Retningslinjer for bruk av Universitetets IT-ressurser

Transkript

1 Retningslinjer for bruk av Universitetets IT-ressurser Fastsatt av universitetsdirektøren Sist endret Ref: 2009/6652 Innhold: 1.0 Begrepsforklaringer 2.0 Formål 3.0 Anvendelse 4.0 Lojalitet 5.0 Datasikkerhet 6.0 Respekt for andre brukere, personvern 7.0 Sømmelig bruk 8.0 Ressursbevissthet 9.0 Rettigheter 10.0 Erstatningsansvar 11.0 Driftsovervåking 12.0 Sanksjoner 13.0 Klageinstans 1.0 Begrepsforklaringer Forklaringer av ord og uttrykk som brukes i retningslinjene. Brukere Alle som får tilgang til og benytter IT-ressursene ved Universitetet. Dette gjelder bl.a. arbeidstakere, studenter og andre som får tildelt tilgang til IT-ressursene. Brukerkontrakt Avtale mellom bruker og avdeling(er) ved Universitetet som regulerer brukerens aksessrettighet til IT-ressursene. Brukerkontrakten er også en bekreftelse på at disse retningslinjene er akseptert av brukeren. Data Informasjon som befinner seg på Universitetets IT-anlegg. Dette inkluderer både innhold i datafiler og programvare. Datanett Maskinvare og/eller programvare som gjør det mulig å opprette forbindelser mellom to eller flere maskiner. Dette inkluderer både private, lokale, nasjonale og internasjonale datanett som man får tilgang til gjennom Universitetets IT-ressurser. Driftsforstyrrelser Forstyrrelser og/eller unormaliteter som i uakseptabel grad hemmer brukeres utnyttelse av IT-anlegget. IT-ressurs Inkluderer maskinvare, data, tjenester og datanett.

2 Maskinvare Maskinelt utstyr som kan brukes til databehandling. Private data Data som befinner seg på et område som er markert som privat. 2.0 Formål Formålet med retningslinjene er å bidra til et utviklende IT-miljø hvor de mulighetene ITressursene gir kan utnyttes på best mulig måte, både i forhold til samfunnet og til fellesskapet ved Universitetet. Dette for å fremme utdanning og forskning, samt spre kunnskap om vitenskapens metoder og resultater. 3.0 Anvendelse Disse retningslinjene gjelder for bruk av Universitetets IT-ressurser, og gjelder alle brukere som får tilgang til disse ressursene. Bruk av IT-ressursene fordrer også at brukeren kjenner eventuelle supplerende bestemmelser. 4.0 Lojalitet En bruker skal alltid opptre under fullt navn og det skal ikke herske tvil om brukerens identitet. I tillegg skal brukeren klargjøre tilknytningen til Universitetet. En bruker skal altså alltid identifisere seg med navn, egen brukeridentitet, passord eller på annen regulær måte ved bruk av tjenester i datanettet. Det er ikke tillatt å bruke Universitetets IT-ressurser uten å få tillatelse til dette i forkant. Det å være en bruker ved Universitetet innebærer at tillatelse er gitt til formålstjenlig bruk. Eksterne miljøer skal ikke misbrukes ved at bruker tilegner seg informasjon som ikke er tiltenkt den, eller ved å bruke tjenestene til annet enn det de forutsetter. Bruker må vise særskilt aktsomhet med taushetsbelagte opplysninger. En bruker skal følge driftspersonalets anvisninger om bruk av IT-ressursene. Brukeren skal også i tilstrekkelig grad sette seg inn i bruksanvisning, dokumentasjon m.v. for å redusere muligheten for at uvitenhet skal skape risiko for driftsforstyrrelser eller tap av data eller utstyr. Ved opphør av ansettelses- eller studieforhold er brukeren ansvarlig for at kopier av data som eies/disponeres av Universitetet sikres for Universitetet. 5.0 Datasikkerhet En bruker plikter å treffe tiltak som er nødvendig for at tap av data eller lignende skal få minst mulig følger gjennom sikkerhetskopiering, forsvarlig oppbevaring av media, m.v. Dette kan gjøres ved å forsikre seg om at driftspersonellet tar seg av dette.

