Användarregler för datasystemen

Användarregler för datasystemen finns här. Den gällande versionen av användar- och de övriga datasäkerhetsreglerna publiceras på IT-serviceenhetens webbsidor.
Principer för användningen

Universitetets användarregler ses över årligen så att de motsvarar förändringar i tjänsterna eller lagstiftningen. IT-administrationen ansvarar för uppföljning och uppdatering.
Syftet med reglerna

Universitetet strävar till att trygga skyddet, integriteten och tillgängligheten för alla användargruppers data och erbjuda en tillförlitlig och säker miljö för användningen av datasystemen. Dessa användarregler och andra regler har avfattats för att informera användarna i de olika användargrupperna om vilka rättigheter, ansvar och skyldigheter som är förknippade med behörigheten till datasystemen. Även en oavsiktlig försummelse av de skyldigheter som hör till användarbehörigheten kan vara en risk för användarnas uppgifter i datasystemen och uppgifternas integritet, skydd och tillgänglighet.

Dessa regler tillämpas på alla datasystem som administreras av universitetet eller som universitetet annars ansvarar för, och på användningen av datasystemen, samt när det gäller användarna också på andra sådana tjänster som användarna har tillgång till eller behörighet till genom universitetets förmedling. Reglerna gäller också datorer (arbetsstationer) på universitetet som är i allmänt bruk och all utrustning som är kopplad till universitetets datanät.

Alla IT-användare vid universitetet ska utöver gällande bestämmelser följa dessa regler och andra föreskrifter och anvisningar som gäller vid universitetet, beakta att Universitetet efterföljer förvaltningslag (434/2003) och lag om offentlighet i myndigheternas verksamhet (621/1999) som stadgas i Universitetslag (558/2009) 30§. Användning som strider mot dessa regler eller andra föreskrifter behandlas såsom dataskyddspolicyn föreskriver.

Den gällande versionen av användar- och de övriga datasäkerhetsreglerna publiceras på IT-serviceenhetens webbsidor.

Användning som negligerar eller strider mot dessa regler eller annan policy eller mot andra anvisningar som gäller användningen av datasystemen kan i värsta fall leda till att användarbehörigheten dras in.

De centrala principer som gäller all användning och tolkningen av användarreglerna är följande:

  • Alla som har behörighet ges möjlighet att använda datasystemen på ett adekvat och korrekt sätt.
  • Användare får inte orsaka organisationer, datasystem och andra användare i datanätet besvär eller skada.
  • Integritetsskyddet bör respekteras.
  • Användningen ska följa gällande bestämmelser och vara etiskt godtagbar.
  • Publicering, förmedling och distribution av lagstridigt material och material som strider mot god sed samt onödig belastning av systemets resurser är strängt förbjudet.

Universitetets datasystem är avsedda att vara arbetsredskap i uppgifter som anknyter till studier, forskning, undervisning eller förvaltning vid Helsingfors universitet. Annan användning förutsätter separat avtal.

Det är förbjudet att använda universitetets datasystem och användarnamn för politisk verksamhet. Undantag är val som förrättas vid universitetet, de politiska studentorganisationernas och deras underorganisationers verksamhet i anslutning till studentkårsverksamheten samt de anställdas fackföreningars och motsvarande organisationers verksamhet. Annan användning för kommersiella ändamål än för universitetets egen räkning är tillåten endast med särskilt tillstånd.

Privat användning är tillåten i liten utsträckning och endast till den del som den inte.

  • inverkar störande på annan användning av systemet
  • medför behov av att göra ändringar i universitetets datasystem
  • strider mot den policy och de allmänna anvisningar som gäller det aktuella systemet eller användningen.

Privata filer måste hållas skilt från material som hör till universitetets grundläggande verksamhet. Material som finns i de studerandes hemkatalog anses alltid vara privat material. Anställda vid universitetet ska av sekretesskäl hålla privat material skilt från material som anknyter till arbetet. Privat material ska sparas i egna mappar med namn som tydligt anger att innehållet är privat (till exempel Privat eller Eget material).

Alla användare ansvarar för sin del för den allmänna datasäkerheten när det gäller universitets datasystem och uppgifterna i dem.

  • Det är förbjudet att utan tillstånd hämta eller försöka hämta information som finns i datasystemen. Till exempel att söka och läsa data eller filer som tillhör en annan användare är tillåtet endast om denne med avsikt har publicerat materialet så att det är tillgängligt för andra användare.
  • Om en användare av misstag får tillgång till uppgifter som är avsedda för eller tillhör någon annan, får han eller hon inte utnyttja, spara eller sprida dessa uppgifter. Händelsen ska anmälas till personal som administrerar systemets och/eller den aktuella användaren.
  • Användarbehörigheten får inte användas till att söka luckor i datasäkerheten, till obehörig avkodning, till avlyssning eller till att ändra data eller till att göra intrång i andra system, kataloger eller tjänster.

Varje användare ska för egen del sörja för den allmänna datasäkerheten. Även om användaren inte själv har material som behöver skyddas, har andra användare sådant material. Den som upptäcker eller misstänker brister eller missbruk ska omedelbart meddela detta till datasystemets administratör, ägare eller chefen för enheten. Avvikelser från datasäkerheten behandlas i enlighet med datasäkerhetspolicyn och de anvisningar som gäller behandlingen av avvikelser från datasäkerheten.

