Med administration avses i dessa regler
Med datasystem eller system avses i dessa regler
Med en enhet vid universitetet avses en fakultet, institution, avdelning eller ett annat funktionellt ansvarsområde inom universitetet.
Den ansvarige ägaren till ett datasystem är den universitetsenhet för vars verksamhet och databehandling systemet har anskaffats och som bestämmer över systemets användningsrätt. Programvara, material på webbsidor m.m. kan också ägas av materialets upphovsman, enligt upphovsrättslagen.
Systemets operatör har till uppgift att sköta det tekniska underhållet av datasystemet. Datasystemets ägare är också dess operatör, om inte skötseln genom avtal överförts till en annan enhet vid universitetet eller till en utomstående serviceleverantör. Operatören är i allmänhet inte systemets administratör.
Med en administratör avses alla personer som ansvarar för det datatekniska underhållet av universitetets datasystem och därtill övriga IT-stödpersoner, vilka tillsammans med de förstnämnda ansvarar för underhållet av systemen samt för stöd och handledning åt användarna. I vid bemärkelse är varje person som har en systemadministratörs användningsrätt en administratör.
För att kunna trygga datasystemens funktionalitet har administratören omfattande rättigheter att undersöka systemens tillstånd och vid behov att också vidta åtgärder gällande systemen, en enskild användares användning av datasystemen samt dennes material i datasystemen, som kan misstänkas bryta mot gällande regelsystem eller Användingsregler för datasystemen (t.ex. illegala musik- eller filmkopior).
För att avvärja brott mot datasäkerheten och avlägsna störningar har administratören rätt och skyldighet att vidta omedelbara åtgärder för att trygga datasäkerheten. I dessa fall skall administratören följa datasäkerhetspolicyn och anvisningarna Reagerande på datasäkerhetsproblem.
För att administratörens privilegier inte ska strida mot användarens rättsskydd regleras privilegierna med anvisningar och bestämmelser. Dessa baserar sig på gällande regelverk [1]. Universitetets datasäkerhetsregler upprätthålls av IT-centret.
Dessa och övriga datasäkerhetsregler liksom övriga anvisningar för användningen av universitetets datasystem är tillgängliga på universitetets webbsidor. Varje enhet kan också ha preciserande, systembundna administrationsregler eller -anvisningar.
Dessa regler gäller universitetets alla administratörer, också studerande som administrerar ett datasystem eller en del av datasystem kopplat till universitetets nät.
Enheten bör dokumentera sina datasystem eller systemhelheter, klassificera dem till nödvändiga delar enligt betydelse samt utnämna och dokumentera operatörer och administratörer för systemen. Ägaren ansvarar för att systembeskrivningar finns och är tillgängliga och uppdaterade.
Datasystemets ägare och i sista hand enhetens chef ansvarar för att systemet följer lagen, god administrationssed samt universitetets gällande regler och policyn. Ägaren har alltid det slutliga ansvaret för administrationen av systemet. Datasystemets operatör ansvarar för det tekniska underhållet av systemen enligt god administrationssed. Varje system bör ha utnämnda administratörer. Administrationsuppgifterna fördelas om möjligt på flera personer med olika befogenheter. Administratörernas åtgärder loggas också i behövlig grad.
Datasystemets ägare eller operatör ansvarar inte för innehållet i användarens personliga material, utan användaren ansvarar själv för att materialet är lagligt och skyddar det enligt universitetets anvisningar. Systemets operatör har ändå lagstadgad rätt och skyldighet att vidta åtgärder beträffande användares material om det finns motiverade skäl att misstänka att materialet utgör en datasäkerhetsrisk eller strider mot lagen.
Om administratören misstänks eller observeras missbruka sina privilegier kontaktas enhetens chef eller en av denna utsedd kontaktperson , som rapporterar till datasäkerhetssamordnaren på campus. Eventuella fortsatta åtgärder vidtas enligt datasäkerhetspolicyn.
Datasystem bör administreras enligt god administrationssed. Det innebär en systematisk, ansvarsfull och professionell administration, som beaktar den goda informationshanteringssed som regleras i offentlighetslagen och -förordningen [1].
I administrationen av universitetets datasystem beaktas användarnas och deras kommunikationspartners rätt till sekretess och kommunikationshemlighet. Med beaktande av dessa grundläggande rättigheter har universitetet ändå rätt att besluta om innehållet i och användningssyftet för sina egna datasystem. Detta gäller också trafiken i universitetets datanät. Användningssyftet är noggrannare reglerat i universitetets Regler för användningen av datasystemen eller i systemspecifika regler.
Då administratören på en användares begäran hanterar dennes e-post eller andra filer bör administratören verifiera användarens identitet på ett ändamålsenligt sätt, exempelvis med ett lämpligt id-bevis.