3 Egne filer er i utgangspunktet personlige, men bør likevel beskyttes slik at de ikke kan leses av andre. En bruker plikter å ikke gjøre passord eller andre sikkerhetselementer kjent for andre, samt forhindre at uvedkommende får tilgang til IT-ressursene. Dette gjelder også å gi fra seg Universitets interne brukernavn og passord til maskiner som ikke tilhører Universitetet. Dette kan være å lagre Universitetets brukernavn/passord i nett-lesere på eksterne maskiner. Innførsel av data medfører en risiko for uønskede elementer som f.eks. virus, orm og trojanere. Bruker plikter å gjennomføre tiltak som beskytter IT-ressursene mot slikt. Alle maskiner (deriblant hjemme og bærbare maskiner) som skal bruke Universitetets ITressurser skal være beskyttet med relevante sikkerhetsmekanismer (antivirus, brannmur, system for jevnlige oppdateringer etc.). En bruker plikter å rapportere forhold som kan ha betydning for anleggets sikkerhet eller integritet til nærmeste foresatte eller den som har ansvar for datasikkerheten. 6.0 Respekt for andre brukere, personvern En bruker må ikke søke å gjøre seg kjent med andres passord o.l., eller søke å oppnå uautorisert tilgang til andres data. Dette gjelder uavhengig av om dataene er beskyttet eller ikke. Det er viktig å understreke at det å anvende IT-ressurser i andres navn er strengt forbudt. Det er mange handlinger som kan begås i eller ved hjelp av IT-ressurser som er belagt med straffe- eller erstatningsansvar. Det kan derfor være svært belastende om noen begår handlinger i andres navn. En bruker som behandler eller har tenkt å starte med elektronisk behandling av personopplysninger, administrativt eller i forsknings- eller studentprosjekter, plikter å gjøre seg kjent med personopplysningsloven og personopplysningsforskriften, samt å sette seg inn i Universitets egne retningslinjer for behandling av personopplysninger. Før behandling av personopplysninger tar til i forsknings- eller studentprosjekter skal behandlingen meldes til Norsk samfunnsvitenskapelig datatjeneste. Kopi av meldingen skal sendes til avdelingen (fakultetet/norges fiskerihøgskole). Brukere har taushetsplikt om personlige forhold, jf. forvaltningsloven 13, som brukeren får kjennskap til gjennom bruk av Universitetets IT-ressurser. 7.0 Sømmelig bruk Universitetets IT-ressurser må ikke brukes til å fremsette ærekrenkelser eller diskriminerende uttalelser, formidle pornografi eller spre taushetsbelagte opplysninger, krenke privatlivets fred eller oppfordre eller medvirke til ulovlige handlinger. Utover dette skal brukere avholde seg fra usømmelig kommunikasjon på nettet. IT-ressursene skal brukes i overensstemmelse med formålet til Universitetet. Dette utelukker direkte kommersiell bruk.

