Reglement for bruk av IT for tilsette og personar med tilgangsavtale ved Nord universitet

Denne sida beskriv retningslinjer for ansvarleg bruk av Nord universitet sitt datautstyr.

  • Dette dokumentet beskriv retningslinjer for ansvarleg bruk av Nord universitet sitt datautstyr.

    Alle spørsmåla som gjeld tolkinga av desse prinsippa rettast til IT-helpdesk.

    • Datautstyr som blir stilt til rådvelde for den tilsette skal i avgrensa grad nyttast til privat bruk, og private data som blir lagra på maskina er ikkje universitetet sitt ansvar.
    • Datautstyr og ressursar må ikkje nyttast kommersielt, eller til aktivitetar utan tilknyting til den verksemda som føregår ved universitetet.
    • Bruk av felles maskinvare og tilgang til felles informasjon medfører ansvar for å bruke systema og informasjonen lovleg og alltid handle ansvarleg. Det er venta at alle ved universitetet respekterer andre sine rettar, og nyttar datautstyret med omtanke.

  • Det finst fleire informasjonskanalar frå IT-avdelinga til brukarane (intranett, e-post, oppslag, brukarstøtte tips osv.). Vi føreset at alle brukarar gjer seg kjende med det som blir skrive i desse kanalane.

  • Alle tilsette i alle ledd har ansvar for å halde seg informert om universitetet sine rutinar og retningslinjer for informasjonssikkerheit og personvern, og skal forhalde seg til teieplikta «Erklæring og teieplikt» som gjeld for Nord universitet.

    Alle tilsette er også ansvarlege for at skjerma informasjon ikkje kjem uvedkommande i hende.

    Det krevst også at den tilsette gjennomfører kurs i informasjonssikkerheit, som blir gjort tilgjengeleg jamleg frå arbeidsgivar.

  • Før datautstyr (som t.d. datamaskiner, skrivarar og programvare) blir nytta, må kvar enkelt gjere seg kjend med bruken av det aktuelle utstyret, og forsikre seg om at ein har den nødvendige tilgangen og kompetansen.

    Det er ikkje tillate å behandle materiale som kan verke støytande eller provoserande på andre - t.d. ærekrenkande utsegner eller pornografisk materiale.

    Nettverket/internett skal ikkje nyttast til å overføre informasjon som ikkje er jobbrelevant.

    Det er ikkje tillate å forsøke å skaffe seg tilgang til datasystem ein ikkje skal ha tilgang til.

  • Snoking eller uberettiga oppslag i arbeidsgivar sine datasystem er ikkje tillate. Søk og oppslag kan berre gjerast der du har eit tenestleg behov for å gjere desse søka.

  • All bruk av IT-systema ved Nord vil etterlate seg elektroniske spor, desse spora blir oppbevarte for ein periode for å kunne best mogleg administrere, vedlikehalde og feilsøke i systema.

    Denne logginga vil kunne innebere at utilsikta aktivitet/snoking i system vil kunne bli avdekt. Dette er ein del av IT-avdelinga sine arbeidsrutinar og kontrolltiltak for å sikre ein trygg og stabil drift av nettverk og datasystem.

  • Innsyn og sanksjoner

    Bruk av Nord sine IT-ressursar som resulterer i brot på norsk lov vil kunne medføre reaksjonar frå politi og påtalemakt, i tillegg til sjølvstendige sanksjonar frå Nord.

    Alvorlege brot på sikkerheitsbestemmelsar og desse retningslinjene og misbruk kan medføre straffeansvar i henhald til norsk lov. Dette gjeld også misbruk som påfører universitetet økonomiske tap eller ansvar (som t.d. ulovleg kopiering, nettbruk osv.).

    IT-driftspersonell kan gjere nødvendige inngrep for å sikre Nord universitet sine IT-ressursar sin tilgjengelegheit, funksjonalitet og integritet. Dersom inngrep påverkar brukaren sin bruk av IT-ressursane, skal brukaren, om mogleg, varslast på førehand og uansett utan ugrunna opphald og så snart som praktisk mogleg.

    Ved dødsfall skal gjeldande Nord universitet sin rutine følgjast «Rutine når ein tilsett døyr». Der blir det skildra kven og korleis innsyn, viss aktuelt, skal gjennomførast.

    Universitetet fraskriv seg ansvar for tap av data som ikkje er lagra på universitetet sine dataservarar. Begjæring om innsyn i tilsette sin e-postkasse blir fremma av øvste leiar ved eininga (ved institutt, fakultet eller avdeling i sentraladministrasjonen) i samråd med leiar ved avdeling for økonomi og HR og systemeigar. Beslutninga om innsyn blir fatta av leiar ved avdeling for økonomi og HR.

