Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento

Contratos

En los contratos laborales con el personal, deben incluirse cláusulas relativas a la seguridad de la información que definan las responsabilidades.

Procedimientos para la desvinculación

Se recomienda contar con procedimientos formales a la hora de la desvinculación del personal, definiendo al menos la revocación de los derechos de acceso, tanto a nivel físico como lógico, además de las responsabilidades y acuerdos de no divulgación, estableciendo el tiempo que continuarán siendo válidos estos aspectos luego de la desvinculación.

Proceso disciplinario

Se recomienda contar con un proceso disciplinario, formalizado antes las autoridades, que contemple todos los aspectos legales internos cuando el personal incumpla con las políticas establecidas. También debe tenerse en cuenta para este procedimiento la normativa laboral a las que están sometidas las partes.

Es recomendable que, al menos los roles y responsabilidades del personal que tenga acceso a datos personales y de salud, se encuentren debidamente documentados, indicando en cada caso el tipo de información al que puede acceder. Esto incluye también al personal que se desempeña de manera temporal en la institución de salud.
Establecer los términos y condiciones de uso de cada sistema, como: HIS, LIS, RIS, entre otros.

• Listado de personal contratado en el período auditado.
• Contratos firmados del personal que pertenezcan al período auditado.
• Listado de personal desvinculado en el período auditado.
• Evidencia de cumplimiento con las actividades definidas en los procedimientos de desvinculación de personal durante el período auditado, por ejemplo, planillas, formularios de solicitud de revocación de permisos, notas, cartas de desvinculación, correos donde se demuestre el cumplimiento con los procedimientos definidos, etc. 
• Acuerdos de no divulgación firmados del período auditado.