IKT-reglement for Universitetet i Bergen
UiB tar personvern og informasjonssikkerhet på alvor. Alle våre ansatte og studenter gjennomfører et grunnleggende kurs innen disse to temaene. |
Fastsatt av Universitetsstyret 3.12.09, sist endret 29.05.2019
Del av Styringssystem for informasjonssikkerhet og personvern
1 Formål
Formålet med IKT-reglementet er å regulere bruken av IKT-systemer ved Universitetet i Bergen (UiB).
2 Virkeområde
Med IKT-systemer menes her all programvare, datasystemer, infrastruktur og utstyr som benyttes til digital informasjons- og databehandling, samt informasjon og data som lagres i disse. Digital kommunikasjon knyttet til disse inngår også samt IKT-systemer som inngår i annen infrastruktur og utstyr.
Med IKT-systemer ved UiB menes IKT-systemer som finnes på UiB, eies eller disponeres av UiB, eller som stilles til rådighet for UiBs brukere fra eksterne parter, leverandører eller andre på oppdrag, avtale eller i forståelse med UiB, og som benyttes av UiBs brukere eller samarbeidspartnere til formål knyttet til UiBs virksomhet.
Reglementet gjelder for:
For ansatte, studenter, gjester og andre som er gitt tilgang til IKT-systemer ved UiB heretter kalt brukere.
All bruk av UiBs IKT-systemer.
I tillegg gjelder reglementet for
Brukernes og annen tredjeparts IKT-systemer, i den utstrekning de benyttes til å utføre oppgaver knyttet til UiBs virksomhet, uavhengig av om anlegget er plassert på UiBs område eller ikke.
Privat og annet tredjeparts IKT-utstyr som er koblet til UiBs IKT-infrastruktur (f.eks. nettverk) uavhengig av hvilket formål det brukes til.
3 Tilgang til UiBs IKT-tjenester og -systemer
Studenter og ansatte skal ha en brukerkonto hos UiB som gir tilgang til IKT-systemer.
Andre kan gis tilgang til IKT-systemer etter tjenstlig behov. Tilgang til de ulike systemer og tjenester autoriseres av systemeier.
Studentenes brukerkonto sperres to måneder etter at studieretten opphørte. Varsel om sperring gis en måned i forveien.
Ansattes brukerkonto sperres ved avslutning av ansettelsesforholdet. Varsel om sperring sendes en måned før sluttdato. Ansattes e-postkasse avsluttes ved arbeidsforholdets opphør, med mindre det foreligger særskilt behov for å holde e-postkontoen åpen i en kort periode etter opphøret. Pensjonister ved UiB kan søke om å få beholde sin brukerkonto med endrede tilganger. Dette godkjennes av leder ved den enheten pensjonisten var sist ansatt.
Andre brukere sin brukerkonto ved UiB sperres når tilknytningen til UiB opphører, eller godkjent tidsperiode utløper.
Data knyttet til brukerkonto slettes automatisk seks måneder etter at brukerkontoen ble sperret. Data kan bli lagret i backup-systemer ut over denne perioden, men ikke lenger enn ett år.
Ved brukers dødsfall blir brukerkontoen sperret umiddelbart. Brukerkontoen slettes etter seks måneder med mindre det er krevd innsyn eller gjort gjeldende rett til materiale som beskrevet i dette reglementet.
4 Bruk av UiBs IKT-tjenester og -systemer
UiBs IKT-systemer skal brukes til å utføre oppgaver knyttet til UiBs virksomhet. Bruken må ikke stride mot lov, forskrift eller UiBs regler.
Brukerne skal hindre at andre får tilgang til deres brukerkonto. Brukerne skal heller ikke søke å skaffe seg tilgang til andres brukerkonto.
Brukerne skal hindre at uønskede personer får tilgang til UiBs IKT-systemer.
Brukerne skal ikke uten tillatelse endre eller modifisere UiBs IKT-systemer, eller på annen måte forårsake at de virker på en annen måte enn forutsatt.
Brukerne plikter å respektere opphavsrett og lignende rettigheter til programvare, data og annen digital informasjon som publikasjoner, bilder, musikk, film etc.
Brukerne skal unngå bruk av IKT-systemer som kan utsette UiB for vesentlig tap av omdømme.
Brukerne plikter straks å rapportere forhold som kan ha betydning for IKT-sikkerheten og personvern ved UiB til IT-avdelingen.
5 Aktivitetslogg og kontroll
UiBs IKT-systemer er tilrettelagt med løsninger for registrering av aktiviteter (logging) og sikkerhetskopiering. Disse skal blant annet kunne brukes til å dokumentere lovbrudd eller avvik fra interne regler og rutiner, og avdekke/oppdage brudd på sikkerheten i IKT-systemene.
IT-avdelingen ved IT-direktør har hovedansvar for kontroll med tilgang til UiBs nettverk og generelle IKT-systemer, samt for bærbart utstyr og utstyr som benyttes utenfor UiB, og har myndighet til å utøve denne kontrollen i henhold til UiBs styringssystem for informasjonssikkerhet.
