Rutin för distansarbete
Antagen av kommundirektör 2020-04-14
Innehållsförteckning
1 Att arbeta på distans
Nedanstående rutiner gäller för Vara kommuns medarbetare vid arbete på distans.
1.1 Fysisk och social arbetsmiljö
Arbetsgivaren har även vid distansarbete ansvar för att arbetstagarens arbetsmiljö är säker och inte skapar ohälsa. Det gäller att tänka på till exempel arbetsutrustning, belysning och ergonomi. Vid hemarbete/distansarbete finns också risk för en upplevelse av isolering och det är därför viktigt att underlätta kommunikationen mellan medarbetarna och chef. Till exempel kan APT och andra möten ske genom digitala kanaler. Att arrangera ”Skypefika” kan också vara ett sätt att ha bredare kontakt med kollegor. Chef och medarbetare behöver kontinuerligt stämma av om hur man på bästa sätt säkerställer en god arbetsmiljö. Om man inte kan ordna en lika bra sittplats i hemmet kan tätare pauser för att röra på sig var en åtgärd. Omfattningen av vilka åtgärder som arbetsgivaren behöver vidta vid hemarbete/distansarbete beror på hur ofta, hur länge och hur intensivt arbetet utförs. Samverka med skyddsombuden kring frågor som rör arbetsmiljön.
Om hemarbetet kommer att pågå under en längre period och ni upplever problem med den fysiska arbetsmiljön måste medarbetaren signalera detta till ansvarig chef för en framkomlig lösning.
1.2 Den anställdes tillgänglighet
Distansarbete får inte innebära att kravet på en effektivt bedriven verksamhet eftersätts eller att fullgörande av skyldigheter mot medborgarna försvåras. Medarbetaren förväntas vara tillgänglig under samma tider och i samma omfattning som vid arbete på ordinarie arbetsplats. Det innebär att vara uppkopplad och nåbar via mobil, mail och Skype.
1.3 Informationssäkerhet
Inom vissa verksamheter råder sekretess. Bestämmelser om sekretess finns i offentlighet- och sekretesslag samt offentlighet och sekretessförordning. De problem som uppstår vid arbete i bostaden med sekretessbelagt material är därför främst en praktisk fråga som bör hanteras utifrån verksamhetens förutsättningar. Andra aspekter som måste tas hänsyn till vid distansarbete är offentlighetsprincipen, diarieföring, transport och förvaring av handlingar.
Läs mer under rubriken 2.0 Digitala säkerhetsrutiner vid distansarbete.
1.4 Försäkring
Vid hemarbete gäller arbetsskadeförsäkringen (TFA-KL). Det föreligger dock ett något svagare skydd än vid skador som sker på arbetsplatsen. Skälet till det är att arbetsgivaren inte har något inflytande på eventuella skaderisker i arbetstagarens hem eller på annan plats.
Till skillnad från arbete på arbetsplatsen krävs att olycksfallet har ett direkt samband med det arbete som ska utföras. Med det menas att medarbetaren har skadat sig i samband med att hen utför sina arbetsuppgifter. Om medarbetaren till exempel skadar sig när hen kokar kaffe i köket räknas det inte som ett arbetsolycksfall, även om det sker under fastställd arbetstid.
2 Digitala säkerhetsrutiner vid distansarbete
Alla medarbetare har en skyldighet att följa dessa rutiner för att säkerställa att arbetet sker med tillräckligt hög grad av informationssäkerhet.
2.1 Insynsskydd
Vid arbete på dator eller läsplatta, se till att placera dig så att inga obehöriga kan läsa information på skärmen. Arbete med känslig eller sekretessbelagd information får inte ske i publika miljöer, och sådant arbete ställer ännu högre krav på att den valda arbetsplatsen är insynsskyddad.
Telefon- och Skypesamtal bör genomföras utan att någon annan kan höra vad som sägs. Intern information ska hållas inom arbetsplatsen, det är bara öppen information som får kommuniceras hörbart utanför arbetsplatsen. Samtal om känslig eller sekretessbelagd information får enbart ske i stängda utrymmen, och man ska även försäkra sig om att samtalet inte hörs i intilliggande rum.
