Glemt Passord?

Tilgangstyring og brukarrettar i ePhorte sak/arkiv

Tilgangsstyring og brukarrettar (roller) i ePhorte

For å ha kontroll med typar av saksmapper/dokument i høve til ordningsprinsipp og styring av tilgang til å sjå dokument som er unnateke frå offentleggjering, er det oppretta fleire arkivdelar og tilgangskodar. Rolla/rollene vi vert tildelt er og med å bestemme kva rettar vi har i systemet.

Datatilsynet legg føringar på elektronisk lagring av dokument som inneheld personsensitive opplysingar definert i Personopplysningsloven artikkel 9 og 10. Dokument med denne type innhald må lagrast i sikker sone. Sikker sone krev pålogging i ePhorte. (ikkje omfatta av single sign on) og autorisasjon frå leiar før tilgang og bruk.

Standard roller og rettar i ePhorte

Når ein medarbeidar er registrert i personalsystemet som lønsmottakar, vert det automatisk oppretta brukar for den tilsette i ePhorte (integrasjon mellom HR-systemet, AD  og ePhorte). På same måten vert brukarrettar automatisk sperra i ePhorte, når brukaren vert meldt ut av lønssystemet. Leiarar får rolla leder, medan alle andre tilsette vert tildelt rolla saksbehandler. Brukar får vidare automatisk tilgang til å lage og lese eigne dokument som er unnateke offentleggjering (UO). Brukar får også lese dokument UO som dei får ansvar for som saksbehandlar eller er kopimottakar av i ePhorte.

Det er eit unntak og det gjeld mellombels brukarar av Hordaland fylkeskommune sine digitale system – 99 brukarar. Skal ei slik brukar ha tilgang til ePhorte, må brukar, rolle og autorisasjon opprettast manuelt. Det skal leggast inn sluttdato samstundes med at brukaren opprettast.

Kva ligg bak tildeling av roller og rettar

Hovudregelen er at tenestelege behov - «Need to Know» prinsippet må leggjast til grunn. Dei tilsette må ha verktøyet og tilgangane dei treng for å gjere jobben sin, men skal ikkje sjå meir enn det som er naudsynt av teiepliktig dokumentasjon for å kunne gjere dei tildelte oppgåvene.

Tildeling av rolle

Det er leiar sitt ansvar å gje melding om tildeling av roller utover det som er standard i ePhorte. Det vil vere aktuelt for den einskilde leiar å tildele rolla – AR2 Arkivpersonale til dei merkantilt tilsette/suparbrukarar.  Arkivpersonale gjer oppgåver på vegne av heile eininga i form av brukarstøtte, registrering, kvalitetssikring og endeleg journalføring, og vil av den grunn måtte ha utvida tilgang (sjå alt på eininga) dei utførar oppgåvene for.

Autorisere tilsette for tilgangskoder

Det er leiar sitt ansvar å gje melding om kva tilgangskodetilsettr og på kva nivå medarbeidarane skal vere autorisert.

Når ein tilsett skiftar arbeidsplass internt i organisasjonen må tidlegare leiar melde frå om at autorisasjonar knytt til «gamal» arbeidsplass skal stengast.  Ny leiar må melde inn eventuelt behov for autorisering knytt til ny arbeidsplass/eining.

Arkivdel/saksmapper krev tilgang (intern sone)
Hovudregelen er at saksmapper er offentleg og at vi bruker tilgangsstyring/heimel på det/dei dokumenta i saken som skal vere unnateke frå offentleggjering.

For 2 arkivdelar skal det leggast tilgangsstyring på saksmappenivå grunna ordningsprinsippet, som er fødselsnummer og skal vere haka av for uoff  – dette gjeld:

Arkivdelen PERSM – Personalmappe arkiv – Tilgangskode P
Arkivdelen ELEVM – Elevmappearkiv – Tilgangskode E

Det er også lagt tilgangstyring på saksmappenivå for tilsettingssaker:

Arkivdel TILS – Tilsettingssaker – tilgangskode A

Når ei sak er oppretta med tilgangskode, vert denne arva automatisk til alle journalpostane som vert oppretta i saken.

Tilgang autorisering for brukarar i intern sone (dokument unnateke for offentleggjering)

Det er leiar sitt ansvar å gje tilgang for dei tilsette utover det som er standard og definera kva tilgangskodar dei treng og kor stor del av eininga dei skal ha tilgang til å sjå dokument påført tilgangskoden dei er autorisert for dei skal sjå.

