Høgskolen i Telemark Innkalling Styret Møte 9/14-18.12.2014 Høgskolen i Telemark, Kjølnes ring 56, Postboks 203, 3901 Porsgrunn Telefon : 35 57 50 00 Telefaks : 35 57 50 02 (http://www.hit.no/main/contenuview/full/1 0555)
MiDJ. IMI Høgskolen i Telemark Styret Innkalling til møte Saksbehandler: Anita Dale Intern tlf.: 35 57 50 35 E-post: Anita.Dale@hit.no Journalnummer: 14/01651 Dato: l O. desember 2014 Møtenummer Møtedag/-dato Møtetid Møtested/-rom : 9/2014 : Torsdag 18. desember 2014 : Kl. l 0.00-14.00 : Høgskolen i Telemark, studiested Porsgrunn, møterom B-203 SAKLISTE S-sak l 03/14 S-sak l 04/14 S-sak l 05/14 S-sak l 06/14 S-sak l 07/14 S-sak l 08/14 S-sak 109/14 S-sak Il 0/ 14 S-sak 111114 S-sak l 12/14 S-sak 11 3/14 Godkjenning av innkalling Godkjenning av saksliste Godkjenning av møtebok fra møtet 27. november 2014 Informasjonsutveksling Policy for informasjonssikkerhet ved Høgskolen i Telemark Politikk for immaterielle rettigheter ved Høgskolen i Telemark Statsbudsjettet for 2015 - budsjettfordeling Langtidsbudsjett for perioden 20 16-2020 Strukturendringer i UH-sektoren- eventuell sammenslåing med Høgskolen i Buskerud og Vestfold Eventuelt Referatsaker Varamedlemmer blir innkalt særskilt når de skal møte. Rune Nilsen styre leder sign.
Høgskolen i Telemark Styret Møtedato: Saksnummer: 18.12.14 S-sak 107/14 Saksbehandler: Journalnummer: John William Viflot 14/02266 POLICY FOR INFORMASJONSSIKKERHET VED HØGSKOLEN I TELEMARK Saken i korte trekk Styret fastsatte gjeldende Policy for informasjonssikkerhet ved Høgskolen i Telemark 24.09.09 i S-sak 77/09. Det er nå utarbeidet et nytt forslag til policy basert på innføring av et nytt styringssystem for informasjonssikkerhet. Tilråding Med bakgrunn i saksutredningen og med forbehold om mulige endringer som følge av møte med tjenestemannsorganisasjonene 15.12.14, tilrår jeg at styret gjør følgende vedtak: Bakgrunn 1. Styret fastsetter Policy for informasjonssikkerhet ved Høgskolen i Telemark i samsvar med rektors forslag 04.12.14. Styret fastsatte gjeldende Policy for informasjonssikkerhet ved Høgskolen i Telemark 24.09.09 i S-sak 77/09. Det ble foretatt en administrativ justering av dokumentet etter overgangen til enhetlig ledelse og ny ledelsesstruktur. Vurdering Informasjonssikkerhetspolicyen fastsetter overordnede retningslinjer for arbeidet med informasjonssikkerhet i HiT, og skal bl.a. sikre at virksomheten i høgskolen følger personopplysningsloven med forskrifter og kommentarer og er i tråd med høgskolens kvalitetssikringssystem. Policyen forankrer ansvaret for informasjonssikkerheten i ledelsen og fastslår overordnede sikkerhetskrav for høgskolens behandling av personopplysninger. Det er nå utarbeidet et nytt forslag til informasjonspolicy basert på innføring av et nytt styringssystem for informasjonssikkerhet. Høgskolen er med i et pilotprosjekt i regi av Uninett, og ny informasjonssikkerhetspolicy er utarbeidet iht. til Uninetts standarder. I forslag til nytt policydokument er det bygget inn et mer systematisk styringssystem, herunder er det bl.a.; foretatt en tydeliggjøring av roller og ansvar, opprettet en rolle som informasjonssikkerhetsansvarlig (CISO), opprettet et informasjonssikkerhetsforum.
2 I tillegg er dokumentet strammet opp i vesentlig grad. I det nye informasjonssikkerhetssystemet skal bl.a. ledelsen gjennomgå status for arbeidet med informasjonssikkerhet ved HiT, og rektor skal årlig rapportere status for arbeidet med informasjonssikkerhet til styret samt informere styret om alvorlige sikkerhetsbrudd. Kristian Bogen rektor S-sak 107/14
Høgskolen i Telemark Rektors forslag 04.12.14 Policy for informasjonssikkerhet ved Styrebehandlet 18. desember 2014
Policy for informasjonssikkerhet Versjonskontroll Versjon Dato Endringsbeskrivelse HiT0.40 03.11.2008 HiTs rev. forslag før workshop HiT0.41 09.11.2008 Nytt kapittel 3.3 og div justeringer 0.82 17.11.2008 Oppdatert etter workshop 11.11.2008 0.89 17.02.2009 Siste finpuss før møtet 24.03.2009 0.90 06.05.2009 Siste justeringer etter møtet 24.03.2009 0.95 26.05.2009 Høringsversjon etter noen ekstra finjusteringer 0.96 08.09.2009 Høgskoledirektørens forslag til styret etter høring 1.0 03.12.2009 Med styrets endringer 1.1 17.01.2012 Justeringer pga. enhetlig ledelse og nye ledere 2.0 18.12.2014 Ny policy ifm innføring av styringssystem for informasjonssikkerhet Forfatter og distribusjon Forfatter Dato Rolle Kenneth Høstland Øyvind Eilertsen, 29.09.2008 Ekstern Konsulent UNINETT Gigacampus Uninett / Paal Are Solberg 09.10.2014 Uninetts sekretariat for informasjonssikkerhet / Informasjonssikkerhetsansvarlig ved HiT Distribusjonsliste Kristian Bogen John Viflot Kjetil Horgmo Mari Pran Jarle T. Bjerkholt Pål Augestad Cecilia Guddal Ingrid Reitan Paal Are Solberg Morten Østby Frode Bakken Anette Espeli Atle Johansen Rolle Rektor Direktør Personal- og organisasjonsdirektør Økonomidirektør Viserektor for utdanning Viserektor for forskning Kvalitetskoordinator HMS-koordinator IT-sjef Driftsssjef Biblioteksjef Markeds- og kommunikasjonssjef Arkivleder Gjennomgang og godkjenning Dato Navn Rolle Initialer Kristian Bogen Rektor KB Dato: 13.11.2014 Ver.2.0 Side 2 av 14
Policy for informasjonssikkerhet Innholdsfortegnelse 1 LEDELSENS FORMÅL MED INFORMASJONSSIKKERHET... 4 2 MÅL OG OMFANG... 5 2.1 MÅL FOR INFORMASJONSSIKKERHETSARBEIDET... 5 2.2 ARBEIDETS OMFANG... 5 3 MÅL OG STRATEGI FOR TILFREDSSTILLENDE SIKKERHET... 6 3.1 SIKKERHETSMÅL... 6 3.2 SIKKERHETSSTRATEGI... 6 3.3 AKSEPTABEL RISIKO OG KLASSIFISERING AV INFORMASJON... 7 4 SIKKERHETSORGANISASJON OG ANSVAR... 8 4.1 SIKKERHETSORGANISASJONENS ROLLER... 8 4.2 ANSVARSBESKRIVELSER... 8 5 DOKUMENTASJON... 14 Dato: 13.11.2014 Ver.2.0 Side 3 av 14
Policy for informasjonssikkerhet 1 Ledelsens formål med informasjonssikkerhet Informasjonsteknologi og informasjonssikkerhet er vesentlig for at Høgskolen i Telemark (HiT) skal kunne yte tjenester for sine tilsatte og studenter, og er et virksomhetskritisk virkemiddel innen arbeidsprosessene ved HiT. Det stilles derfor krav til at informasjonssikkerheten blir tilfredsstillende ivaretatt. Systemer og infrastruktur skal være pålitelige i bruk, og all informasjon skal være korrekt og beskyttet mot uautorisert tilgang. Medarbeidere, studenter og andre brukere ved HiT skal alltid kunne motta korrekt informasjon til riktig tid. Samtidig skal alle være trygge på at informasjon som trenger beskyttelse blir behandlet på korrekt måte i samsvar med personopplysningsloven og andre bestemmelser. Det betyr at HiT skal treffe tiltak som sikrer at informasjon og informasjonssystemer er beskyttet mot uønskede hendelser. Brukerne skal forstå kravene i dette dokumentet, og bidra til informasjonssikkerheten i henhold til HiTs retningslinjer og standarder. Overtredelse av denne Policy for informasjonssikkerhet og vedtatte sikkerhetskrav vil være et tillitsbrudd mellom brukeren og HiT. Rektor Kristian Bogen for Høgskolen i Telemark Dato: 13.11.2014 Ver.2.0 Side 4 av 14
