1. Formål
Formålet med reglementet er å sikre ivaretakelse av informasjonssikkerhet ved UiA.
2. Virkeområde
Med "IKT-ressurser" mener vi i dette reglementet teknisk utstyr, applikasjoner, systemer og digitale tjenester som du disponerer gjennom din tilknytning til UiA.
Dette reglementet gjelder for alle som bruker UiAs IKT-ressurser, inkludert ansatte, studenter, gjester og andre tilknyttede brukere. Reglementet gjelder for all bruk av IKT-ressursene, enten du bruker UiAs utstyr eller ditt eget. Utstyret som kjøpes gjennom ansattes KFU-ordning, omfattes også av reglementet. Reglementet gjelder også når du bruker tredjeparts IKT-ressurser, som eduVPN, safe exam browser, NVivo, SPSS, osv., mens du er tilknyttet UiA.
3. Identitet
Med "brukerkonto" mener vi i dette reglementet den personlige konto som UiA tildeler navngitte personer.
Du må identifisere deg med brukernavn og passord for å få tilgang til UiAs nettverk, systemer og tjenester. Du kan ikke låne bort eller dele disse innloggingsopplysningene med andre, og du kan heller ikke prøve å få tilgang til systemene ved å bruke noen andres passord. Du må også sørge for at du ikke bruker det samme passordet for UiA-kontoen din og andre tjenester du bruker.
For å ha kontroll over bruk av UiAs nettverk, systemer og tjenester, bør brukerkontoen tilknyttes enkeltpersoner som trenger tilgang på grunn av deres rolle. Eksterne personer får begrenset tilgang gjennom en gjestebrukerkonto. Noen ganger trengs det kontoer som ikke er knyttet til en person, for eksempel felleskontoer. Reglementet gjelder også for felleskontoer.
4. Tillatt bruk
UiAs IKT-ressurser, skal bare brukes til det de er ment for. UiAs IKT-ressurser er ment å støtte universitetets aktiviteter, og du har et ansvar for å bruke dem på en måte som er fornuftig og knyttet til UiAs formål. Hvis du behandler taushetsbelagte opplysninger, må du følge retningslinjene i pkt. 12 Taushetsplikt. Du kan ikke bruke UiAs e-post eller OneDrive til næringsvirksomhet eller privat kommunikasjon og lagring. Det er anledning for ansatte til å koble til dine private e-postadresser og lagringsområder på ditt UiA-utstyr.
Bruken av UiAs IKT-ressurser skal være forsvarlig. Det innebærer blant annet at det ikke skal publiseres eller distribueres ærekrenkelser eller diskriminerende uttalelser, ei heller krenke privatlivets fred. Det skal heller ikke spres taushetsbelagte opplysninger, eller utføre, oppfordre eller medvirke til straffbare handlinger.
5. Informasjonssikkerhet
Før du tar i bruk UiAs IKT-ressurser, må du gjøre deg kjent med dette IT-reglementet og grunnprinsipper for informasjonssikkerhet ved UiA (pdf). Sett deg inn i begrensninger og forbehold som er beskrevet på programvaresiden:
Systemer og tjenester som er godkjent til bruk ved UiA
Ved utøvelse av arbeid skal du kun benytte applikasjoner og tjenester som UiA har gjort tilgjengelig for formålet. Arbeidstaker forplikter seg til å overholde arbeidsgivers pålegg om bruk av - samt forbud mot applikasjoner.
Ansatte som trenger å bruke nye systemer, tjenester eller applikasjoner, må avklare dette med leder, og skal alltid følge rutine for anskaffelse av systemer og tjenester. Studenter må gå via emneansvarlig/veileder.
Bruk av private enheter for studenter følger kravene UiA har satt til student-PCer. Ansatte skal så langt det er mulig unngå å logge inn på sin brukerkonto fra enheter som ikke er eid og driftet av UiA. Det skal ikke logges inn på UiA-konto på offentlig tilgjengelige enheter, som internettkafeer eller på offentlige biblioteker utenfor UiA.
Alle som bruker UiAs IKT-ressurser må melde fra via UiAs "Si-ifra"-system dersom man blir kjent med hendelser og forhold som kan true IKT-sikkerheten eller bryte personvernet. Dette inkluderer også svakheter eller brudd som du oppdager i systemene eller tjenestene. Hvis du mottar mistenkelig e-post, videresend disse til spam@uia.no.
Hvis du mister enheter, må du varsle UiA Hjelp.
5.1. Avverge og oppdage informasjonssikkerhetshendelser
IKT-systemene ved UiA er tilrettelagt for registrering av aktiviteter (logging) og sikkerhetskopiering. Logger skal blant annet benyttes til å oppdage angrep eller avvik fra interne regler og rutiner, samt avdekke/oppdage brudd på sikkerheten i IKT-systemene.
6. Utlevering av opplysninger og data
Utlevering av brukerdata, opplysninger, logger og/eller trafikkdata til eksterne, herunder politi og påtalemyndighet, skjer kun ved hjemmel i lov.
7. Innsyn i e-post og filer
Under visse forutsetninger kan UiA gjennomføre innsyn i e-post og personlige områder i UiAs tjenester, jf. arbeidsmiljøloven § 9-5 og forskrift om arbeidsgivers innsyn i e-post og annet elektronisk lagret materiale.
8. Korrespondanse, saksbehandling og arkivering
Som offentlig virksomhet har vi en arkivplikt i henhold til arkivlova §6. Enhver ansatt har selv ansvar for å arkivere all arkivverdig dokumentasjon i UiAs sak- /arkivsystemet. Mer informasjon om saksbehandling og arkiv kan du finne her.
