IT-reglementet skal fremme form?lstjenlig bruk av universitetets IT-ressurser, utvikle bevissthet om akseptabel bruk og gi forutsigbare rammer for brukerne av disse ressursene
De aller fleste som p? en eller annen m?te er tilknyttet universitetet, er avhengig av og bruker universitetets IT-ressurser i sitt daglige og langsiktige virke. P? samme m?te er universitetet avhengig av utstrakt bruk av IT for ? ivareta sine oppgaver slik disse er nedfelt i lov- og regelverk. Samt for ? n? sine m?l slik de er beskrevet i universitetets strategi, ?rsplaner, og andre beslutninger og dokumenter. Hensikten med IT-reglementet er tredelt:
- Det skal gi brukerne forutsigbarhet og trygghet i sitt daglige arbeid
- Det skal gi veiledning i akseptabel, forsvarlig bruk av IT-ressursene
- Det skal sikre at IT-ressursene brukes effektivt og i tr?d med universitetets form?l, og tilsvarende forhindre at UiOs IT-ressurser i brukes til annet enn det som er UiOs hovedform?l
1. Virkeomr?de
IT-reglementet gjelder for enhver bruk av UiOs IT-ressurser. Reglementet gjelder ogs? bruk av tredjeparts IT-ressurser gjennom brukers tilknytning til UiO
Universitetets IT-ressurser omfatter alt av IT-utstyr, programvare, lagrings- og behandlingsressurser, brukertjenester, applikasjoner, systemer, driftstjenester, st?ttefunksjoner, nett og annet IT-relatert som til enhver tid stilles til disposisjon for brukerne. For ytterligere informasjon om dette se universitetets nettside om “IT-tjenester” og informasjon om lokale IT-tjenester p? den enkelte enhets nettsted. Reglementet omfatter ogs? bruk av andre organisasjoners og institusjoners IT-ressurser som brukerne f?r tilgang til gjennom sin tilknytning til universitetet.
V?r klar over at reglene i IT-reglementet ogs? gjelder n?r brukeren anvender privat utstyr p? universitetets nett og der universitetets IT-ressurser benyttes fra steder utenfor universitetets lokaler og omr?de, eksempelvis hjemmefra eller p? reise.
2. Brukernes rettigheter
1. UiO skal sette klare standarder og gi retningslinjer for hva som er forsvarlig bruk av UiOs IT-ressurser
Gjennom informasjon, dokumentasjon, st?ttetjenester og teknisk tilrettelegging av IT-ressursene stilt til r?dighet for brukerne, skal universitetet s? langt som mulig klargj?re for brukerne hva som er forsvarlig bruk av ressursene som stilles til disposisjon. I dette arbeidet er brukervennlighet, brukeropplevelse og forutsigbare omgivelser h?yt prioritert. Det skal ogs? legges vekt p? ? formidle god praksis og brukseffektivitet.
2. UiO skal til enhver tid holde sine brukere oppdatert via tilgjengelige kanaler om relevante forhold knyttet til IT-ressursene og brukernes anvendelse av disse
Universitetet vil s? langt som mulig informere brukerne om alle forhold som ang?r deres tilgang til og bruk av IT-ressursene. Spesielt gjelder dette ved driftsavbrudd og alvorlige sikkerhetshendelser, men det gjelder ogs? informasjon om endringer i eksisterende IT-ressurser, introduksjon av nye og avvikling av gamle. Ved planlagte driftsavbrudd eller endringer i tjenester skal UiO informere om konsekvensene for den enkelte bruker og brukergruppe.
UiO prioriterer h?yt informasjon til brukerne, men det er viktig ? v?re klar over at vi i en presset situasjon kanskje m? prioritere h?ndtering av en sikkerhets- eller driftshendelse f?r informasjon g?r ut til brukerne om den aktuelle hendelsen. Utover det sentrale nettstedet for IT-tjenestene, er det for tiden tre prim?re informasjonskanaler:
- I “澳门葡京手机版app下载 om IT” informeres det om endringer i tjenestetilbudet, introduksjon og avvikling av tjenester, informasjon om veilednings-, informasjons- og oppl?ringstiltak, samt informasjon av mer generell karakter
- I “Driftsmeldinger” legges det ut informasjon om hendelser som (uforutsette) driftsavbrudd, tjenesteutfall og lignende
- I “Planlagte endringer og driftsavbrudd” varslet planlagte handlinger som kan ha innvirkning p? brukernes tilgang til og bruk av tjenester
3. UiO skal ivareta brukernes personvern i tr?d med p?legg i lov- og regelverk og hindre at brukernes personopplysninger eller data krenkes, enten av UiO selv eller andre
Bestemmelsene i Personopplysningsloven og personopplysningsforskriften stiller strenge krav til UiO n?r det gjelder behandling av b?de ansattes, studenters og andres personopplysninger. Som behandlingsansvarlig skal UiO blant annet ha gode rutiner for ? utf?re planlagte og systematiske tiltak knyttet til behandling av personopplysninger, herunder ha regler om informasjonssikkerhet og internkontroll.
