Agendapunten

SP-1 GIG: Gedragscode ICT Gebruik (concept januari 2009)

1.1Raamwerk

Aan deze Gedragscode SP-1, verder GIG te noemen, gaat het definitie-document SP-0 vooraf. Beide documenten zijn vastgesteld in het kader van het UT Informatiebeveiligingsbeleid.


Alle betrokkenen worden geacht naar letter en geest van de GIG te handelen. Allen worden daartoe in de gelegenheid gesteld door kennis te nemen van de GIG. Ook wanneer er een publieksvriendelijke versie van de GIG ter beschikking wordt gesteld, is die uitsluitend bedoeld als handreiking waaraan nimmer rechten kunnen worden ontleend, en blijft de GIG onverkort van kracht.


Te allen tijde kunnen de vigerende versies van alle voornoemde documenten ingezien worden op de beveiligingswebsite van de UT, http://www.utwente.nl/........ Daarnaast ligt er een papieren versie ter inzage bij de UT Security Officer (UTSO).


1.2Inleiding

Het hoger onderwijs en onderzoek maakt op grote schaal gebruik van ICT-faciliteiten. ICT ondersteunt niet enkel de bedrijfsprocessen. Met behulp van ICT worden ook nieuwe onderzoeksterreinen ontgonnen en worden grenzen verlegd. Hoger onderwijs en onderzoek zijn daarom gebaat bij een zo open mogelijke ICT-infrastructuur met zo min mogelijk belemmeringen en regels. De dagelijkse werkelijkheid gebiedt echter een zekere mate aan regulering. Om de gebruikers ongestoord en optimaal van de ICT-faciliteiten gebruik te laten maken is het noodzakelijk om hierover een aantal huisregels af te spreken.


Deze regels zijn vastgelegd in dit document - de Gedragscode ICT Gebruik (GIG).


Bij het opstellen van de GIG voor de Universiteit Twente is uitgegaan van een door “SURF-IBO” opgestelde leidraad.


1.3Doel

Het doel van de GIG is in formele zin vast te stellen onder welke voorwaarden men gebruik mag maken van de ICT-faciliteiten van de UT.


Voor gebruikers wordt een publieksvriendelijke versie van de GIG opgesteld. De voorliggende versie is echter te allen tijde leidend.


1.4Werkingssfeer

De GIG heeft betrekking op het gebruik van de door de Universiteit Twente beschikbaar gestelde ICT-faciliteiten. Mogelijke uitzonderingen of aanvullingen hierop zullen expliciet beschreven worden.

De doelgroep bevat alle medewerkers (inclusief ICT-beheerders), studenten, alumni, bezoekers of derden die rechtmatig gebruik maken van de ICT-faciliteiten van de Universiteit Twente.

Daar waar de GIG refereert aan andere vastgestelde UT-documenten, zullen deze expliciet genoemd worden, en zal er zorg voor worden gedragen dat de doelgroep deze kan inzien.



1.5Definities aanvullend op SP-0


Medewerker:

eenieder die een arbeidsovereenkomst heeft met de UT



Student:

eenieder die als student staat ingeschreven bij de UT dan wel een studie volgt bij de Universiteit Twente



Alumnus:

elke oud-student met een academische graad behaald aan de Universiteit Twente (d.w.z. bachelors, masters en gepromoveerden)



Bezoeker:

eenieder die rechtmatig gebruik maakt van de gastvrijheid van de UT voor een korte periode



Derde:

eenieder die aan de UT verbonden is, maar geen medewerker, student of bezoeker is





1.6Gedragscode


Artikel 1: Algemene bepalingen

-eenieder op wie de GIG van toepassing is wordt in de gelegenheid gesteld kennis te nemen van de inhoud ervan, en naar letter en geest van de GIG te handelen

-het gebruik van ICT-faciliteiten dient te allen tijde binnen de grenzen van de Nederlandse wet plaats te vinden

-het gebruik van ICT-faciliteiten moet in lijn zijn met de primaire doelstellingen en/of de bedrijfsvoering van de UT

-de continuïteit van het primaire proces en/of de bedrijfsvoering van de UT mag nimmer in gevaar komen door het gebruik van ICT-faciliteiten