Bruk e-post kun til kommunikasjon, og ikke til langvarig oppbevaring og/eller arkivering av informasjon. For langvarig lagring av ikke-arkivverdig informasjon kan ansatte benytte seg av Org-Teamet. For prosesser som ikke trenger samhandling med andre, er OneDrive foretrukket. Benytt Microsoft Teams ved intern kommunikasjon innad i avdelingene og på tvers av avdelinger. Ytterligere lagringsveiledninger finnes her.
9. Særskilt om behandling av personopplysninger
Hvis du skal håndtere personopplysninger på UiA, er det ditt ansvar å sørge for at du kjenner gjeldende personvernregler og UiAs egne retningslinjer for behandling av personopplysninger.
10. Opphør eller endring av brukerforholdet
10.1. Ivaretakelse, utlevering og sletting av data
Når du ikke lenger er tilknyttet UiA, er det brukerens ansvar å sørge for at alle egne data fjernes fra UiAs IKT-ressurser. Informasjon og data som skal tas vare på i virksomheten, overføres til et angitt system og/eller lagringsområde, med rett tilgangsstyring. Dette må gjøres i samråd med nærmeste overordnede. Når tilknytningen til UiA opphører, vil tilgangen til brukerkontoen bli stengt, og dataene vil bli slettet innen 3 måneder etter stenging av brukerkontoen.
10.2. Tilbakelevering av utstyr
Når en bruker slutter hos UiA skal alt IKT-utstyr som er stilt til disposisjon, returneres i henhold til avtale med nærmeste overordnede.
11. Tilgjengelighet og ivaretakelse av daglig drift
UiA kan midlertidig stenge brukerkontoer eller tilgang til systemer og/eller tjenester hvis det er nødvendig for å avverge eller løse driftsforstyrrelser eller informasjonssikkerhetshendelser. Systemer og/eller tjenester kan i perioder være utilgjengelig for mange eller samtlige brukere hvis dette er nødvendig for å gjennomføre nødvendige driftsoppgaver for å sikre stabilitet og sikkerhet. Så langt som mulig skal dette varsles i forkant via driftsmeldinger som gjøres tilgjengelig for brukerne via UiA.no, UiAs intranett, eller ved innlogging i den aktuelle tjenesten.
12. Straffbare handlinger
Dersom det foreligger mistanke om at UiAs IKT-ressurser brukes til å gjennomføre straffbare handlinger eller forsøk på det, vil UiA vurdere å anmelde på eget initiativ selv om UiA ikke er den fornærmede part.
13. Sanksjoner
Ved brudd på dette reglementet og tilhørende regelverk vil reaksjon bli vurdert.
UiA kan ikke frata brukere rettigheter eller stille dem til ansvar for deres handlinger der disse har sin direkte årsak i svikt i UiAs IKT-tjenester og/eller -ressurser. Dette gjelder imidlertid ikke dersom svikten ble forsettlig utnyttet av brukeren.
Reaksjonsform vurderes blant annet ut fra alvorlighetsgraden av overtredelsen og om det foreligger tidligere overtredelser. Eksempel på reaksjonsformer kan være midlertidig stenging av tilgang til deler av, eller samtlige IKT-ressurser ved UiA.
Se for øvrig veiviser for ledere ved uakseptabel atferd. Andre reaksjonsformer kan være: advarsel, disiplinærreaksjoner etter lov om statsansatte, m.m.
Andre reaksjonsformer kan være utestenging fra studier og eksamen etter universitets- og høyskoleloven, m.m. Avgjørelse om midlertidig stenging av studenters brukerkonto og/eller tilganger til tjenester skal behandles etter reglene om enkeltvedtak i forvaltningsloven. Stenging besluttes av IT-direktøren. Universitetsdirektøren skal alltid orienteres om slike vedtak, og involveres direkte før videre vedtak og tiltak fattes.
Dersom studenten skal avlegge eksamen i løpet av perioden brukerkontoen og/eller relevante tilganger er stengt, og det er digital eksamensavvikling, skal UiA enten gi alternativ tilgang til eksamensplattformen eller finne en annen hensiktsmessig løsning slik at studenten kan avlegge eksamen. Tilsvarende gjelder for obligatoriske arbeidskrav.
14. Klage
Vedtak om midlertidig stengning av studenters brukerkonto og/eller tilgang til tjenester, kan påklages til UiAs råd for studentsaker innen tre uker etter at vedtaket er kommet frem til vedkommende part, jf universitets- og høyskoleloven § 5-1 (1). Øvrige enkeltvedtak kan påklages innen tre uker fra vedtakdato. Klageinstans er Kunnskapsdepartementet.
15. Referanser
- Lov av 15. juni 2018 nr 38 om behandling av personopplysninger (personopplysningsloven)
- Lov av 10. februar 1967 om behandlingsmåten i forvaltningssaker (forvaltningsloven)
- Lov av 1. april 2005 nr 15 om universiteter og høyskoler (universitets- og høyskoleloven)
- Lov av 16. juni 2017 nr 67 om statens ansatte mv. (statsansatteloven)
- Lov av 1. januar 1999 om arkiv (arkivlova)
- Forskrift av 2. juli 2018 nr 1108 om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale
- Forskrift av 25. juni 2004 nr 988 om elektronisk kommunikasjon med og i forvaltningen (eForvaltningsforskriften)
- Ledelsessystem for informasjonssikkerhet ved UiA
- Lokale forskrifter, reglement, retningslinjer og rutiner m.m. ved UiA