Kaikkien luottamuksellisia tietoja käsittelevien työntekijöiden olisi allekirjoitettava salassapito- tai vaitiolositoumus ennen luottamuksellisen tiedon käsittelyä.

Salassapitositoumuksen tulisi sisältää mm.:

• luottamuksellisen tiedon selkeä määrittely
• sitoumuksen oletettu kesto
• edellytetyt toimenpiteet, kun sitoumus puhdistetaan.
• allekirjoittaneiden vastuut ja toimenpiteet, jotta vältetään luvaton tiedon paljastaminen.
• tiedon, liikesalaisuuksien ja aineettoman omaisuuden omistajuus ja miten tämä liittyy luottamuksellisen tiedon suojaamiseen.
• luottamuksellisen tiedon sallittu käyttö ja allekirjoittaneen oikeudet käyttää tietoa
• oikeus tarkastaa ja valvoa toimintoja, joihin liittyy luottamuksellista tietoa.

Salassapitosopimuksien edellytyksiä ja tarpeita tarkistellaan ja päivitetään säännöllisin väliajoin.

Työsopimuksissa eritellään työntekijän ja organisaation vastuut tietoturvallisuudesta.

Sopimuksen tulisi sisältää mm.:

• työntekijän juridiset vastuut ja oikeudet, esim. tekijänoikeus- tai tietosuojalainsäädäntöön liittyvät vastuut
• työntekijän vastuu ohjeiden noudattamisesta mm. laitteiston ja tiedon käyttöön ja tietojen luokitteluun liittyen
• työntekijän tai vuokratyöntekijän vastuu muilta yrityksiltä tai muilta osapuolilta saadun tiedon käsittelyssä
• toimenpiteet, jos työntekijä tai vuokratyöntekijä rikkoo organisaation turvallisuusvaatimuksia
• työsuhteen päättymisen jälkeen jatkuvat velvollisuudet

Organisaation olisi määriteltävä turvallisuusroolit ja -vastuut toimenkuvissa niiden tehtävien osalta, joissa käsitellään henkilökohtaisia terveystietoja. Henkilöterveystietojen käsittelyyn sovellettavat erityiset tietoturvavelvollisuudet on määriteltävä selkeästi.

Jokaisen työntekijän kanssa on suositeltavaa käydä säännöllisiä palautekeskusteluja suorituksesta, erityisesti riskikäyttäytymisestä. Myös työntekijöiltä on pyydettävä palautetta. Säännölliset keskustelut voivat paljastaa muutoksia työntekijän käyttäytymisessä tai muuta tärkeää tietoa, kuten uusia työtarjouksia, uusia ihmissuhteita tai muita elämänmuutoksia, jotka saattavat vaarantaa työntekijän kyvyn suoriutua työstään.

Organisaation on otettava käyttöön toimintaperiaatteet ja menettelyt sen varmistamiseksi, että kaikilla tarvittavilla työntekijöillä on asianmukainen pääsy suojattuihin sähköisiin terveystietoihin, ja sen estämiseksi, että ne työntekijät, joilla ei ole pääsyä, eivät saa pääsyä suojattuihin sähköisiin terveystietoihin.

Organisaation on annettava kullekin työntekijälle yksilöllinen tunniste käyttäen Employer Identification Number (EIN) -tunnusta vakiomuotoisena yksilöllisenä työnantajatunnisteena (42 U.S.C. 1320d-2(b)). Työntekijätunnusta käytetään työntekijän tunnistamiseen monissa tilanteissa, kuten kirjautumisessa tietojärjestelmiin tai sopimusten käsittelyssä.

Luo prosessi, jolla arvioidaan uudelleen niiden henkilöiden soveltuvuus, jotka on jo hyväksytty arkaluonteisiin turvallisuustehtäviin. Jos uutta tietoa tulee esiin tai olosuhteet muuttuvat (esim. roolin vaihtuminen, kurinpidolliset ongelmat tai turvallisuusvälikohtaukset), varmista, että henkilön turvallisuusselvitys päivitetään ja arvioidaan uudelleen toiminnan eheyden säilyttämiseksi.