Policy for informasjonssikkerhet 2 Mål og omfang 2.1 Mål for informasjonssikkerhetsarbeidet Kjernevirksomheten til HiT er (a) å samle inn og bearbeide informasjon/data ved bruk av vitenskapelige metoder og (b) produsere og formidle kunnskap av høy internasjonal kvalitet. Høgskolen forvalter, foredler og formidler ikkematerielle verdier informasjon. Derfor er det også avgjørende at all informasjon som høgskolen forvalter i administrasjon, forskning, undervisning og offentlig formidlingsarbeid er tilfredsstillende sikret mot brudd på: Konfidensialiteten: hindre at uvedkommende får tilgang til konfidensiell eller sensitiv informasjon, Integriteten: hindre uønsket endring, sletting eller manipulering av informasjon og Tilgjengeligheten: sikre brukere tilgang til informasjon når de har behov for det. Policy for informasjonssikkerhet (dette dokumentet) skal bidra til at HiT opprettholder en høy tillit hos sine studenter, tilsatte og alle øvrige forbindelser. HiT skal ha rutiner som bidrar til å forebygge sikkerhetsbrudd. Andre konkrete mål for informasjonssikkerheten er å: sørge for samsvar med gjeldende lover, forskrifter og retningslinjer bidra til at personvern og andre verdier varetas etablere ansvar og eierskap for informasjonssikkerhet ved HiT motivere ledelse, tilsatte og studenter til å opprettholde kunnskap og kompetanse om informasjonssikkerhet sikre at HiT er i stand til å fortsette sine tjenester også dersom større sikkerhetshendelser skulle inntreffe 2.2 Arbeidets omfang Arbeidet med Informasjonssikkerhet ved HiT omfatter alle informasjonsverdier, IT-systemer, manuelle registre, teknisk og fysisk infrastruktur som eies eller leies av HiT. Policy omfatter alle lokasjoner hvor HiT har virksomhet, og alle ansatte, registrerte studenter, innleid personell og gjester ved HiT. Dato: 13.11.2014 Ver.2.0 Side 5 av 14
Policy for informasjonssikkerhet 3 Mål og strategi for tilfredsstillende sikkerhet 3.1 Sikkerhetsmål Følgende mål for arbeidet med informasjonssikkerhet gjelder ved HiT: 1. Arbeidet med informasjonssikkerhet skal bidra til høy kvalitet på forvaltningen av all informasjon som benyttes i administrasjon, forskning, undervisning og den øvrige formidlingsaktiviteten ved HiT. 2. Arbeidet med informasjonssikkerhet skal bidra til høy kvalitet på forvaltningen av all informasjon som har betydning for at HiT ivaretar sine plikter som offentlig forvaltningsorgan og respekterer rettighetene til ansatte, studenter og deltakere i forskningsprosjekter. 3. Arbeidet med informasjonssikkerhet skal til enhver tid være i tråd med de krav som stilles i lover og forskrifter som gjelder for HiT, og følge opp de kravene som Kunnskapsdepartementet stiller til arbeidet med informasjonssikkerhet. 4. Arbeidet med informasjonssikkerhet skal ivareta grunnleggende personvernhensyn, herunder privatlivets fred, den personlige integriteten og opplysningskvaliteten, ved all elektronisk behandling av personopplysninger. 5. Arbeidet med informasjonssikkerhet skal bidra til at alle skal kunne ha tillit til kvaliteten på den informasjonen som formidles av HiT, uavhengig av hvilke kanaler som benyttes. 6. Arbeidet med informasjonssikkerhet skal bidra til at HiT ivaretar sitt omdømme som et profesjonelt og kompetent forvaltningsorgan. 3.2 Sikkerhetsstrategi For å realisere sikkerhetsmålene og sørge for tilfredsstillende informasjonssikkerhet, skal arbeidet med informasjonssikkerhet ved HiT basere seg på følgende hovedprioriteringer: Alt arbeid med informasjonssikkerhet skal basere seg på risikovurderinger. Alle sikringstiltak, uavhengig av om de er tekniske, organisatoriske, fysiske eller personalmessige, skal baseres på risikovurderinger som viser behov for tiltakene. Risikovurderinger av IT-systemer og -tjenester, datanettverk og infrastruktur, arbeidsprosesser og fysiske forhold skal gjennomføres hvert annet år eller ved endringer av betydning for informasjonssikkerheten. Valg av sikringstiltak skal basere seg på tiltaksoversikten i ISO/IEC 27001: 2013 Annex A, jf. ISO/IEC 27002: 2013 men ikke begrenset av denne. Ledelsen ved HiT vil bevilge nødvendige ressurser til opplæring og kompetanseheving for ledere og ansatte som er delegert ansvar for informasjonssikkerheten eller pålagt å utføre konkrete arbeidsoppgaver. Opplæringen og kompetansehevingen skal i særlig grad fokusere på arbeidsmetodikken i risikostyrt informasjonssikkerhet og praktisk bruk av konkrete arbeidsredskaper. Ledere i HiT som er delegert ansvaret for informasjonssikkerheten skal sørge for at ressurser bevilges til planlegging, gjennomføring og oppfølging av pålagte arbeidsoppgaver. Dette inkluderer iverksetting av sikringstiltak som er nødvendige for å oppnå tilfredsstillende informasjonssikkerhet. Alle brukere av informasjonsverdiene til HiT skal gis informasjon om rutiner for sikker håndtering av informasjonsverdier og trusler mot informasjonsverdiene. De skal også informeres om avviksmeldingssystemet ved HiT. I tillegg skal de informeres om hensikten med og viktigheten av at avvik/sikkerhetsbrudd rapporteres. Fjerndrift av HiT sine informasjonsverdier, for eksempel bruk av nettbaserte tjenester eller andre typer databehandlere, kan bare skje dersom risikoen for sikkerhetsbrudd er innenfor kriteriene for akseptabel risiko ved HiT, og dersom de nødvendige avtaler er inngått og blir fulgt opp. Utkontraktering (eng.: outsourcing) av drift og Dato: 13.11.2014 Ver.2.0 Side 6 av 14
