Kommentarutgave av IT-reglementet

IT-direktørens utdyping og konkretisering av bestemmelsene i IT-reglement for Universitetet i Oslo.

IT-reglementet skal fremme formålstjenlig bruk av universitetets IT-ressurser, utvikle bevissthet om akseptabel bruk og gi forutsigbare rammer for brukerne av disse ressursene

De aller fleste som på en eller annen måte er tilknyttet universitetet, er avhengig av og bruker universitetets IT-ressurser i sitt daglige og langsiktige virke. På samme måte er universitetet avhengig av utstrakt bruk av IT for å ivareta sine oppgaver slik disse er nedfelt i lov- og regelverk. Samt for å nå sine mål slik de er beskrevet i universitetets strategi, årsplaner, og andre beslutninger og dokumenter. Hensikten med IT-reglementet er tredelt:

  1. Det skal gi brukerne forutsigbarhet og trygghet i sitt daglige arbeid
  2. Det skal gi veiledning i akseptabel, forsvarlig bruk av IT-ressursene
  3. Det skal sikre at IT-ressursene brukes effektivt og i tråd med universitetets formål, og tilsvarende forhindre at UiOs IT-ressurser i brukes til annet enn det som er UiOs hovedformål

1. Virkeområde

IT-reglementet gjelder for enhver bruk av UiOs IT-ressurser. Reglementet gjelder også bruk av tredjeparts IT-ressurser gjennom brukers tilknytning til UiO

Universitetets IT-ressurser omfatter alt av IT-utstyr, programvare, lagrings- og behandlingsressurser, brukertjenester, applikasjoner, systemer, driftstjenester, støttefunksjoner, nett og annet IT-relatert som til enhver tid stilles til disposisjon for brukerne. For ytterligere informasjon om dette se universitetets nettside om “IT-tjenester” og informasjon om lokale IT-tjenester på den enkelte enhets nettsted. Reglementet omfatter også bruk av andre organisasjoners og institusjoners IT-ressurser som brukerne får tilgang til gjennom sin tilknytning til universitetet.

Vær klar over at reglene i IT-reglementet også gjelder når brukeren anvender privat utstyr på universitetets nett og der universitetets IT-ressurser benyttes fra steder utenfor universitetets lokaler og område, eksempelvis hjemmefra eller på reise.

2. Brukernes rettigheter

1. UiO skal sette klare standarder og gi retningslinjer for hva som er forsvarlig bruk av UiOs IT-ressurser

Gjennom  informasjon, dokumentasjon, støttetjenester og teknisk tilrettelegging av IT-ressursene stilt til rådighet for brukerne, skal universitetet så langt som mulig klargjøre for brukerne hva som er forsvarlig bruk av ressursene som stilles til disposisjon. I dette arbeidet er brukervennlighet, brukeropplevelse og forutsigbare omgivelser høyt prioritert. Det skal også legges vekt på å formidle god praksis og brukseffektivitet.

2. UiO skal til enhver tid holde sine brukere oppdatert via tilgjengelige kanaler om relevante forhold knyttet til IT-ressursene og brukernes anvendelse av disse

Universitetet vil så langt som mulig informere brukerne om alle forhold som angår deres tilgang til og bruk av IT-ressursene. Spesielt gjelder dette ved driftsavbrudd og alvorlige sikkerhetshendelser, men det gjelder også informasjon om endringer i eksisterende IT-ressurser, introduksjon av nye og avvikling av gamle. Ved planlagte driftsavbrudd eller endringer i tjenester skal UiO informere om konsekvensene for den enkelte bruker og brukergruppe.

UiO prioriterer høyt informasjon til brukerne, men det er viktig å være klar over at vi i en presset situasjon kanskje må prioritere håndtering av en sikkerhets- eller driftshendelse før informasjon går ut til brukerne om den aktuelle hendelsen. Utover det sentrale nettstedet for IT-tjenestene, er det for tiden tre primære informasjonskanaler:

  • I “Aktuelt om IT” informeres det om endringer i tjenestetilbudet, introduksjon og avvikling av tjenester, informasjon om veilednings-, informasjons- og opplæringstiltak, samt informasjon av mer generell karakter
  • I “Driftsmeldinger” legges det ut informasjon om hendelser som (uforutsette) driftsavbrudd, tjenesteutfall og lignende
  • I “Planlagte endringer og driftsavbrudd” varslet planlagte handlinger som kan ha innvirkning på brukernes tilgang til og bruk av tjenester

3. UiO skal ivareta brukernes personvern i tråd med pålegg i lov- og regelverk og hindre at brukernes personopplysninger eller data krenkes, enten av UiO selv eller andre

Bestemmelsene i Personopplysningsloven og personopplysningsforskriften stiller strenge krav til UiO når det gjelder behandling av både ansattes, studenters og andres personopplysninger. Som behandlingsansvarlig skal UiO blant annet ha gode rutiner for å utføre planlagte og systematiske tiltak knyttet til behandling av personopplysninger, herunder ha regler om informasjonssikkerhet og internkontroll.

