlegg 7:Taushetserklæring Vedlegg 1 - Definisjoner Personopplysningsloven gir følgende førende definisjoner: 1. Personopplysning: Opplysninger og vurderinger som kan knyttes til en enkeltperson. For eksempel navn, fødselsnummer, e-post og avidentifiserte opplysninger (se dette begrepet forklart uttrykk og begreper brukt). 2. Behandling av personopplysninger: Enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksområder. 3. Personregister: Registre, fortegnelser med videre der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen. 4. Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal bruke i behandlingen. 5. Databehandler: Den som behandler personopplysninger på vegne av den behandlingsansvarlige. En databehandler er en ekstern person eller virksomhet som befinner seg utenfor den behandlingsansvarliges virksomhet. 6. Registrert: Den enkeltperson en personopplysning kan knyttes til. 7. Samtykke: En frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv. 8. Sensitive personopplysninger: Opplysninger om: a) rasemessig eller etnisk bakgrunn, elle politisk, filosofisk eller religiøs oppfatning b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling c) helseforhold d) seksuelle forhold e) medlemskap i fagforeninger 9. Fødselsnummer (11 siffer): Fødselsnummer er en unik identifikator som har en særlig bestemmelse om nødvendig bruk i personopplysningslove § 12. Det skal kun brukes der det er saklig behov for sikker identifisering og metoden er nødvendig for slik identifisering. I tillegg er det en særbestemmelse om kryptering ved elektronisk kommunikasjon i personopplysningsforskriften § 10-2. 10. Akseptkriterier: Fastlegging av kriterier for akseptabel risiko forbundet me behandling av personopplysninger, jf. Personopplysningsforskriften § 2-4 første ledd og § 2-2. 11. Avvik: Med avvik menes enhver håndtering av personopplysning som ikke utføres i henhold til gjeldende regelverk, retningslinjer og/eller prosedyrer, samt andre sikkerhetsbrudd. Avvik meldes Datatilsynet i henhold til personopplysningsforskriften § 2-6. 12. Konfidensialitet: Konfidensialitet betyr at personopplysninger må være sikret mot at uvedkommende får kjennskap til opplysningene. 13. Integritet: Med integritet menes at personopplysninger må være sikret mot utilsiktet eller uautorisert endring eller sletting. 14. Tilgjengelighet: Tilgjengelighet betyr at personopplysninger som skal behandles, er tilgjengelig til den tid og på det sted det er behov for opplysningene. 15. Internkontroll: Med internkontroll menes planlagte, systematiske og dokumenterte tiltak som skal sikre at personopplysninger blir behandlet i samsvar med personopplysningsloven med forskrift. Vedlegg 2: - Fagapplikasjoner NAVN PÅ PROGRAMVARE LEVERANDØR LUKKET NETT Profil Velferd HsPro PPI Flyktning Acos Barnevern Visma Visma Visma Visma Visma Acos ÅPENT NETT Agresso Ephorte Capitech ISY ProAktiv ISY ProAktiv - GPS Import Gisline / Gisline Arealpl. Rosy Front Parkering Kulturskole Trio Present WinTid / MinTid VPRO Norkart OFM Time VAR InfoLand GeoWeb KK Idretssanlegg SD-Anlegg EM Portal RenPlan SiPass (Adg.kontr.++) ScanVekt Gemini VA Mofut InfoSys Feierregisteret DBE FøreVar Bibliofil Ekasys EQS CIM WinMed Oppad Ergo Ergo Capitech NorConsult NorConsult Norkart Grontmij A/S Transportation & Mobility Front Systemer Visma Trio Syncronos / Logica Brødr. Strand Ing.firma AS Norkart Geoservice Norsk Eiend.Informasjon Geomatikk Kulturdepartementet Johnson Controls Siemens Scanvaegt Norge SYSTEMANSV. / LEDER (Registereier) Marit Iversen Randi Teigen Myrstad Vedlegg 3: - Personregistre (som skal fylles ut av den enkelte tjenesteenhet) Enhet:……………………….. SikringsTiltak Lagring og kommunikasjon Omfang Meldeplikt Konsesjonsplikt Hjemmel Sensitiv Konfidensielt Offentlig Register - navn Formål Vedlegg 4: - Eksempel på en Ros – Analyse: Trussel Sannsynlighet/ hyppighet Letthet Årsak Konsekvens Stor. En risikerer at sensitive personopplysninger om en eller flere kommer ut og truer klientenes personvern Svært ofte Maskiner blir stående pålogget uten skjermbeskytter med passordbeskyttelse mens ikke – autoriserte ansatte utfører arbeid uten at autoriserte ansatte er til stede. Ikke-autoriserte ansatte med nøkkel skaffer seg tilgang selv om kontoret er låst Utilsiktet utlevering f eks e-post Skjermbildet lett synlig