IT-reglementet skal fremme form氓lstjenlig bruk av universitetets IT-ressurser, utvikle bevissthet om akseptabel bruk og gi forutsigbare rammer for brukerne av disse ressursene
De aller fleste som p氓 en eller annen m氓te er tilknyttet universitetet, er avhengig av og bruker universitetets IT-ressurser i sitt daglige og langsiktige virke. P氓 samme m氓te er universitetet avhengig av utstrakt bruk av IT for 氓 ivareta sine oppgaver slik disse er nedfelt i lov- og regelverk. Samt for 氓 n氓 sine m氓l slik de er beskrevet i universitetets strategi, 氓rsplaner, og andre beslutninger og dokumenter. Hensikten med IT-reglementet er tredelt:
- Det skal gi brukerne forutsigbarhet og trygghet i sitt daglige arbeid
- Det skal gi veiledning i akseptabel, forsvarlig bruk av IT-ressursene
- Det skal sikre at IT-ressursene brukes effektivt og i tr氓d med universitetets form氓l, og tilsvarende forhindre 探花精选s IT-ressurser i brukes til annet enn det som er UiOs hovedform氓l
1. Virkeomr氓de
IT-reglementet gjelder for enhver bruk av UiOs IT-ressurser. Reglementet gjelder ogs氓 bruk av tredjeparts IT-ressurser gjennom brukers tilknytning til UiO
Universitetets IT-ressurser omfatter alt av IT-utstyr, programvare, lagrings- og behandlingsressurser, brukertjenester, applikasjoner, systemer, driftstjenester, st酶ttefunksjoner, nett og annet IT-relatert som til enhver tid stilles til disposisjon for brukerne. For ytterligere informasjon om dette se universitetets nettside om 鈥IT-tjenester鈥 og informasjon om lokale IT-tjenester p氓 den enkelte enhets nettsted. Reglementet omfatter ogs氓 bruk av andre organisasjoners og institusjoners IT-ressurser som brukerne f氓r tilgang til gjennom sin tilknytning til universitetet.
V忙r klar over at reglene i IT-reglementet ogs氓 gjelder n氓r brukeren anvender privat utstyr p氓 universitetets nett og der universitetets IT-ressurser benyttes fra steder utenfor universitetets lokaler og omr氓de, eksempelvis hjemmefra eller p氓 reise.
2. Brukernes rettigheter
1. UiO skal sette klare standarder og gi retningslinjer for hva som er forsvarlig bruk av UiOs IT-ressurser
Gjennom informasjon, dokumentasjon, st酶ttetjenester og teknisk tilrettelegging av IT-ressursene stilt til r氓dighet for brukerne, skal universitetet s氓 langt som mulig klargj酶re for brukerne hva som er forsvarlig bruk av ressursene som stilles til disposisjon. I dette arbeidet er brukervennlighet, brukeropplevelse og forutsigbare omgivelser h酶yt prioritert. Det skal ogs氓 legges vekt p氓 氓 formidle god praksis og brukseffektivitet.
2. UiO skal til enhver tid holde sine brukere oppdatert via tilgjengelige kanaler om relevante forhold knyttet til IT-ressursene og brukernes anvendelse av disse
Universitetet vil s氓 langt som mulig informere brukerne om alle forhold som ang氓r deres tilgang til og bruk av IT-ressursene. Spesielt gjelder dette ved driftsavbrudd og alvorlige sikkerhetshendelser, men det gjelder ogs氓 informasjon om endringer i eksisterende IT-ressurser, introduksjon av nye og avvikling av gamle. Ved planlagte driftsavbrudd eller endringer i tjenester skal UiO informere om konsekvensene for den enkelte bruker og brukergruppe.
UiO prioriterer h酶yt informasjon til brukerne, men det er viktig 氓 v忙re klar over at vi i en presset situasjon kanskje m氓 prioritere h氓ndtering av en sikkerhets- eller driftshendelse f酶r informasjon g氓r ut til brukerne om den aktuelle hendelsen. Utover det sentrale nettstedet for IT-tjenestene, er det for tiden tre prim忙re informasjonskanaler:
- I 鈥Aktuelt om IT鈥 informeres det om endringer i tjenestetilbudet, introduksjon og avvikling av tjenester, informasjon om veilednings-, informasjons- og oppl忙ringstiltak, samt informasjon av mer generell karakter
- I 鈥Driftsmeldinger鈥 legges det ut informasjon om hendelser som (uforutsette) driftsavbrudd, tjenesteutfall og lignende
- I 鈥溾 varslet planlagte handlinger som kan ha innvirkning p氓 brukernes tilgang til og bruk av tjenester
3. UiO skal ivareta brukernes personvern i tr氓d med p氓legg i lov- og regelverk og hindre at brukernes personopplysninger eller data krenkes, enten av UiO selv eller andre
Bestemmelsene i Personopplysningsloven og personopplysningsforskriften stiller strenge krav til UiO n氓r det gjelder behandling av b氓de ansattes, studenters og andres personopplysninger. Som behandlingsansvarlig skal UiO blant annet ha gode rutiner for 氓 utf酶re planlagte og systematiske tiltak knyttet til behandling av personopplysninger, herunder ha regler om informasjonssikkerhet og internkontroll.