Universitetet har et selvstendig ansvar for å gjennomgå oppsett, bruk og funksjonalitet for å sikre at hverken UiO selv, eller andre som behandler disse data, kan krenke integriteten, svekke konfidensialiteten eller tilgjengeligheten av disse data når de behandles hos oss. . Ved UiO har vi eget personvernombud, vi har ansatte viss ansvar er å følge opp behandlinger av personopplysninger ved UiO og vi har IT-sikkerhetssjef og et CERT som alle i fellesskap skal jobbe sammen for å sikre at vi oppfyller lovens krav på best mulig måte. For mer informasjonse nettsidene om “IT-sikkerhet”, “Personvern ved UiO” og “Tjenester for sensitive data”.

4. UiO skal ikke utlevere opplysninger om enkeltbrukere eller data tilhørende en bruker hvor dette ikke uttrykkelig følger av norsk lov eller internt reglement ved UiO

Universitetet lagrer betydelige mengder opplysninger om sine ansatte, studenter og andre brukere. I mange tilfeller er lagringen lovpålagt, mens universitetet til en viss grad kan bestemme omfanget av lagringen av andre opplysninger, både hva som kan kobles sammen og hvor lenge opplysningene skal lagres i henhold til de til enhver tid gjeldende lover og regler.Intern behandling og forvaltning av disse opplysningene skal skje innenfor sikre omgivelser og følge god praksis på området, se nettsiden om “Personvern ved UiO”.

Opplysningene UiO har lagret om sine brukere skal og vil kun bli delt med andre i henhold til bestemmelser gitt i lov. UiO utleverer aldri opplysninger ut over det som kreves for å oppfylle kravet etter de til enhver tid gjeldende lover på området, se blant annet den utfyllende bestemmelsen “Utlevering av opplysninger”.

3. Bruk av universitetets IT-ressurser

1. Tilgang til og bruk av UiOs IT-ressurser skal være i tråd med UiOs formål. IT-ressurser kan ikke brukes til noe som er uforenlig med UiOs formål og verdigrunnlag

Vurderingen om den aktuelle bruk er akseptabel  vil alltid være basert på en konkret vurdering av hendelser og handlinger i lys universitetets oppgaver og prioriteringer. Til grunn for vurderingen av om en handling eller hendelse er i tråd med akseptabel bruk eller ikke ligger en vurdering av tre forhold:

  • Vurdering av faktisk bruk
  • Formålet med denne bruken
  • Hvilke ressurser den opptar.

Retningsgivende for vurderingen er universitetets verdier, prioriteringer og oppgaver slik de er nedfelt i universitetets formål, strategi, vedtatte retningslinjer og andre bestemmelser, se “Strategi 2020” og nettsiden om “Regelverk og retningslinjer”.

Bruk som strider mot norsk lov vil naturligvis aldri være tillatt.

2. UiOs IT-ressurser kan kun brukes etter tillatelse ved at man får etablert en brukerkonto eller en begrenset (i tid og område) gjestetilgang. Det å få en brukerkonto hos UiO betyr at man har rett til formålstjenlig bruk av UiOs IT-ressurser

Det er viktig at universitetets IT-ressurser kun brukes av de som faktisk har fått rett til å bruke dem. Grunnlaget for denne retten er den enkeltes tilknytning til universitetet og gis ved tildeling av brukerkonto i form av at brukernavn med tilhørende passord. Brukerkonto for ansatte bygges på grunnlag av informasjon om den ansatte i universitetets lønns- og personalsystem SAPUIO, mens brukerkonto for studenter bygges på grunnlag av informasjon om den enkelte student i det studieadministrative systemet Felles studentsystem. Personer som ikke er ansatte eller studenter ved universitetet, men skal ha tilgang til universitetets IT-ressurser registreres som tilknyttet bruker i SAPUIO, se “Assosierte brukere/gjester i SAPUiO, gjesteregistrering”. Besøkende kan få begrenset tilgang som gjestebruker, se nettsiden om “Gjestebruker”.