Policy for informasjonssikkerhet forvaltning av informasjon med særskilte sikkerhetskrav, for eksempel sensitive personopplysninger eller konfidensielle forskningsdata, kan bare skje etter en spesielt grundig vurdering. Arbeidet med informasjonssikkerhet ved HiT skal til enhver tid basere seg på anbefalte og anerkjente standarder for styringssystemer for informasjonssikkerhet i offentlig sektor, jf. DIFIs referansekatalog versjon 3.1, punkt 2.16. UNINETT og Sekretariatet for informasjonssikkerhet i UH-sektoren skal benyttes til rådgiving og bistand når det er nødvendig. 3.3 Akseptabel risiko og klassifisering av informasjon Arbeidet med informasjonssikkerhet skal sørge for at informasjonsverdiene ved HiT til enhver tid er tilfredsstillende sikret mot brudd på konfidensialiteten, integriteten og tilgjengeligheten. For å oppnå tilfredsstillende informasjonssikkerhet skal arbeidet basere seg på følgende kriterier for akseptabel risiko: Åpen informasjon: Integriteten og tilgjengeligheten til informasjon som skal være offentlig tilgjengelig, uavhengig av om dette dreier som forsknings-, undervisnings- eller administrativ informasjon, skal prioriteres. Integriteten til informasjonen skal vektlegges foran hensynet til tilgjengeligheten. Intern informasjon: Konfidensialiteten og integriteten til informasjon som benyttes i intern administrasjon og saksbehandling eller i pågående eller planlagt forskning/studentforskning skal prioriteres høyt. Dette omfatter blant annet informasjon som er unntatt offentlighet, upubliserte artikkel- eller bokmanus, ikke-konfidensielle forskningsdata som ikke er godkjent for publisering/offentliggjøring av prosjektleder, utkast til strategier/planer eller ikke-publiserte forslag til forskningsprosjekter. Det aksepteres kun mindre brudd på denne informasjonens konfidensialitet og integritet. Kortere avbrudd i informasjonens tilgjengelighet aksepteres. Sensitiv informasjon: Konfidensialiteten og integriteten til informasjon som er spesielt beskyttelsesverdig eller som er underlagt særskilt rettslig regulering, for eksempel konfidensielle forskningsdata, opplysninger om enkeltpersoner (personopplysninger 1 ) eller forslag/tekster til eksamensoppgaver, skal prioriteres særlig høyt. Det aksepteres ikke brudd på konfidensialiteten eller integriteten til personopplysninger. Dette gjelder i særlig grad for sensitive personopplysninger. 2 Kortere avbrudd i personopplysningers tilgjengelighet aksepteres. Det aksepteres ikke brudd på konfidensialiteten og integriteten til konfidensielle forskningsdata som ikke er godkjent for publisering/offentliggjøring av prosjektleder. Kortere avbrudd i forskningsdataenes tilgjengelighet aksepteres. Det aksepteres ikke brudd på konfidensialiteten og integriteten til eksamensoppgaver (tekster/forslag) og eksamensbesvarelser. Det samme gjelder uferdige eller innleverte studentoppgaver (bachelor/master) og avhandlinger (p.hd.) som ikke skal eller ikke er godkjent for publisering/offentliggjøring. Korte avbrudd i tilgjengeligheten aksepteres dersom dette ikke vanskeliggjør eksamensgjennomføring eller innlevering og sensurering av eksamensbesvarelser, studentoppgaver eller p.hd.-avhandlinger. 1 I personopplysningsloven 2 defineres personopplysninger som opplysninger og vurderinger som kan knyttes til en enkeltperson. 2 I personopplysningsloven 2 defineres sensitive personopplysninger som opplysninger om rasemessig eller etnisk bakgrunn; politisk, filosofisk eller religiøs oppfatning; at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling; helseforhold; seksuelle forhold eller medlemskap i fagforeninger. Dato: 13.11.2014 Ver.2.0 Side 7 av 14
Policy for informasjonssikkerhet 4 Sikkerhetsorganisasjon og ansvar 4.1 Sikkerhetsorganisasjonens roller I sikkerhetsorganisasjonen til HiT inngår følgende roller: Høgskolestyret Rektor og direktør Informasjonssikkerhetsansvarlige (CISO- Chief Information Security Officer) Informasjonssikkerhetsforum Viserektor for utdanning, dekaner, instituttledere, biblioteksjef, PO-direktør, økonomidirektør og arkivleder Viserektor for FOU og dekanene Prosjektledere i forskningsprosjekter Prosjektledere i helsefaglige prosjekter IT-tjenesten og IT-sikkerhetsansvarlige Driftstjenesten Brukere (ansatte, studenter, gjester). Nedenfor følger en gjennomgang av hvilket ansvar og hvilke arbeidsoppgaver de ulike rollene i sikkerhetsorganisasjonen er pålagt å ivareta. 4.2 Ansvarsbeskrivelser 4.2.1 Høgskolestyret: Myndighet: Behandler og vedtar styringssystemet for informasjonssikkerhet ved HiT og vesentlige endringer i styringssystemet, spesielt gjelder dette endringer i policy, sikkerhetsmål og kriterier for akseptabel risiko. Kan stille krav til det videre arbeidet med informasjonssikkerhet ved HiT. Rapportering: Styret skal informeres årlig om arbeidet med informasjonssikkerhet av rektor. Styret skal informeres om spesielt alvorlige sikkerhetsbrudd av rektor. 4.2.2 Rektor og direktør: Myndighet og delegasjon: Rektor delegerer det overordnede daglige ansvaret for informasjonssikkerheten ved HiT til direktøren. Direktøren oppnevner medlemmer av informasjonssikkerhetsforumet ved HiT. Direktør kan delegere ansvaret for utøvelsen av daglige oppgaver til CISO, herunder også oppnevnelse av medlemmer til informasjonssikkerhetsforum. Drift og ressurser: Direktøren skal sørge for at styringssystemet for informasjonssikkerhet blir innført, satt i drift og vedlikeholdt. Dato: 13.11.2014 Ver.2.0 Side 8 av 14
Policy for informasjonssikkerhet Direktøren skal sørge for at det avsettes tilstrekkelige ressurser til arbeidet med informasjonssikkerhet, herunder opplæring og kompetanseheving. Kontroll og rapportering: Rektor og direktør skal holde seg orientert om arbeidet med informasjonssikkerhet. Rektor og direktør skal årlig gjennomgå status for arbeidet med informasjonssikkerhet ved HiT (Ledelsens gjennomgang). Rektor skal årlig rapportere status for arbeidet med informasjonssikkerhet til høgskolestyret og informere styret om spesielt alvorlige sikkerhetsbrudd. Rektor skal, dersom det er nødvendig, foreslå endringer i styringssystemet (sikkerhetsmål, -strategi, akseptabel risiko og organisering) til høgskolestyret. Direktøren skal meddele Datatilsynet alvorlige brudd på konfidensialiteten til personopplysninger som behandles ved HiT. 4.2.3 Informasjonssikkerhetsansvarlige (CISO): Myndighet og ansvar: Skal i det daglige utøve høgskoleledelsens ansvar for informasjonssikkerheten ved HiT. Planlegger og leder arbeidet i informasjonssikkerhetsforumet ved HiT. Tilstand og oversikt: Skal ha oversikt over informasjonsverdier som behandles og IT-løsninger som benyttes ved HiT. Skal holde seg orientert om informasjonssikkerhetstilstanden ved HiT, herunder motta avviksmeldinger fra fakulteter, avdelinger, andre enheter og forskningsprosjekter. Revisjoner og rapporter: Skal gjennomføre revisjoner av arbeidet med informasjonssikkerhet ved fakulteter, institutter, andre enheter og i forskningsprosjekter. Skal utarbeide rapport om informasjonssikkerhetsarbeidet til høgskoleledelsens årlige gjennomgang. Opplæring, informasjon og bistand: Skal gi opplæring i praktisk informasjonssikkerhetsarbeid til ledere, administrativt og vitenskapelige ansatte, prosjektledere og prosjektdeltakere i forskningsprosjekter dersom det er nødvendig. Skal, der hvor det er nødvendig, initiere og bistå fakulteter, institutter, enheterer og forskningsprosjekter ved planlegging, gjennomføringen og oppfølging av konkrete sikkerhetsoppgaver, spesielt risikovurderinger, iverksetting av sikringstiltak og inngåelser av avtaler med betydning for informasjonssikkerheten (SLA, databehandleravtaler og liknende). Skal informere brukerne (ansatte, studenter, gjester, osv.) om trusler mot informasjonssikkerheten. 4.2.4 Informasjonssikkerhetsforum: Myndighet og ansvar: Dato: 13.11.2014 Ver.2.0 Side 9 av 14