Då administratören behöver kontakta en användare kan det göras antingen per telefon till det nummer som finns i universitetsförvaltningens datasystem eller per e-post. Om det finns orsak att misstänka att användarnamnet har kommit i orätta händer bör e-post inte utnyttjas.
Administratören har tystnadsplikt och förbud mot utnyttjande av information som denne har fått del av genom sitt arbete och som inte anknyter till arbetsuppgifterna. Tystnadsplikten och utnyttjandeförbudet gäller även informationens existens. Icke-offentlig information som anknyter till arbetsuppgifterna får diskuteras endast med en sådan person eller myndighet som binds av samma tystnadsplikt och till vars arbetsuppgifter informationen anknyter.
Administratören är bunden speciellt av 40 kap. 5 § i strafflagen. Enligt lagen får administratören inte obehörigt avslöja eller utnyttja sekretessbelagd information som han har fått del av under skötseln av sina uppgifter eller genom sin position under sitt tjänsteförhållande eller efter att det avslutats. Administratören får inte heller yppa annan information som enligt lag inte får avslöjas, såsom användarnas privata angelägenheter.
Administratören undertecknar en sekretessförbindelse [2].
Administratören skall inte behöva användarens lösenord för att sköta sina uppgifter och bör därför inte heller fråga efter det.
Om administratören för att kunna lösa ett problem tillfälligt behöver använda sig av användarens identitet bör användaren själv vara närvarande och autentisera sig gentemot systemet. Administratören kan också ta användarens identitet i användning med stöd av administratörens privilegier. Användaren bör informeras om det senare tillvägagångssättet så snabbt som möjligt. Identiteten får inte användas längre än vad som är nödvändigt för att lösa problemet.
Administratören bör i dessa situationer verifiera användarens identitet på ett ändamålsenligt sätt.
Systemadministratörens rättigheter används endast då de behövs för underhållsuppgifter. I övriga fall bör administratören använda egna personliga användarnamn.
Om man misstänker att universitetets datasäkerhet äventyrats eller att en användare har brutit mot regler och anvisningar har administratören rätt att begränsa användningsrätten medan utredningen pågår.
Påföljderna av konstaterat missbruk behandlas enligt datasäkerhetspolicyn.
Enligt Finlands grundlag är ett personligt brevs, ett telefonsamtals eller ett annat konfidentiellt meddelandes hemlighet okränkbar, om inte annat stadgats i lag. E-post kan jämföras med brev. Ett e-postmeddelande är konfidentiellt om det inte är avsett för allmän spridning.
Normala hanteringsprinciper för e-post anges i Regler för hantering av e-post. I dessa Regler för administration av datasystemen regleras speciella situationer, då administratören måste ingripa i distributionen av e-post i syfte att garantera e-postsystemets servicenivå eller säkerhet.
Administratören har inte rätt att se användarens e-post. Administratören kan vara tvungen att öppna filer som innehåller användarnas e-post i följande situationer:
Administratören har också rätt att ur e-postkön radera meddelanden som utgör fara för e-postsystemets funktion, eller som förorsakats av tekniska fel och är uppenbart onödiga.
Administratören har inte allmän rätt att läsa eller på annat sätt hantera innehållet i användarnas filer.
Administratören har dock rätt att hantera filer exempelvis i följande situationer:
Utöver ovannämnda rättigheter har administratören också alltid rätt att:
Administratören kan inte vid normalt underhållsarbete helt och hållet undvika att hantera och se fillistor över användarnas kataloger. Hanteringen av katalogstrukturer, filernas namn, ändringsdatum, storlek och skyddsnivå samt annan information om filerna är en del av den normala administrationen. Denna utförs med beaktande av god administrationssed.
Om man observerar att skyddet för någon fil eller katalog inte är tillräckligt med tanke på dess karaktär är administratören skyldig att ändra skyddsnivån.
Vid skötseln av administrationsuppgifter strävar man efter att inte i onödan visa fil-, katalog- och andra namn. Exempelvis då man behöver fillistor för att hantera ett problemfall, avlägsnas för utskriften i mån av möjlighet de filnamn som inte hör till det ärende som behandlas.
Administratören beslutar i samarbete med operatören om vilka program som är tillgängliga i systemet. Program kan förbjudas eller tas ur bruk, om användningen av dem inte är nödvändig för universitetets verksamhet eller om de utgör ett hot mot servicenivån eller säkerheten. Beslutet fattas av administrationsgruppens chef vid den enhet som är operatör för systemet.
Som en del av den normala administrationen övervakar administratören vilka program som körs i datasystemen.