6 Arbeidsgivers innsyn
6.1 Virkeområde for forskrift om arbeidsgivers innsyn
UiB har på visse vilkår rett til innsyn i arbeidstakers e-postkasse m.v., jfr. arbeidsmiljøloven § 9-5 og forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale. Forskriften gjelder både nåværende og tidligere arbeidstakere.
Med e-postkasse menes e-postkasse arbeidsgiver har stilt til arbeidstakerens disposisjon til bruk i arbeidet. Reglene gjelder tilsvarende for arbeidsgivers adgang til gjennomsøkning av og innsyn i arbeidstakerens personlige område i virksomhetens datanettverk, IKT-systemer eller annet elektronisk utstyr som arbeidsgiver har stilt til arbeidstakerens disposisjon til bruk i arbeidet. Bestemmelsene gjelder tilsvarende for innsyn i opplysninger som er slettet fra de nevnte områdene, men som finnes på sikkerhetskopier eller tilsvarende.
6.2 Vilkår for innsyn
UiB har bare rett til innsyn i opplysninger som er lagret på områder nevnt under punkt 6.1
a) når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten, eller
b) ved begrunnet mistanke om at arbeidstakerens bruk av e-postkasse eller annet elektronisk utstyr medfører grovt brudd på de plikter som følger av arbeidsforholdet eller kan gi grunnlag for oppsigelse eller avskjed.
UiB har ikke rett til å overvåke arbeidstakerens bruk av elektronisk utstyr, herunder bruk av Internett, med mindre formålet med overvåkingen er
å administrere virksomhetens datanettverk eller
å avdekke eller oppklare sikkerhetsbrudd i nettverket.
6.3 Prosedyrer ved innsyn
Arbeidstakeren skal så langt som mulig varsles og få anledning til å uttale seg før UiB gjennomfører innsyn. I varselet skal UiB begrunne hvorfor vilkårene for innsyn anses å være oppfylt og orientere om arbeidstakers rettigheter ved innsyn.
Arbeidstakeren har innsigelsesrett etter personvernforordningens artikkel 21.
Arbeidstakeren skal så langt som mulig gis anledning til å være til stede under gjennomføringen av innsynet og har rett til å la seg bistå av tillitsvalgt eller annen representant.
Er innsyn foretatt uten forutgående varsel eller uten at arbeidstakeren var til stede, skal arbeidstakeren gis skriftlig underretning om dette så snart innsynet er gjennomført. Underretningen skal, i tillegg til opplysninger om hvorfor UiB anså vilkårene for innsyn som oppfylt, inneholde opplysninger om hvilken metode for innsyn som ble benyttet, hvilke e-poster eller andre dokumenter som ble åpnet samt resultatet av innsynet.
Unntakene fra rett til informasjon i personopplysningsloven § 16 gjelder tilsvarende.
Innsyn må så langt som mulig gjennomføres på en slik måte at opplysningene ikke endres og at frembrakte opplysninger kan etterprøves.
Åpnede e-poster, dokumenter eller tilsvarende som det viser seg at ikke er nødvendige eller relevante for formålet med innsynet, skal straks lukkes. Eventuelle kopier skal slettes.
Begjæring om innsyn fremmes av øverste leder ved enheten (institutt, fakultet eller avdeling i sentraladministrasjonen) i samråd med HR-avdelingen og systemeier.
Beslutning om innsyn fattes av universitetsdirektør.
Ved dødsfall kan universitetsdirektør beslutte at det skal foretas innsyn
når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten, eller
når dødsboet har gjort gjeldende rett til materiale
Begjæring om slikt innsyn fremmes av øverste leder ved enheten (institutt, fakultet eller avdeling i sentraladministrasjonen) i samråd med HR-avdelingen og systemeier.
Universitetsdirektøren kan gi innsyn i informasjon, logger og sikkerhetskopier til offentlige myndigheter når dette har hjemmel i lov eller forskrift, samt ved beslutning av retten.
7 Sanksjoner
Overtredelse av reglementets bestemmelser kan føre til at brukeren nektes tilgang til hele eller deler av institusjonens IKT-systemer. I tillegg kan det medføre sanksjoner etter andre regler, så som disiplinærreaksjoner etter statsansatteloven, advarsel eller utestenging fra studier og eksamen etter universitets- og høyskoleloven, erstatningsansvar, straffeansvar o.a.
Midlertidig utestenging i inntil 14 virkedager kan besluttes av øverste leder ved enheten (institutt, fakultet eller avdeling i sentraladministrasjonen) etter samråd med systemeier. HR-avdelingen skal straks varsles dersom utestengingen gjelder en arbeidstaker. Utestenging ut over 14 virkedager besluttes av universitetsdirektøren.
Midlertidig utestenging kan skje ved berettiget mistanke om at
brukeren har gjort seg skyldig i alvorlige overtredelser, eller
brukeren eller brukerens IKT-utstyr utgjør en vesentlig trussel for informasjonssikkerheten.
I vurderingen skal det legges vekt på overtredelsens grovhet, om brukeren tidligere har overtrådt reglementet, hvilke følger en utestenging vil få for brukeren og forholdene ellers.
Klage på vedtak truffet med hjemmel i statsansatteloven, universitets- og høyskoleloven og forvaltningsloven følger disse lovenes regler om klage.