-de gebruiker dient de vertrouwelijkheid van opgeslagen, onderhanden of verstuurde gegevens recht te doen in overeenstemming met de mate van vertrouwelijkheid; waar nodig moet de gebruiker steeds passende maatregelen treffen om de vertrouwelijkheid te waarborgen: dit geldt met name, maar zeker niet alleen, voor persoonsgegevens in zoverre die onder bescherming van de WBP vallen

-het ontplooien van activiteiten die de goede naam of het imago van de UT kunnen schaden is niet toegestaan

-het ophalen, ter beschikking stellen en/of verspreiden van discriminerende, racistische, (kinder)pornografische, opruiende, bedreigende, auteursrechtelijk beschermde of anderszins onwettige uitingen, e-mails en/of bestanden is niet toegestaan


Artikel 2: Gebruik ICT-faciliteiten & Internet


Algemeen

-de door de UT beschikbaar gestelde ICT-faciliteiten dienen te worden gebruikt voor de functie-uitoefening en/of studie

-het is de gebruiker in beperkte mate toegestaan de ICT-faciliteiten van de UT voor privé-doeleinden te gebruiken mits dit niet storend is voor de dagelijkse werkzaamheden van gebruiker of van anderen, dit niet strijdig is met de overige bepalingen in dit reglement en dit de ICT-faciliteiten van de UT niet hindert

-het is echter nimmer toegestaan om de ICT-faciliteiten van de UT te gebruiken voor privé-doeleinden met een commercieel oogmerk

-het is niet toegestaan de ICT-faciliteiten van de UT te gebruiken voor commerciële doeleinden zonder voorafgaande schriftelijke toestemming door het bevoegd gezag

-de gebruiker dient licentiebepalingen van door de UT ter beschikking gestelde faciliteiten na te leven

-de gebruiker verplicht zich om aanwijzingen namens het bevoegd gezag gegeven ten aanzien van het gebruik van ICT-faciliteiten, op te volgen

-de gebruiker verplicht zich te onthouden van activiteiten die het belang van de UT, andere gebruikers of een goede werking van de ICT-faciliteiten zelf kunnen schaden.

-het DNS (Domain Name System) van de UT koppelt namen (zoals www.utwente.nl) aan computers: alleen met voorafgaande toestemming van het bevoegd gezag mag in DNS een naam (of aliasnaam) worden vastgelegd voor computers die geregistreerd staan voor gebruik op het netwerk van de UT

-het is niet toegestaan zonder voorafgaande toestemming van het bevoegd gezag (delen van) het netwerk van de UT op enigerlei wijze te ontsluiten voor de buitenwereld, zij het door indexering, zoekmachines, openstelling of anderszins

-de gebruiker dient te allen tijde de netwerkconfiguratiegegevens die hem namens het bevoegd gezag zijn toegewezen onveranderd te gebruiken

-ICT-faciliteiten dienen zo gebruikt en beheerd te worden dat het gebruik of beheer anderen niet de gelegenheid geeft hier misbruik van te maken: dit geldt in algemene zin, maar met name wanneer faciliteiten verlaten of achtergelaten worden

-bij het gebruik van de ICT-faciliteiten van computerlokalen en studielandschappen gelden aanvullende gebruiksregels, die ter inzage zullen zijn van de gebruikers


Gebruik UTnet (vast en draadloos)

-het gebruik van (zelf meegebrachte) computers, notebooks, PDA’s en dergelijke op het netwerk is alleen toegestaan op de daarvoor beschikbaar gestelde (draadloos) netwerkaansluitingen en niet met als doel om ongeautoriseerd op het netwerk in te kunnen loggen

-Het is niet toegestaan eigen netwerkapparatuur, zoals een router of switch, aan te sluiten tenzij hier namens het bevoegd gezag toestemming voor is verleend.

-het is niet toegestaan op het netwerk overlast te veroorzaken, dit ter beoordeling van het bevoegd gezag


Gebruik thuisaansluiting op de Campus (Campusnet)

-de gebruikers die hier bedoeld worden, wonen als privé personen op de Campus en hebben thuis een netwerkaansluiting op het Campusnet

-de gebruiker die gebruik maakt van een thuisaansluiting van de UT (Campusnet) dient geregistreerd te zijn bij SNT

-de gebruiker dient te allen tijde zorg te dragen dat SNT over de juiste contactgegevens beschikt