Policy for informasjonssikkerhet Skal gi råd til høgskoleledelsen om tiltak/initiativ som fremmer informasjonssikkerheten, herunder ressursbehov. Skal koordinere planleggingen og gjennomføringen av tiltak/initiativ på informasjonssikkerhetsområdet som omfatter hele institusjonen. Ledelse og sammensetning: Arbeidet planlegges og ledes av CISO. Forumet består for øvrig av 4-6 vitenskapelige og administrative ledere/ansatte, og eventuelt én representant for studentene. Medlemmene kan skiftes ut hvert annet år. Forumet møtes minst én gang hvert semester eller ved behov. Øvrige oppgaver: Skal holde seg orientert om tilstanden på informasjonssikkerhetsområdet, herunder nye trusler mot HiT sine informasjonsverdier. Skal gjennomgå meldte avvik og sikkerhetshendelser. Skal gjennomgå resultater fra sikkerhetsrevisjoner. Skal behandle eventuelle forslag til endringer i mål, strategi og organisering i forkant av ledelsens gjennomgang. Kan foreslå konkrete mål for arbeidet med informasjonssikkerhet for neste periode (år) i forkant av ledelsens gjennomgang. 4.2.5 Viserektor for utdanning, dekaner, instituttledere, biblioteksjef, Markeds- og kommunikasjonssjef, POdirektør, økonomidirektør og arkivleder: Myndighet og delegasjon: Skal, etter delegasjon fra rektor, utøve det daglige ansvaret for informasjonssikkerhet innenfor sine ansvarsområder, herunder IT-systemer/tjenester som de har eierskapet til. Skal sørge for at vedtatte sikkerhetsmål, kriterier for akseptabel risiko og sikkerhetsstrategi blir fulgt opp innenfor sine ansvarsområder. Kan delegere utøvelsen av det daglige ansvaret for informasjonssikkerheten til én eller flere ansatte ved fakultetet eller enheten. Kartlegging, risikovurderinger og tiltak: Skal ha oversikt over hvilke informasjonsverdier og IT-løsninger enheten er ansvarlige for, inkludert hvilke forskningsdata som behandles. Skal sørge for at det jevnlig blir gjennomført risikovurderinger av: o o o o o IT-systemer/tjenester som enhetene har eierskap til. Bruk av eksterne IT-systemer/tjenester (fjerndrift). Bruk av IT-utstyr. Arbeidsprosesser (forskning, undervisning, formidling og administrasjon). Fysiske forhold som har betydning for informasjonssikkerheten. Dato: 13.11.2014 Ver.2.0 Side 10 av 14
Policy for informasjonssikkerhet o o Anskaffelse av IT-løsninger. Ved vesentlige endringer i arbeidsprosesser, IT-løsninger eller fysiske forhold. Skal sørge for at sikringstiltak blir iverksatt dersom risikovurderingene viser at informasjonssikkerheten ikke er tilfredsstillende, herunder bestille tekniske og fysiske sikringstiltak fra IT- eller driftstjenesten. Informering og opplæring: Skal sørge for at administrativt og vitenskapelige ansatte med ansvar for konkrete sikkerhetsoppgaver og prosjektledere/deltakere har kompetanse til å utføre sine oppgaver, for eksempel ved å be CISO om bistand til opplæring. Skal sørge for at alle brukere i sin enhet (ansatte, studenter, gjester) er kjent med de rutiner som til enhver tid gjelder for behandling av informasjonsverdier i administrasjon, undervisning, forskning og formidling. Avviksmelding og avvikshåndtering: Skal sørge for at alle brukere i sin enhet (ansatte, studenter, gjester) er kjent med de prosedyrer som til enhver tid gjelder for melding av rutineavvik og sikkerhetsbrudd. Skal sørge for at alle avvik og sikkerhetsbrudd i sin enhet blir lukket, herunder be om assistanse fra ITeller driftstjenesten ved håndtering av tekniske eller fysiske sikkerhetsbrudd dersom det er nødvendig. Revisjoner og avtaler: Skal sørge for at CISO får nødvendig bistand ved gjennomføring av sikkerhetsrevisjoner. Skal, innenfor sine ansvarsområder, sørge for at det inngås databehandleravtaler eller andre avtaler med eksterne aktører for å ivareta informasjonssikkerheten (for eksempel SLA), herunder sikre at avtalevilkårene respekteres. 4.2.6 Viserektor for FOU og dekanene: Myndighet og delegasjon: Viserektor for forskning er forskningsansvarlig og har det overordnede ansvaret for informasjonssikkerheten i forskningsprosjekter. Viserektor for forskning delegerer utøvelsen av sitt ansvar for informasjonssikkerheten i forskningsprosjekter til faglig ledelse ved fakultetene (dekanene). Dekanene skal ha oversikt over hvilke forskningsprosjekter som gjennomføres ved fakultetet. Dekanene skal sørge for at vedtatte sikkerhetsmål, kriterier for akseptabel risiko og sikkerhetsstrategi blir fulgt opp i forskningsprosjekter. 4.2.7 Prosjektledere i forskningsprosjekter Myndighet og ansvar: Skal sørge for at vedtatte sikkerhetsmål, kriterier for akseptabel risiko og sikkerhetsstrategi blir ivaretatt i prosjekter de er ledere for. Skal melde forskningsprosjekter til faglig ledelse ved fakultetet/enheten. Dato: 13.11.2014 Ver.2.0 Side 11 av 14