Universitetet har et selvstendig ansvar for 氓 gjennomg氓 oppsett, bruk og funksjonalitet for 氓 sikre at hverken UiO selv, eller andre som behandler disse data, kan krenke integriteten, svekke konfidensialiteten eller tilgjengeligheten av disse data n氓r de behandles hos oss. . Ved UiO har vi eget personvernombud, vi har ansatte viss ansvar er 氓 f酶lge opp behandlinger av personopplysninger ved UiO og vi har IT-sikkerhetssjef og et CERT som alle i fellesskap skal jobbe sammen for 氓 sikre at vi oppfyller lovens krav p氓 best mulig m氓te. For mer informasjonse nettsidene om 鈥IT-sikkerhet鈥, 鈥溾 og 鈥Tjenester for sensitive data鈥.
4. UiO skal ikke utlevere opplysninger om enkeltbrukere eller data tilh酶rende en bruker hvor dette ikke uttrykkelig f酶lger av norsk lov eller internt reglement ved UiO
Universitetet lagrer betydelige mengder opplysninger om sine ansatte, studenter og andre brukere. I mange tilfeller er lagringen lovp氓lagt, mens universitetet til en viss grad kan bestemme omfanget av lagringen av andre opplysninger, b氓de hva som kan kobles sammen og hvor lenge opplysningene skal lagres i henhold til de til enhver tid gjeldende lover og regler.Intern behandling og forvaltning av disse opplysningene skal skje innenfor sikre omgivelser og f酶lge god praksis p氓 omr氓det, se nettsiden om 鈥溾.
Opplysningene UiO har lagret om sine brukere skal og vil kun bli delt med andre i henhold til bestemmelser gitt i lov. UiO utleverer aldri opplysninger ut over det som kreves for 氓 oppfylle kravet etter de til enhver tid gjeldende lover p氓 omr氓det, se blant annet den utfyllende bestemmelsen 鈥淯tlevering av opplysninger鈥.
3. Bruk av universitetets IT-ressurser
1. Tilgang til og bruk av UiOs IT-ressurser skal v忙re i tr氓d med UiOs form氓l. IT-ressurser kan ikke brukes til noe som er uforenlig med UiOs form氓l og verdigrunnlag
Vurderingen om den aktuelle bruk er akseptabel vil alltid v忙re basert p氓 en konkret vurdering av hendelser og handlinger i lys universitetets oppgaver og prioriteringer. Til grunn for vurderingen av om en handling eller hendelse er i tr氓d med akseptabel bruk eller ikke ligger en vurdering av tre forhold:
- Vurdering av faktisk bruk
- Form氓let med denne bruken
- Hvilke ressurser den opptar.
Retningsgivende for vurderingen er universitetets verdier, prioriteringer og oppgaver slik de er nedfelt i universitetets form氓l, strategi, vedtatte retningslinjer og andre bestemmelser, se 鈥溾 og nettsiden om 鈥溾.
Bruk som strider mot norsk lov vil naturligvis aldri v忙re tillatt.
2. UiOs IT-ressurser kan kun brukes etter tillatelse ved at man f氓r etablert en brukerkonto eller en begrenset (i tid og omr氓de) gjestetilgang. Det 氓 f氓 en brukerkonto hos UiO betyr at man har rett til form氓lstjenlig bruk av UiOs IT-ressurser
Det er viktig at universitetets IT-ressurser kun brukes av de som faktisk har f氓tt rett til 氓 bruke dem. Grunnlaget for denne retten er den enkeltes tilknytning til universitetet og gis ved tildeling av brukerkonto i form av at brukernavn med tilh酶rende passord. Brukerkonto for ansatte bygges p氓 grunnlag av informasjon om den ansatte i universitetets l酶nns- og personalsystem SAP-DF脴, mens brukerkonto for studenter bygges p氓 grunnlag av informasjon om den enkelte student i det studieadministrative systemet . Personer som ikke er ansatte eller studenter ved universitetet, men skal ha tilgang til universitetets IT-ressurser registreres som tilknyttet bruker i SAP-DF脴, se . Bes酶kende kan f氓 begrenset tilgang som gjestebruker, se nettsiden om Gjestebruker.
