All informasjon om Hitra kommunes håndtering av informasjonssikkerhet finnes i kommunens internkontrollsystem, COMPILO.

Sikkerhetsorganisasjon
Hitra kommunes sikkerhetsorganisasjon er utarbeidet i samsvar med Personopplysningsforskriftens § 2-7, Organisering.

• Kommunedirektør (behandlingsansvarlig)
  Kommunedirektøren har det overordnede ansvar for informasjonssikkerheten i Hitra kommune.  Kommunedirektøren er behandlingsansvarlig, og formelt og rettslig ansvarlig for informasjonssikkerhet og personvern i Hitra kommune. Behandlingsansvarlig skal sørge for at kommunen har tilfredsstillende informasjonssikkerhet og at all behandling av personopplysninger følger Personopplysningsloven, Personopplysningsforskriften og veiledninger gitt av Datatilsynet. Det samme gjelder for den informasjon som behandles på vegne av kommunen hos eksterne databehandlere.

• Kommunedirektøren kan delegere det daglige ansvaret til andre, men hovedansvaret ligger hos denne selv.

  Kommunedirektøren er ansvarlig for at opplæring gjennomføres og at det avsettes tilstrekkelige ressurser, både personalmessig og økonomisk, slik at tilfredsstillende informasjonssikkerhet oppnås.

  Ansvar og oppgaver for behandlingsansvarlig:

  • Fastsette krav til sikkerhetsnivå for informasjonsbehandlingen i kommunen.
  • Se til at kommunen gjennomfører nødvendige sikkerhetstiltak i overensstemmelse med overordnede krav og retningslinjer.
  • Se til at informasjonssikkerheten er entydig definert og at forholdene er lagt til rette for gjennomføring både gjennom organisering, økonomiske og menneskelige ressurser.
  • Lage mål og strategier for kommunens personvern og informasjonssikkerhetsarbeid.
  • Gjennomfører ledelsens årlige gjennomgang av informasjonssikkerheten og delta i årlig sikkerhetsrevisjoner.
  • Informasjonssikkerhetsansvarlig
    Informasjonssikkerhetsansvarlig skal bistå behandlingsansvarlig og daglig behandlingsansvarlige i deres daglige arbeide. Vedkommende skal bl.a:
    • føre fortegnelse over alle behandlinger og sørge for at disse er offentlig tilgjengelig.
    • sørge for at alle behandlinger inneholder korrekte og tilstrekkelige opplysninger
    • påpeke brudd på personopplysningsloven overfor behandlingsansvarlige
    • bistå den registrerte i bl.a. risikovurdering, avvikshåndtering, rutinebehov mv.
    • gjennomføre interne tilsyn.
    • gi råd og veiledning til behandlingsansvarlig om behandling av personopplysninger og regler for dette.
    • tilrettelegge for egenkontroller.
    • gjennomføre sikkerhetsrevisjoner i samarbeide med enhetene/avdelingene.
    • tilrettelegge for ledelsens årlige gjennomgang, herunder faglige råd i forhold til trusselbilde, lovgivning, risikovurdering, revisjoner, prosedyrer, avviksstatistikk osv.
    • Sørge for at informasjonsplikt, innsynsrett og den registrertes rettigheter er informert.
      Det er utarbeidet egen instruks for funksjonen
    • Daglig behandlingsansvarlig
      Daglig behandlingsansvarlig har ansvar for at informasjonssikkerheten blir ivaretatt i egen enhet/avdeling etter Personopplysningsloven, Personopplysningsforskriften, Datatilsynets retningslinjer og veiledninger, kommunens informasjonssikkerhetsmål og strategi, prosedyrer og rutiner, samt etter forvaltningsloven, offentlighetsloven og evt. særlover. Dette betyr bl.a.;
      daglig behandlingsansvarlig har det løpende ansvar for at kravet om konfidensialitet, integritet og tilgjengelighet til enhver tid er ivaretatt. Daglig behandlingsansvarlig skal også definere og validere brukertilganger og rettigheter til enhetens applikasjoner, samt gjennomføre risikovurdering før behandling av helse- og personopplysninger startes, og ved endringer av behandlinger som kan påvirke sikkerheten. Vedkommende har også ansvar for at avvik som meldes i avviksmodulen i Kvalitetslosen blir behandlet.
      Daglig behandlingsansvarlig har ansvar for, hvert 3. år, eller ved endringer, å melde alle behandlinger av helse- og personopplysninger til informasjonssikkerhetsansvarlig som igjen melder til Datatilsynet.
      Daglig behandlingsansvarlig har ansvar for å påse at den informasjon som behandles i egne fagapplikasjoner er hjemlet i lov eller forskrift og at behandlingen er i samsvar med Personvernlovgivningen.
      Daglig behandlingsansvarlig kan delegere ansvaret for den daglige ivaretakelse av sikkerheten for enheten til delegert daglig behandlingsansvarlig.
      Det er utarbeidet egen instruks for funksjonen.
    • Delegert daglig behandlingsansvarlig
      Delegert daglig behandlingsansvarlig utøver sin funksjon på vegne av daglig behandlingsansvarlig.
      Det er utarbeidet egen instruks for funksjonen.
    • Systemansvarlig
      Systemansvarlig er den som daglig behandlingsansvarlig delegerer ansvaret til for oppfølging av, og daglig drift av fagprogram. Det skal utpekes fagansvarlig for hvert fagsystem.
      Det er utarbeidet egen instruks for funksjonen.
    • Arkivansvarlig
      Arkivansvarlig har et overordnet faglig ansvar for Hitra kommunes samlede arkivtjeneste, for arkivdanningen og for bevaringen av arkivmateriale. Arkivansvarlig skal påse at arkivvirksomheten er i samsvar med gjeldende lover og reglement og at arbeidsoppgavene utføres på en rasjonell og effektiv måte slik at brukerne får den service og de tjenester de har krav på. Arkivansvarlig skal rapportere til nærmeste overordnede, og har plikt til å påpeke mangler og feil og påse at disse blir rettet opp. Arkivansvarlig skal være representert i utvalg som behandler saker av betydning for virksomhetenes dokumenttjeneste og arkivvirksomhet, og skal avgi uttalelser i saker som angår arbeidsområdet.
      Det er utarbeidet egen instruks for funksjonen.
    • IKT-driftsansvarlig
      IKT-driftsansvarlig har ansvar for teknisk drift av hele dataanlegget og alle informasjonssystemene i kommunen. Dette innebærer også hovedansvar for installasjoner, endringer og oppsett i kommunenettverket, og for tekniske sikkerhetstiltak.
      IKT-driftsansvarlig har ansvar for å sikre dataanlegget og selve driften av de elektroniske informasjonssystemene. Herunder ansvar for systemtekniske sikkerhetstiltak, dokumentasjon, konfigurasjonsoversikt mv. 
    • Ansatt
      Kommunens ansatte har et selvstendig ansvar for å ivareta høy grad av personvern/ informasjonssikkerhet. Det betyr at den enkelte bruker skal kjenne kommunens mål og strategier samt fastlagte prosedyrer som gjelder for bruk av ulike deler av informasjonssikkerheten. Herunder å gjennomføre sikkerhetstiltak som brukeren selv er ansvarlig for å utføre, og rapportere hvis en uønsket hendelse oppstår.