-privé gebruik is toegestaan via de thuisaansluitingen

-voor elke vorm van gebruik van de thuisaansluiting geldt dat deze niet is toegestaan als deze bij de UT of derden overlast of stagnatie veroorzaakt, of een inbreuk vormt op de beveiliging, dit alles ter beoordeling van het bevoegd gezag

-het gebruik van (eigen) netwerkapparatuur, computers, notebooks, PDA’s en dergelijke achter een thuisaansluiting is toegestaan op de daarvoor beschikbaar gestelde thuisaansluiting

-In de studentenwoningen op de campus is het alleen toegestaan een wireless netwerk op te zetten indien hiervoor namens het bevoegd gezag toestemming is verleend

-de gebruiker dient zich te houden aan enigerlei door het bevoegd gezag gestelde verkeerslimieten

-de gebruiker dient diensten door hem/haar vanaf de thuisaansluiting via het UTnet c.q. het Internet aangeboden aan anderen (zoals een webserver), aan te melden bij het bevoegd gezag. Het bevoegd gezag houdt zich het recht voor diensten vanaf thuisaansluitingen te blokkeren.


Artikel 3: Gebruik Toegangssleutels

-de door de UT verstrekte individuele Toegangssleutels zijn strikt persoonlijk, en mogen nimmer aan anderen bekend worden gemaakt en/of ter beschikking gesteld; evenmin is het toegestaan andere dan de persoonlijk ter beschikking gestelde Toegangssleutels te bemachtigen en/of te gebruiken

-fysieke Toegangssleutels (tokens, smart cards, e.d.) blijven eigendom van de UT

-de gebruiker is verplicht de aan hem verstrekte Toegangssleutels zorgvuldig te beheren, conform de richtlijnen gesteld in SP-03: Toegangssleutels

-de gebruiker is verantwoordelijk voor alle acties die met het gebruik van zijn Toegangssleutel(s) zijn uitgevoerd, tenzij wordt aangetoond dat deze sleutel(s) onrechtmatig door een ander verkregen zijn

-indien de gebruiker het vermoeden heeft dat persoonlijke Toegangssleutels in handen van anderen zijn gevallen, dient hij hiervan onmiddellijk het bevoegd gezag in kennis te stellen én zo mogelijk maatregelen te treffen die onbevoegd gebruik verder voorkomen



Artikel 4: Gebruik e-mail

-het door de UT aan de gebruiker ter beschikking gestelde e-mailadres is persoonlijk, onvervreemdbaar en niet overdraagbaar; dientengevolge mag de gebruiker ook geen e-mail versturen gebruik makend van andere e-mailadressen of enigerlei valse identiteit

-het is verboden voor de gebruiker om voor andere gebruikers bestemde e-mailberichten te lezen, te kopiëren, te wijzigen of te wissen; namens het bevoegd gezag mag dit alleen onder strikte voorwaarden, zoals vastgelegd in SP-#: E-mail

-indien met e-mail vertrouwelijke informatie wordt verstuurd moet de afzender passende maatregelen nemen ter beveiliging

-het is de gebruiker niet toegestaan de e-mail dienstverlening onnodig en onredelijk te belasten

-in het geval van naar verwachting buitengewoon omvangrijk en/of veelvuldig e-mail verkeer, of wanneer e-mail naar meer dan het vigerende maximum aantal adressen tegelijk wordt gestuurd, dient de gebruiker in overleg te treden met het bevoegd gezag om tot passende oplossingen te kunnen komen, zoals het inzetten van e-mail distributielijsten

-het e-mailverkeer wordt in het kader van goed ICT-beheer op geautomatiseerde wijze gecontroleerd op de aanwezigheid van schadelijke inhoud, van welke aard ook, evenals op “spam”; de UT behoudt zich het recht voor deze schadelijke inhoud of spam, en waar nodig de hele e-mail als container daarvan, te blokkeren of vernietigen; in het geval van spam kan ook alleen markering worden toegepast, om de gebruiker zelf in staat te stellen aldus gemarkeerde e-mail eenvoudig te herkennen.



