Rutiner for gjennomføring av innsyn i brukeres e-post og annet elektronisk lagret materiale.

Transkript

1 1 av 5 Personalavdelingen Rutiner for gjennomføring av innsyn i brukeres e-post og annet elektronisk lagret materiale. Innhold 1 Innledning Mål Gyldighetsområde Forhold til andre sikkerhetsdokumenter Definisjoner Rutiner Prinsipper for innsyn i brukernes filer og e-post Rutiner ved innsyn i brukeres e-post og filer Generelle rutiner Innsyn i tillitsvalgtes e-post eller filer r, lenker... 4 Postadresse Org.nr Besøksadresse Telefon Høgskoleringen 1 E-post: Hovedbygget Trondheim Gløshaugen Telefaks Tlf: + 47 All korrespondanse som inngår i saksbehandling skal adresseres til saksbehandlende enhet ved NTNU og ikke direkte til enkeltpersoner. Ved henvendelse vennligst oppgi referanse.

2 2 av 5 1 Innledning 1.1 Mål Dette dokumentet beskriver rutiner som skal følges ved innsyn i brukeres e-post og filer. Rutinene skal sikre krav til vern mot urettmessig innsyn. Rutinene skal sikre at NTNU, når vilkåret for innsyn etter personopplysningsforskriften er tilstede, får tilgang til de nødvendige opplysninger lagret i e-post og filer uten at brukernes personvern blir krenket. 1.2 Gyldighetsområde Rutinene gjelder for alt innsyn i brukernes e-post og filer lagret på datasystemer, datamaskiner og annet elektronisk utstyr eid eller disponert av NTNU og som er stilt til brukers disposisjon til bruk i arbeidet ved NTNU. Bestemmelsene gjelder også for NTNUs innsyn i opplysninger som bruker har slettet fra de nevnte områdene, men som finnes lagret på sikkerhetskopier eller lignende som NTNU har tilgang til. Rutinene skal følges både overfor nåværende og tidligere brukere, samt andre som utfører, eller har utført, arbeid for NTNU. Nødvendig innsyn foretatt av IT-driftspersonale for administrasjon av dataanleggets drift, regularitet og sikkerhet kommer ikke inn under disse rutinene. Slikt innsyn reguleres av NTNUs IT-reglement, se punkt 4 r, lenker. 1.3 Forhold til andre sikkerhetsdokumenter I tillegg til disse overordnede rutiner kan det utarbeides rutiner tilpasset lokale forhold. Slike lokale rutiner kan ikke utformes slik at de svekker brukernes personvern eller NTNUs rettigheter for innsyn slik de er fastlagt i denne rutinen. Personopplysningsforskriftens 9 gir retningslinjer for innsyn i ansattes e-postkasse m.m. Forskriften er gitt med hjemmel i personopplysningsloven. Dersom krav med grunnlag i dokumentet «Prinsipper for informasjonssikkerhet ved NTNU», andre sentrale styrende sikkerhetsdokumenter, offentlige lover og forskrifter eller andre relevante rutiner er forskjellig fra kravene i dette dokumentet, gjelder de mest restriktive kravene. 2 Definisjoner Med datasystemer, datamaskiner og annet elektronisk utstyr forstås både passive systemer som backup og aktive systemer som filtjenere, arbeidsstasjoner, laboratoriemaskiner, mobiltelefoner og annet utstyr som inneholder elektronisk lagret informasjon. utstyr disponert av NTNU forstås som utstyr som er innkjøpt og eid av NTNU eller finansiert av andre og stilt til disposisjon for NTNU. Omfatter ikke brukers private utstyr. Brukere forstås som personer som bruker det elektroniske utstyret, - studenter, ansatte og andre som deltar i NTNUs virksomhet. NTNUs virksomhet forstås som all NTNUs virksomhet. e-postkasse forstås som e-postkasse og elektroniske mappesystemer for lagring av e-post. Begrepet dekker også systemer for mottak og lagring av andre elektroniske meldingstyper.