Policy for informasjonssikkerhet Skal, dersom det er nødvendig, melde forskningsprosjekter til lokalt personvernombud eller til Norsk Samfunnsvitenskapelig Datatjeneste. Kartlegging, risikovurderinger og tiltak: Skal ha oversikt over hvilke informasjonsverdier og IT-løsninger som behandles eller benyttes i forskningsprosjekter. Skal sørge for at det gjennomføres risikovurderinger ved oppstart av forskningsprosjekter og jevnlig ved langvarige prosjekter. Risikovurderingene bør omfatte prosjektets bruk av: o IT-systemer/tjenester interne og eksterne som anvendes i prosjektene. o IT-utstyr. o Fysiske forhold som har betydning for informasjonssikkerheten i forskningsprosjekter. o Anskaffelse av IT-løsninger i forskningsprosjekter. o Ved vesentlige endringer i forskningsprosjektet og endringer i IT-løsninger eller fysiske forhold. Skal sørge for at sikringstiltak blir iverksatt dersom risikovurderingene viser at informasjonssikkerheten i prosjektene ikke er tilfredsstillende, herunder bestille tekniske og fysiske sikringstiltak fra IT- og driftstjenesten. Informering og opplæring: Skal sørge for at prosjektdeltakere har kompetanse til å utføre sine sikkerhetsoppgaver, for eksempel ved å be CISO om bistand til opplæring. Skal sørge for at alle prosjektdeltakerne er kjent med de rutiner som til enhver tid gjelder for behandling av informasjonsverdier i forskning. Avviksmelding og avvikshåndtering: Skal sørge for at alle prosjektdeltakerne er kjent med de prosedyrer som til enhver tid gjelder for melding av rutineavvik og sikkerhetsbrudd. Skal sørge for at alle avvik og sikkerhetsbrudd blir lukket, herunder be om assistanse fra IT- eller driftstjenesten ved håndtering av tekniske eller fysiske sikkerhetsbrudd dersom det er nødvendig. Revisjoner og avtaler: Skal sørge for at CISO får nødvendig bistand ved gjennomføring av sikkerhetsrevisjoner av forskningsprosjekter. Skal sørge for at det inngås databehandleravtaler eller andre avtaler med eksterne aktører i forskningsprosjekter for å ivareta informasjonssikkerheten (for eksempel SLA), herunder sikre at avtalevilkårene respekteres. 4.2.8 Prosjektledere i helsefaglige forskningsprosjekter: Skal følge de særskilte godkjennings- og saksbehandlingsreglene som gjelder ved oppstart, gjennomføring og avslutning av helsefaglige forskningsprosjekter.3 3 Jf. https://www.etikkom.no/. Dato: 13.11.2014 Ver.2.0 Side 12 av 14
Policy for informasjonssikkerhet Skal, så langt det er hensiktsmessig, følge anbefalingene i Personvern og informasjonssikkerhet i forskningsprosjekter innenfor helse- og omsorgssektoren, spesielt med hensyn til sikring av forskningsdata/forskningsfiler, koblingsnøkler og nøkkelfiler.4 4.2.9 IT-tjenesten og IT-sikkerhetsansvarlige: Myndighet og delegasjon: IT-sjefen har det samme ansvaret for informasjonssikkerheten innenfor sin avdeling/ansvarsområde som ledere av andre enheter, jf. 4.2.5. Skal sørge for at vedtatte sikkerhetsmål, kriterier for akseptabel risiko og sikkerhetsstrategi blir fulgt opp ved investeringer i og drift av IT-løsninger. IT-sjefen kan delegere til IT-sikkerhetsansvarlige. IT-sikkerhetsansvarlige skal bl.a. følge opp sikkerhetshendelser. Registrering og dokumentasjon: IT-sjefen skal registrere og dokumentere all autorisert og forsøk på uautorisert bruk av IT-løsninger som inneholder personopplysninger. IT-sjefen skal registrere og dokumentere alle sikkerhetshendelser/brudd som gjelder IT-løsninger ved HiT. Ekstern bistand og avtaler: IT-sjef og IT-sikkerhetsansvarlige skal bistå enhetene ved risikovurderinger av teknisk sikkerhet (interne og eksterne IT-løsninger) dersom dette er nødvendig, eller når de blir bedt om bistand fra enhetene selv. IT-sjef og IT-sikkerhetsansvarlige skal bistå enhetene ved utforming og iverksetting av IT-tekniske sikringstiltak. IT-sjef og IT-sikkerhetsansvarlige skal, på forespørsel, bistå enhetene ved håndtering av tekniske sikkerhetsbrudd. IT-sjefen skal, innenfor sine ansvarsområde, sørge for at det inngås databehandleravtaler eller andre avtaler med eksterne aktører som har betydning for informasjonssikkerheten (for eksempel SLA med systemleverandører), herunder sikre at avtalevilkårene respekteres. 4.2.10 Driftstjenesten: Myndighet og delegasjon: Driftssjefen har det samme ansvaret for informasjonssikkerheten innenfor sin avdeling/ansvarsområde som ledere av andre enheter, jf. 4.2.5. Skal sørge for at vedtatte sikkerhetsmål og kriterier for akseptabel risiko blir fulgt opp ved nybygg eller bygningsmessige endringer som har betydning for informasjonssikkerheten. Fysisk sikkerhet: 4 Tilgjengelig på http://www.helsedirektoratet.no/lover-regler/norm-forinformasjonssikkerhet/dokumenter/veiledere/documents/veileder_personvern-og-informasjonssikkerhet-iforskningsprosjekter-v11.pdf. Dato: 13.11.2014 Ver.2.0 Side 13 av 14
Policy for informasjonssikkerhet Skal sørge for at sikring av tilgang til bygninger, rom og områder er i tråd med kriterier for akseptabel risiko. Bistand og avtaler: Skal bistå fakulteter, avdelinger eller enheter ved risikovurderinger av fysisk sikkerhet og ved gjennomføring av nødvendige fysiske sikringstiltak. Skal, på forespørsel, bistå enhetene ved håndtering av fysiske sikkerhetsbrudd. Skal, innenfor sine ansvarsområde, sørge for at det inngås databehandleravtaler eller andre avtaler med eksterne aktører som har betydning for informasjonssikkerheten (for eksempel SLA med vaktselskaper), herunder sikre at avtalevilkårene respekteres. 4.2.11 Brukerne (ansatte, studenter, gjester, osv.): Ansvar: Skal overholde de rutiner og retningslinjer som til enhver tid gjelder for sikker håndtering av informasjonsverdier og personopplysninger. Oppgaver: Ansatte skal bistå ved planlegging, gjennomføring eller oppfølging av konkrete sikkerhetsoppgaver dersom de blir bedt om det. Alle brukere skal benytte avviksmeldingssystemet for å rapportere avvik fra vedtatte rutiner/retningslinjer og brudd på informasjonssikkerheten. 5 Dokumentasjon HiT skal dokumentere sikkerhetsarbeidet i henhold til føringene i denne policy, og i tråd med god praksis for arbeid med informasjonssikkerhet i UH-sektoren. Direktøren legger frem endringer i policy for styret. Øvrig dokumentasjon forvaltes av direktøren. Dato: 13.11.2014 Ver.2.0 Side 14 av 14
Høgskolen i Telemark Styret Møtedato: 18.12.14 Saksnummer: S-sak 108/14 Saksbehandler: Journalnummer: Cecilia B. Guddal 14/01700 POLITIKK FOR IMMATERIELLE RETTIGHETER VED HØGSKOLEN I TELEMARK Saken i korte trekk Saken gjelder forslag til politikk for immaterielle rettigheter ved Høgskolen i Telemark. Forslaget fra en arbeidsgruppe til overordnet politikk for HiT er i all hovedsak i samsvar med gjeldende praksis i store deler av sektoren, og en videreføring av den regulering HiT allerede har påbegynt i politikken for Open Access, arbeidstakeroppfinnelser og ph.d.-forskriften. Problemstillinger knyttet til studenters arbeid og forholdet mellom studenter, institusjonen og veileder er ikke tatt med i forslaget. Det anbefales at regelverket rundt immaterielle rettigheter for studenter blir samlet og publisert i et eget dokument. Tilråding Med forbehold om mulige endringer som følge av drøftingsmøte med tjenestemannsorganisasjonene 15.12.14, tilrår jeg at styret gjør slikt vedtak: 1. Styret vedtar Politikk for immaterielle rettigheter ved Høgskolen i Telemark i henhold til utkast av 26.11.14. 