Droppe til innhold

Mitt arbeidsforhold

Mitt arbeidsforhold

Helse, miljø og sikkerhet / Sikkerhet / Personvern / Personvernerklæring

Sikring av personopplysninger i IT-logg

Redegjørelse for hvordan HiOA behandler personopplysninger i logger fra IT-systemer.

Hjemmelsgrunnlaget for behandling av personopplysninger i logger er, personopplysningsforskriftens §§ 2-8, 2-14 og 7-11, samt personopplysningslovens § 8 f).

Formålet med å logge aktiviteten i IT-systemer er å administrere systemet, sikre stabil drift og avdekke og oppklare uønskede hendelser.

Loggene er kategorisert som:

  • driftslogger - logger som normalt lages i HiOAs eller samarbeidspartneres IT-systemer og er utelukkende av teknisk interesse
  • sikkerhetslogger - logger basert på driftsloggene, men som inneholder data som identifiserer personer, kontoer eller enheter, og sammenstiller disse for å gi et bilde at hva som er gjort av personen, brukerkontoen eller enheten

HiOA har alminnelige sikkerhetslogger i sine IT-systemer. Det betyr at det meste av aktivitetene som brukere av systemene foretar seg etterlater elektroniske spor. Eksempler på slike elektroniske spor er; brukernavn, maskinadresse, nett-trafikk, tilkoblingstidspunkt, brukeraktivitet etc..

Der adgangskort benyttes for utskriftsløsningen logges det når og hvor kortet brukes. Telefonsentralen vil logge hvem som ringer, til hvilke nummer og tidspunktet for dette.

Personopplysningene gis fra den enkelte ansatte i forbindelse med innleggelse av, for eksempel navn og fødselsnummer i HiOAs øvrige systemer (Lønn, Personal, HR, adgangskort etc.).

Opplysningene eksisterer i loggene som en del av en større teknisk loggaktivitet. De hentes fra en rekke systemer hvor sentrale maskiner sikrer pålitelig trafikk mellom bruker og systemene.

Loggene utleveres i utgangspunktet ikke til andre, da de er ment som tekniske driftslogger for å sikre stabil drift. De kan utleveres til politi eller påtalemyndighet på grunnlag av rettslig kjennelse. Høgskoledirektøren kan be om å få logger utlevert iht. Personopplysnings-forskriften § 7- 11, jf. § 9-2 (2).

Driftsloggene slettes i ulike intervaller alt ettersom hvilke «oppgaver» maskinene har. Normalt vil loggene slettes på halvårlig basis, men det forekommer at man tar vare på logger i lengre tid, for eksempel for å se utviklingstrekk i bruk av IT-systemer.

Sikkerhetsloggene slettes etter bruk.

Sikkerhetslogger og driftslogger er kun tilgjengelige for dem på IT-avdelingen med administrator-rettigheter og som i tillegg kan identifiseres med personlig bruker. Samtlige på IT-avdelingen har underskrevet taushetserklæring.

Det er etablert en policy for hvordan logger skal håndteres på IT-avdelingen.

IT-direktøren er delegert det daglige ansvaret for behandling av loggene fra IT-systemene som driftes av HiOA. Det innebærer å sørge for at det er utarbeidet nødvendige rutiner for blant annet å sikre konfidensialitet, kvalitet og at opplysningene ikke lagres lengre enn nødvendig samt sikre at det tilbys nødvendig forutsigbarhet i hvordan opplysningene håndteres.

Kontakt