Känslig eller sekretessbelagd information får inte skickas med e-post.
Mobila enheter får inte lämnas utan uppsikt i publika miljöer. Lås alltid enheter med skärm- eller tangentbordslås när du lämnar dem utan uppsikt i byggnader där andra befinner sig, även om det inte är en publik miljö.
Använd inte privat utrustning för att lösa ditt arbete inom kommunen.
2.2 Lagring och uppkoppling
Lagra alltid informationen på kommunens servrar (på P: eller i verksamhets- eller ärendehanteringssystem), inte på lokal hårddisk och inte på moln-/internetbaserade lagringstjänster som inte är godkända av kommunen. USBminnen och datorns C: ska endast användas för tillfällig lagring, exempelvis om datorn tappar kopplingen till kommunens nätverk. Om du måste spara ner information på datorn, överför den till P: eller verksamhetssystem så snart som möjligt!
Spara bara information på USB-enhet som kommunen lämnat ut. Använd inte kommunens utlämnade USB-enheter i andra enheter än i kommunens.
Iaktta stor försiktighet vid anslutning till öppna trådlösa nätverk. Det är lätt för obehöriga att läsa av trafiken.
2.3 Incidenter
Vid incidenter där information kan ha kommit i orätta händer, felaktigt raderats eller förvanskats ska närmsta chef kontaktas. Vid en IT-incident ska även Göliskas helpdesk kontaktas: servicedesk@goliskait.se
Ifall incidenten berör personuppgifter ska rutinen gällande personuppgiftsincidenter följas, se avsnitt 2.7.
2.4 Guide inför digitala möten utifrån ett informationssäkerhetsperspektiv
Villkor för säker Skype-användning
- Alla mötesdeltagare måste använda Skype for business från Göliska IT. Det är en version som kräver licens och som finns installerad på alla kommunens datorer, förtroendevaldas surfplattor och i vissa fall
även på smartphones. - Alla mötesdeltagare måste logga in med sitt kommunala användarkonto.
Om ovanstående två krav är uppfyllda spelar det ingen roll varifrån man deltar i mötet. Mötet är säkert även när man befinner sig utanför arbetsplatsen och de kommunala nätverken. En rekommendation är ändå att använda den utrustning som kommunen tillhandahåller.
I övrigt ska man tänka på att agera som i ett vanligt fysiskt möte, d v s:
- spela inte in mötet,
- säkerställ att endast behöriga mötesdeltagare finns med i mötet och att dessa får ta del av den information som är tänkt att avhandlas,
- säkerställ att ingen obehörig kan höra eller se information i mötet utan att vara med via Skype.
Den här guiden syftar till att medarbetare och politiker ska kunna hantera verksamhetens information korrekt i digitala möten. Guiden är framtagen av V6-kommunernas informationssäkerhetssamordnare och i samråd med säkerhetssamordnare från Räddningstjänsten Västra Skaraborg samt Göliska IT. Guiden kommer att kompletteras och uppdateras varför utskrifter riskerar att bli gamla och ofullständiga. Det finns flertalet verktyg för distansarbete som klarar av chatt, videosamtal, distansmöten etc. Inom V6 ska Skype for business användas eftersom det är säkert och supporterat av
Göliska IT.
Skype for business
Framtagningen av guiden har enbart utgått ifrån de tekniska kraven och konfidentialitetsaspekten av informationssäkerhet. Analysen av detta klargör att information som hanteras i ljud och bild via Skype tekniskt sett inte kan avlyssnas av obehöriga. Generellt gäller att:
- Skype har en hög teknisk säkerhetsnivå förutsatt att vissa villkor är uppfyllda och lever då upp till kravnivå 3 som är den högsta skyddsnivån enligt SKR:s KLASSA-metod. Se Villkor för Skypeanvändning längre ner på sidan.
- Om villkoren för säker Skype-användning är uppfyllda kan Skype användas för alla möten och för hantering av all information. Undantag från detta är:
- Möten med information som rör Sveriges säkerhet, då ska Skype ALDRIG användas. Kommunens säkerhetssamordnare ger ut instruktion om vad som gäller.