Artikel 5: Opslag van informatie

-de gebruiker is er verantwoordelijk voor dat van zijn opgeslagen data regelmatig back-ups worden gemaakt: hij dient zich ervan te vergewissen of dit vanuit het ICT-beheer regelmatig (genoeg) gebeurd, en indien dit niet het geval is, moet hij zelf voor (aanvullende) back-ups zorgen; voor kritieke informatie wordt in overweging gegeven dat alleen een back-up in de buurt van de betreffende computer niet afdoende is (denk aan brand of diefstal)

-de gebruiker wordt met name geadviseerd om geen van belang zijnde data op te slaan op de lokale harde schijf van de computer(s) die hij gebruikt: ten eerste wordt daarvan vanuit het ICT-beheer zeker geen back-up gemaakt, en ten tweede is die informatie vrij toegankelijk voor iedereen die bij de bewuste computer kan komen, zelfs als die persoon geen Toegangssleutel tot het Utnet heeft



Artikel 6: Auteursrecht

-enigerlei gebruik van de ICT-faciliteiten waardoor schending van auteursrecht en/of ander intellectueel eigendom plaatsvindt, bijvoorbeeld door het plaatsen van software, muziek, beeldmateriaal of boeken op servers, is niet toegestaan

-de gebruiker maakt geen kopieën van software en/of documentatie bij software waarvan de UT licentiehouder of licentieverstrekker is, zonder voorafgaande schriftelijke toestemming van het bevoegd gezag



Artikel 7: Opvolgen van aanwijzingen en medewerking bij onderzoek

-de gebruiker is verplicht alle aanwijzingen die hem namens het bevoegd gezag worden verstrekt ten aanzien van het gebruik van de ICT-faciliteiten stipt op te volgen

-indien bij zulke aanwijzingen expliciet wordt aangegeven dat het hier om een (potentieel) beveiligingsincident gaat, dienen de aanwijzingen niet alleen stipt maar ook onverwijld opgevolgd te worden;

-indien het vermoeden bestaat van een beveiligingsincident, is de gebruiker onder alle omstandigheden en ongeacht de schuldvraag verplicht om alle medewerking te verlenen aan een namens het bevoegd gezag in te stellen intern technisch onderzoek;

-in het geval van beveiligingsincidenten zal veelal het beveiligingsteam CERT-UT in actie komen: CERT-UT handelt namens het bevoegd gezag, en heeft vergaande bevoegdheden inzake het aanpakken van incidenten



Artikel 8: Logging

-met inachtneming van de WBP worden ter voorkoming van beveiligingsincidenten, beheer- en capaciteitsproblemen, maar ook ter voorkoming van misbruik door ICT-beheerders of bevoegd gezag, de ICT-faciliteiten via geautomatiseerde processen gecontroleerd, het netwerkverkeer gevolgd, en de resultaten van deze controles in logfiles opgeslagen

-voornoemde logfiles worden routinematig verwerkt ten behoeve van trendanalyses over het gebruik

-voornoemde logfiles mogen ten behoeve van de aanpak van specifieke beveiligingsincidenten alleen in expliciete opdracht van het bevoegd gezag gericht gebruikt worden



Artikel 9: Controle

-bij een vermeende overtreding van de UT-regels kan, in expliciete opdracht van het bevoegd gezag, (gedurende een wel omschreven, beperkte periode) een gerichte controle plaatsvinden; bij een geconstateerde overtreding wordt de betrokken gebruiker hier zo spoedig mogelijk door het bevoegd gezag op aangesproken en worden indien nodig sancties ondernomen

-medische gegevens en gegevens van personen met een vertrouwensfunctie zijn in beginsel uitgesloten van inhoudelijke controle

-gebruikers dienen (mogelijke) beveiligingsincidenten onverwijld te melden bij de hun ICT-beheerder(s) en/of bij CERT-UT



Artikel 10: Aansprakelijkheid

-de gebruiker wordt door de UT aansprakelijk gesteld voor alle schade die hij door opzet, schuld of nalatigheid aan de ICT-faciliteiten toebrengt. Op deze wijze geleden schade wordt op de gebruiker verhaald

-de UT sluit iedere aansprakelijkheid uit voor schade die voortvloeit uit het gebruik van de ICT-faciliteiten

-de UT accepteert geen aansprakelijkheid voor de gevolgen die voortvloeien uit sancties (bijvoorbeeld studievertraging)

-de gebruiker vrijwaart de UT van alle aansprakelijkheid voor schade die andere partijen mochten ondervinden als gevolg van inbreuk door de gebruiker op hun rechten

-in geval dat de gebruiker te gast is op de UT en gebruik maakt van de ICT-faciliteiten, draagt de als gastheer optredende gebruiker de aansprakelijkheid voor de gastgebruiker



