ARTIKEL 1 BEGRIPSBEPALINGEN
a.Beheerder:
de decaan, de wetenschappelijk directeur van een onderzoekinstituut of de dienstdirecteur, als bedoeld in artikel 1 sub e van het Bestuurs- en Beheersreglement van de Universiteit Twente.
b.College van Bestuur:
het College van Bestuur (het bevoegd gezag) van de Universiteit Twente.
c.Eenheid:
een beheerseenheid zoals omschreven in artikel 28 van het Bestuurs- en beheersreglement (faculteit, onderzoeksinstituut, dienst, interfacultaire dienst of een andere beheerseenheid die als zodanig door het College van Bestuur wordt aangegeven).
d.Gebruiker:
werknemer, student en/of bezoeker van de Universiteit Twente die rechtmatig toegang heeft verkregen tot of rechtmatig gebruik maakt van de ICT-faciliteiten.
e.ICT-faciliteiten:
telefonie, computers en netwerkverbindingen en andere huidige en toekomstige elektronische informatie- en communicatiemiddelen die ter beschikking worden gesteld of worden betaald door de Universiteit Twente.
f.Persoonsgegeven:
elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
ARTIKEL 2 DOEL EN WERKINGSSFEER VAN DIT REGLEMENT
1.Dit reglement geeft de wijze aan waarop binnen de Universiteit Twente wordt omgegaan met het gebruik van ICT-faciliteiten en geeft regels over de wijze waarop toezicht op het gebruik van ICT-faciliteiten plaats vindt.
2.Het gebruik van ICT-faciliteiten wordt vastgelegd. Deze registratie geschiedt met het doel het beheer, de continuïteit, de veiligheid, de integriteit en de beschikbaarheid van de infrastructuur en de diensten te waarborgen, verstoring van bedrijfsprocessen en andere (financiële) schade tegen te gaan en om toezicht te houden op de naleving van de gedrags- en gebruiksregels binnen de Universiteit.
ARTIKEL 3 ALGEMENE UITGANGSPUNTEN
1.Een goede balans tussen controle op verantwoord gebruik van ICT-faciliteiten en bescherming van de privacy van gebruikers.
2.Log-gegevens, met privacy-gevoelige informatie, gerelateerd aan gebruik van ICT-faciliteiten worden niet langer bewaard dan noodzakelijk, met een maximum bewaartermijn van 6 maanden, met uitzondering van de gegevens als bedoeld in artikel 5 lid 5.
3.Gebruikelijke gedrags- en mandateringsregels, zoals regels die gelden voor het ondertekenen van schriftelijke correspondentie, het vertegenwoordigen van de Universiteit Twente en voor het verzenden van post (w.o. correct taalgebruik) zijn ook van toepassing op ICT-faciliteiten.
4.De Universiteit Twente stelt een gedragcode (Acceptabel Use Policy) op met betrekking tot het gebruik van ICT-faciliteiten en met betrekking tot de positie en integriteit van ICT-functionarissen die belast zijn met systeembeheer en de controle daarop.
ARTIKEL 4 GEBRUIK ICT-FACILITEITEN
1.Gebruikers mogen ICT-faciliteiten incidenteel en kortstondig voor privé-doeleinden gebruiken, zowel intern als extern, mits dit niet storend is voor de dagelijkse werkzaamheden en mits hierbij voldaan wordt aan de verdere richtlijnen van dit reglement. Het gebruik van ICT-faciliteiten is echter primair en hoofdzakelijk verbonden met taken/bezigheden die voortvloeien uit de functie of de studie.
2.Het is niet toegestaan om ICT-faciliteiten voor onacceptabele persoonlijke doeleinden te gebruiken. Bij onacceptabel persoonlijk gebruik van internet moet onder andere worden gedacht aan het spelen of downloaden van spelletjes, winkelen, gokken of deelnemen aan kansspelen, het voeren van een persoonlijk niet-werkgerelateerd dagboek ("blogging") en het bezoeken van chat-/babbelboxen. Ook het online luisteren naar radio en het bekijken van TV en andere niet-werkgerelateerde video-online toepassing ("streaming media") valt onder deze noemer.
