1. Virkeområde for denne rutinen
Denne rutinen gjelder for all bruk av Zoom som omfatter eller behandler data klassifisert som røde etter UiOs rutine for klassifisering av data og informasjon.
Rutinen gjelder for all bruk av Zoom på UiO der UiO er behandlingsansvarlig eller ansvarlig for forskningsprosjektet. Les om hva det betyr at UiO er behandlingsansvarlig.
Merk: det er ikke tillatt å benytte Zoom utenfor UiO (https://uio.zoom.us) for røde data.
2. Forutsetninger
2.1 Tekniske forutsetninger
- Man skal kun bruke UiO sin variant av Zoom, som bruker UiO-brukere og Feideinnlogging (SSO), på adressen https://uio.zoom.us/
- Den parten som er ansvarlig for samtalen og eventuelt opptak skal kun benytte UiO-eid og -driftet utstyr.
- Utstyret skal være godkjent for behandling av røde data etter UiOs lagringsguide
2.2 Andre forutsetninger
- Den som er ansvarlig for samtalen skal ha satt seg inn i, og følge hele denne rutinen.
- Eventuelle unntak av hele eller deler av denne rutinen skal være godkjent av UiO sin IT-sikkerhetssjef
- Skal det gjøres opptak som fraviker denne rutinen skal det innhentes godkjenning fra Utøver av behandleransvaret
- Den som er ansvarlig for samtalen skal sikre at alle godkjenninger er på plass.
- Merk: Gjennomføres samtalen som en erstatning av fysisk møte i forskningsprosjekter, så kan det være nødvendig med endringsmelding til NSD.
3. Gjennomføring av zoom-møter med rødt innhold
Punktene under skal følges for gjennomføring av alle zoom-møter, samtaler, forelesninger eller opptak med rødt innhold. Punktene som spesifikt gjelder opptak kan en se bort fra om det ikke tas opptak.
3.1 Før samtalen, forelesningen eller møtet starter
- Den som er ansvarlig for samtalen skal ha gjort seg kjent med Zoom som verktøy og testet at alt virker uten sensitivt innhold. Se veiledninger her: Kom i gang med Zoom
- Det skal benyttes generert møte-ID, ikke ens personlige møte-ID. Bruk funksjonen «Generate automatically». Denne ID-en skal kun formidles til de som skal delta i møtet. Merk at om kalender i Outlook eller lignende benyttes for å kalle inn deltakere, så skal ikke møte-ID ligge åpent. Den må enten utelates fra innkallingen, eller innkallingen må settes privat.
- Møter skal passordbeskyttes. Passord for møter skal ikke gjenbrukes og kun oversendes de som skal ha tilgang til møtet. Se dokumentasjon for hvordan passordbeskytte møtet ditt.
- Det skal benyttes venteromsfunksjon for å slippe inn bare riktige deltagere. Dette heter «Enable waiting room», og er ikke det samme som «Breakout room». Les om hvordan bruke venteromsfunksjonen.
- Under Encryption skal det velges End-to-end-encryption.
- Om det skal benyttes deling av skjerm for å vise frem tekst eller bilde, sørg for å stenge ned e-post, andre dokumenter og/eller andre programmer for å minske risiko for deling av feil innhold.
- Om chatte-funksjonen ikke er strengt nødvendig for gjennomføring av møtet – så skal funksjonen skrues av.
- Gjør klar påkrevd informasjon som skal gis til deltakere før møtet starter.
- Påse at det ikke er fare for lydlekkasje der samtalen utføres. Sikre at lyd ikke overhøres av uvedkommende. Hodetelefoner bør benyttes der det er praktisk mulig.
- Påse at uvedkommende ikke har innsyn til skjermen under samtalen.
3.2 Spesifikke tillegg dersom det skal gjøres opptak
- Den ansvarlige for møtet eller samtalen skal sette seg inn i regelverk for opptak ved UiO. Opptak som utelukkende skal brukes til forskning skal følge rutine for forskning med personopplysninger.
- Gjør klar påkrevd informasjon som skal gis til deltakere før opptaket starter.
- Se beskrivelse av opptaksfunksjonen i Zoom.
- Gjør klar egnet lagringssted for opptak på lokal maskin. Se veiledning for opptak om hvordan denne kan velges.
- Navngi mapper eller filer med opptak entydig så det er lett å holde orden, men unngå personidentifiserende navn på disse.
- Det kan være lurt å skru på funksjonen «Add a timestamp to the recording» for å lette navigering i sluttført opptak for evt. klipping eller sladding av deler av opptaket.
- Vurdér om det skal benyttes «virtual background» for å hindre at andre personer, bakgrunn og/eller dokumenter kommer med på opptaket.
3.3 Under samtalen / opptaket
- Når alle deltakere er sluppet inn i møtet, sjekk at det ikke er deltakere som ikke skal være der.
- Om det er uvedkommende inne i møtet, avslutt straks møtet og varsle UiO-CERT om avviket.
- Sjekk at alle innstillinger er satt som ønsket – for eksempel at chat er skrudd av om den ikke skal brukes osv.
- Lås møtet.
- Noen deltagere ønsker kanskje ikke å fremstå med reelt navn i opptak. Dersom det skal benyttes chat eller deling av skjerm, vurder å be deltakere endre navn i møtet.
- Om det skal gjøres opptak, gi informasjon om dette og annen påkrevd informasjon.
- Informér om chat skal benyttes eller ikke. Informér om den skal lagres eller ikke.
- Om det hender eller sies noe under møtet som må fjernes i etterkant, legg merke til tidspunktet for lettere å kunne klippe/sladde.
- Om det ikke gjøres opptak, men en tar notater av møtet/samtalen så merk at notatene kan ha samme klassifisering som samtalen.
3.4 Etter samtalen / opptaket
- Når samtalen er over – stopp opptaket.
- Avslutt møtet ved å klikke på «End» og velg «End Meeting for All» for å sikre at alle blir stengt ute fra møtet.
- Om det er gjort opptak så kan maskinen trenge noe tid på å behandle opptaket. La maskinen gjøre seg ferdig før du lukker lokket eller skrur av datamaskinen.
- Sjekk at opptak har blitt lagret på ønsket sted. Forsikre deg om at du vet hvor opptaket ligger.
- Slett eventuell unødig informasjon. For eksempel kan lydfiler slettes om man kun skal benytte video. Om en har benyttet chat, men ikke trenger denne kan den slettes.
- Overfør opptaket til endelig lagringssted så raskt som mulig. Merk at all lagring og behandling av filer med røde opptak skal skje på utstyr som er godkjent for dette. Se lagringsguiden for detaljert informasjon om hva som kan lagres hvor.