Inleiding
Het College van Bestuur heeft een aantal beleidslijnen vastgesteld met betrekking tot Cybersecurity, Safety en Privacy. Dit beleid is relevant voor iedereen die gebruikmaakt van IT-diensten die worden aangeboden door de universiteit of door partners in opdracht van de universiteit. Dit omvat, maar is niet beperkt tot, het netwerk op de campus, e-maildiensten, werkstations en elektronische apparaten van de universiteit en diensten zoals Canvas en Afas. Hieronder vindt je het beleid en de gedragscodes waaraan iedereen, inclusief gasten, zich dient te houden.
Vervolgens tref je een aantal richtlijnen aan. Deze richtlijnen gaan dieper in op specifieke situaties. Ze beschrijven best practices die de universiteit heeft toegepast. Als de situatie relevant is voor jouw activiteiten met betrekking tot IT-services, lees dat document dan goed.
Ten slotte vind je ook links naar nationale en internationale wetgeving op het gebied van cybersecurity en privacy en naar speciaal voor onderzoekers opgestelde gedragscodes.
- Universiteit Twente beleid en gedragscodes
Het beleid en de gedragscodes zijn officieel vastgesteld door het College van Bestuur. Iedereen moet deze set beschouwen als "Rule of Law" met betrekking tot het gebruik van IT-services.
Mensen moeten op zijn minst het Informatiebeveiligingsbeleid en de versie van de Gedragscode voor IT- en internetgebruik lezen die voor hen relevant zijn. Voor gasten is de Staff Code of Conduct het relevante document. IT-personeel moet ook de integriteitscode voor IT-personeel lezen.
- Informatiebeveilligingsbeleid
De benadering van informatiebeveiliging is gebaseerd op het informatiebeveiligingsbeleid van de universiteit. Iedereen is verantwoordelijk voor informatiebeveiliging.
Herzien: 15 juni 2023 - Privacybeleid
Het privacybeleid regelt de bescherming van de verwerking waarin persoonsgegevens worden vastgelegd. In het kader van de huidige wet- en regelgeving worden verantwoordelijkheden en rollen gedefinieerd.
Herzien: 2 juni 2023 - Gedragscode ICT- en internetgebruik voor medewerkers
De gedragscode bevat regels over verantwoord ICT- en internetgebruik door medewerkers. Het streeft naar een balans tussen de belangen van de Universiteit Twente en de vrijheid om IT te gebruiken.
Herzien: 15 juni 2023 - Gedragscode ICT- en internetgebruik voor studenten
De gedragscode bevat regels over verantwoord ICT- en internetgebruik door studenten. Het streeft naar een balans tussen de belangen van de Universiteit Twente en de vrijheid om IT te gebruiken.
Herzien: 15 juni 2023 - Integriteitscode ICT-functionarissen
IT-medewerkers kunnen vanwege hun vergaande rechten gevoelige gegevens verzamelen. Dit document bevat de ethische waarden en gedragscode waaraan ze worden gehouden.
Herzien: 15 juni 2023 - Autorisatiebeleid
De Universiteit Twente maakt gebruik van informatiesystemen voor het raadplegen en vastleggen van relevante gegevens. De integriteit van deze systemen is cruciaal. Daarom is het essentieel dat autorisatie goed is geregeld.
Herzien: 6 september 2024 - Reglement cameratoezicht
Dit Reglement beschrijft het doel waarvoor beveiligingscamera's worden gebruikt door de universiteit.
Herzien: 7 juni 2024 - Leeswijzer bij reglement cameratoezicht
Ter verheldereing van het reglement cameratoezicht is deze leeswijzer opgesteld. - Gebruik van eigen applicaties
Medewerkers en hun gasten kunnen (cloud-) applicaties gebruiken die niet door de Universiteit Twente verstrekt zijn. Dit beleid heeft als doel om medewerkers en hun gasten bewust te maken van deze risico’s en handelingsperspectief te bieden. - Gebruik van eigen apparatuur
Medewerkers, studenten en externen gebruiken tegenwoordig vaak eigen apparatuur voor hun werk en/of studie. Deze apparatuur wordt ook wel aangeduid met Bring Your Own Device (BYOD).
- Informatiebeveilligingsbeleid
- Universiteit Twente richtlijnen
Richtlijnen zijn documenten die "beste praktijken" beschrijven voor een aantal onderwerpen. Deze richtlijnen zijn gebaseerd op het officiële beleid en leggen in detail uit hoe de universiteit deze in speciale gevallen wil implementeren.
Richtlijnen kunnen niet elk mogelijk onderwerp of alle mogelijke situaties beschrijven. Ze zijn een gefundeerde interpretatie van het beleid. Waar beleid strikt dient te worden nageleefd, kan desnoods van richtlijnen worden afgeweken. U heeft wel een voorafgaande goedkeuring nodig als u wilt of wilt afwijken. Neem contact op met een van de IT Security Managers
- Richtlijnen voor authenticatie / wachtwoorden
Het wachtwoordbeleid uit 2015 is vervangen door "Guidelines on Identity &Access Mangement - Authentication" en is alleen in het Engels beschikbaar. - Richtlijn voor het updaten van computersystemen
De patchmanagementrichtlijn van de Universiteit Twente (UT) beschrijft de maatregelen en procedures voor een effectieve uitvoering van patchmanagement.