2. Styret ber rektor om å fastsette forslag til mal for Avtale om publisering av åndsverk på nett i henhold til utkast versjon 1C. 3. Styret ber rektor om å fastsette forslag til veileder «Opphavsrett ved bruk av digitale læringsressurser i undervisningen- en kort veiledning til ansatte og studenter», i henhold til utkast versjon 1C. 4. Styret ber rektor om å utarbeide og publisere et sammenfattende dokument knyttet til studenters immaterielle rettigheter. Bakgrunn Utvikling og økt bruk av digitale læringsressurser i forbindelse med e@hit har medført at det særlig er et behov for å regulere rettighetsfordeling og bruk av læringsressurser mellom HiT og ansatte, og mellom HiTs ansatte og studenter. Styret ved Høgskolen i Telemark (HiT) behandlet i møte 29.11.07 sak om håndtering av immaterielle rettigheter knyttet til vitenskapelig tilsattes rettigheter til publisering av oppfinnelser, jf. S-sak 120/07. Denne saken omhandlet hvordan ordningen for håndtering av immaterielle rettigheter innenfor rammene av arbeidstakeroppfinnelsesloven, dvs. patenterbare oppfinnelser og gjelder kun arbeidsgivers rett til å overta patenterbare oppfinnelser utviklet av arbeidstakere i arbeidsforholdet. Håndtering av immaterielle rettigheter er imidlertid et vidtfavnende og komplekst område som krever ytterligere regulering. I saksfremlegget til S-sak 120/07 uttalte daværende høgskoledirektør at styret på
2 et senere tidspunkt ville få seg forelagt en sak som skulle dekke hele området, inklusive en overordnet politikk for immaterielle rettigheter ved HiT. Det følger av Plan for verksemda ved HiT for 2014, tiltak under pkt. 1.1, 1.2, 3.1 og 3.2 at HiT i perioden skal: «Vidareutvikle HiTs satsing på e-læring» (Pkt. 1.1 og 1.2.), og «Vidareutvikle retningslinjer og avtalar for handtering av immaterielle rettar for tilsette og studentar ved høgskolen» (Pkt. 3.1 og 3.2). På dette grunnlag oppnevnte rektor i notat av 05.12.13 en arbeidsgruppe med mandat til å legge fram forslag til politikk for håndtering av immaterielle rettigheter og forslag til veileder, retningslinjer og avtalemaler på dette området. Forslaget til politikk kan kort oppsummeres i følgende punkter: 1. Høgskolen i Telemark anerkjenner den enkelte opphavsmanns rettigheter til å råde over eget verk. Dette innebærer at Høgskolen i Telemark i begrenset grad ønsker å overta og forvalte den enkelte tilsattes immaterielle rettigheter. 2. Høgskolen i Telemark ønsker at alle immaterielle rettigheter utviklet av ansatte skal komme samfunnet til gode. Høgskolen i Telemark vil oppfordre til, og legge til rette for, utstrakt bruk av deling av ressurser utviklet av egne tilsatte gjennom for eksempel Open Access og bruk av Creative Commons. 3. Høgskolen i Telemark overtar opphavsrettigheter til kataloger, databaser og datamaskinprogrammer og standardisert undervisningsmateriell tilsatte utvikler særskilt for høgskolen. Dette er allerede hjemlet i åndsverksloven og eksisterende arbeidsavtale. 4. Endringen er at Høgskolen i Telemark får en ikke-eksklusiv bruksrett til annet opphavsrettsbeskyttet materiell som tilsatte utvikler i kraft av sitt ansettelsesforhold. Denne retten omfatter bare bruk til videre undervisning, forskning og formidling og gir ikke høgskolen rett til kommersiell utnyttelse av resultatene. 5. I høgskolens tilsettingsavtale skal det tas inn et punkt om fordeling av immaterielle rettigheter mellom høgskolen og den tilsatte. Tillegget vil gjelde for nye tilsatte. Øvrige tilsatte vil få tilbud om å signere et tillegg til eksisterende arbeidsavtale. 1. For å delta i eksternt finansierte prosjekter er det en forutsetning at det er inngått avtale mellom høgskolen og den tilsatte om fordelingen av immaterielle rettigheter. 2. Annen utnyttelse av åndsverk utviklet av egne tilsatte må avtales særskilt. I forslaget er det ikke tatt høyde for problemstillinger knyttet til studenters arbeid og forholdet mellom studenter, institusjonen og veileder. Høringsinstansene i høringen høsten 2014, ble derfor bedt om å gi tilbakemelding på om også disse problemstillingene burde være en del av politikken. Forslag til veileder og avtalemal var på høring ved fakultetene våren 2014. Forslag til Politikk for immaterielle rettigheter, veileder og avtalemal var på høring ved fakultetene, FoU-seksjonen, bibliotektjenesten og tjenestemannsorganisasjonene høsten 2014. S-sak 108/14
3 Alle fakultetene svarte innen fristen i høringen våren 2014. I høringen høsten 2014 har Fakultet for allmennvitenskapelige fag (AF), Fakultet for teknologiske fag (TF) og bibliotektjenesten gitt høringssvar. Vurdering Jeg konstaterer at forslaget til overordnet politikk for HiT i all hovedsak er i samsvar med gjeldende praksis i store deler av sektoren, og en videreføring av den regulering HiT allerede har påbegynt i politikken for Open Access (S-sak 34/13), arbeidstakeroppfinnelser (S-sak 120/07) og ph.d.-forskriften (S-sak 62/13). Jeg registrerer at det har kommet tre høringssvar, fra AF, TF og bibliotektjenesten. I sitt høringsforslag foreslår AF at henvisning til «forskeren som har kommet frem til resultatene navngis» i pkt. 2.2.1, endres til «personen som har kommet frem til resultatene navngis». Dette er jeg enig i og forslaget fra AF er inkludert i forslaget til politikk. AF peker også på at under pkt 2.2.2.7 Fysisk materiell, innledes det med at «Fysisk materiell er i utgangspunktet ikke omfattet av immaterialrettsbegrepet». AF skriver videre at de påfølgende omtalte forskningsreagenser i samme punkt kan, viss utviklet ved HiT alene eller i samarbeid med andre, være gjenstand for immateriell beskyttelse i form av patentbeskyttelse. Kjemiske forbindelser i reagenser som medvirker til at vi får et oppsiktsvekkende resultat faller klart inn under lov om patenter». Jeg er enig i at forholdet til patentering bør presiseres i politikken, og har derfor lagt til følgende setning i pkt. 2.2.2.7 om Fysisk materiell i forslag til politikk: «Fysisk materiell som utvikles ved HiT vil også kunne patenteres der vilkårene for patentering er tilstede.» TF skriver i sitt høringssvar at når det gjelder varemerkeregistrering kan det virke som om en 10 år gammel instruks fra departementet er gitt presedens over logikken som råder i resten av dokumentet. Jeg ser at dette er et forhold som gjelder mellom Kunnskapsdepartementet og institusjonene og faller utenfor mandat for politikken. Når det gjelder TFs kommentar om at varemerke bør behandles på samme måte som design, viser jeg