RETNINGSLINJER FOR BRUK AV SELSKAPETS DATAUTSTYR

RETNINGSLINJER FOR BRUK AVSELSKAPETS DATAUTSTYRDisse retningslinjer inneholder bl.a.:• Regler for bruk av datautstyr tilhørendearbeidsgiver• Sikkerhetspolicy• Lagring og oppbevaring av dokumenter påkontorets datautstyr• Arbeidsgivers rett til innsyn i e-post og privatedataområder• Bruk av Internet• Arbeidsgivers rett til overvåking av nett-trafikkRetningslinjene gjelder i tillegg til alminneligekvalitetsrutiner for dokument- og e-postbehandling,samt alminnelige sikkerhetsinstrukser i Norsk Stål AS.

1. BAKGRUNN OG HOVEDPRINSIPPERInstruksen gjelder all bruk av arbeidsgiversdatautstyr, nettverk og systemer/applikasjoner,inkludert oppkobling mot nettverk frahjemmemaskiner, bærbare maskiner, evt.mobiltelefoner og PDA-utstyr.Datautstyr, nettverk m.v. er selskapets eiendom ogskal primært benyttes for å utføre arbeidsoppgaverknyttet til selskapets virksomhet. Arbeidsgiver haranledning til å begrense og regulere enhver privatbruk av utstyret. (se pkt 2).Arbeidsgiver forbeholder seg retten til å overvåkeall nettverkstrafikk over arbeidsgivers servere ogdatalinjer, både på kollektiv og individuell basis. Allfillagring som skjer på arbeidsgivers servere – ellerservere som er stillet til disposisjon i henhold tilASP-avtale – er gjenstand for kontinuerlige back-uprutiner og arbeidsgiver har i prinsippet adgang til ågjøre seg kjent med alt innhold lagret på servere og iback-up systemer.2. PRIVAT BRUK AV DATAUTSTYRAlt datautstyr, inklusive nettverk, forutsettes bruktsom arbeidsverktøy i det daglige arbeid. I begrensetutstrekning kan utstyret også brukes til privategjøremål og i et omfang som er forenlig med lojalutførelse av arbeidet. Dette gjelder skriving oglagring av personlige brev og dokumenter, bruk ave-post for private formål, søk på Internett ognedlasting av filer. Bruk av arbeidsgivers datautstyrfor egen næringsvirksomhet kan bare skje medgodkjennelse fra arbeidsgiver.Revidert juni 2013

Ned lasting av større billedfiler, film- ogmusikkfiler, samt radio og telefoni over Internett ogall annen bruk som medfører bruk av stor kapasitetbåde på båndbredde, fillagring og back-up systemerer bare tillatt i nødvendig sammenheng medutførelse av arbeid.Hjemmemaskiner kan brukes til private formål sålenge de benyttes uavhengig av arbeidsgiversservere og nettverk og på tilbørlig måte. Vedoppkobling mot Internett via arbeidsgivers servere,gjelder de samme begrensninger som i de toforegående avsnitt.3. RUTINER FOR PÅLOGGING OG BRUK AVPASSORDAll pålogging på selskapets systemer forutsetterbruk av tildelte individuelle brukernavn ogpersonlige passord. Av sikkerhetshensyn skalpassord holdes hemmelig for alle som ikke harautorisert tilgang til systemet. Utlevering avpersonlig passord til kolleger skal bare skje i denutstrekning det er nødvendig, for eksempel vedfravær fra kontoret eller ved spesielle driftstekniskeforhold.Ved valg av personlige passord og skifte av disse isamsvar med selskapets rutiner, pålegges denenkelte å velge passord som ikke er lettidentifiserbare for uvedkommende (eget navn,fødselsdata etc). Oppbevaring av nedskrevnepassord skal skje på betryggende måte slik disseikke er tilgjengelige for andre.Revidert juni 2013