for besøkende Sjelden/ vanskelig Sammenbrudd i online lagringssystem. Brann Ikke – autoriserte Svært ofte/Lett ansatte, uvedkommende kan få adgang til sensitive og personopplysninger samt saker unntatt offentlighet Besøkende kan få tilgang til sensitive opplysninger (Aktiv eller passiv utlevering) Tap av klientdata Andre trusler: 1 2 3 Tiltak Bevisstgjøring av de ansatte omkring nødvendigheten av benytte skjermsparer med passord når de forlater kontoret. Evt. kreve avlogging før man forlater kontoret Stor. En risikerer at Prøve å sørge for at sensitive skjermen ikke er personopplysninger om synlig for besøkende en eller flere kommer Gå ut av dataut og truer klientenes programmet når personvern man har besøk og når man forlater kontoret. Katastrofal ? Vedlegg 5: IKT reglement Databrukeravtale for kommunene Inderøy, Verran og Steinkjer Denne avtalen regulerer den enkelte ansattes ansvar og plikter ved bruk av arbeidsgiverens og InnTrøndelag IKT sine IT-tjenester bestående av maskinvare, programvare, fagapplikasjoner, nettverk og data. Avtalen ses i sammenheng med IKT-reglementet, informasjonssikkerhetshåndboka og gjeldende regelverk for behandling av personopplysninger. Leder Min underskrift på dette dokumentet bekrefter at jeg som leder har ansvaret for at informasjon om gjeldende regelverk er formidlet og at nødvendig opplæring er gitt. (dato og år): leder: Medarbeider Min underskrift på dette dokumentet bekrefter at jeg er gjort kjent med og har forstått IKTreglementet og er kjent med gjeldende regelverk ved behandling av personopplysninger. Jeg forplikter meg til å følge det som til enhver tid er gjeldende IKT-reglement og aksepterer at overtredelse vil kunne medføre sanksjoner fastsatt av arbeidsgiver. (dato og år): medarbeider: Vedlegg 6: Databrukeravttale IKT-reglement nt Felles datanettt for kommunene Ind Inderøy, Verran og Stein einkjer Inn-Trøndelag IKT Brukerstøtte: Tlf: 74 16 93 33 [email protected] 9 Innhold 1. Innledning...................................................................................................................................... 18 2. Virkeområde.................................................................................................................................. 18 3. Definisjoner ................................................................................................................................... 18 4. Informasjonssikkerhet................................................................................................................... 18 5. Akseptabel bruk av IT-ressurser .................................................................................................... 19 6. Brukerens rettigheter.................................................................................................................... 19 7. Inngrep og sanksjoner ................................................................................................................... 19 8. Brukerkonto og passord ................................................................................................................ 19 9. Epost.............................................................................................................................................. 20 10. Lagring ....................................................................................................................................... 21 11. Innsyn og overvåking................................................................................................................. 21 12. Avslutning av ansettelsesforhold .............................................................................................. 21 1. Innledning 1.1 Dette dokumentet regulerer ansvar, plikter og rettigheter for alle som benytter IT-ressurser tilknyttet kommunene Inderøy, Verran og Steinkjer. IKT-reglementet skal bidra til å hindre uønsket bruk av de IT-ressursene det omfatter og til å styrke informasjonssikkerheten i kommunene. Alle brukere med tilgang til IT-ressursene skal gjennom å signere en databrukeravtale bekrefte at de har lest og forstått innholdet i dette reglementet. 2. Virkeområde 2.1 IT-ressursene består av alle fysiske komponenter (nettverk bestående av kabling, nettverkselektronikk og datamaskiner), programvare, og andre IT-baserte ressurser anskaffet av, eller som disponeres av kommunene. IT-ressursene inkluderer også tilgang og bruk av internett og epost. 