Artikel 11: Sancties

-bij overtreding van dit reglement worden door of namens het College van Bestuur van de Universiteit Twente sancties opgelegd:

1.voor studenten is de bevoegdheid van op te leggen sancties gebaseerd op artikel 7.57h van de Wet op het hoger onderwijs en wetenschappelijk onderzoek (WHW)

2.voor medewerkers is de bevoegdheid van op te leggen sancties gebaseerd op hoofdstuk 6 paragraaf 2 van de CAO Nederlandse universiteiten

3.voor derden is de bevoegdheid van op te leggen sancties gebaseerd op het al dan niet zijn van een student of medewerker bij een andere instelling of bedrijf dan de UT. Wanneer de gebruiker hier niet onder te scharen is, is de bevoegdheid gebaseerd op hoofdstuk 6 paragraaf 2 van de CAO Nederlandse universiteiten.

4.voor bezoekers is de bevoegdheid van op te leggen sancties gebaseerd op het al dan niet zijn van een student of medewerker bij een andere instelling of bedrijf dan de UT. Wanneer de gebruiker hier niet onder te scharen is, is de bevoegdheid gebaseerd op hoofdstuk 6 paragraaf 2 van de CAO Nederlandse universiteiten. In onderstaand vervolg wordt in geval van de gebruiker verstaan de bezoeker of de gastheer van de gebruiker.

-tegen de gebruiker die in strijd handelt met het hierboven van toepassing zijnde reglement kunnen een of meer van de navolgende sancties worden ondernomen:

1.het voorwaardelijk of onvoorwaardelijk ontzeggen van de toegang tot het gebruik van (een deel van) de ICT-faculteiten en/of het voorwaardelijk of onvoorwaardelijk ontzeggen van de toegang tot (een deel van) de gebouwen van de UT

2.het zonder uitstel verwijderen of blokkeren van informatie. Daarbij kan andere informatie van de gebruiker worden verwijderd of geblokkeerd. De gebruiker is aansprakelijk voor alle schade die voortvloeit uit het verwijderen of blokkeren van informatie als bedoeld in dit artikel, ook wanneer hierbij andere informatie dan de informatie van de gebruiker wordt verwijderd of geblokkeerd;

3.het doen van aangifte van een strafbaar feit; de UT zal mogelijk strafbare feiten in beginsel altijd aangeven bij justitie;

4.indien iemand aannemelijk maakt dat zijn rechten zijn geschonden, kan de identiteit van de gebruiker aan deze kenbaar gemaakt worden.

-het besluit tot het nemen van sancties bedoeld in het hierboven genoemde lid wordt schriftelijk gemaakt door het bevoegde gezag en waar mogelijk per email kenbaar gemaakt aan de gebruiker. Wanneer dit niet mogelijk is wordt het schriftelijke besluit aangetekend toegezonden

-het bevoegd gezag behoudt zich te allen tijde het recht voor om ook andere dan de hier genoemde maatregelen te nemen

-het bevoegd gezag kan in spoedeisende gevallen in afwijking van het bepaalde in dit artikel met onmiddellijke ingang maatregelen treffen


Artikel 12: Bezwaar

-tegen besluiten op grond van deze Gedragscode GIG kan belanghebbende allereerst bezwaar maken bij het bevoegd gezag; dergelijke bezwaren worden altijd in behandeling genomen, en uitspraak volgt zo snel mogelijk maar altijd binnen drie weken

-tegen dezelfde besluiten kan, conform de Algemene Wet Bestuursrecht (AWB), door belanghebbende binnen zes weken na bekendmaking van het besluit een bezwaarschrift worden ingediend bij het College van Bestuur

-als laatste mogelijkheid kan belanghebbende een beroep doen op het Nederlandse recht



Artikel 13: Slotbepalingen

-indien geschillen ontstaan uit hoofde van deze Gedragscode GIG of uit hoofde van eraan gerelateerde regelingen c.q. overeenkomsten is het Nederlandse recht van toepassing



Artikel 14: Vaststelling en publicatie

-Dit reglement is op { datum } door het College van Bestuur vastgesteld en treedt in werking op { datum }

-dit reglement wordt gepubliceerd op { correcte URL }

-gebruikers ontvangen dit reglement bij de uitreiking van gebruikersnaam/wachtwoord, evenals een publieksvriendelijke versie ervan