til at dette er regulert i to ulike lover og derfor må behandles etter de to respektive lovsett. I sitt høringssvar påpeker Bibliotektjenesten at omtalen av Open Access bør utvides ved blant annet å henvise til Open Access-kravene i Horizon 2020 og NFRs prinsipper for åpen publisering fra 2014. Jeg mener her at det er tilstrekkelig med en henvisning til at også disse finansieringskildene legger opp til at resultater skal publiseres under Open Access. Dette er nå inkludert i vedlagte forslag til politikk for immaterielle rettigheter ved HiT. Bibliotektjenesten anbefaler videre at politikken bør begrenses til å gjelde ansatte inkludert stipendiater og at studenter holdes utenfor. Jeg er enig i at politikken avgrenses til å gjelde ansatte inkludert stipendiater. Biblioteket påpeker at dette ikke er konsekvent gjennomført i dokumentene, blant annet ved at studenter er omtalt i politikkens pkt. 2.2.2.3. Jeg merker meg at pkt. 2.2.2.3 «Studenter» ligger under punkt 2.2.2. Avgrensing. Pkt. 2.2.2.3 beskriver en avgrensning av mandatet og jeg mener derfor at punktet ikke bør endres. Når det gjelder henvisning til studenter i avtalen om publisering av åndsverk på nett, er dette ikke en del av politikken, men et praktisk verktøy for å publisere digitale verk, uavhengig av om man er tilsatt eller student. Jeg anbefaler av den grunn at avtalemalen ikke endres. Biblioteker viser også til den vedlagte veileder til ansatte og studenter om opphavsrett ved bruk av digitale læringsressurser i undervisningen. Veilederen er ikke en del av politikken, men bygger på denne. Ettersom målgruppen for veilederen er både ansatte og studenter, mener jeg det er hensiktsmessig kort å fastslå hovedregelen for studenters opphavsrett. Det er derfor ikke gjort noen endringer i forslag til politikk på dette punktet. Jeg ser samtidig at det kan være hensiktsmessig at regelverket rundt immaterielle rettigheter for studenter blir samlet og publisert i et eget dokument og S-sak 108/14
4 jeg anbefaler at dette blir gjort i etterkant av fastsettelse av Politikk for immaterielle rettigheter for Høgskolen i Telemark. Til slutt merker jeg meg at styret i Høgskolen i Buskerud og Vestfolds (HBV) vedtak i sak 114/14 V - Immaterielle rettigheter (IPR) policy HBV, 31.10.14, er tilsynelatende av samme omfang når det gjelder arbeidsgivers rett til å gjøre bruk av ansattes åndsverk som forslaget til politikk for immaterielle rettigheter ved HiT. Kristian Bogen rektor Vedlegg: 1. Politikk for immaterielle rettigheter ved Høgskolen i Telemark, utkast av 26.11.14 2. Opphavsrett ved bruk av digitale læringsressurser i undervisningen en kort veiledning til ansatte og studenter, utkast - versjon 1C 3. Avtale om publisering av åndsverk på nett, utkast - versjon 1C S-sak 108/14
S-sak 108/14 Politikk for immaterielle rettigheter ved Høgskolen i Telemark
Forord Dette dokumentet utgjør forslag til politikk for immaterielle rettigheter ved Høgskolen i Telemark og er utarbeidet av en arbeidsgruppe. Mandat for og sammensetning av arbeidsgruppen ble fastsatt av rektor 05.12.2013. Det følger av mandatet at arbeidsgruppen skulle legge fram forslag til politikk for håndtering av immaterielle rettigheter og forslag til veileder, retningslinjer og avtalemaler på området. Arbeidsgruppens sammensetning var som følger: Åshild Kise (Utdanningsseksjonen) leder Kristine Langerød (FoU-seksjonen) Hjørdis Hjukse (Prosjektet e@hit) Magne Hegna (PO-seksjonen) Lars André Tokheim (Teknologisk fakultet) Etter en høringsrunde i organisasjonen legges nå forslaget fram for styret til behandling. Porsgrunn, november 2014 2
Innhold 1 Sammendrag... 5 2 Innledning... 5 2.1 Hva er immaterielle rettigheter?... 5 2.2 Omfang og avgrensning... 6 2.2.1 Omfang... 6 2.2.2 Avgrensning... 7 2.3 Hvorfor en politikk for immaterielle rettigheter?... 9 3 Eksterne føringer... 9 3.1 UH-loven... 9 3.2 Arbeidstakeroppfinnelsesloven... 9 3.3 Navigering mellom barken og veden... 10 3.4 Stortingsmeldingen(e)... 10 3.5 Forskningsrådet... 11 3.6 EU som forskningsfinansierende institusjon... 11 3.7 IPR politikk ved andre UH-insitiusjoner... 12 3.7.1 UiO... 12 3.7.2 NTNU... 13 3.7.3 UiB... 14 3.7.4 HiVe... 14 3.7.5 HiOA... 14 3.7.6 HiST... 15 3.8 Creative Commons og Open Access... 15 4 Interne vurderinger... 16 4.1 Arbeidsgivers styringsrett... 17 5 Immaterielle rettigheter ved Høgskolen i Telemark... 18 5.1 Immaterielle rettigheter finansiert av offentlige midler... 19 5.1.1 Design... 19 5.1.2 Patent... 19 5.1.3 Varemerke... 20 3
5.1.4 Opphavsrett... 20 5.2 Immaterielle rettigheter finansiert av private midler... 21 5.2.1 Design... 22 5.2.2 Patent... 22 5.2.3 Varemerke... 22 5.2.4 Opphavsrett... 22 6 Forslag til politikk... 23 7 Vedlegg... 24 4
1 Sammendrag Høgskolen i Telemark har allerede tatt standpunkt til håndteringen av immaterielle rettigheter på flere, løsrevne områder. Forslaget til politikk for HiT inkorporerer disse enkeltreguleringene i et større hele. I forslaget til politikk er andre institusjoners politikk også vurdert. Det å ha en politikk som avviker sterkt fra resten av sektoren oppfattes ikke som ønskelig. Føringer fra finansierende institusjoner er også innbakt i vurderingene som er foretatt. I forslaget er det lagt opp til en politikk som i liten grad avviker fra eksisterende praksis, men det er i dokumentet gitt en mer omfattende og samlet fremstilling av praktiske og juridiske problemstillinger knyttet til politikken for immaterielle rettigheter. Politikken er både i utforming og realitet svært lik UiOs politikk. Høgskolen ønsker i begrenset grad å overta immaterielle rettigheter fra tilsatte, og betinger seg kun en rett til bruk av materiellet innenfor det som er høgskolens kjernevirksomhet, nemlig undervisning, forskning og formidling. Kommersiell utnyttelse av materiellet kan ikke skje uten særskilt avtale Politikken vil utgjøre en rettesnor i spørsmålet om hvordan immaterielle rettigheter skal håndteres ved HiT. 2 Innledning 2.1 Hva er immaterielle rettigheter? Immaterielle rettigheter er, litt upresist sagt, en samlebetegnelse for rettigheter til resultatene av noens tankevirksomhet; en bok, en oppfinnelse, et maleri, et nytt strikkemønster eller for eksempel ny musikk. Et annet begrep som er mye brukt for immaterielle rettigheter er IPR. IPR er en forkortelse for det engelske begrepet Intellectual Property Rights som altså betyr immaterielle rettigheter. Immaterielle rettigheter kan man beskytte mot (mis)bruk fra andre. Det er to