3. Definisjoner 3.1 Bruker: Personer som har tilgang til kommunenes IT-ressurser. 3.2 Brukerkonto: En brukers definerte tilgang til IT-ressurser som datamaskiner, nettverk, fagapplikasjoner m.m. 3.3 Brukernavn: En unik symbolsk betegnelse som identifiserer en bruker/brukerkonto med tilgang til en IT-ressurs. 3.4 Passord: En sekvens av tegn som sammen med tilhørende brukernavn gir en autorisert bruker tilgang til en IT-ressurs. 3.5 Driftsansvarlig: Personer som er ansvarlig for driften av maskinvare, programvare eller nettverk. 4. Informasjonssikkerhet 4.1 Informasjonssikkerhet er tiltak og mekanismer for å ivareta konfidensialitet, tilgjengelighet og integritet for informasjon og systemer som behandler disse. Alle brukere plikter å sette seg inn i lover, regelverk og retningslinjer som har som formål å ivareta informasjonssikkerheten i deres daglige virke. 4.2 Brukere av IT-ressursene skal bidra til å opprettholde sikkerhetsnivået, for eksempel ved å forhindre uautorisert tilgang til IT-ressurser, forhindre krenking av personlig informasjon og være oppmerksom på trusler som skadelig programvare. Alle har et ansvar for informasjonssikkerheten. 4.3 Ved mistanker om hendelser som truer informasjonssikkerheten skal brukeren rapportere dette til leder eller Inn-Trøndelag IKT. 5. Akseptabel bruk av IT-ressurser 5.1 Bruk av kommunenes IT-ressurser skal være forenelig med institusjonenes formål. Det er ikke tillatt å bruke IT-ressurser til et formål som strider mot etiske og moralske normer eller som er i konflikt med norsk lov. 5.2 Det er ikke tillatt å bruke IT-ressurser på en måte som opptar unødvendig stor kapasitet. Det skal ikke installeres eller brukes programvare eller maskinvare som har et destruktivt bruksområde eller som legger beslag på unødige ressurser. 5.3 Maskinvare som ikke er godkjent og avklart med Inn-Trøndelag IKT skal ikke installeres eller tas i bruk som en del av datanettet. Dette gjelder både datamaskiner, nettverkskomponenter og andre perifere enheter. 5.4 Handlinger for å omgå sikkerhetsinnstillinger og mekanismer rundt dette er under ingen omstendigheter tillatt. 5.5 Vis nett-vett: http://www.nettvett.no/ 6. Brukerens rettigheter 6.1 Kommunene skal sette klare retningslinjer for bruk av IT-ressurser. Inn-Trøndelag IKT har utarbeidet IKT-reglementet for bruk av IT-ressurser og disse skal gjøres tilgjengelige i oppdatert versjon for alle brukere til enhver tid. 6.2 Brukere har krav på at deres personvern ikke blir krenket på noe vis gjennom deres tilgang til IT-ressursene. Det skal ikke utleveres opplysninger om brukere eller data tilhørende brukere der dette ikke er nødvendig som følge av vedtatte reglement eller norsk lov. 7. Inngrep og sanksjoner 7.1 Brudd på IKT-reglementet kan føre til sanksjoner fastsatt av kommunen brukeren er ansatt i. Forhold som vurderes som brudd på norsk lov vil bli politianmeldt. 7.2 Inn-Trøndelag IKT kan ved mistanke om brudd på IKT-reglementet eller andre årsaker som truer systemets integritet og funksjonalitet, gjøre nødvendige grep for å gjenopprette normal drift. Dette kan innebære stenging av brukerkontoer, maskinkontoer eller andre tiltak som kan føre til stopp i brukerens tilganger. Slike inngrep skal varsles brukeren så snart det er praktisk mulig. 8. Brukerkonto og passord 8.1 En brukerkonto er strengt personlig og skal ikke brukes av andre enn den personen den er tilknyttet, dette gjelder også tiltrodde personer som kolleger og familiemedlemmer. Det er ikke tillatt å utgi seg for å være en annen bruker ved bruk av IT-ressurser. 8.2 Et passord skal holdes hemmelig og ikke oppbevares slik at andre kan lære det, for eksempel nedskrevet på en lapp. Ved mistanke om at passordet er kjent for andre skal det endres umiddelbart. 8.3 I tilfeller der det eksisterer systembrukere hvor flere personer har kjennskap til brukernavn og passord, plikter de som har denne tilgangen å påse at ingen uautoriserte personer får kjennskap til passordet. 8.4 Det er viktig at passord ikke gjenbrukes, for eksempel at brukeren har samme passord i kommunens systemer som i andre tjenester. 