Dersom man får mistanke om at utenforstående erblitt kjent med passordet, skal dette endres avbrukeren selv snarest , hvis ikke det er mulig vedhenvendelse til driftsansvarlig.For applikasjoner som krever egnebrukernavn/passord gjelder ovenstående regler itillegg til de rutiner som er beskrevet iapplikasjonen, eller pålagt av tjenesteleverandør.Ved avslutning av arbeidsdagen, eller dersomarbeidsplassen forlates for lengre tid, skal brukerlogge ut av alle systemer og eventuelt også slå avmaskinen.Ved arbeid fra hjemmekontor eller fra bærbaremaskiner fra andre steder, gjelder de sammesikkerhetsregler. Det er ikke tillatt å la andre – hellerikke familiemedlemmer – få tilgang til selskapetsservere.4. LAGRING AV ELEKTRONISKE DOKUMENTERElektroniske dokumenter som er relatert til arbeidet,skal i størst mulig utstrekning lagres påfellesområder i samsvar med selskapets rutiner slikat de er gjenfinnbare for alle saksbehandlere.(Unntatt er dokumenter som er konfidensielle ogsom lagres på områder med begrenset tilgang).Dokumenter som er saks- og kunderelatert oginneholder informasjon av betydning for arbeid medsaken, skal også alltid lagres i papirutskrift isaksmappe. Slike dokumenter skal uansettlagringsmedium (papir, diskett, CD) oppbevaresbetryggende slik at kunderelaterte opplysningerbehandles med tilstrekkelig sikkerhet ogkonfidensialitet.Revidert juni 2013

5. PRIVATE FILER – LAGRING – ARBEIDSGIVERSTILGANGArbeidsgiver kan anvise særskilte lagringsområderfor private filer. Dersom slike områder ikke eranvist, bør arbeidstaker allikevel sørge for å skille utprivate datafiler i egne mapper/områder som ertydelig merket privat.Arbeidsgiver har normalt ikke tilgang til privatelagringsområder. Bare i situasjoner der det erberettiget grunn til å regne med at privatelagringsområder er benyttet til arbeidsrelatertedokumenter, eller det foreligger begrunnet mistankeom brudd på norsk lov, illojal opptreden i forhold tilarbeidsgiver eller grove brudd på interneretningslinjer for bruk av datautstyret, vilarbeidsgiver kunne åpne private lagringsområder.Nærmere vilkår og regler for arbeidsgivers innsyn iprivate lagringsområder er tatt inn i pkt 7 nedenfor.Alle brukere er ansvarlig for å holde orden på sinetildelte filområder med hensyn til lagringsstruktur,rydding og eventuell fjerning av uaktuelle privatefiler.6. SPESIELT OM E-POSTMedarbeiderne har anledning til å benytte tildelt e-post adresse også for private formål i begrensetutstrekning. I egen interesse bør alle ved sending ogmottak av privat e-post som ønskes lagret, snarestoverføre disse til mapper som merkes privat.Revidert juni 2013

Det er ikke tillatt å benytte arbeidsgivers e-postsystem til materiale som er ulovlig etter norsk lov,eller er støtende basert på alminnelige akseptertenormer. Kjedebrev tillates ikke distribuert viaarbeidsgivers utstyr.E-post som er relatert til selskapets virksomhet ogsom inneholder informasjon av betydning, skalskrives ut og lagres i papirversjon i saksmappe.Videre skal slik e-post også lagres slik atinformasjonen er tilgjengelig for andremedarbeidere.Arbeidsgiver har normalt ikke tilgang til eller rett tilinnsyn i den enkelte medarbeiders e-postboks, påandre vilkår enn de som følger avpersonopplysningsforskriftens § 9-2. Disse vilkår erinntatt i pkt 7 nedenfor.Ved virusangrep eller andre nødvendige tekniskeårsaker som ikke kan vente, kan arbeidsgiver ellerden han bemyndiger gå inn i den enkeltemedarbeiders e-postboks uten varsel ellergodkjennelse. Arbeidstager skal i så fall underrettesom dette snarest.Alle ansatte pålegges å rydde i sine e-post-mapperslik at ikke e-post lagres unødig over lengre tid, avhensyn til systemets kapasitet. Ved rydding påhvilerdet den enkelte å sørge for at nødvendig utskrift ogarkivering er gjennomført, kfr tredje avsnitt ovenfor.Arbeidsgiver kan gi nærmere instrukser om rutinerfor slik opprydning.Konfidensiell og sensitiv informasjon bør normaltikke sendes som e-post.Alle medarbeidere pålegges å bruke systemetsfraværsmarkering ved fravær som strekker seg overmer enn en kontordag.Revidert juni 2013