3.Het is in het bijzonder niet toegestaan om op internet of via e-mail:
•sites te bezoeken die pornografisch, racistisch, discriminerend, beledigend, dreigend of aanstootgevend materiaal bevatten; dit materiaal en/of berichten met vergelijkbaar gehalte te bekijken, te downloaden en/of te verspreiden
•zich ongeoorloofd toegang te verschaffen tot niet openbare bronnen op het internet;
•opzettelijk informatie waartoe men via internet toegang heeft verkregen zonder toestemming te veranderen of te vernietigen;
•actief aan te geven aan web-winkels dat belangstelling bestaat voor het ontvangen van product-informatie (zogenoemd opt-in aankruisen) voor eventuele latere bestellingen in de privé-sfeer;
•berichten anoniem of onder een fictieve naam te versturen;
•kettingmailberichten of spam te verzenden of door te sturen; iemand lastig te vallen.
4.Indien u ongevraagd informatie van een soort als hierboven genoemd aangeboden krijgt, dient u dit te melden aan het hoofd van de binnen uw eenheid verantwoordelijke ICT-afdeling.
De gebruiker die niet-zakelijke berichten ontvangt, behoort de verzender te vragen om de verzending daarvan te stoppen indien dit in strijd is met het gebruik als genoemd in lid 3.
5.Het is ook anderszins niet toegestaan om door middel van ICT-faciliteiten in strijd met de wet of onethisch te handelen.
6.Gebruikers mogen ICT-faciliteiten of eigen apparatuur, waarbij de Universiteit Twente slechts als provider functioneert (zoals een thuisaansluiting), ook voor privé-doeleinden gebruiken, mits dit niet in strijd is met de wet en voldoet aan het gestelde van belang zijnde andere reglementen en gedragscodes (waaronder de gedragscode Nevenwerkzaamheden UT en.de aansluitvoorwaarden SURF-net).
ARTIKEL 5 VASTLEGGING GEGEVENS EN TOEZICHT
1.Toezicht op het gebruik van ICT-faciliteiten vindt slechts plaats in het kader van de in artikel 2 genoemde doelen en met inachtneming van de Wet Bescherming Persoonsgegevens.
2.Het algemene toezicht op het gebruik kan bestaan uit het (van tijd tot tijd) (steekproefsgewijs) controleren van het gebruik van ICT-faciliteiten (bijvoorbeeld de tijdsbesteding, sites die bezocht worden). Daartoe kunnen lijsten van bezochte internetsites, e-mailadressen van verstuurde e-mails en van nummers van gevoerde telefoongesprekken worden uitgedraaid. Deze lijsten zijn anoniem.
3.Onderdeel van het in lid 1 genoemde toezicht is ook de controle op e-mail. Deze wordt zo goed mogelijk gecontroleerd op virussen, spam en soortgelijk ongerief. Mocht blijken dat een e-mailbericht een virus bevat, dan wordt dat onschadelijk gemaakt. Indien desondanks materiaal wordt ontvangen dat mogelijk een virus bevat, dan dient de ontvanger onverwijld contact op te nemen met het hoofd van de binnen de eenheid verantwoordelijke ICT-afdeling. Voor het tegengaan van ongevraagde en ongewenste e-mail (spam) kunnen door de binnen de eenheid verantwoordelijke ICT-afdeling, danwel voor de gehele Universiteit filters worden geïnstalleerd.