8.5 Ved glemt passord, mistanke om at passord er på avveie eller andre påloggingsproblemer, ta kontakt med Inn-Trøndelag IKT sin helpdesk: https://helpdesk.ikt-inntrondelag.no/ 8.6 Passordregime: Passord skal endres hver 6.mnd Passordet må oppfylle følgende krav til syntaks: o Være minst 8 tegn o Inneholde små bokstaver (a-z) o Inneholde store bokstaver (A-Z) o Inneholde tall (0-9) eller spesialtegn (. - _ + ! ? ( ) < > & ….) Passordet må være forskjellig fra de siste tre passordene dine. Passordet bør ikke inneholde ord eller navn som kan knyttes til brukeren, for eksempel navn på familiemedlemmer, stedsnavn, titler, årstall etc. - - 9. Epost 9.1 Enhver som benytter eposttjenesten driftet av Inn-Trøndelag IKT skal utvise skjønn for fornuftig bruk. Dette inkluderer blant annet å begrense privat bruk av epostkontoen, samt å slette eposter som ikke lenger er aktuelle. Epostboksen er ikke et arkivsystem. 9.2 Epost anses ikke som et verktøy for sikker kommunikasjon med mindre den er kryptert. Sensitive personopplysninger skal derfor ikke forekomme i epost. Meldinger som inneholder sensitive opplysninger skal ikke sendes eller distribueres videre hvis den mottas 9.3 Ved mistanke om at epost inneholder skadelig programvare eller forsøk på svindel, skal eposten slettes umiddelbart. Linker eller vedlegg må ikke åpnes hvis avsenderen eller meldingen ikke kan tolkes som en seriøs henvendelse. 9.4 Det er ikke tillatt til å starte eller videresende kjedebrev. 9.5 Det må utvises varsomhet når epostadresser legges igjen på nettsider og registreringsskjema. Dette er for å forebygge at epostadressen blir inkludert i lister som brukes for spam. 9.6 Ved utsending av epost til mange mottakere som ikke er en distribusjonsliste, skal mottakere legges inn i feltet for blind-kopi. Dette er for å hindre uønsket spredning av epostadresser. 10. Lagring 10.1 Områder på filservere som er tilgjengelig for brukere skal kun brukes for tjenstlige formål. Dette gjelder også de private lagringsområdene (Q:). Det skal ikke forekomme private filer som bilder, applikasjoner eller multimediefiler (filmer, musikk, spill) på disse filområdene. 10.2 Lagring og sikkerhetskopiering er en begrenset ressurs, og filer som ikke lenger er aktuelle skal slettes. 10.3 Det er ikke tillatt å benytte private kontoer for skytjenester i tjenstlig formål eller synkronisering mellom kommunenes IT-ressurser og slike tjenester. Eksempler på disse er Dropbox, OneDrive og Jottacloud. 10.4 Informasjon som inneholder personopplysninger skal ikke lagres på eksterne lagringsmedier som eksterne harddisker eller minnepinner. 11. Innsyn og overvåking 11.1 Brukere kan selv gi ledere og andre ansatte innsyn i epost og filområder ved behov, for eksempel ved sykdom eller permisjon. 11.2 Beslutning om innsyn tas av leder ved vedkommende enhet eller IT-leder. 11.3 Det kan tas beslutning om innsyn i epostkasse eller filområde hvis det er behov for å ivareta daglig drift, kommunens ansvar eller omdømme. 11.4 Det kan tas beslutning om innsyn hvis det er mistanke om at epostkasse eller filområde inneholder materiale som er i strid med norsk lov eller ved brudd på bestemmelsene i IKTreglementet. 11.5 Brukeren skal varsles om innsynet på forhånd og få mulighet til å være tilstede hvis dette er praktisk og tidsmessig mulig og det ikke er fare for bevisødeleggelser. 11.6 Tiltak for innsyn skal dokumenteres i en rapport. 11.7 Inn-Trøndelag IKT benytter systemverktøy som overvåker IT-ressurser, og informasjon og logger fra disse brukes til driftsformål. 11.8 IKT-driftsansvarlige har taushetsplikt med hensyn til informasjon om brukeren og brukerens virksomhet som den IKT-driftsansvarlige får på denne måten. 12. Avslutning av ansettelsesforhold 12.1 Når et ansettelsesforhold avsluttes skal brukeren rydde i epostkasse og personlige filområder. Brukeren har selv ansvar for å ta vare på og videreformidle informasjon som skal bevares til rett person eller saksbehandlingssystem. 12.2 Epostkasse og personlig filområde vil bli bevart i 3 måneder etter endt ansettelsesforhold. Deretter vil informasjonen bli slettet. 12.3 Brukerkontoer til ansatte som slutter vil bli sperret når ansettelsesforholdet avsluttes. 