Tilgangskodar:
A = Ansettelsessaker (tilsettingssaker)
E = Elev (elevmapper)
EO = Elevombodet
P = Personalsaker (personalmapper)
UO = Dokument unnateke offentleggjering generelt
V = Varsling – varslingsutvalet og den/dei som får i oppgåve å behandle varslingssak, 2 systemadministratorar ved Dokumentsenteret

Einingsnivå:
Heile fylkeskommunen (alt)
Avdelingsnivå/skule
Seksjonsnivå/avdelingsnivå skule
Kontornivå

Ein brukar som er autoriset for tilgang på eit nivå vil også vere autorisert for eventuelle underliggande nivå, men ikkje overordna nivå eller sideordna nivå/einingar.

Tilgang/autorisering for brukarar i sikker sone (sensitive personopplysningar)

Det er leiar si oppgåve å autorisere personale for tilgang til sikker sone.

Personopplysningar er opplysingar og vurderingar som kan koblast til ein einskild person. I personopplysningsloven er det definert fleire kategoriar av opplysningar som må handsamast særskilt (artikkel 9 og 10):

  • opplysninger om rasemessig eller etnisk opprinnelse
  • opplysninger om politisk oppfatning
  • opplysninger om religion
  • opplysninger om filosofisk overbevisning
  • opplysninger om fagforeningsmedlemskap
  • genetiske opplysninger
  • biometriske opplysninger med det formål å entydig identifisere noen
  • helseopplysninger
  • opplysninger om seksuelle forhold
  • opplysninger om seksuell legning
  • opplysninger om straffedommer
  • opplysninger om lovovertredelser

Dei som skal behandle denne typen opplysningar må ha opplæring i ePhorte web modul og kjenne til Personopplysningslova og prinsippa for å lagre personopplysningar. For dokument vi registrerer og lagrar i ePhorte er det lovpålegget om journalføring og arkivplikt i offentleg forvaltning som ligg til grunn.

For ein arkivdel er det lagt tilgangsstyring på saksmappenivå grunna ordningsprinsippet, som er fødselsnummer – dette gjeld:

Arkivdelen KLM – Klientmappe OT/PPT – Tilgangskode KS (klient sikker sone)

Tilgangskoder:
ES = elevmapper
KS = klientmapper
PS = personalsake (personalmapper)
US = dokument unnateke offentlegheit (saksarkiv)
VS = varsling
Prinsipp for einingsnivå er det same som for intern sone.

Retningsliner for sikker sone

Tilgang til å sjå dokument unnateke offentleggjering for heile fylkeskommunen

Det er systemeigar i samråd med fagansvarleg direktør som tek endeleg avgjerd om kven som skal ha retten til sjå dokument unnateke offentleggjering eller tilgang til sensitive opplysningar for heile fylkeskommunen.

Eksemplar på når det er naudsynt er:

  • Den/dei som har hovudansvar for personaladministrasjon i fylkeskommunen - HR (P, PS)
  • Dei som stellar med elevsakar for heile fylkeskommunen – OPPL, OTPPT, VGS – (E, ES)
  • Den/dei som har overordna ansvar for WebCruiter (tilsettingssaker) – HR (A)
  • Dei på Dokumentsenteret som er med i arkivdanninga/har systemansvar for ePhorte
  • Utvalssekretærane i Fylkessekretariatet som har arkivarrolle knytt til fylkesrådmann og fylkesordførar
  • Andre med overordna ansvar/arbeidsoppgåver

Leselogg

Det er leselogg i ePhorte, og det vil si at det er høve til å sjå kven som har opna eit dokument for lesing. Har ei brukar utvida rettigheiter må dei vere klar over at dei ikkje skal opne andre dokument enn de dei skal behandle.

Fungerer for rolla

Leiar har høve til melda inn ein/fleire som kan ivareta leiaroppgåver ved lengre fråver som f.eks. ferie og permisjon. Fungerer for rolla kan då opprettast for eit gitt tidsrom og den/dei som får rolla får då tilgang til leiar sin brukar, rolle og rettigheitar i ePhorte og kan godkjenne dokument m.m. for leiar.

Tilgang til å sjå dokument unnateke offentleggjering utover avdelingsgrense

Det er høve til å lage faste eller ad-hoc tilgangsgrupper på tvers av avdelingsnivå, på saksmappe- eller dokumentnivå.

Korleis melde inn behov/endringar

Melding om autorisasjon og rollar skal som hovudregel meldast inn av leiar via  IT-tjenester på intranett (Sensedesk – SPOC – single point of contact). Systemadministrator på Dokumentsenteret har ansvar for å følgje opp.