Ennakoivana toimenpiteenä - sen lisäksi, että lakisääteinen vaatimus on arvioida uudelleen vain silloin, kun siihen on aihetta - harkitse määräaikaistarkastusten suunnittelua jatkuvan turvallisuuden varmistamisen vahvistamiseksi. Varmista, että henkilöstö tietää, milloin on syytä ilmoittaa huolenaiheista, jotka saattavat johtaa uudelleenarviointiin, ja että kaikki uudelleenarvioinnin tulokset dokumentoidaan samalla jäsennellyllä tavalla kuin alkuperäiset luotettavuusselvityspäätökset.

Nimeä vastuullinen henkilö - tyypillisesti se, joka tekee palkkaus- tai osallistumispäätöksen - suorittamaan lopullinen arviointi tarkastetun henkilön soveltuvuudesta. Tämän henkilön on punnittava kaikkia kerättyjä tietoja arvioidakseen, aiheuttaako henkilö turvallisuusriskin. Jos toiminta on julkisen viranomaisen ratkaisevan vaikutusvallan alainen (esim. viranomainen valvoo yksityisen toimijan toimintaa), kyseisen viranomaisen on tehtävä lopullinen päätös henkilön soveltuvuudesta.

Tarjoa arvioinnista vastaavalle henkilölle koulutusta tai kirjallisia ohjeita, jotta hän ymmärtää soveltuvuuden oikeudelliset ja organisatoriset kriteerit. Näin varmistetaan, että päätökset ovat johdonmukaisia ja oikeudenmukaisia ja että ne ovat sekä oikeudellisten velvoitteiden että organisaation arvojen mukaisia.

To manage risks associated with security-sensitive activities, the organization should establish and implement a security vetting process for all individuals involved in such activities. This process must be completed before an individual begins their participation.

The security vetting should encompass a basic investigation, a register check, and a special personal investigation. The scope and depth of these investigations should align with the requirements of applicable security protection regulations, such as the Swedish Security Protection Act.

If specific reasons warrant it, the extent of the security vetting may be less comprehensive. Furthermore, the organization is responsible for continuously following up on security vetting throughout the duration of an individual's participation in security-sensitive activities.

Organisaation täytyy varmistaa, että uusi työntekijä allekirjoittaa työsopimuksen ennen kuin hän pääsee käsiksi mihinkään organisaation tietoaineistoihin tai tietojärjestelmiin.

Työsopimuksesta pitäisi käydä ilmi työntekijän vastuut tietoturvallisuuteen liittyen sekä muut organisaation tietoturvalle oleelliset roolit.

Organisaatiomme on määritellyt toimenpiteet, joihin ryhdytään tietoturvarikkomustapauksissa. Nämä voidat sisältää mm. seuraavia vaiheita:

• selvitetään, mitä tietoja vuodettiin ja miten vahingollista tämä oli
• selvitetään, oliko teko tahallinen
• selvitetään, mitä salassapitositoumuksessa oli sovittu toimenpiteiksi
• päätetään, halutaanko asiaa viedä eteenpäin ja miten (esim. oikeudelliset toimet)
• selvitetään, tarvitaanko ulkopuolista apua

Salassapito- ja vaitiolositoumuksia koskevia vaatimuksia katselmoidaan säännöllisin aikavälein ja aina silloin, kun tapahtuu näihin vaatimuksiin vaikuttavia muutoksia.

Organisaation luottamuksellisuus- tai salassapitosopimukset jatkuvat työsopimuksen tai toimeksiannon jälkeenkin.

Organisaatio on myös määritellyt menettelyn, jolla käsitellään henkilöstön velvollisuusrikkomuksia.

Organisaatiomme työntekijät hyväksyvät johdon muodostaman yleisen tietoturvapolitiikan allekirjoituksellaan. Politiikka voi viitata useisiin tarkempiin tietoturvasääntöihin.