12.4 Ved dødsfall vil epostkasse og personlig filområde bli slettet, med mindre det er sannsynlig at politiet vil ønske innsyn i opplysningene. Før sletting finner sted kan det foretas innsyn for å sortere ut virksomhetsrelatert e-post og filer i tråd med rutine for dette. Vedlegg 7 - Taushetserklæring Det vises til forvaltningslovens § 13 (taushetsplikt): Enhver som utfører tjeneste eller arbeid for et forvaltningsorgan, plikter å hindre at andre får adgang eller kjennskap til det han i forbindelse med tjenesten eller arbeidet får vite om: 1. 2. noens personlige forhold, eller tekniske innretninger og fremgangsmåter samt drifts- eller forretningsforhold som det vil være av konkurransemessig betydning å hemmeligholde av hensyn til den som opplysningen angår. Som personlige forhold regnes ikke fødested, fødselsdato og personnummer, statsborgerskap, sivilstand, yrke, bopel og adresse, med mindre slike opplysninger røper et klientforhold eller andre forhold som må anses som personlige. Kongen kan ellers gi nærmere forskrifter om hvilke opplysninger som skal reknes som personlige, om hvilke organer som kan gi privatpersoner opplysninger som nevnt i punktumet foran og opplysninger om den enkeltes personlige status for øvrig, samt om vilkårene for å gi slike opplysninger. Taushetsplikten gjelder også etter at vedkommende har avsluttet tjenesten eller arbeidet. Han kan heller ikke utnytte opplysninger som nevnt i denne paragraf i egen virksomhet eller i tjeneste eller arbeid for andre. I tillegg gjelder taushetsplikt i henhold til alle særlover. Erklæring: Jeg, født bekrefter at jeg i mitt arbeide overfor Steinkjer kommune vil respektere den taushetsplikt som følger av Forvaltningslovens § 13 og særlover m.v., og ikke bringe videre opplysninger om noe forhold som strider mot nevnte bestemmelser. Steinkjer den Sak 03/15 Årsmelding og regnskap 2014 Forslag til vedtak: Årsmelding og regnskap for 2014 godkjennes. Vedtak: Årsmelding og regnskap for 2014 godkjennes. Det forutsettes at det innarbeides en status for investering 2015. i årsmeldinga Saksfremstilling: Det vises til vedlagte årsmelding. Regnskapskommentarene fremgår i årsmeldingen. Årsmelding 2014 for IKT Inn-Trøndelag IKT Inntrøndelag ble vedtatt etablert fra 01.01.13 i alle tre kommunestyrene i InnTrøndelagsamarbeidet. En avtale vedtatt i alle tre kommunestyrene i Verran, Inderøy og Steinkjer ligger til grunn for samarbeidet. (vedlegg 2) IKT Inn-Trøndelag har etter vedtak av revidert budsjett i juni 2014 hatt 8 årsverk. Sykefraværsprosent i 2014: kortidsfravær 1,5% og langtidsfravær 8,9% Det ble i 2014 gjennomført en intern organisasjonsutviklingsprosess. Gjennom den vedtatte avtalen er Steinkjer som vertskommune forplikt til å utføre følgende serviceoppgaver på vegne av samarbeidskommunene: Helpdesk med respons i løpet av 2 timer og med skissert løsning på hendelsen samme virkedag som innrapportering. Helpdesk vil samme virkedag overføre oppgaver den selv ikke kan behandle til IKTs andrelinje. IKTs andrelinje som reiser ut på bestilte oppdrag fra helpdesk ut fra helpdeskansvarliges prioriteringer. Andrelinje som består av egne ansatte med fordyping og innleid bistand utvikler og tilpasser. Tilstedeværelse på samtlige tre kommuners kommunestyremøter for streaming og teknisk hjelp. Systemdrift. Bestilling, drifting, vedlikehold og utvikling av telefoniløsninger. Samband/ infrastruktur. Avtalen omfatter også tilrettelegging og utvikling. Helpdesk/Brukerstøtte Statistikk fra 01.01 – 31.12.2014 viser 4994 meldte saker til felles helpdesk. Dette utgjør ca 14 saker per kalenderdag gjennom året og et snitt på 416 per måned. Det foreligger ikke statistikk som beskriver omfanget av saker der andrelinje er benyttet. 22% av henvendelsene har kommet fra Inderøy kommune, 11% fra Verran kommune, 60% fra Steinkjer kommune og 7% fra andre (KomRev IKS og Inntrøndelag Brannvesen IKS samt leverandører). Tilstedeværelse på kommunestyremøter Tilstedeværelse er gjennomført der det har vært streaming og der politikere har lesebrett. Styret vedtok 06.10.14 å legge felles lesebrettløsning inn i Inn-Trøndelag IKTs investeringsbudsjett for 2015. Systemdrift Etter etablering av ny driftsplattform basert på en konvergert løsning i felles datasenter ved årsskiftet 2013/2014 har driftsstabiliteten i tjenestene som leveres av Inn-Trøndelag IKT blitt betydelig bedret. Dette sammen med etableringen av en ny og mer omfattende avtale om drift og overvåkning har vært rettet som tiltak for å bedre en situasjon som i 2013 