Brukernavn og passord gir rett til 氓 anvende universitetets IT-ressurser i tr氓d med til enhver tid gjeldende retningslinjer og regler ved universitetet. Hvilke IT-ressurser den enkelte bruker f氓r tilgang til, er avhengig av vedkommendes tilknytning til universitetet og hvilke autoriseringer som f酶lger av denne. N忙rmere informasjon om dette finnes p氓 nettsiden 鈥Brukernavn, passord og brukeradministrasjon鈥.
For UiOs web-sider, som er 氓pne for alle, og liknende ressurser, som for eksempel 氓pent tilgjengelige terminaler plassert rundt p氓 UiO sitt omr氓de, er tillatelse gitt ved at ressursen nettopp er 氓pent tilgjengelig.
3. Det er ikke tillatt 氓 bruke UiOs IT-ressurser p氓 en m氓te som opptar st酶rre ressurser enn n酶dvendig, tatt tilgjengelige ressurser i betraktning. Bruk som ikke er begrunnet i UiOs form氓l skal ikke oppta annet enn ubetydelige ressurser
Bruk av IT-ressursene skal skje med samme bevissthet som ved bruk av andre ressurser i samfunnet.
Sl酶sing er med andre ord ikke tillatt. Det samme gjelder bruk som er i strid med bestemmelser i kontrakter, avtaler, bruksbetingelser eller lignende som m氓tte v忙re knyttet til enkelte IT-ressurser. Det er heller ikke lovlig 氓 bruke universietets IT-ressurser i kommersielt 酶yemed.
Bruk som ikke er begrunnet i universitetets form氓l er for eksempel privat bruk. Universitetet tillater normalt denne formen for bruk s氓 lenge den legger beslag p氓 minimalt med ressurser, ikke er til hinder for at andre brukere f氓r utf酶rt sine oppgaver eller er i strid andre punkter i IT-reglementet.
4. IT-ressursene skal ikke brukes p氓 en m氓te som kan forringe eller krenke deres integritet
Denne bestemmelsen omfatter alle handlinger som medf酶rer endringer i egenskapene, funksjonaliteten eller tilgjengeligheten av en IT-ressurs, og som ikke er begrunnet i tjenestemessige behov eller skjer uten samtykke fra eller uten avtale med tjenesteansvarlig.
Den 氓penbare ikke-tillatte m氓ten 氓 bruke IT-ressurser p氓 i denne sammenhengen er med overlegg 氓 skade dem fysisk eller 酶delegge deres innhold eller egenskaper. I tillegg vil bruk som setter en ressurs i en s氓rbar situasjon eller eksponerer universitetets IT-ressurser for brudd p氓 sikkerhet og 氓pner dem for ikke-autorisert bruk. Dette kan for eksempel v忙re 氓 芦l氓ne bort禄 bruker med passord eller 氓pne vedlegg som 氓penbart er sendt for 氓 misbruke UiOs IT-ressurser.
5. Brukere har plikt til 氓 f酶lge p氓legg og instrukser om bruk av IT-ressursene. Der det er p氓krevd skal brukere legitimere seg
Forvaltning og oppf酶lging av interne retningslinjer og regelverk, inkludert IT-reglementet, ved UiO er oppgaver og ansvar som er tillagt linjeledere p氓 alle niv氓er. I tillegg er det mange ansatte som er delegert slike oppgaver og slikt ansvar gjennom sin stillingsbeskrivelse eller p氓 andre m氓ter, blant annet ansatte i universitetets IT-organisasjon. P氓legg og instrukser gitt av disse, med begrunnelse i IT-reglementet eller andre sett med regler, har den enkelte bruker plikt til 氓 etterleve. Uenigheter om tolkingen av bestemmelser skal fremlegges til endelig avklaring for den som har overordnet myndighet knyttet til det aktuelle regelsettet.
Der det er p氓krevd, skal brukere identifisere seg p氓 korrekt m氓te. En rett til 氓 bruke UiOs IT-ressurser er et gode gitt til de som har en bestemt tilknytning til universitetet. Denne retten er personlig, og kan verken deles eller overf酶res til andre. Forskjellige brukere har forskjellige rettigheter. Det 氓 identifisere seg er en sentral del av det 氓 opptre p氓 en korrekt m氓te som bruker. Store deler av IT-tjenestene forutsetter korrekt identifikasjon, b氓de med tanke p氓 tilgang og sikkerhet.
