2.1 Identifikasjon av relevant lov- og regelverk
Foruten universitets- og høyskoleloven har følgende lover med tilhørende forskrifter særlig betydning for universitetets arbeid med IT- og informasjonssikkerhet i sin virksomhet. Oversikten er ikke uttømmende:
- Forvaltningsloven inneholder blant annet saksbehandlingsregler for forvaltningen, herunder regler om habilitet for saksbehandler og andre som har med saken eller saksbehandleren å gjøre. Denne loven inneholder også regler om taushetsplikt (§§13-13e), informasjons- og veiledningsplikt, varsling og innsyn og klager og omgjøring av enkeltvedtak
- Offentleglova inneholder bestemmelser om i hvilken grad forvaltningens saksdokumenter skal være tilgjengelige for offentligheten. Hovedregelen er at dokumentene er tilgjengelige hvis ikke denne loven eller andre lover bestemmer noe annet. Offentleglova har også bestemmelser om meroffentlighet
- Åndsverkloven inneholder regler om rettigheter til åndsverk og andre relaterte rettigheter. Loven er viktig fordi den forteller hvilke rettigheter som eksisterer og hvilken utstrekning de har, som universitetet igjen må respektere og skal overholdes innenfor universitetets kontrollsfære, for eksempel via IT-tjenestene
- Personopplysningsloven inneholder hovedreglene for behandling av personopplysninger, informasjonssikkerhet og melde- og konsesjonsplikt, hvilke plikter universitetet som behandlingsansvarlig har og hvilke rettigheter de registrerte har i forhold til Universitetet i Oslo som behandlingsansvarlig
- Helseregisterloven, helsepersonelloven og lov om pasientrettigheter om blant annet behandling av klient-/pasientdata og taushetsplikt for helsepersonell
- Biobankloven inneholder særregler om biobanker som er relevante for UiO særlig gjennom forskning innenfor universitetssykehusene
- Arkivloven inneholder regler om hvordan universitetets arkiver skal operere og hvilke dokumenter som skal arkiveres
- Lov om medisinsk og helsefaglig forskning gjelder for medisinsk og helsefaglig forskning på mennesker, humant biologisk materiale eller helseopplysninger.
Reglene i følgende lover har også betydning:
- Ekomloven gir regler om elektroniske kommunikasjonstjenester og tilbydere av slike. Selv om Universitetet i Oslo som sådan ikke er en slik tilbyder, vil loven grunnet UiOs omfattende infrastruktur på IT-tjenesteområdet være en premissgivende regelsamling
- ehandelsloven gir regler om informasjonstjenester, herunder ISP-virksomhet og ansvarsfrihet i visse tilfeller for slike. Selv om Universitetet i Oslo pr definisjon neppe faller inn under denne lovens bestemmelser når den gir studenter og ansatte tilgang til Internett, vil lovens regler angi rammer for akseptabel bruk og for bruk som kan være ansvarsbetingende
- Sikkerhetsloven gjelder for forvaltningsorgan og som har som formål å legge forholdene til rette for effektivt å kunne motvirke trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser, ivareta den enkeltes rettssikkerhet og trygge tilliten til og forenkle grunnlaget for kontroll med forebyggende sikkerhetstjeneste
- e-signaturloven har ingen direkte betydning for Universitetet i Oslo, da UiO ikke er en sertifikatutsteder eller annen tilbyder av sertifikattjenester, men vil kunne sette premisser for UiOs bruk av sertifikater til eget bruk
- Regelverk for økonomistyring i staten inneholder både reglement og bestemmelser. Dette er kjent som RØS/BØS, og er et felles administrativt regelverk for økonomistyring i staten. Endel av bestemmelsene er relevante for administrativ IT.
2.2 Interne bestemmelser og retningslinjer.
Det finnes egne beskrivelser av interne bestemmelser og retningslinjer i ledelsessystemets gjennomførende del.