ikke var tilfredsstillende. I 2014 har brukerne av løsningene som tidligere opplevd perioder med nedetid på sine løsninger, men da har dette i hovedsak vært knyttet til planlagte oppgaver som eksempelvis migrering til ny driftsplattform og utskiftning av hovedtavle for kraftforsyningen i Steinkjer Rådhus. Driften omfatter ved utgangen av 2014 ca 160 servere. Implementeringen av tjenestene i ny driftsavtale med Atea as startet umiddelbart etter signering av avtale primo mars 2014. Etter opprinnelig plan skulle dette være fullført etter prøveperiode med akseptansetest medio juli. Prosjektet støtte på utfordringer som medførte en utvidet prøveperiode frem til medio september. Den nye avtalen omfatter overvåkning og drift av hele serverporteføljen til kommunesamarbeidet, overvåkning av kritisk nettverksinfrastruktur, og telefoni. I tillegg er det en responsavtale knyttet til avtalen for avrop av teknisk bistand til driftsoppgaver. Det har i liten grad vært gjennomført kompetansehevingstiltak i enheten i 2014. Det har vært deltakelse i noen leverandørarrangementer med henblikk på å bli kjent med nye tjenester og produkter. Telefoniløsning Det er under arbeid en oppgradering av telefonløsningen Trio. Telefoni har i 2014 vært levert av Ventelo gjennom felles avtale for MidtTrøndelagskommunene. Ventelo ble ved utgangen av 2014 kjøpt opp av selskapet Phonero, som i siste år for prolongering vil stå for leveranse på avtalen. Med henblikk på utgang av avtalen og etablering av ny er det i 2014 igangsatt arbeid med en felles telefonistrategi for Midt-Trøndelagskommunene. Samband/infrastruktur På grunn av permisjonsfravær for den interne fagansvarlige for nettverk var det i første halvår 2014 få nye tiltak på samband/infrastruktur. Enheten støttet seg i denne perioden på kjøp av driftstjenester på om rådet ved behov. Hovedfokus i siste halvår har vært arbeidet med utskiftning av kjernesvitsj for felles infrastruktur. Dette er et omfattende arbeid som i tillegg til utskiftning og konfigurering av ny maskinvare også omfatter omlegging av intern kabling mellom tekniske rom knyttet til datasenteret. Det innebærer også en revisjon av den konfigurasjon som har bygd seg opp i eksisterende løsning gjennom daglig drift i en periode på over ti år. Arbeidet skal ferdigstilles før påske 2015. I 2013 ble det gjennomført en standardisering av teknisk plattform for trådløse nett i kommunesamarbeidet. I 2014 er dette arbeidet tatt videre ved at det er utviklet en løsning for autentisering av brukere i våre trådløse nett. Løsningen muliggjør identifisering av alle brukere av trådløs-tjenestene og bidrar til en bedre plattform for utnyttelse av trådløs tilgang som ressurs. Tilrettelegging og utvikling Inn-Trøndelag IKT gjennomførte ved inngangen til 2014 en omfattende utskiftning av driftsplattform i felles datasenter. Bakgrunnen for dette var en betydelig mengde driftsvansker knyttet til forrige generasjons maskinvare i datasenteret i 2013. I tilknytning til denne utskiftningen er det også gjennomført et løft på maskinplattform i lokale datasentra i Verran og Inderøy. Som ved tidligere år har Inn-Trøndelag IKT også i 2014 vært involvert i planlegging av el-/teleog data-fasilitering i nye bygg. I 2014 har dette i hovedsak dreid seg om nye barnehager i Steinkjer og det nye Inderøy oppvekst og kultursenter som blir tatt i bruk høsten 2015. Fase 2 av delprosjektet «Meldingsutveksling i Nord-Trøndelag» (MUNT) ble avsluttet for Inntrøndelagskommunene i andre kvartal 2014. Forberedelsene til fase 3 av samme prosjekt ble igangsatt ved utgangen av året. I 2014 ble det gjennomført en outsourcing av driften av økonomisystemet Agresso. Bakgrunnen for dette var en helhetlig vurdering av driftsoppgavene knyttet til applikasjonen og et behov for stor fleksibilitet i planlagte fremtidige utviklingstiltak på dette systemet. Det har i hele 2014 pågått et arbeid med tilrettelegging for felles ELEV-nett for de 3 kommunene innen samarbeidet (Inderøy, Verran og Steinkjer). Dette arbeidet er delt inn i fire prosjekter; Infrastruktur, Active Directory, Tanking av maskiner og Skoleportal. Steinkjer kommune er direkte involvert i alle de fire prosjektene. Både med avtalegrunnlag og teknisk tilrettelegging er det forberedt for at Verran og Inderøy kan ta ut løsninger helt eller delvis på