    Er du i tvil om din bruk av ressursane er i samsvar med god skikk og bruk, spør IT-avdelinga.

    Utlevering av opplysningar 

    Innleiande kommentarar:

    Bruk av informasjonsteknologi produserer mange spor og opplysningar, ein del av desse opplysningane blir lagra i Nord sine system fordi dei trengs for å kunne drifte IT-system. Dette kan vere for å avdekkje feil eller problem, måle ressursbruk eller forbetre ytelse. Uansett har Nord ein del loggopplysningar. Loggane er skapte med eitt føremål: å understøtte drifta av Nord sine IT-system.

    Andre føremål, t.d. å overvake brukar sin åtferd eller å bevise om dei har gjort kriminelle handlingar, er uvedkommande for Nord og er i utgangspunktet ikkje ein grunn for at desse finst.

    Handteringa av dei bør følgje føremålsbestemtheitsprinsippet, og dermed i utgangspunktet ikkje brukast til andre enn det opphavlege føremålet. Brukt på eit spørsmål om utlevering vil dette helle sterkt mot eit negativt svar.

    Politi og påtalemakt har rett til å få identifisert kven som har brukt ein gitt IP-adresse på eit gitt tidspunkt.

    For det andre har ein meir vidtgåande reglar som gir dei rett til å sikre loggar, dvs. påby Nord å ta vare på spesifikt utpeikte loggar (men ikkje utlevere dei), typisk i påvente av ei kjennelse frå ein domstol.

    Nord/arbeidsgivar kan gi innsyn i informasjon, loggar og sikkerheitskopiar til tredjepartar når dette har heimel i lov eller forskrift, samt ved framlegging av rettsleg beslutning.

  • Datamaskin- og nettverksressursar er avgrensa. Alle brukarar har ansvar for å bruke ressursane effektivt, etisk og lovleg.

    Det er ikkje tillate for den enkelte å legge inn program eller gjere andre endringar på datasystema utan IT-avdelinga si godkjenning.

    All bruk av datamaskinressursar og behandling av personopplysningar må vere i samsvar med norsk lov.

  • Alle tilsette må rette seg etter dei retningslinjene som gjeld for bruken av programvare og behandling av data. Dette gjeld både lisensiert, ulisensiert programvare, og data som er verna av opphavsrett (copyright).

    Viss ein har behov for programvare skal dette avklarast med IT-tenesta som har avtalar og har oversikt over kva som er tilgjengeleg ved universitetet.

    Har ein i si tilsetjing fått programvare til heimebruk, skal dette slettast frå heimemaskina viss arbeidsforholdet opphøyrer eller retten til heimebruk frå leverandør opphøyrer (t.d. Microsoft 365).

  • Alt utstyr (t.d. privat pc, minnepinnar, eksterne diskar) som blir brukt mot universitetet sine system skal til ei kvar tid vere sjekka for virus og anna skadevare.

  • Alle brukarar blir tildelt ein personleg brukarkonto med tilhøyrande passord. Passordet skal haldast hemmeleg, veljast med omhug og behandlast på lik linje med passord til t.d. nettbank.

    Nord har aktivert to-faktor autentisering på alle tilsettkontoar i Microsoft 365.

    Dersom ein mistenker at andre kjenner til passordet, skal det skiftast så fort som mogleg. Det er ikkje tillate å opptre anonymt, gi seg ut for å vere ein annan eller bruke falsk identitet.

  • Tilsette skal behandle informasjon i samsvar med universitetet sine retningslinjer for klassifisering.

  • Informasjon som er klassifisert som gul, raud eller svart skal sikrast på ein slik måte at den ikkje kjem uvedkommande i hende.

    Informasjonen skal ikkje lagrast på media som du ikkje har kontroll over og i samsvar med retningslinjene for klassifisering og lagringsguide for Nord.

  • Jobbar ein frå heimemaskiner mot Microsoft 365 eller intranett og tilhøyrande tenester må ein vere nøye med å logge av systema når ein er ferdig med arbeidet.

    Det same gjeld viss ein arbeider på universitetet sitt utstyr heimefrå, skal ein vere nøye med å låse maskina når den ikkje er i bruk for å sikre utilsikta tilgang, bruk WIN+L for å låse maskina.

  • E-post som blir sendt skal berre sendast til mottakarar som kan forventast å ha interesse av å motta den frå deg. Nord e-postkonto skal ikkje brukast til privat bruk.