- Om det finns lagar som ställer särskilda krav. Respektive verksamhet förväntas då känna till och följa dessa. Följ SKR:s råd vid digitala möten, se nedan. Exempelvis anger författningssamlingen HSLF-FS
att verksamhet som lyder under denna har krav på stark autentisering (tvåfaktorsinloggning eller motsvarande) vilket Skype i sig inte har. Det kan alltså finnas mötesdeltagare som anslutit till mötet utan stark autentisering.
2.5 Deltagande i digitala möten via andra verktyg än Skype
Det finns ett flertal andra lösningar än Skype för digitala möten. För dessa kan vi inte uttala oss om säkerheten vilket innebär att särskild försiktighet måste iakttas. Då medarbetare får mötesinbjudningar från externa parter via andra verktyg än Skype bör man först undersöka möjligheten att byta plattform till Skype. Ifall detta inte är möjligt måste den enskilde medarbetaren tillsammans med sin chef/informationsägare göra en bedömning i varje fall angående vilken information som kan kommuniceras eller om deltagande överhuvudtaget är aktuellt. I svårbedömda fall ska förvaltningens IT-samordnare kontaktas, dessa är:
- FUS: Jonas Dahlin
- Socialförvaltningen: Bittan Börjesson
- Bildningsförvaltningen: Hannes Berggren
- Tekniska förvaltningen: Maria Carlsson Torp
- Miljö- och byggnadsförvaltningen: Mathias Hultberg
2.6 SKR:s råd vid digitala möten
- Gör alltid en bedömning om mötet ska genomföras fysiskt eller digitalt. Bedömningen ska göras utifrån mötes innehåll, deltagare och individens behov. Skyddsbedömningar gällande barn ska till exempel inte ske digitalt.
- Tänk över hur den enskilde ska identifiera sig (till exempel genom att visa upp sin legitimation i bild vid nybesök).
- Ta hänsyn till integritet, sekretess och säkerhetsfrågor.
- Se till att medarbetare som arbetar hemifrån ansluter sig till kommunens VPN, och att de säkerställer att miljön de sitter i tar hänsyn till integritet och sekretess.
- Dela aldrig dokument med känsliga personuppgifter via appar eller i chattfunktioner, varken med den enskilde eller andra aktörer.
2.7 Personuppgiftsincident
En personuppgiftsincident enligt dataskyddsförordningen är en händelse som leder till att personuppgifter kommer i orätta händer, förloras eller uppdateras felaktigt.
Gör så här
Den som upptäcker incidenten ska informera närmaste chef. Informera och samråd även med dataskyddsombudet. Nås via 0510-77 12 50 eller via e-post v6dataskyddsombud@goliskait.se.
Anmälan görs på datainspektionens blankett, följ instruktionerna på Datainspektionens hemsida Länk till annan webbplats..
- Gör först en bedömning om den enskildes fri- eller rättigheter riskerar att inskränkas. Allvarligt är till exempel att enskilda förlorar kontrollen över sina uppgifter eller att deras rättigheter inskränks, att man utsätts för diskriminering, identitetsstöld eller bedrägeri, finansiell förlust, skadlig ryktesspridning samt brott mot sekretess eller tystnadsplikt. Om så är fallet ska incidenten anmälas till Datainspektionen. En kopia av anmälan ska läggas in i ärendehanteringssystemet.
- Beömer man att incidenten inte behöver rapporteras till Datinspektionen ska blanketten ändå fyllas i och läggas in i äredehanteringssystemet, bedöm om den ska markeras med sekretess.
Anmälan till datainspektionen ska göras inom 72 timmar efter att incidenten har upptäckts. Om alla uppgifter inte finns framme inom den tiden ska man ändå skicka in anmälan. Komplettera sedan med de saknade uppgifterna.
Oavsett om incidenten anmäls till Datainspektionen eller inte ska man genomföra åtgärder som minimerar skadan. Genomför också åtgärder så att liknande incidenter inte inträffar igen.
Samla all dokumentation i ärendehanteringssystemet för senare uppföljning.
Kontaktcenter
Vi svarar på frågor om kommunens service och verksamhet, ring eller skicka e-post till kontaktcenter.