Universitetet har et selvstendig ansvar for ? gjennomg? oppsett, bruk og funksjonalitet for ? sikre at hverken UiO selv, eller andre som behandler disse data, kan krenke integriteten, svekke konfidensialiteten eller tilgjengeligheten av disse data n?r de behandles hos oss. . Ved UiO har vi eget personvernombud, vi har ansatte viss ansvar er ? f?lge opp behandlinger av personopplysninger ved UiO og vi har IT-sikkerhetssjef og et CERT som alle i fellesskap skal jobbe sammen for ? sikre at vi oppfyller lovens krav p? best mulig m?te. For mer informasjonse nettsidene om “IT-sikkerhet”, “Personvern ved UiO” og “Tjenester for sensitive data”.
4. UiO skal ikke utlevere opplysninger om enkeltbrukere eller data tilh?rende en bruker hvor dette ikke uttrykkelig f?lger av norsk lov eller internt reglement ved UiO
Universitetet lagrer betydelige mengder opplysninger om sine ansatte, studenter og andre brukere. I mange tilfeller er lagringen lovp?lagt, mens universitetet til en viss grad kan bestemme omfanget av lagringen av andre opplysninger, b?de hva som kan kobles sammen og hvor lenge opplysningene skal lagres i henhold til de til enhver tid gjeldende lover og regler.Intern behandling og forvaltning av disse opplysningene skal skje innenfor sikre omgivelser og f?lge god praksis p? omr?det, se nettsiden om “Personvern ved UiO”.
Opplysningene UiO har lagret om sine brukere skal og vil kun bli delt med andre i henhold til bestemmelser gitt i lov. UiO utleverer aldri opplysninger ut over det som kreves for ? oppfylle kravet etter de til enhver tid gjeldende lover p? omr?det, se blant annet den utfyllende bestemmelsen “Utlevering av opplysninger”.
3. Bruk av universitetets IT-ressurser
1. Tilgang til og bruk av UiOs IT-ressurser skal v?re i tr?d med UiOs form?l. IT-ressurser kan ikke brukes til noe som er uforenlig med UiOs form?l og verdigrunnlag
Vurderingen om den aktuelle bruk er akseptabel vil alltid v?re basert p? en konkret vurdering av hendelser og handlinger i lys universitetets oppgaver og prioriteringer. Til grunn for vurderingen av om en handling eller hendelse er i tr?d med akseptabel bruk eller ikke ligger en vurdering av tre forhold:
- Vurdering av faktisk bruk
- Form?let med denne bruken
- Hvilke ressurser den opptar.
Retningsgivende for vurderingen er universitetets verdier, prioriteringer og oppgaver slik de er nedfelt i universitetets form?l, strategi, vedtatte retningslinjer og andre bestemmelser, se “Strategi 2020” og nettsiden om “Regelverk og retningslinjer”.
Bruk som strider mot norsk lov vil naturligvis aldri v?re tillatt.
2. UiOs IT-ressurser kan kun brukes etter tillatelse ved at man f?r etablert en brukerkonto eller en begrenset (i tid og omr?de) gjestetilgang. Det ? f? en brukerkonto hos UiO betyr at man har rett til form?lstjenlig bruk av UiOs IT-ressurser
Det er viktig at universitetets IT-ressurser kun brukes av de som faktisk har f?tt rett til ? bruke dem. Grunnlaget for denne retten er den enkeltes tilknytning til universitetet og gis ved tildeling av brukerkonto i form av at brukernavn med tilh?rende passord. Brukerkonto for ansatte bygges p? grunnlag av informasjon om den ansatte i universitetets l?nns- og personalsystem SAP-DF?, mens brukerkonto for studenter bygges p? grunnlag av informasjon om den enkelte student i det studieadministrative systemet Felles studentsystem. Personer som ikke er ansatte eller studenter ved universitetet, men skal ha tilgang til universitetets IT-ressurser registreres som tilknyttet bruker i SAP-DF?, se Registrering som gjest i SAP-DF?, gjesteregistrering. Bes?kende kan f? begrenset tilgang som gjestebruker, se nettsiden om Gjestebruker.