slike beskyttelsesmetoder som er nedfelt i norsk rett. Det ene er beskyttelsen av materiell som faller inn under kategorien "åndsverk", og det andre er patent, design- og varemerkeregistrering. De to metodene er vesensforskjellige i den forstand at åndsverk får sin beskyttelse uten at man behøver å foreta seg noe, mens patenter, design og varemerker må registreres for å få beskyttelse mot utenforstående. Ved høgskolen, i likhet med veldig mange andre arbeidsplasser, oppstår det immaterielle rettigheter ved tilsattes arbeidsinnsats hver dag. Hva slags immaterielle rettigheter snakker vi om da? Den immaterielle rettigheten som sannsynligvis oftest oppstår, er opphavsretten. Opphavsrett er regulert i lov av 12. mai 1961 nr 2 om opphavsretten til åndsverk, åndsverkloven (åvl.). Forelesninger vil for eksempel i de aller fleste tilfeller være åndsverk som er opphavsrettsbeskyttet, jfr åvl. 1 pkt 2). Denne bestemmelsen fastslår at et foredrag er et åndsverk. Det samme gjelder skriftlig materiell som artikler, kronikker, powerpointer med mer. Det er videre slik at det ikke er skriftligheten som er avgjørende, men muligheten til reproduksjon. Opptak av musikkverk eller en skulptur vil også være 5
opphavsrettsbeskyttet. Fordelingen av eiendomsretten til opphavsrettigheter som oppstår som følge av ansettelsesforhold er ikke regulert i lovs form, og vil være hovedtema i dette dokumentet. Andre immaterielle rettigheter som fra tid til annen oppstår ved høgskolen er patentrettigheter, det vil si at noen av høgskolens tilsatte har funnet opp noe som kan patenteres. Det kan være en gjenstand, en arbeidsprosess eller noe annet nytt og reproduserbart. 2.2 Omfang og avgrensning 2.2.1 Omfang Retten til å bli navngitt som oppfinner, opphavsmann, designer eller den som på annen måte står bak det verket eller produktet kan ikke noen andre overta 1. Det betyr at selv om arbeidsgiver for eksempel kan overta retten til å bruke forskningsresultater til videre forskning og undervisning, så skal den personen som har kommet frem til resultatene navngis. Når spørsmålet om overdragelse drøftes videre i dokumentet, er aldri navngivningsretten omfattet av disse drøftelsene. Som nevnt ovenfor er den immaterielle rettigheten som trolig oppstår oftest ved høgskolen, opphavsretten. Hvem som skal ha rettighetene til videre utnyttelse av opphavsrettsbeskyttede verk er ikke avklart. Av den grunn blir det opphavsretten som kommer til å behandles i dette dokumentet. Det er foretatt en undersøkelse av hvilke typer åndsverk som fakultetene erfarer at oppstår ved HiT, og tilbakemeldingene viser at følgende åndsverk skapes ved høgskolen: Data/databaser (forskningsmateriell) Patenter Skjønnlitterære verk Skjønnlitterære oversettelser Komposisjoner/musikkverk Muntlige foredrag Kart, samt tegninger og grafiske og plastiske avbildninger av vitenskapelig eller teknisk art Skrifter av alle slag Sceneverk, så vel dramatiske og musikkdramatiske som koreografiske verk og pantomimer, samt hørespill Filmverk Fotografiske verk Malerier, tegninger, grafikk og lignende billedkunst Skulpturer av alle slag Bygningskunst, så vel som tegninger og modeller av selve byggverket Billedvev og gjenstander av kunsthåndverk og kunstindustri, så vel forbildet som selve verket Oversettelser og bearbeidelser av verk som nevnt foran Datamaskinprogrammer Vi kan ta utgangspunkt i at det i realiteten vil oppstå alle slags typer åndsverk ved HiT. 1 Jfr Åvl 3 og 11 6
2.2.2 Avgrensning 2.2.2.1 Typer immaterielle rettigheter Andre immaterielle rettigheter som fra tid til annen oppstår ved høgskolen er patentrettigheter, det vil si at noen av høgskolens tilsatte har funnet opp noe som kan patenteres. Det kan være en gjenstand, en arbeidsprosess eller noe annet nytt og reproduserbart. Patentrettigheter er regulert både i patentloven og i lov om arbeidstakeroppfinnelser. HiT har allerede regulert håndtering av patentrettigheter internt 2, så patent vil bare behandles overfladisk her. Videre kan det oppstå immaterielle rettigheter som for eksempel rettigheter til en utviklet design 3. Vi har også tilfeller der høgskolen kunne ønske å registrere et varemerke. Både design og varemerkerett er immaterielle rettigheter, men vil ikke behandles utfyllende i dette dokumentet. I forslaget til politikk må vi ta hensyn til eksisterende rett, politiske føringer fra våre eiere og hovedprinsipper fra andre finansierende institusjoner. Det er en vesensforskjell mellom offentlig og privat finansiering som tilsier ulik behandling av immaterielle rettigheter som stammer fra de ulike kildene. Immaterielle rettigheter finansiert av privat sektor vil ofte være forskningsresultat, men man kan tenke seg tilfeller der også undervisningsoppdrag eller design og kunstoppdrag faller inn under dette. 2.2.2.2 Offentlig myndighetsutøvelse og administrativt arbeid Når det gjelder åndsverk, går det et prinsipielt skille mellom deler av det administrative arbeidet og annet arbeid utført ved høgskolen. Det er fordi ikke alt skriftlig materiell er opphavsrettsbeskyttet. Unntaket gjelder skriftlige «vedtak» samt «forslag, utredninger og andre uttalelser» som innholdsmessig er å anse som offentlig myndighetsutøvelse. Det vil si at tekster skrevet av administrativt tilsatte som hovedregel faller utenfor åndsverkloven. Tekster som ikke innebærer offentlig myndighetsutøvelse, som for eksempel interne notat, kan allikevel være beskyttet av åvl. Det gjelder også myndighetsutøvelse som ikke nødvendigvis er offentlig, som brev om tilsetting eller utredninger om organisering. Eksamenssensur vil være et eksempel på offentlig myndighetsutøvelse i denne sammenhengen, og derfor unntatt opphavsrettsbeskyttelsen. Det blir derfor en forenkling å si at administrativt tilsattes tekster eller «verk» ikke er beskyttet av opphavsretten mens faglig tilsattes tekster og «verk» er det. Men som en tommelfingerregel i hverdagen, kan det være greit å forholde seg til. Slikt skriftlig materiell vil ikke bli behandlet nærmere her. 2.2.2.3 Studenter Studenter har ikke den samme formelle relasjonen til høgskolen som arbeidstakere har. Hovedregelen om at den som utviklet verket og har opphavsretten til det, vil imidlertid også gjelde her. Skal for eksempel bacheloroppgaver eller masteroppgaver kunne benyttes i videre forskning eller undervisning ved høgskolen, må det avtales særskilt med opphavsmannen altså studenten. 2 Se S-sak 120/07 3 Lov av 14.mars 2003 nr 15 om beskyttelse av design (designloven) 7