Herzien: 6 september 2024 - Kennis- en informatiebeveiliging tijdens reizen naar het buitenland
Ga je binnenkort voor je werk naar het buitenland? Zakelijke reizen naar het buitenland brengen spionagerisico’s met zich mee. Ditzelfde geldt voor langdurig werkzaam zijn in het buitenland. - Privacyverklaring inzake het streamen en opnemen van colleges.
(Only in English) Het platform waarop lezingen worden gestreamd en / of opgenomen dat wordt gebruikt door de UT, zet zich in om uw privacy te beschermen door de vertrouwelijkheid en veiligheid van uw persoonsgegevens te bewaren. - Regels voor gebruik overige camera's
Opnames worden niet alleen gemaakt om veiligheidsredenen, maar kunnen ook om andere redenen worden gemaakt. Deze opnames kunnen worden gemaakt door de Universiteit Twente, maar ook door iedereen die aanwezig is op het terrein van de universiteit. - Regeling overcomplete electronische persoonlijke appratuur (e-waste regeling)
In deze regelgeving is vastgelegd hoe overtollige apparaten op een maatschappelijk verantwoorde manier kunnen worden afgevoerd. - Classificatierichtlijn
We werken met informatie die beschermd moet worden. Er wordt bescherming geboden op het niveau dat past bij de risico's van de betreffende informatie. Hoe groter het risico, hoe beter de informatie moet worden beschermd.
Herzien: 29 april 2024 - Technische richtlijnen voor SPF, DKIM en DMARC
(English only) De Universiteit Twente heeft maatregelen getroffen om een veilige e-mailomgeving te ondersteunen en te bevorderen. In deze richtlijnen staat beschreven hoe dat middels SPF, DKIM en DMARC wordt geimplementeerd. - Richtlijn testen met persoonsgegevens onder de AVG
De Universiteit Twente (UT) gebruikt persoonsgegevens bij het testen van haar informatiesystemen. Deze richtlijnen geven aan hoe daarmee om te gaan.
Herzien: 30 januari 2024 - Richtlijnen voor de afvoer van datadragers
Wanneer gegevensdragers zoals harde schijven, tapes, mobiele apparaten, USB-sticks etc. buiten gebruik worden gesteld of worden verwijderd, dienen de gegevens daarop door of namens de eigenaar adequaat te worden vernietigd. - Richtlijnen voor computers in laboratoria
Dit document richt zich op de apparatuur die een netwerk-”aansluiting” gebruikt en vooral in lab-achtige situaties ingezet wordt. - Regeling ICT-faciliteite ex-UT-ers
Deze regeling heeft betrekking op personen die een dienstverband met de UT beëindigen (ex-medewerkers) of uitgeschreven zijn bij een opleiding (ex-studenten). Hieronder vallen ook de gebruikers van een gastregistratie. Herzien: 29 juli 2024
- Richtlijnen voor authenticatie / wachtwoorden
- Nationale en internationale wetgeving
Wetgeving, zowel nationaal als internationaal, die het kader vormt voor het tot stand brengen van cyberveiligheid.
- Algemene verordening gegevensbescherming (AVG)
De regels voor het omgaan met persoonsgegevens zijn vastgelegd in de Europese privacywetgeving; in het Nederlands vertaald naar de AVG (Algemene Verordening Gegevensbescherming) en Uitvoeringswet Algemene verordening gegevensbescherming (UAVG). - Wet op de computercriminaliteit III
Wet van 27 juni 2018 tot wijziging van het Wetboek van Strafrecht en het Wetboek van Strafvordering in verband met de verbetering en versterking van de opsporing en vervolging van computercriminaliteit. - Wet medisch-wetenschappelijk onderzoek met mensen
Deze wet heeft betrekking op het medisch onderzoek waarbij de mens of menselijke delen het onderwerp van het onderzoek zijn.
- Algemene verordening gegevensbescherming (AVG)
- Codes of conduct voor onderzoekers
Naast wetgeving en specifieke universitaire gedragscodes zijn er landelijke gedragscodes voor de bescherming van onderzoeksgegevens.
Wetenschappelijk onderzoek waarbij persoonsgegevens worden verwerkt valt onder de Algemene Verordening Gegevensbescherming. Wanneer het onderzoek zich uitstrekt tot medische persoonsgegevens, is ook aanpalende wetgeving zoals de Wet medisch wetenschappelijk onderzoek van toepassing. Dit betekent dat het gebruik van data aan extra voorwaarden moet voldoen. Om onderzoekers te helpen in overeenstemming met deze wetgeving te handelen, zijn er nationale speciale gedragscodes opgesteld.
- Gedragscode voor gebruik van persoonsgegevens in wetenschappelijk onderzoek
In veel wetenschappelijk onderzoek maken onderzoekers gebruik van persoonsgegeven. De VSNU heeft na de invoering van de Wet Bescherming Persoonsgegevens een gedragscode opgesteld voor de wetenschap op universiteiten. - Gedragscode voor gezondheidsonderzoek
(English only) Opgesteld door "The Council of the Federation of Medical Scientific Societies" - Gedragscode Verantwoord omgaan met lichaamsmateriaal ten behoeve van wetenschappelijk onderzoek
In nauwe samenwerking met een groot aantal relevante organisaties, waaronder patiënten-belangen-verenigingen, is de Gedragscode Verantwoord omgaan met lichaamsmateriaal ten behoeve van wetenschappelijk onderzoek tot stand gekomen.
- Gedragscode voor gebruik van persoonsgegevens in wetenschappelijk onderzoek