Brukernavn og passord gir rett til ? anvende universitetets IT-ressurser i tr?d med til enhver tid gjeldende retningslinjer og regler ved universitetet. Hvilke IT-ressurser den enkelte bruker f?r tilgang til, er avhengig av vedkommendes tilknytning til universitetet og hvilke autoriseringer som f?lger av denne. N?rmere informasjon om dette finnes p? nettsiden “Brukernavn, passord og brukeradministrasjon”.
For UiOs web-sider, som er ?pne for alle, og liknende ressurser, som for eksempel ?pent tilgjengelige terminaler plassert rundt p? UiO sitt omr?de, er tillatelse gitt ved at ressursen nettopp er ?pent tilgjengelig.
3. Det er ikke tillatt ? bruke UiOs IT-ressurser p? en m?te som opptar st?rre ressurser enn n?dvendig, tatt tilgjengelige ressurser i betraktning. Bruk som ikke er begrunnet i UiOs form?l skal ikke oppta annet enn ubetydelige ressurser
Bruk av IT-ressursene skal skje med samme bevissthet som ved bruk av andre ressurser i samfunnet.
Sl?sing er med andre ord ikke tillatt. Det samme gjelder bruk som er i strid med bestemmelser i kontrakter, avtaler, bruksbetingelser eller lignende som m?tte v?re knyttet til enkelte IT-ressurser. Det er heller ikke lovlig ? bruke universietets IT-ressurser i kommersielt ?yemed.
Bruk som ikke er begrunnet i universitetets form?l er for eksempel privat bruk. Universitetet tillater normalt denne formen for bruk s? lenge den legger beslag p? minimalt med ressurser, ikke er til hinder for at andre brukere f?r utf?rt sine oppgaver eller er i strid andre punkter i IT-reglementet.
4. IT-ressursene skal ikke brukes p? en m?te som kan forringe eller krenke deres integritet
Denne bestemmelsen omfatter alle handlinger som medf?rer endringer i egenskapene, funksjonaliteten eller tilgjengeligheten av en IT-ressurs, og som ikke er begrunnet i tjenestemessige behov eller skjer uten samtykke fra eller uten avtale med tjenesteansvarlig.
Den ?penbare ikke-tillatte m?ten ? bruke IT-ressurser p? i denne sammenhengen er med overlegg ? skade dem fysisk eller ?delegge deres innhold eller egenskaper. I tillegg vil bruk som setter en ressurs i en s?rbar situasjon eller eksponerer universitetets IT-ressurser for brudd p? sikkerhet og ?pner dem for ikke-autorisert bruk. Dette kan for eksempel v?re ? ?l?ne bort? bruker med passord eller ?pne vedlegg som ?penbart er sendt for ? misbruke UiOs IT-ressurser.
5. Brukere har plikt til ? f?lge p?legg og instrukser om bruk av IT-ressursene. Der det er p?krevd skal brukere legitimere seg
Forvaltning og oppf?lging av interne retningslinjer og regelverk, inkludert IT-reglementet, ved UiO er oppgaver og ansvar som er tillagt linjeledere p? alle niv?er. I tillegg er det mange ansatte som er delegert slike oppgaver og slikt ansvar gjennom sin stillingsbeskrivelse eller p? andre m?ter, blant annet ansatte i universitetets IT-organisasjon. P?legg og instrukser gitt av disse, med begrunnelse i IT-reglementet eller andre sett med regler, har den enkelte bruker plikt til ? etterleve. Uenigheter om tolkingen av bestemmelser skal fremlegges til endelig avklaring for den som har overordnet myndighet knyttet til det aktuelle regelsettet.
Der det er p?krevd, skal brukere identifisere seg p? korrekt m?te. En rett til ? bruke UiOs IT-ressurser er et gode gitt til de som har en bestemt tilknytning til universitetet. Denne retten er personlig, og kan verken deles eller overf?res til andre. Forskjellige brukere har forskjellige rettigheter. Det ? identifisere seg er en sentral del av det ? opptre p? en korrekt m?te som bruker. Store deler av IT-tjenestene forutsetter korrekt identifikasjon, b?de med tanke p? tilgang og sikkerhet.