4.Het is de Universiteit Twente toegestaan naast vastgelegde gegevens ten aanzien van het gebruik van ICT-faciliteiten (zie lid 2) ook de inhoud van verstuurde gegevens te analyseren ten behoeve van het onderzoeken van ongeoorloofd gedrag indien er sprake is van een redelijke verdenking of vermoeden van een ongeoorloofde handeling door één of meerdere gebruikers. Bij de uitvoering wordt rekening gehouden met de ernst van de gevolgen voor de betrokken gebruiker(s) en de wijze waarop in de bescherming van de privacy van de gebruikers wordt voorzien.
De betreffende gegevens worden bewaard zolang dit in het kader van nader onderzoek en eventueel te treffen maatregelen ten opzichte van een gebruiker noodzakelijk is.
ARTIKEL 6 SANCTIES
1.Bij handelen in strijd met dit reglement, het bedrijfsbelang of de algemeen geldende normen en waarden, kunnen afhankelijk van de aard en de ernst van de overtreding maatregelen worden getroffen. Hierbij gaat het om disciplinaire en arbeidsrechtelijke maatregelen zoals berisping, verplaatsing, schorsing en beëindiging van het dienstverband of vergelijkbare maatregelen in geval van studenten of derden. Daarnaast vindt aangifte plaats bij de politie in geval er sprake is van onwettig gebruik.
ARTIKEL 7 RECHTEN VAN GEBRUIKERS
1.Gebruikers worden voorafgaand aan de invoering van dit reglement geïnformeerd omtrent de doeleinden, de aard van de gegevens, de omstandigheden waaronder zij verkregen zijn en de inhoud van dit reglement.
2.De gebruiker kan zich tot de beheerder wenden met het verzoek om een volledig overzicht van zijn vastgelegde persoonsgegevens. Het verzoek wordt binnen 4 weken beantwoord.
3.De gebruiker kan de beheerder verzoeken zijn vastgelegde persoonsgegevens te verbeteren, aan te vullen, te verwijderen of af te schermen indien deze feitelijk onjuist zijn, voor het doel onvolledig of niet ter zake dienend, dan wel in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek wordt binnen 4 weken beantwoord.
4.De gebruiker kan bij de beheerder schriftelijk en gemotiveerd bedenkingen indienen tegen de verwerking van zijn persoonsgegevens in verband met bijzondere persoonlijke omstandigheden. De beheerder oordeelt binnen 4 weken na ontvangst van de bedenkingen of dit gerechtvaardigd is. Indien de beheerder de bedenkingen gerechtvaardigd acht, beëindigt hij terstond de verwerking.
ARTIKEL 8 SLOT
1.In alle gevallen waarin dit reglement niet voorziet, beslist het College van Bestuur van de Universiteit Twente, binnen de kaders van de Wet Bescherming Persoonsgegevens (WBP) en na raadpleging van de dienstdirecteur ITBE en de dienstdirecteur PA&O.
2.De Universiteitsraad heeft op … ingestemd met de inhoud van dit reglement. Het reglement treedt in werking op … Het reglement is via intranet door elke gebruiker te raadplegen.
-0-0-0-
hp/pao/060606/1.08
Inleiding en inkadering
Het toenemend gebruik van email en internet stelt de UT steeds meer voor de vraag hoe om te gaan met deze communicatiemiddelen. Wat mag wel en wat mag niet? Mag een werknemer vanaf zijn werkplek ook persoonlijke e-mailtjes versturen en heeft de werkgever het recht om het internet- en e-mailgebruik van de medewerkers, studenten en andere gebruikers te controleren. En hoe zit het met de Wet Bescherming Persoonsgegevens? De Universiteit Twente heeft daarom dit reglement opgesteld. Als basis voor dit reglement is onder andere de modelgedragscode internet- en e-mailgebruik van VNO-NCW gebruikt.
Dit reglement beschrijft de wijze van controle op en de vastlegging van persoonsgegevens binnen de Universiteit Twente.