lik linje med Steinkjer. Arbeid med organisering Inn-Trøndelag IKT har gjennom 2014 jobbet kontinuerlig med å tilpasse sin interne organisering med mål om å utnytte personalressursene og å tilpasse kompetansen til kommunenes behov. Enheten har gjennomført fire workshops for arbeid med egen organisering gjennom dette året. Tema som har vært berørt er arbeidsmiljø, ledelse, prosjektstyring, helpdesk, driftsrutiner og fagapplikasjonsansvar. I tillegg har organisering gjentatte ganger vært tema under enhetens ukentlige driftsstatusmøter. Administrativt styre Det har vært avholdt 4 møter i administrativt styre for Inn-Trøndelag IKT i 2014, og 17 saker er behandlet. Sakene som er behandlet er: Godkjenning av regnskap 2013 IKT status pr 01.02.14 IKT investeringer 2014. Forslag til nytt investeringsbudsjett på fellesområdet IKT Inn Trøndelag. Handlingsplan IKT Inn-Trøndelag 2014 basert på vedtatt strategi Utviklingsavtale mellom IKT avdelingen i Nord-Trøndelag fylkeskommune og IKT Inn Trøndelag Revisjon av samarbeidsavtale Regnskapsrapport Budsjettrevisjon 2014 budsjett Regnskapsrapport pr august 2014 Handlingsplan 2014 Omdisponering av investeringsmidler Budsjett 2015 Investeringsbudsjett 2015 Databehandleravtale med Inderøy og Verran Informasjons- og datasikkerhet – felles styringsdokumenter i Inn-Trøndelagsamarbeidet Utredning – Snåsa kommune – eventuelt inn som deltager i IKT Inn-Trøndelag Databehandleravtale med Inderøy og Verran Informasjons- og datasikkerhet – felles styringsdokumenter i Inn-Trøndelagsamarbeidet Status lisensportefølje for Inn-Trøndelag per 1.10.2014 Kommentarer til regnskapet for 2014 Regnskapet for Inn-Trøndelag IKT for 2014 gjenspeiler et mindreforbruk på 942 222,- i forhold til revidert budsjett. Hovedtrekkene som ligger til grunn for denne kostnadsreduksjonen er: Lavere kostnad telefoni: Det er grunn til å tro at bruksmønsteret knyttet til telefoni beveger seg i retning av økende bruk av mobil telefoni og synkende bruk av faste linjer. Dette blir utslagsgivende for Inn-Trøndelag IKT sitt driftsregnskap som dekker fasttelefoni for kommunene. Lavere kostnad Radio/samband linjeleie: Det er gjort noen justeringer på sambandsløsninger ut til lokasjoner i 2014. Dette har resultert i en mindre reduksjon i kostnad. Lavere kostnad Møte/kurs-utgifter eksterne: Inn-Trøndelag IKT har i 2014 ikke gjennomført kompetansehevingstiltak ut over deltakelse i leverandørarrangementer med en lav kostnad. Lavere kostnad drift/service-avtaler it/data: Det ble tegnet ny avtale om kjøp av driftstjenester knyttet til maskinvare, infrastruktur og programvare i 2014. Implementeringsfasen for denne avtalen hadde halv kostnad av ordinær pris. På grunn av en utvidet periode med implementering og akseptansetest gis det et utslag mindreforbruk i driftsregnskapet. Lavere kostnad kjøp av konsulent-tjenester: Første halvår 2014 var fagansvarlig nettverksdrift i Inn-Trøndelag IKT i permisjon. Det ble budsjettert for kjøp av tjenester nødvendig for å kompensere dette fraværet. Behovet og leveransekapasiteten til leverandør resulterte en lavere kostnad enn først antatt. Med henblikk på andre fagområder har en styrket intern bemanning i enheten også bidratt til å holde denne kostnaden lavere enn budsjettert. Investeringsregnskap for Inn-Trøndelag IKT 2014 1601 Felles IKT – Serverkapasitet: Regnskapsmessig er tiltaket sammenfallende med revidert budsjett. 1602 Felles IKT – Core switch: Regnskapet viser et merforbruk på kr 101 109,- sett i forhold til revidert budsjett. I sak 14/11 i administrativ styringsgruppe ble det vedtatt en omdisponering av investeringsmidler som dekker inn merforbruket. 1603 Felles IKT – Backup offsite: Det er et lite mindreforbruk på dette prosjektet. Tiltaket videreføres i 2015.02.24 1604 Felles IKT – Fjernnettløsning: Tiltaket har ikke løst ut kostnader i 2014. Mindreforbruket er tilsvarende revidert budsjett, kr 100 000,-. 1605 Felles IKT – Servere og backup: Tiltaket er gjennomført og regnskap viser et mindreforbruk på kr 50 000,- i forhold til revidert budsjett. 1606 Felles IKT – Telefoni: Tiltaket er påbegynt i 2014 og skal videreføres i 2015. Regnskap er viser et mindreforbruk på kr 290 000,- i forhold til revidert budsjett. 1607 Felles IKT – Infrastruktur: Tiltaket ble i hovedsak gjennomført i 2013. 