Administratören får ändra prioriteten för en process under exekvering, om processen använder en orimligt stor del av systemets resurser.
Administratören får avbryta exekvering av en process om
Administratören för universitetets datanät övervakar trafiken i nätet och i externa förbindelser bl.a. med hjälp av loggdata och program för nätverksavlyssning. Syftet är att kunna garantera en tillbörlig servicenivå och säkerhet samt sörja för en kostnadseffektiv användning av externa förbindelser.
Vid övervakningen av trafiken granskas inte innehållet i datat som överförs, utan endast trafikmängd och trafiktyp. Uppföljningen av mottagar- och sändardatorerna är statistisk och inriktas inte på enskilda användare annat än i fall av störning. Man kan också följa upp trafiken i detalj för ett enskilt system då man utreder problem som anknyter till trafiken, såsom orsakerna till en ovanligt stor belastning.
Datanätets administratör kan kontakta personen som ansvarar för den dator som har förorsakat stor trafik eller något annat problem för att utreda störningen eller missbruket.
Datanätets administratör har rätt att blockera dataförbindelser eller användningen av en viss tjänst i en dator eller i en del av nätet om
I alla dylika fall bör administratören som ansvarar för datorn eller delen av nätet omedelbart kontaktas efter att trafiken har blockerats.
Universitetets datasystem sparar loggdata för att dokumentera systemets funktion, utreda eventuella störningar eller missbruk och för att samla in fakturerings- och statistiska data. Vid universitetet används loggdata normalt endast för uppgifter av teknisk natur och för att möjliggöra fakturering och statistikföring. Loggdata kan utgöra personregister, om vilka det regleras i personuppgiftslagen (523/1999), eller kan innehålla identifikationsuppgifter, om vilka det regleras i lagen om dataskydd vid elektronisk kommunikation (516/2004).
Den som erbjuder datasystemtjänster bör som en del av administreringen sörja för säkerhetskopieringen av systemen. Säkerhetskopior bör tas tillräckligt ofta för att gardera sig mot följderna av t.ex. en skivkrasch.
Säkerhetskopiorna bör förvaras på lämpligt sätt och administratören bör sörja för kopiornas läsbarhet. Säkerhetskopierat data bör hanteras enligt samma principer som motsvarande data i datasystemen. Säkerhetskopiorna bör förstöras på ett sådant sätt att konfidentialiteten säkras.
Universitetets IT-center samt eventuella övriga enheters datasystems ägare ansvarar för övervakningen av dessa regler. Hanteringen av brott mot reglerna sker enligt datasäkerhetspolicyn. Reglerna uppdateras av IT-centret och behovet av uppdateringar följs upp av datasäkerhetschefen. Den nyaste versionen av reglerna finns på IT-centrets nätsidor.
Finländsk lagstiftning iakttas i all administration. Lagar som styr administrationen är:
samt förordningar, övriga författningar och bestämmelser som utfärdats med stöd av ovannämnda lagar.
Jag förbinder mig härmed att, medan jag är i Helsingfors universitetets tjänst eller då jag i övrigt verkar inom universitetet eller på dess vägnar, inte för obehöriga avslöja något konfidentiellt innehåll i dokument eller annan information som jag har fått del av, och som enligt lag eller förordning omfattas av tystnadsplikt eller sekretess.
Jag förbinder mig också att inte missbruka icke-offentlig och konfidentiell information som jag har fått del av genom mina arbetsuppgifter, eller lämna den inom räckhåll för obehöriga eller på annat sätt lätttillgänglig.
Tystnadsplikten och sekretesskyldigheten gäller också efter att anställningsförhållandet eller uppdraget avslutats.
Information som omfattas av sekretessbestämmelserna inkluderar exempelvis de flesta personuppgifter och information om säkerhetsarrangemangen samt samarbetsparternas affärs- och yrkeshemligheter.
Som obehöriga anses också personer som arbetar vid Helsingfors universitetet eller hos samarbetspartner och som inte behöver informationen för att kunna sköta sina ålagda eller avtalade uppgifter.
Då mitt anställningsförhållande eller uppdrag avslutas överlämnar jag till Helsingfors universitetet alla dokument och datamedier, samt eventuella kopior av dessa, som innehåller icke-offentligt eller konfidentiellt data och som anknyter till universitetet eller dess samarbetspartner.
Jag har bekantat mig med gällande lagstadgade bestämmelser om tystnadsplikt och förbud mot utnyttjande av information, universitetets datasäkerhetspolicy och Regler för administrationen av datasystemen. Jag förbinder mig att iaktta de gällande anvisningar eller bestämmelser som publiceras på IT-centrets webbsidor.
Brott mot dessa kan i vissa fall utgöra en straffbar handling.