Brukernavn og passord gir rett til å anvende universitetets IT-ressurser i tråd med til enhver tid gjeldende retningslinjer og regler ved universitetet. Hvilke IT-ressurser den enkelte bruker får tilgang til, er avhengig av vedkommendes tilknytning til universitetet og hvilke autoriseringer som følger av denne. Nærmere informasjon om dette finnes på nettsiden “Brukernavn, passord og brukeradministrasjon”.

For UiOs web-sider, som er åpne for alle, og liknende ressurser, som for eksempel åpent tilgjengelige terminaler plassert rundt på UiO sitt område, er tillatelse gitt ved at ressursen nettopp er åpent tilgjengelig.

3. Det er ikke tillatt å bruke UiOs IT-ressurser på en måte som opptar større ressurser enn nødvendig, tatt tilgjengelige ressurser i betraktning. Bruk som ikke er begrunnet i UiOs formål skal ikke oppta annet enn ubetydelige ressurser

Bruk av IT-ressursene skal skje med samme bevissthet som ved bruk av andre ressurser i samfunnet.

Sløsing er med andre ord ikke tillatt. Det samme gjelder bruk som er i strid med bestemmelser i kontrakter, avtaler, bruksbetingelser eller lignende som måtte være knyttet til enkelte IT-ressurser. Det er heller ikke lovlig å bruke universietets IT-ressurser i kommersielt øyemed.

Bruk som ikke er begrunnet i universitetets formål er for eksempel privat bruk. Universitetet tillater normalt denne formen for bruk så lenge den legger beslag på minimalt med ressurser, ikke er til hinder for at andre brukere får utført sine oppgaver eller er i strid andre punkter i IT-reglementet.

4. IT-ressursene skal ikke brukes på en måte som kan forringe eller krenke deres integritet

Denne bestemmelsen omfatter alle handlinger som medfører endringer i egenskapene, funksjonaliteten eller tilgjengeligheten av en IT-ressurs, og som ikke er begrunnet i tjenestemessige behov eller skjer uten samtykke fra eller uten avtale med tjenesteansvarlig.

Den åpenbare ikke-tillatte måten å bruke IT-ressurser på i denne sammenhengen er med overlegg å skade dem fysisk eller ødelegge deres innhold eller egenskaper. I tillegg vil bruk som setter en ressurs i en sårbar situasjon eller eksponerer universitetets IT-ressurser for brudd på sikkerhet og åpner dem for ikke-autorisert bruk. Dette kan for eksempel være å «låne bort» bruker med passord eller  åpne vedlegg som åpenbart er sendt for å misbruke UiOs IT-ressurser.

5. Brukere har plikt til å følge pålegg og instrukser om bruk av IT-ressursene. Der det er påkrevd skal brukere legitimere seg

Forvaltning og oppfølging av interne retningslinjer og regelverk, inkludert IT-reglementet, ved UiO er oppgaver og ansvar som er tillagt linjeledere på alle nivåer. I tillegg er det mange ansatte som er delegert slike oppgaver og slikt ansvar gjennom sin stillingsbeskrivelse eller på andre måter, blant annet ansatte i universitetets IT-organisasjon. Pålegg og instrukser gitt av disse, med begrunnelse i IT-reglementet eller andre sett med regler, har den enkelte bruker plikt til å etterleve. Uenigheter om tolkingen av bestemmelser skal fremlegges til endelig avklaring for den som har overordnet myndighet knyttet til det aktuelle regelsettet.

Der det er påkrevd, skal brukere identifisere seg på korrekt måte. En rett til å bruke UiOs IT-ressurser er et gode gitt til de som har en bestemt tilknytning til universitetet. Denne retten er personlig, og kan verken deles eller overføres til andre. Forskjellige brukere har forskjellige rettigheter. Det å identifisere seg er en sentral del av det å opptre på en korrekt måte som bruker. Store deler av IT-tjenestene forutsetter korrekt identifikasjon, både med tanke på tilgang og sikkerhet.