6. En brukers passord eller annen n酶kkel skal holdes hemmelig og skal kun anvendes av brukeren selv. Brudd p氓 denne bestemmelsen kan f酶re til tap av retten til bruk av UiOs IT-ressurser
脜 anvende IT-ressurser i andres navn er strengt forbudt. I den verden vi lever i i dag, er det mange straffbare handlinger eller handlinger som medf酶rer erstatningsansvar som kan beg氓s i eller ved hjelp av IT-ressurser. Det kan derfor v忙re sv忙rt belastende om noen beg氓r slike handlinger i andres navn, samtidig som dette kan eksponere universitetets verdier og ressurser for misbruk.
Dersom denne bestemmelsen brytes kan bruker miste de rettigheter han har f氓tt til UiOs IT-ressurser. For mer om sanksjoner ved brudd se under punkt 4 鈥淚nngrep og sanksjoner鈥.
7. Vis nettvett
Nettvett er et sett r氓d om hvordan man b酶r opptre p氓 internett. De kan sees p氓 som en generell aktsomhetsplikt for brukerne ved bruk av universitetets IT-ressurser. Retningslinjer for godt nettvett er tilgjengelig flere steder p氓 nettet, se for eksempel Post- og teletilsynets nettside om 鈥溾.
4. Inngrep og sanksjoner
1. Brudd p氓 IT-reglementet eller utfyllende bestemmelser kan medf酶re sanksjoner fra UiO. Slike sanksjoner skal ikke avvike fra sanksjoner etter andre reglementer ved UiO. Sanksjoner fastsettes av IT-direkt酶ren eller dennes overordnede
Sanksjon i IT-reglementets sammenheng viser til en negativ reaksjon p氓 noens atferd. Sanksjoner kan inneb忙re et stort inngrep for den enkelte bruker som for eksempel tap av rett til, i kortere eller lengre periode, 氓 bruke UiOs IT-ressurser. For 氓 iverksette sanksjoner m氓 universitetet ha forankring for dette i lov- og regelverk eller universitetsinterne reglement og retningslinjer som for eksempel LSIS 鈥 Ledelsessystem for informasjonssikkerhet. Dersom en handling medf酶rer brudd p氓 flere interne reglement, vil det ikke bli gitt dobbelt straff.
Sanksjoner gitt som f酶lge av brudd p氓 IT-reglementet fastsettes av IT-direkt酶ren i henhold til bruddets art og omfang. Eventuelle sanksjoner kan p氓klages til overordnet myndighet i linjen.
2. Bruk av UiOs IT-ressurser som resulterer i brudd p氓 norsk lov vil kunne medf酶re reaksjoner fra politi og p氓talemyndigheter, i tillegg til selvstendige sanksjoner fra UiO
Handlinger eller hendelser som inneb忙rer brudd p氓 norsk lov, vil bli anmeldt og kan s氓ledes medf酶re straffeforf酶lgelse eller privatrettslig forf酶lgelse. Dette kan for eksempel skje ved bruk av UiOs IT-ressurser til straffbare handlinger som 氓 gi utenforst氓ende tilgang til UiOs IT-resurser for ulovlig utnyttelse, eller opphavsrettskrenkelse som ulovlig nedlastning av filmer, programvare og annet. . Dersom det viser seg at brukere ved universitetet har utf酶rt slike handlinger eller st氓r bak slike hendelser, s氓 kan i tillegg universitetet p氓 egen h氓nd gripe inn med sanksjoner. Eksempel p氓 slike sanksjoner kan v忙re begrensninger i tilgangen til IT-ressursene.
3. UiO kan ikke frata brukere rettigheter eller stille dem til ansvar for deres handlinger der disse har sin direkte 氓rsak i svikt i UiOs IT-tjenester
Universitetet kan ikke stille krav som er vanskelig eller umulig 氓 oppfylle p氓 grunn av svikt i egne IT-ressurser.
4. IT-driftspersonellet kan foreta n酶dvendige inngrep for 氓 sikre UiOs IT-ressursers tilgjengelighet, funksjonalitet og integritet. Dersom inngrep ber酶rer brukerens bruk av IT-ressursene skal bruker, om mulig, varsles p氓 forh氓nd og uansett uten ugrunnet opphold og s氓 snart som praktisk mulig
Drift av UiO sine IT-systemer inkluderer behov for 氓 utf酶re handlinger som kan oppleves som negative for enkeltbrukere. For eksempel kan IT-personell m氓tte sperre en ressurs, eller stenge eller vanskeliggj酶re tilgangen til en tjeneste. 脜rsakene kan v忙re mange, alt fra feilretting, avverging av eller oppretting etter en sikkerhetshendelse, back-up eller installasjon av ny maskin- eller programvare og konsekvensen kan v忙re en periode med redusert tilgjengelighet for noen eller alle enkelt. I slike tilfelle skal det s氓 vidt mulig varsles i forkant og alltid informeres i etterkant. USIT vil bestrebe seg p氓 氓 redusere ulemper for brukerne mest mulig.