Universitets personal och studenter ska avlägga Helsingfors universitets datasäkerhetstest årligen. Personal och studenter ansvarar för att de genomför datasäkerhetstestet inom den tid som avsatts för det. Om datasäkerhetstestet inte har avlagts inom tidsgränsen kommer användarbehörigheten att låsas och dess användning blockeras tills testet blir godkänt. Det finns ingen gräns för hur många gånger datasäkerhetstestet kan utföras.

Universitetet har som mål att skydda alla användare från skadeprogram, skräppost och försök till intrång i system och datorer. Också användarna måste ansvara för sin del av säkerheten i enlighet med gällande anvisningar.

Användaren ansvarar för att universitetet har användarens aktuella kontaktuppgifter, så att universitetet kan kontakta användaren vid behov.

IT-centret ansvarar för universitetets gemensamma säkerhetskopieringservicen och ger användarna möjlighet att säkerställa data i system som är anslutna till den, men ansvarar inte för eventuella skador som uppstår om användarens datafiler förstörs. Användaren ansvarar själv för klassificeringen och i sista hand för säkerhetskopieringen av sina datafiler.

I de fall som regler, anvisningar eller lagbestämmelser som gäller datasystemen kräver har användaren tystnadsplikt när det gäller systemens datainnehåll, användningssätt, deras säkerhetsnivå och egenskaper.

Till universitetets datanät får endast kopplas utrustning som ägs av universitetet och som godkänts och registrerats IT-centret. Utrustningen ska vara sådan att användare måste identifiera sig, till exempel med användarnamn och lösenord, eller sådan att användarna kan identifieras på annat sätt vid eventuella störningar. Utrustningen ska skriva en logg över användningen. IT-administrationens anvisningar måste följas då utrustningen kopplas till nätet. Delar av nätet som är reserverade för gästanvändare eller de anställdas och studenternas egen utrustning är särskilt märkta och separerade från det övriga nätet.
Användarbehörighet och användarnamn

Användare beviljas behörighet till universitetets gemensamma datasystem. Användarbehörigheten är knuten till användarens roll vid universitetet, men behörighet kan i särskilda fall beviljas personer som inte är knutna till universitetet. Behörighet till system med begränsad användning beviljas separat från fall till fall.

  • En förutsättning för användarbehörigheten är att användaren förbinder sig till att följa dessa regler och andra anvisningar och bestämmelser som gäller användningen. Användare ska på förhand bekanta sig med de anvisningar och regler som gäller systemet.
  • Den person som innehar behörigheten ansvarar för problem eller skador som användarnamnet orsakar.
  • Förfalskning av identitet och användning av en annan persons användarnamn är förbjudet.
  • Användarbehörigheten är personlig och får inte överlåtas till någon annan.
  • Om det finns skäl att misstänka att lösenordet eller någon annan identifikationsuppgift har kommit i någon annans besittning, ska lösenordet bytas ut eller användningen av identifikationsuppgiften omedelbart stoppas. Lösenordet ska bytas ut regelbundet och det ska vara svårt att gissa sig till.
Använd­arbehörighetens giltighetstid

Användarbehörigheten upphör när:

  • användaren inte längre är anställd eller studerar vid universitetet,
  • användarbehörigheten har beviljats för viss tid och giltighetstiden går ut eller
  • användarens roll ändras så att det inte längre finns någon grund för behörighet till datasystemet.

Användarnamnet stängs när:

  • användarbehörigheten som användarnamnet givits för upphör
  • användarnamnet inte längre behövs
  • det finns en grundad misstanke om att användarnamnet missbrukas eller datasäkerheten äventyras

Innan användarbehörigheten upphör ska följande åtgärder vidtas:

  • I den mån som det är nödvändigt ska personal överföra meddelanden och datafiler som behövs för den vidare skötseln av arbetsuppgifterna till en person som man kommer överens om med chefen för enheten. Detsamma gäller i tillämpliga delar också när användaren är en student som till exempel arbetat i en forskningsgrupp.
  • Användaren ska innan giltighetstiden för användarbehörigheten går ut sköta om att på ett lämpligt sätt flytta eller radera data som hör till användarnamnet.

Datafiler som användarnamnet sparat i datasystemen avlägsnas 12 månader efter det att användarbehörigheten har upphört.
Administrationen av datasystemen

Varje datasystem vid universitetet måste ha en ansvarig ägare som ansvarar för systemets användningsändamål, funktion och innehåll samt användningen av systemet. Datasystemets ägare gör upp anvisningar för användningen av systemet och ser till att datasystemets tjänster och användningen av det följer dessa regler. IT-serviceenheten administrerar universitetets gemensamma datanät. För andra datasystem som ägs eller administreras av enheter vid universitet ansvarar chefen för enheten eller en person som utses av honom eller henne. Varje enhet ska ha en separat förteckning över de ansvariga personerna och personal som arbetar med systemadministration. Denna förteckning ska vara uppdaterad och på begäran uppvisas för IT-serviceenheten.

Administratörerna kan ge anvisningar som kompletterar dessa regler i fråga om särskilda utrustningar, program och nätverk, och IT-sektorn kan dessutom utfärda anvisningar som gäller hela universitetet efter att de först har godkänts av IT-serviceenheten.