6. En brukers passord eller annen nøkkel skal holdes hemmelig og skal kun anvendes av brukeren selv. Brudd på denne bestemmelsen kan føre til tap av retten til bruk av UiOs IT-ressurser

Å anvende IT-ressurser i andres navn er strengt forbudt. I den verden vi lever i i dag, er det mange straffbare handlinger eller handlinger som medfører erstatningsansvar som kan begås i eller ved hjelp av IT-ressurser. Det kan derfor være svært belastende om noen begår slike handlinger i andres navn, samtidig som dette kan eksponere universitetets verdier og ressurser for misbruk.

Dersom denne bestemmelsen brytes kan bruker miste de rettigheter han har fått til UiOs IT-ressurser. For mer om sanksjoner ved brudd se under punkt 4 “Inngrep og sanksjoner”.

7. Vis nettvett

Nettvett er et sett råd om hvordan man bør opptre på internett. De kan sees på som en generell aktsomhetsplikt for brukerne ved bruk av universitetets IT-ressurser. Retningslinjer for godt nettvett er tilgjengelig flere steder på nettet, se for eksempel Post- og teletilsynets nettside om “Nettvett”.

4. Inngrep og sanksjoner

1. Brudd på IT-reglementet eller utfyllende bestemmelser kan medføre sanksjoner fra UiO. Slike sanksjoner skal ikke avvike fra sanksjoner etter andre reglementer ved UiO. Sanksjoner fastsettes av IT-direktøren eller dennes overordnede

Sanksjon i IT-reglementets sammenheng viser  til en negativ reaksjon på noens atferd. Sanksjoner kan innebære et stort inngrep for den enkelte bruker som for eksempel tap av rett til, i kortere eller lengre periode, å bruke UiOs IT-ressurser. For å iverksette sanksjoner må universitetet ha forankring for dette i lov- og regelverk eller universitetsinterne reglement og retningslinjer som for eksempel IT-sikkerhetshåndboka. Dersom en handling medfører brud på flere interne reglement, vil det ikke bli gitt dobbelt straff.

Sanksjoner gitt som følge av brudd på IT-reglementet fastsettes av IT-direktøren i henhold til bruddets art og omfang.  Eventuelle sanksjoner kan påklages til overordnet myndighet i linjen.

2. Bruk av UiOs IT-ressurser som resulterer i brudd på norsk lov vil kunne medføre reaksjoner fra politi og påtalemyndigheter, i tillegg til selvstendige sanksjoner fra UiO

Handlinger eller hendelser som innebærer brudd på norsk lov, vil bli anmeldt og kan således medføre straffeforfølgelse eller privatrettslig forfølgelse. Dette kan for eksempel skje ved bruk av UiOs IT-ressurser til straffbare handlinger som å gi utenforstående tilgang til UiOs IT-resurser for ulovlig utnyttelse, eller opphavsrettskrenkelse som ulovlig nedlastning av filmer, programvare og annet. . Dersom det viser seg at brukere ved universitetet har utført slike handlinger eller står bak slike hendelser, så kan i tillegg universitetet på egen hånd gripe inn med sanksjoner. Eksempel på slike sanksjoner kan være begrensninger i tilgangen til IT-ressursene.

3. UiO kan ikke frata brukere rettigheter eller stille dem til ansvar for deres handlinger der disse har sin direkte årsak i svikt i UiOs IT-tjenester

Universitetet kan ikke stille krav som er vanskelig eller umulig å oppfylle på grunn av svikt i egne IT-ressurser.

4. IT-driftspersonellet kan foreta nødvendige inngrep for å sikre UiOs IT-ressursers tilgjengelighet, funksjonalitet og integritet. Dersom inngrep berører brukerens bruk av IT-ressursene skal bruker, om mulig, varsles på forhånd og uansett uten ugrunnet opphold og så snart som praktisk mulig

Drift av UiO sine IT-systemer inkluderer behov for å utføre handlinger som kan oppleves som negative for enkeltbrukere. For eksempel kan IT-personell måtte sperre en ressurs, eller stenge eller vanskeliggjøre tilgangen til en tjeneste. Årsakene kan være mange, alt fra feilretting, avverging av eller oppretting etter en sikkerhetshendelse, back-up eller installasjon av ny maskin- eller programvare og konsekvensen kan være en periode med redusert tilgjengelighet for noen eller alle enkelt. I slike tilfelle skal det så vidt mulig varsles i forkant og alltid informeres i etterkant. USIT vil bestrebe seg på å redusere ulemper for brukerne mest mulig.

Publisert 18. apr. 2010 19:41 - Sist endret 14. nov. 2017 13:39