6. En brukers passord eller annen n?kkel skal holdes hemmelig og skal kun anvendes av brukeren selv. Brudd p? denne bestemmelsen kan f?re til tap av retten til bruk av UiOs IT-ressurser
? anvende IT-ressurser i andres navn er strengt forbudt. I den verden vi lever i i dag, er det mange straffbare handlinger eller handlinger som medf?rer erstatningsansvar som kan beg?s i eller ved hjelp av IT-ressurser. Det kan derfor v?re sv?rt belastende om noen beg?r slike handlinger i andres navn, samtidig som dette kan eksponere universitetets verdier og ressurser for misbruk.
Dersom denne bestemmelsen brytes kan bruker miste de rettigheter han har f?tt til UiOs IT-ressurser. For mer om sanksjoner ved brudd se under punkt 4 “Inngrep og sanksjoner”.
7. Vis nettvett
Nettvett er et sett r?d om hvordan man b?r opptre p? internett. De kan sees p? som en generell aktsomhetsplikt for brukerne ved bruk av universitetets IT-ressurser. Retningslinjer for godt nettvett er tilgjengelig flere steder p? nettet, se for eksempel Post- og teletilsynets nettside om “Nettvett”.
4. Inngrep og sanksjoner
1. Brudd p? IT-reglementet eller utfyllende bestemmelser kan medf?re sanksjoner fra UiO. Slike sanksjoner skal ikke avvike fra sanksjoner etter andre reglementer ved UiO. Sanksjoner fastsettes av IT-direkt?ren eller dennes overordnede
Sanksjon i IT-reglementets sammenheng viser til en negativ reaksjon p? noens atferd. Sanksjoner kan inneb?re et stort inngrep for den enkelte bruker som for eksempel tap av rett til, i kortere eller lengre periode, ? bruke UiOs IT-ressurser. For ? iverksette sanksjoner m? universitetet ha forankring for dette i lov- og regelverk eller universitetsinterne reglement og retningslinjer som for eksempel LSIS – Ledelsessystem for informasjonssikkerhet. Dersom en handling medf?rer brudd p? flere interne reglement, vil det ikke bli gitt dobbelt straff.
Sanksjoner gitt som f?lge av brudd p? IT-reglementet fastsettes av IT-direkt?ren i henhold til bruddets art og omfang. Eventuelle sanksjoner kan p?klages til overordnet myndighet i linjen.
2. Bruk av UiOs IT-ressurser som resulterer i brudd p? norsk lov vil kunne medf?re reaksjoner fra politi og p?talemyndigheter, i tillegg til selvstendige sanksjoner fra UiO
Handlinger eller hendelser som inneb?rer brudd p? norsk lov, vil bli anmeldt og kan s?ledes medf?re straffeforf?lgelse eller privatrettslig forf?lgelse. Dette kan for eksempel skje ved bruk av UiOs IT-ressurser til straffbare handlinger som ? gi utenforst?ende tilgang til UiOs IT-resurser for ulovlig utnyttelse, eller opphavsrettskrenkelse som ulovlig nedlastning av filmer, programvare og annet. . Dersom det viser seg at brukere ved universitetet har utf?rt slike handlinger eller st?r bak slike hendelser, s? kan i tillegg universitetet p? egen h?nd gripe inn med sanksjoner. Eksempel p? slike sanksjoner kan v?re begrensninger i tilgangen til IT-ressursene.
3. UiO kan ikke frata brukere rettigheter eller stille dem til ansvar for deres handlinger der disse har sin direkte ?rsak i svikt i UiOs IT-tjenester
Universitetet kan ikke stille krav som er vanskelig eller umulig ? oppfylle p? grunn av svikt i egne IT-ressurser.
4. IT-driftspersonellet kan foreta n?dvendige inngrep for ? sikre UiOs IT-ressursers tilgjengelighet, funksjonalitet og integritet. Dersom inngrep ber?rer brukerens bruk av IT-ressursene skal bruker, om mulig, varsles p? forh?nd og uansett uten ugrunnet opphold og s? snart som praktisk mulig
Drift av UiO sine IT-systemer inkluderer behov for ? utf?re handlinger som kan oppleves som negative for enkeltbrukere. For eksempel kan IT-personell m?tte sperre en ressurs, eller stenge eller vanskeliggj?re tilgangen til en tjeneste. ?rsakene kan v?re mange, alt fra feilretting, avverging av eller oppretting etter en sikkerhetshendelse, back-up eller installasjon av ny maskin- eller programvare og konsekvensen kan v?re en periode med redusert tilgjengelighet for noen eller alle enkelt. I slike tilfelle skal det s? vidt mulig varsles i forkant og alltid informeres i etterkant. USIT vil bestrebe seg p? ? redusere ulemper for brukerne mest mulig.