1608 Felles IKT – Virtualisering: Dette tiltaket falt bort som følge av utskiftning av maskinvare i felles datasenter ved årsskiftet 2013/14. I sak 14/11 i administrativ styringsgruppe ble det besluttet å omdisponere midlene til løsning for tanking av klienter. Regnskapet viste et mindreforbruk kr 210 00,- i forhold til revidert budsjett ved årsskifte. Arbeidet videreføres i 2015 og vil pådra kostnader opp til finansieringsrammen. 1609 Felles IKT – Recovery site: Investeringene er gjennomført og regnskap er sammenfallende med revidert budsjett. Tiltaket med fysisk etablering av recovery site videreføres i 2015. 1610 – Felles IKT – Livsløpsvedlikehold servere: Dette tiltaket falt bort som følge av utskiftning av maskinvare i felles datasenter ved årsskiftet 2013/14. I sak 14/11 i administrativ styringsgruppe ble det besluttet å omdisponere midlene til løsning for core switch. 1611 Felles IKT – Oppdatering fagapplikasjoner: Tiltaket er påbegynt og regnskap viser et mindreforbruk på kr 259 000,- i forhold til revidert budsjett ved årsskifte. Tiltaket videreføres i 2015 med blant annet implementering av tjenesten SvarUT. 1612 – Felles IKT – Kjøling/brannsikring: Tiltaket er ikke gjennomført da planlagt tekniske løsning ikke tilfredsstilte funksjonelle krav. Det blir gjennomført ny kartlegging og anskaffelse i 2015. 1613 Felles IKT – Lokal serverutvidelse: Tiltaket er gjennomført og regnskap er viser et lite mindreforbruk sett i forhold til revidert budsjett. 5512 Difi – Felles AD og arbeidsflate IKT: Det har ikke vært aktivitet knyttet til dette tiltaket i 2014. Mindreforbruket viser kr 675 000,- sett i forhold til revidert budsjett. Sak 04/15 Kostnadsfordeling Microsoft TUP på avtale 5654506 for 2013 Forslag til vedtak: Det utføres en ny kostnadsfordeling på grunnlag av eierskap til avtalen mellom kommunene Steinkjer og Inderøy. Vedtak: Det utføres en ny kostnadsfordeling på grunnlag av eierskap til avtalen mellom kommunene Steinkjer og Inderøy. Utgiften innarbeides regnskapet inneværende år. Saksfremstilling: Det vises til protokoll fra møtet i administrativ styringsgruppe for Inn-Trøndelag IKT 14.02.2014. Under eventuelt ble det etterspurt en oppstilling i forhold til lisenser. Saken ble tatt opp på nytt i møtet i administrativ styringsgruppe 24.11.2014. Bakgrunnen for spørsmålet fra styringsgruppen var knyttet til usikkerhet omkring kostnadsfordeling mellom kommunene i forbindelse med True UP på Microsoft Enterprise avtale nr 5654506. Denne kostnaden utgjorde et merforbruk på enhetens driftsbudsjett for 2013 på kr 966 286,-. Som riktig påpekt fra rådmann i Verran var dette på dette tidspunktet en avtale inngått for Steinkjer og Inderøy kommuner. Kostnaden kom som følge av en bruksendring i perioden oktober 2012 – oktober 2013. Lisensporteføljen til Verran ble tatt inn i samme Enterprise avtale fra 1.10.2013. En mindre andel av denne kostnaden er knyttet til serverprodukter og er benyttet til felles driftsoppgaver for kommunene Inderøy, Verran og Steinkjer. Dette utgjør kr 63 259,- av den totale kostnaden. Kostnadsoppsett for Microsoft TUP for avtale 56554506 i lisensperioden 2012-2013 Sak 05/15 IKT Kostnads- og modenhetsanalyse Forslag til vedtak: Det gjennomføres en kostnads- og modenhetsanalyse av Inn-Trøndelag IKT gjennom oppdrag levert av PA Consulting Group i samarbeid med KS KommIT. Kostnadene innarbeides i enhetens budsjett. Vedtak: Det gjennomføres en kostnads- og modenhetsanalyse av Inn-Trøndelag IKT gjennom oppdrag levert av PA Consulting Group i samarbeid med KS KommIT. Kostnadene innarbeides i enhetens budsjett. Saksfremstilling: Det er behov for å legge et godt grunnlag for videre strategiarbeid for Inn-Trøndelag IKT. Enheten står sammen med kommunene ovenfor en utfordring i å harmonisere strategi og tiltak på en slik måte at gevinster av tiltakene realiseres på best mulig måte. I dette ligger også et grunnleggende arbeid i å legge til rette for fremtidig organisering av IKT-funksjonen for kommunene. PA Consulting Group har utarbeidet en metode for kostnads- og modenhetsanalyse for kommunesektoren sammen med KS KommIT. Denne metoden er benyttet for analyse av mer enn 60 kommuner til nå, blant annet i Værnesregionen som er en av Inn-Trøndelags samarbeidspartnere i flere anskaffelser og prosjekter og som er dialogpartner i arbeidet med strategi.