4 8.0 Ressursbevissthet Universitetets IT-ressurser skal styrke og understøtte faglig virksomhet, administrasjon, utvikling, forskning og undervisning. Brukeren har et medansvar for at ressursene utnyttes best mulig. Bruk som ikke er begrunnet i institusjonens formål er for eksempel privat bruk. Dette er det vanlig å tillate, men ikke slik at det opptar store ressurser eller skjer til fortrengsel for oppgaver som inngår i forskning, undervisning, formidling og administrasjon. 9.0 Rettigheter Til data er det normalt knyttet rettigheter som gjør bruk avhengig av avtale med rettighetshaver. Bruker forplikter seg til å respektere andres rettigheter, herunder også vilkår ihht lisensavtaler Universitetet har inngått. Dette gjelder også når Universitetet gjør data tilgjengelig. Kopiering av dataprogrammer via Universitetets datanett tillates bare når brukeren har rett til å bruke dataprogrammet. Det er ikke tillatt å gjøre datafiler, herunder musikk- og mediafiler, tilgjengelig på Universitetets datanett uten tillatelse fra opphavsmannen. Det tillates ikke at bruker legger ut linker, herunder ved bruk av fildelingsprogram, på Universitets datanett til ulovlig materiale Erstatningsansvar Brukerne har selv ansvaret for bruk av data som gjøres tilgjengelig ved bruk av IT-ressursene. Universitetet fraskriver seg ansvar for økonomisk tap som følge av feil eller mangler ved ITanlegget, herunder f.eks. feil eller mangler i data, bruk av data fra tilgjengelige databaser eller andre data innhentet gjennom datanettet m.v. Universitetet er ikke ansvarlig for skader som måtte påføres brukeren som følge av manglende sikring av egne data Privat bruk All informasjon en ansatt mottar i kraft av sin stilling ved Universitetet, herunder e-post, har Universitetet som arbeidsgiver full innsynsrett i. Samtidig har Universitetet full innsynsrett i det universitetseide datautstyret og det som måtte være lagret der. Ved fravær vil Universitetet ha rett til å skaffe seg tilgang til data som ligger lagret på den ansattes område, for å sikre at oppgaver utføres i rett tid og med best mulig datagrunnlag. Skulle den ansatte motta privat e- post eller lagre private data på Universitetets utstyr, må dette lagres i mapper merket (navngitt) «Privat». Universitetet vil respektere slik merking og vil ikke skaffe seg tilgang til data lagret på slike områder uten at særskilt hjemmel kan påvises.

5 12.0 Logging Enhver pålogging på Universitetets IT-ressurser blir logget. Loggene blir brukt til å understøtte driften av institusjonens IT-systemer. Utlevering av logger av trafikkdata eller innhold i kommunikasjoner utleveres til politi, påtalemyndighet eller andre utenforstående etter beslutning av en norsk domstol Taushetsplikt Driftsansvarlige har taushetsplikt med hensyn til opplysninger om brukeren eller brukerens virksomhet som driftsansvarlige får på denne måte, med det unntak at forhold som kan representere brudd på retningslinjene kan meddeles til overordnede instanser Utlevering og sletting av data ved brukerforholdets opphør Når brukerens forhold til Universitetet opphører, for eksempel ved endt studium eller avsluttet arbeidsforhold skal brukeren selv sørge for å fjerne sine data fra Universitetets IT-ressurser. Dataene vil bli slettet 3 måneder etter opphør av brukerforholdet. Ved brukers død slettes privat mappe som er lagret på arbeidsplassmaskinen etter 3 måneder. Utlevering av privat mappe vil ikke bli foretatt uten at særskilt hjemmel kan påvises Sanksjoner Ved brudd på gjeldende regelverk/retningslinjer for bruk av Universitetets IT-ressurser skal det vurderes reaksjon. Reaksjonsform og eventuell av utstenging eller begrenset tilgang til datasystemer/it ressurser skal vurderes ut fra alvorlighetsgraden av handlingen eller unnlatelsen av å handle (sikre personopplysninger). For ansatte vil dette variere fra muntlig orientering om gjeldende regelverk (muntlig tjenstlig tilrettevisning) til andre reaksjoner etter lov om statens tjenestemenn. For studenter skal det vurderes stenging av brukerkonto for en periode eller for alltid. For alle brukergrupper kan det ved vesentlige brudd på sikkerhetsbestemmelser som medfører vesentlige kostnader, vurderes å søke regress for kostnadene hos brukeren. Sanksjoner mot brukere skal begrunnes, og kan ilegges av den som er tillagt slik myndighet i henhold til de regler som gjelder for Universitetet. Eventuell stenging av en students brukerkonto besluttes av Universitetsdirektøren Klageinstans Klager på sanksjoner (for eksempel utestengelse eller nektelse av brukertilgang) skal rettes til den myndighet som ilegger sanksjonene. Dersom klagen ikke blir imøtekommet, sendes den videre til Universitetsstyrets klagenemnd for endelig avgjørelse. Klager på overvåkning følger samme prosedyre som for sanksjoner.