Het is bedoeld om rechten en plichten van de Universiteit Twente als werkgever of als onderwijsgevende, alsmede de gebruiker vast te leggen, een en ander gerelateerd aan de Wet Bescherming Persoonsgegevens en vormt een nadere uitwerking van de rechten en plichten als beschreven in artikel 1.8 van de CAO Nederlandse Universiteiten met betrekking tot het gebruik van ICT-faciliteiten.
De dienst ITBE beschrijft op dit moment – anno 2006 – naast dit reglement een aantal gedragsregels ten aanzien van een verantwoord gebruik van en beheer over gegevens en ICT-faciliteiten – zogenaamde Acceptable Use Policies. Deze AUP’s zullen het beheer en het gebruik vooral vanuit ICT-beveiligings- en beheersrisico’s beschrijven. Deze zullen daardoor aansluitend en/of aanvullend zijn op dit reglement.
Naast dit reglement is er ten aanzien van het gebruik van, en de omgang met onderzoeksgegevens eveneens een gedragscode vastgesteld door de VSNU (Gedragscode voor het gebruik van persoonsgegevens in wetenschappelijk onderzoek, december 2005).
Artikelgewijze toelichting
Artikel 1:
Het reglement is van toepassing op elke gebruiker van de ICT-faciliteiten. Ook zij die geen medewerker of student zijn en vanuit een rechtmatige toegang de faciliteiten gebruiken, zijn dus onderworpen aan dit reglement.
Artikel 2, 3, en 4:
De Universiteit registreert diverse gegevens met betrekking tot het gebruik van de ICT-faciliteiten. Enerzijds is dit noodzakelijk vanuit beheersmatige doeleinden, anderzijds ook vanuit toezichtsdoeleinden. De registratie van persoonlijke informatie is uitsluitend toegestaan als dit past binnen deze doeleinden.
Artikel 4 beschrijft wat wel of niet is toegestaan ten aanzien van het gebruik van ICT-faciliteiten. Dit betreft handelingen die in strijd zijn met wetgeving, onethisch zijn of niet stroken met de doelstellingen waarvoor de ICT-faciliteiten beschikbaar zijn gesteld.
In het geval er sprake is van een thuisaansluiting waarbij de UT slechts als provider voor een internetverbinding optreedt, is toegestaan ook andere sites te bezoeken, zolang dit niet in strijd met de wet of onethisch is. In het bijzonder wordt hier voor medewerkers verwezen naar de gedragscode Nevenwerkzaamheden Universiteit Twente, waarin o.a. is beschreven dat het gebruik van de universitaire infrastructuur (waaronder ICT-faciliteiten) ten behoeve van nevenwerkzaamheden uitsluitend is toegestaan als en voorzover de beheerder van de eenheid hiervoor schriftelijk toestemming heeft verleend. Het privé-gebruik van UT-email(adressen) dient uiteraard beperkt te worden tot hetgeen wordt beschreven in artikel 4 lid 1, om te voorkomen dat derden de naam van de univeristeit met privé-activiteiten zouden kunnen verwarren.
Ook andere reglementering, zoals de aansluitvoorwaarden SURF-net, zijn van belang.
Artikel 5:
Een verdergaande controle of analyse van gegevens is in bijzondere gevallen mogelijk, bijvoorbeeld als sprake is van verdenking of vermoeden van ongeoorloofd handelen. (zie lid 4 van artikel 5).
Artikel 6:
De normale sancties die voor werknemers, studenten of derden ook in andere situaties kunnen worden toegepast, kunnen ook worden toegepast bij overtreding van dit reglement, het bedrijfsbelang of de algemeen geldende normen en waarden.
Artikel 7:
Een belangrijk aspect van de Wet Bescherming Persoonsgegevens – de naam zegt het al – is de bescherming van personen, de gebruikers. Dit artikel regelt de mogelijkheden voor de gebruiker om de Universiteit aan te spreken – al dan niet middels een bezwaar/beroepsprocedure – op haar gedrag inzake zijn persoonsgegevens.
-0-0-0-