Intern distribusjon av større filer (bilder, video m.m)– som ikke er nødvendig for å gi nødvendiginformasjon til andre medarbeidere bør unngås. Slikdistribusjon bør skje over Intranettet med pekere tilinternt lagringsområde. Likeledes bør post til ”alle”bare benyttes når det anses nødvendig å gi rask ognødvendig informasjon - vedlegg bør unngås ved atman heller legger opp en peker til riktig filområde.Referater fra fellesmøter, prosjektmøter o.l. leggespå relevant prosjektområde med opplysning om atdet er tilgjengelig, enten pr e-post eller viaIntranettet.Ved opphør av arbeidsforholdet, skal det gjøresavtale med den ansatte om avslutning av data- og e-postbruk. Arbeidstakers e-postkasse skal avsluttesog innhold som ikke er nødvendig forvirksomhetens daglige drift, skal slettes innenrimelig tid. Tilsvarende gjelder eventuelle privatelagringsområder på virksomhetens datautstyr.7. VILKÅR OG PROSEDYRER VED INNSYN I E-POSTKASSER OG LAGRINGSOMRÅDERArbeidsgiver har bare rett til å gjennomsøke, åpneeller lese e-post i arbeidstakers e-postkassea) når det er nødvendig for å ivareta den dagligedriften eller andre berettigede interesser vedvirksomheten,b) ved begrunnet mistanke om at arbeidstakers brukav e-postkassen medfører grovt brudd på de pliktersom følger av arbeidsforholdet, eller kan gi grunnlagfor oppsigelse eller avskjed.Dersom arbeidsgiver ønsker å gjennomføre innsynetter dette punkt, kan bruker midlertidig utestengesfra datasystemet og de aktuelle områder hvor innsynvurderes foretatt, kopieres.Revidert juni 2013

Arbeidstaker skal så langt som mulig varsles og fåanledning til å uttale seg før arbeidsgivergjennomfører innsyn. I varslet skal arbeidsgiverbegrunne hvorfor vilkårene for innsyn ases å væreoppfylt og orientere om arbeidstakers rettigheter.Arbeidstaker skal så langt som mulig gis anledningtil å være tilstede under gjennomføring av innsynet,og har rett til å la seg bistå av tillitsvalgt eller annenrepresentant.Er innsyn foretatt uten forutgående varsel, skalarbeidstaker gis skriftlig underretning om dette såsnart innsynet er gjennomført. Underretningen, skali tillegg til opplysningene nevnt i forrige avsnitt(vilkår og rettigheter), inneholde opplysninger omhvilken metode som ble benyttet, hvilke e-postereller andre dokumenter som ble åpnet samt resultatetav innsynet.8. VIRUSKONTROLL – INSTALLASJON AV EGENPROGRAMVARE M.M.Selskapets datanett er godt beskyttet motvirusangrep. For utstyr som står permanent koblet tilkontornettverket (arbeidsstasjoner og terminaler)behøver den enkelte arbeidstager ikke ta særligeforholdsregler utover å melde fra til driftsansvarligved uregelmessigheter.Hjemmemaskiner og bærbare maskiner som ogsåbrukes utenfor kontoret skal være utstyrt medadekvat og regelmessig oppdatert virusbeskyttelse.Angrep av datavirus på slike maskiner skal meldesumiddelbart, og maskinen frakobles nettet.Revidert juni 2013

Installasjon av egen anskaffet programvare er ikketillatt på maskiner som brukes som permanentearbeidsstasjoner. På hjemmemaskiner kan denenkelte – på eget ansvar – legge inn slikprogramvare forutsatt at maskinen er beskyttet motvirus i henhold til instruks. På bærbare maskinersom benyttes dels som arbeidsstasjoner og dels somhjemmemaskiner bør man konsultere driftsansvarligved egen programinstallasjon, spesielt vedusikkerhet om opprinnelse. AntiVirus programmetmå være oppdatert før installasjon av annenprogramvare.9. BRUK AV INTERNLOGGING – AKTIVITETSLOGGINGDatasystemet er kontinuerlig underlagtaktivitetslogging som kan spores til den enkeltebruker og maskin. Hensikten med disse logger ersystemadministrasjon og sikkerhetskontroll. Ingenpersonopplysninger eller overvåking på personligbasis vil bli foretatt med mindre det foreligger sterkmistanke om ulovlig aktivitet eller systematiskbrudd på sikkerhet.10. BRUK AV PRIVAT UTSTYR – OPPKOBLING MOTANDRE NETTVERKDet er ikke tillatt å bruke privat eller fremmed ITutstyroppkoblet mot arbeidsgivers datasystemereller nettverk uten tillatelse fra driftsansvarlig. Deter heller ikke tillatt å benytte arbeidsgivers utstyr foroppkobling mot andre nettverk uten slik tillatelse.(Revidert juni 2013)Revidert juni 2013