Prosedyre for bruk av tjenester på intern sone i administrasjonsnettet via VPN

1. Det ligger en risikovurdering bak tildeling av VPN-tilgang til tjenestene på administrasjonsnettet. Denne utføres periodisk, og er styrende for tildelingen av VPN-tilganger. Dersom faktorer endres slik at risikoen blir uakseptabel, kan grunnlaget for VPN-tilgangen bortfalle.
2. Alle som ønsker VPN-tilgang til systemer som inneholder personopplysninger, må sende skriftlig søknad til IT-seksjonen med begrunnelse for det tjenestlige behovet for denne tilgangen. Denne søknaden skal også være signert av nærmeste overordnede. Det må i søknaden gå fram: 
   
   - Hvilke data tilgangen gjelder og om noen er sensitive (medisinske, seksuell legning, kriminelt rulleblad, religiøs tilknyting, fagforeningstilknytning, etc.) i forhold til Personvernloven
   
   - Hvilke sikkeretstiltak som ellers er foretatt lokalt
   
   - Erklæring om at PC-en må være rent personlig, uten andre brukere
3. Tilgangen kan være tidsbegrenset. Dersom endringer i arbeidsmønster, ansettelsesforhold eller endret systemdesign (f.eks. at applikasjonen legger til rette for web-tilgang til ikke-sensitive data) tilsier det, vil grunnlaget for VPN-tilgangen bortfalle.
4. Arbeidet skal skje på en maskin som ikke benyttes av andre personer enn den ansatte. 
5. Når arbeidstaker forlater PC-en, skal det alltid logges av systemet, selv om det kun er for en kort stund.
6. Dersom den ansatte slutter i jobben plikter han/hun å melde fra til IT-seksjonen om dette, slik at VPN-åpningen kan termineres. 
7. Tilgangskodene skal aldri lånes bort til andre, heller ikke kollegaer. 
8. Andre skal ikke ha adgang til å lese skjermen når du er pålogget via VPN. 
9. Utskrifter med personopplysninger som kjøres ut via VPN må aldri bli liggende på skriver. 
10.  Det er et krav at PC-en som benyttes har godkjent brannmur. 
11. Dokumenter med personsensitive opplysninger skal ikke behandles via VPN uten at disse er kryptert. 
12. Pinkode må aldri oppbevares sammen med Secure ID.