5.1.1 Vilkår og betingelser
Alle medarbeidere i virksomheten skal kontinuerlig læres opp i krav om ivaretakelse av taushetsplikten, informasjonssikkerheten og personvernet. Dette bør inkluderes i arbeidsavtalen eller avtales skriftlig på annen måte.
Virksomheten skal innhente taushetserklæring for den enkelte medarbeider.
Virksomheten bør utarbeide en instruks for informasjonssikkerhet og personvern som omfatter de vesentlige kravene.
Virksomheten skal ha retningslinjer for privat bruk av informasjonssystemer og utstyr.
5.1.2 Opplæring og kompetanse
Virksomheten skal etablere tiltak som sørger for at alle som gis tilgang til informasjonssystemer og tilhørende informasjon, har tilstrekkelig kompetanse til å benytte systemene og til å ivareta informasjonssikkerheten og personvernet til den registrerte.
Kompetansebygging skal være kontinuerlig og tilpasset ulike roller og brukergrupper. Det bør følges opp at opplæringstiltakene gir ønsket effekt. Gjennomført opplæring og vurdering av effekt bør dokumenteres. Nye opplæringstiltak skal vurderes ved teknologiske endringer eller endring i rutiner.
Virksomheten bør ha en oppdatert oversikt over medarbeideres kompetanse og behov for opplæring.
5.1.3 Opphør av arbeidsforhold
Når et arbeidsforhold opphører, skal alle medier (herunder digitalt, papir, osv.) som kan inneholde helse- og personopplysninger, leveres tilbake. Adgangskort skal leveres tilbake og deaktiveres.
All tilgang skal sperres.
Virksomheten skal ha rutiner for å rydde opp i informasjon den ansatte kan ha lagret på egen brukerkonto.
Virksomheten bør gjennomføre tiltak for å gjøre medarbeideren oppmerksom på at taushetsplikten gjelder etter at arbeidsforholdet er opphørt.