    Informasjon av type Gul og Raud skal ikkje sendast som e-post utan at den er sikra/klassifisert. Svart informasjon skal ikkje sendast på e-post. Gruppeutsending skal brukast med varsemd.

    Les ein e-post på telefon eller nettbrett skal desse einingane sikrast med tilgangskode (pin-kode, biometri) slik at uvedkommande ikkje får tilgang. Slikt utstyr skal ikkje lånast bort. Mistar ein utstyret skal det meldast umiddelbart til IT-avdelinga.

    Vis varsemd med å opne lenker og vedlegg frå personar ein vanlegvis ikkje kommuniserer med, sjekk alltid lenka sin adresse før ein klikkar, er den mistenkeleg så sjekk med avsendar.

    HUGS: STOPP – TENK – KLIKK

  • Lagring av jobbrelatert informasjon skal skje i samsvar med lagringsguiden for Nord universitet.

  • IT-tenesta kan ved behov gjennomføre reinstallasjon/formatering av kvar ein datamaskin som er eigd av universitetet utan å vere ansvarleg for innhaldet som blir lagra lokalt på maskinen, altså alt utanfor OneDrive, Teams, etc.

  • Mobilt utstyr skal til ei kvar tid vere under oppsikt eller oppbevarast på ein trygg måte. Det blir spesielt oppfordra til å vere varsom når ein har utstyret med på reise og til og frå arbeidsplassen.

    Aldri forlat utstyret ubevokta i offentlege rom eller der det kan vere lett tilgjengeleg for tjuveri.

    Mobiltelefonar som inneheld Nord-informasjon, t.d. datafiler og e-post, skal vere sikra med passord/kode. Ved tap av telefon skal dette meldast så raskt som mogleg til IT-avdelinga som eventuelt kan bistå med å fjerne/slette eininga og innhaldet.

    Elektronisk/teknisk utstyr som bærbare diskar, minnepinnar og anna portabelt lagringsmedium skal oppbevarast trygt og haldast under oppsikt når det er utanfor arbeidsplassen.

    Elektronisk/teknisk mobilt utstyr som blir utplassert og brukt i felt og fellesområde, inkludert felles IKT-utstyr, skal sikrast mot tjuveri og hærverk i samsvar med risikovurdering.

    Elektronisk/teknisk utstyr som blir sendt eller transportert, skal sikrast mot transportskade og tap i samsvar med risikovurdering.

    Dersom du planlegg å ta med IT-utstyr til land utanfor EU/EØS, må dette på førehand avklarast med IT-helpdesk.

  • Nord universitet kan reagere på utilbørleg åtferd ved å påleggje ulike typar disiplinære tiltak. Dette inkluderer oppheving av tilgang til universitetet sitt datautstyr og nettverk, suspensjon eller utvising.

    Universitetet reserverer seg retten til, utan varsel, å:

    • Avgrense brukarar sin tilgang til datautstyret og nettverket.
    • Inspisere, kopiere, fjerne eller på annan måte endre kvar datafil eller systemressurs som undergrev autorisert bruk av datautstyret og som kan medføre problem for universitetet.
    • Universitetet reserverer seg også retten til periodisk å sjekke kvart system og utføre nødvendig kontroll for å beskytte datautstyret. Universitetet fraskriv seg ansvar for tap av data som ikkje er lagra på universitetet sine lagringsområde.
    • Alvorlege brot på sikkerheitsbestemmelsar og desse retningslinjene samt misbruk kan medføre straffeansvar i samsvar med norsk lov.

    Dette gjeld også misbruk som påfører universitetet økonomiske tap eller ansvar (t.d. ulovleg kopiering, nettbruk osv.).

    Er du i tvil om din bruk av ressursane er i samsvar med god skikk og bruk, spør IT-helpdesk.

  • Når arbeidsforholdet avsluttast ved Nord universitet, blir tilgangen til alle datasystem deaktivert på sluttdato og kontoen sletta etter 30 dagar.

    Har den tilsette hatt tilgang til å disponere datamaskin gjennom sitt arbeidsforhold, er det tatt backup av e-post og OneDrive. Desse dataene vil ligge tilgjengeleg i backupløysinga i 365 dagar.

    Har du ikkje hatt tilgang til datamaskin, vil dine data bli sletta etter 30 dagar etter sluttdato.

Har du spørsmål om reglementet? 

Alle spørsmål som gjeld fortolkninga av desse prinsippa rettast til IT Helpdesk.