3 3 av 5 Personlig e-postkasse forstås som e-postkasse knyttet til en bestemt persons navn eller personlige bruker, for eksempel «peder.aas@ntnu.no». Brukeres e-post og filer forstås i denne instruksen som e-post i brukerens personlige e-postkasse, filer lagret med eksklusiv tilgang for brukeren og for back-up kopier av disse data. Tilgangskontrollen kan være på fil, filområde eller datasystem/datamaskin Upersonlig e-postkasse forstås som e-postkasse knyttet til en funksjon, en rolle eller en virksomhet. Eksempler på slike er «postmottak@ntnu.no», «verneombud@idi.ntnu.no» og «orakel@ntnu.no» Systemeier er den som er ansvarlig for forvaltningen av en informasjonsmengde på vegne av NTNU. Tillitsvalgt og [tilhørende] organisasjon forstås som tillitsvalgt innenfor arbeidstaker arbeidsgiver eller studentdemokratiets organisasjoner. Verneombud og verneombudsapparatet omfattes også av begrepet. 3 Rutiner 3.1 Prinsipper for innsyn i brukernes filer og e-post NTNU har bare rett til å gjennomsøke, åpne eller lese brukeres e-post og filer: a. Når det er nødvendig for å ivareta den daglige driften ved NTNU. b. Når det er nødvendig for å ivareta andre berettigede interesser ved NTNU. c. Ved begrunnet mistanke om at bruk av e-postkasse eller andre elektroniske lagringsområder medfører grovt brudd på de plikter som følger av arbeids- eller studieforholdet. d. Ved begrunnet mistanke om at arbeidstakers bruk av e-postkasse eller annet elektronisk lagringsområde kan gi grunnlag for oppsigelse eller avskjed eller at studentens bruk kan gi grunnlag for annullering av eksamen på grunn av fusk eller bortvisning eller utestenging etter universitetsloven. NTNU har rett til innsyn uten samtykke fra brukeren i filer som er lagret på fellesområder eller som brukeren på annen måte har gjort tilgjengelig for NTNU. Ved slikt innsyn gjelder bestemmelsene for sikkerhetsnivå og konfidensialitet gitt av dokumentet Prinsipper for informasjonssikkerhet ved NTNU. NTNU har ikke innsyn i studenters filer og e-post med mindre filer og e-post er del av deltakelse i prosjekter eller annen virksomhet for NTNU, er gjort tilgjengelig for NTNU av brukeren, eller ved begrunnet mistanke som nevnt ovenfor. NTNU har ikke adgang til å gjennomsøke, åpne eller lese filer eller åpne upersonlige e-postkasser for tillitsvalgtfunksjoner. Dersom innsyn er nødvendig etter begrunnet mistanke om misbruk av e- postkassen, skal politiet kontaktes og stå for gjennomføring av innsynet. Ved planlagt fravær over lengre tid er det brukerens ansvar å bidra til at e-post og filer som er kritisk for virksomhetens oppgaver ikke blir liggende på brukerens personlige e-post- og filområder. Bruk av automatisk svar og videresending av e-post eller tilsvarende tiltak ved fravær må vurderes.

4 4 av Rutiner ved innsyn i brukeres e-post og filer Generelle rutiner Bruker skal så langt som mulig varsles på forhånd om innsynet og få anledning til å uttale seg. I varselet skal NTNU begrunne hvorfor vilkårene for innsyn etter personopplysningsforskriftens (POF) 9-2, er oppfylt og om brukerens rettigheter. Dersom ikke bruker er varslet, skal varsel med vedlagt dokumentasjon sendes i etterkant av innsynet. Unntakene fra rett til informasjon i personopplysningslovens (POL) 23 gjelder tilsvarende. Unntaket gjelder også etterfølgende varsling. Tillatelse til innsyn uten brukers samtykke skal innhentes hos leder for enhet eller institutt eller prosjekt/faggruppe. Behovet for innsyn og begrunnet beslutning om å tillate innsyn skal dokumenteres skriftlig og følge saken. Begrunnelsen må tilfredsstille vilkårene i POF 9-2. Dersom innsyn i filer og e-post finner sted etter samtykke fra bruker, men uten at bruker er til stede, kan bruker kreve tilstedeværelse av vitne til innsynet og loggføring av innsynet på samme måte som ved innsyn uten samtykke. Alt innsyn i brukeres e-post og filer uten brukers godkjenning skal være sporbart og dokumentert. Dette gjelder både beslutning om innsyn og selve innsynet. Dokumentasjonen skal inneholde opplysninger om hvilken metode som ble benyttet, hvilke e-poster eller andre dokumenter som ble åpnet, samt resultatet av innsynet, jf. POF Dokumentasjonen skal arkiveres i NTNUs arkiv. Det skal alltid være minst et vitne tilstede ved gjennomføringen av innsyn uten samtykke. Fremgangsmåten, herunder hvilke e-poster og filer som er åpnet, skal dokumenteres. Vitnet skal være en tillitsvalgt eller annen representant for brukeren. Ved alt innsyn gjelder de bestemmelser for materialets konfidensialitet og integritet som er satt av eier eller systemeier, slik det er fastsatt i dokumentet Prinsipper for Informasjonssikkerhet ved NTNU. Dersom NTNU i forbindelse med innsyn etter punkt første kulepunkt bokstav c eller d får mistanke om straffbare forhold skal saken umiddelbart anmeldes til politiet. Videre innsyn skal foretas av politiet Dersom innsyn etter begrunnet mistanke om misbruk (punkt første kulepunkt bokstav c og d) viser at vilkårene etter disse punktene ikke er tilstede, skal e-postkasse og filområde straks lukkes og eventuelle kopier av e-poster og filer slettes. For å sikre bevis kan e-postkasse og filområder kopieres. Behovet for slik sikring skal dokumenteres. Innsyn i kopien skal følge rutinene i dette dokumentet Innsyn i tillitsvalgtes e-post eller filer. Dersom det er dokumentert behov for å åpne personlig e-postkasse eller filer eid av bruker som er tillitsvalgt skal dette gjøres i samarbeid med en annen tillitsvalgt fra samme organisasjon, primært organisasjonens leder. Denne foretar sikring av organisasjonsrelatert e-post og filer før andre får tilgang til materialet Rutinene for innsyn for øvrig følger bestemmelsene i punkt r, lenker NTNUs websider for informasjonssikkerhet o -> menyvalg Informasjonssikkerhet Policy for Informasjonssikkerhet ved NTNU o se NTNUs websider for informasjonssikkerhet, NTNUs IT-reglement

5 5 av 5 o se NTNUs websider for informasjonssikkerhet Forskrift om behandling av personopplysninger (personopplysningsforskriften) o Lov om behandling av personopplysninger (personopplysningsloven) o