Table of Contents

Informatiebeveiligingsbeleid Universiteit Leiden


Regeling Acceptabel gebruik Informatievoorzieningen

Versie 1.0 - 18 augustus 2004


Het College van Bestuur besluit,

Inleiding

Deze regeling beschrijft de gedragregels voor individuele gebruikers van Informatievoorzieningen van de Universiteit Leiden. Deze regeling maakt onderdeel uit van het informatiebeveiligingsbeleid en is van toepassing op iedereen die gebruik maakt van Informatievoorzieningen aangeboden door (een onderdeel van) de Universiteit Leiden.

Begripsbepalingen

In deze regeling wordt verstaan onder:

Gebruiker(s): Elke persoon, die gebruik maakt van de aan hem/haar door de Universiteit Leiden geboden Informatievoorzieningen. Hiertoe behoren in ieder geval Werknemers, studenten en ingehuurd personeel.

Werknemer(s): De werknemer als bedoeld in de CAO Nederlandse Universiteiten die in dienst is bij de Universiteit Leiden.


Gedragsregels

Het gebruik van de Informatievoorzieningen zoals geboden door de verschillende ICT-afdelingen is onderworpen aan de volgende regels en voorwaarden:

1.De Gebruiker mag de geboden Informatievoorzieningen uitsluitend gebruiken na daartoe aan hem door of vanwege de Universiteit Leiden verstrekte toestemming.

2.Aan Gebruikers verstrekte toegangscodes voor het gebruik van informatievoorzieningen zijn persoonlijk en niet overdraagbaar. Ten aanzien van autorisatiecodes en/of wachtwoorden is strikte geheimhouding verplicht.

3.De Gebruiker is persoonlijk verantwoordelijk voor het gebruik dat van zijn toegangscodes voor informatiesystemen wordt gemaakt en het daar op volgend gebruik, dat onder deze toegangscodes van faciliteiten wordt gemaakt.

4.De Gebruiker zal bij constatering of vermoeden van enig misbruik direct melding maken via de daarvoor gebruikelijke kanalen.

5.Het is verboden systeem- of gebruikers-autorisatiecodes (wachtwoorden) van andere gebruikers op enigerlei wijze en in enigerlei vorm te bemachtigen.

6.De Gebruiker zal zich geen toegang verschaffen of trachten toegang te verkrijgen tot computersystemen en/of gegevensverzamelingen voor zover dit systemen/verzamelingen betreft waarvoor geen expliciete toegangsmogelijkheid voor de gebruiker is gecreëerd. Merk op dat dit feit strafbaar kan zijn in het kader van de wet Computercriminaliteit.

7.Het is de Gebruiker niet toegestaan de door de Universiteit Leiden ter beschikking gestelde programmatuur, databestanden en documentatie te kopiëren of ter beschikking te stellen aan derden, behoudens daartoe verleende (schriftelijke) toestemming. Merk op dat dit feit strafbaar kan zijn in het kader van de wet op het Auteursrecht.

8.Het is verboden informatie waarvan de verwerking in strijd is met de wet of de goede zeden (o.a. expliciet pornografisch materiaal), informatie die de goede naam van de Universiteit Leiden aantast, informatie die een discriminerend, racistisch, aanstootgevend, opruiend, of bedreigend karakter heeft op te slaan en/of te verspreiden middels de door de Universiteit Leiden geboden voorzieningen. Enige uitzondering op deze regel is gebruik voor een wetenschappelijk, educatief en/of therapeutisch doel.

9.Het is de Gebruiker niet toegestaan informatievoorzieningen te gebruiken of te exploiteren voor doeleinden anders dan die welke voortvloeien uit de functievervulling of studie aan de Universiteit Leiden, behoudens beperkt privé-gebruik van e-mail en Internetvoorziening, voorzover dit gebruik niet storend is voor overige Gebruikers. en het gebruik zijn/haar werkzaamheden niet nadelig beïnvloedt.

10.De Gebruiker zal de ter beschikking gestelde informatievoorzieningen niet voor commerciële doeleinden gebruiken of exploiteren.

Controle en naleving

1. Beheerders van de Informatievoorzieningen hebben geheimhoudingsplicht met betrekking tot gegevens over e-mail- en internetgebruik die tot personen herleidbaar zijn.

2. Er vindt geen systematische controle van de inhoud van het netwerk en e-mail verkeer plaats, anders dan nodig is voor het weren van spam, virussen, wormen en overige aanvallen op de infrastructuur van de Universiteit Leiden.

3. Ten behoeve van het waarborgen van de goede werking van de geboden informatievoorzieningen wordt verkeers- en gebruiksinformatie vastgelegd en op regelmatige basis geanalyseerd.

4. Verkeers- en gebruiksinformatie (onder meer gegevens over afzender, bestemming, datum, tijd, hoeveelheid en omvang) wordt in beginsel niet langer bewaard dan zes maanden. Ingeval van een vermoeden van onjuist gebruik kunnen deze gegevens langer worden bewaard totdat de noodzaak daartoe is vervallen, hetgeen conform de Wet bescherming persoonsgegevens wordt gemeld bij het College Bescherming Persoonsgegevens.

5. Indien er gerechtvaardigde vermoedens van overtreding van de gedragsregels bestaan, kan op last van het College van Bestuur gericht onderzoek plaatsvinden naar de inhoud van het netwerk, Internet en e- mail verkeer van de individuele gebruikers. Het College van Bestuur ontvangt een schriftelijk verslag van de resultaten van het onderzoek. Indien het onderzoek geen aanleiding geeft tot verdere maatregelen wordt het schriftelijke verslag vernietigd.

6.E-mail berichten van OR-leden in functie, bedrijfsartsen en andere Werknemers met een vertrouwensfunctie zijn in beginsel uitgesloten van gericht onderzoek. De uitsluiting geldt niet voor het algemene toezicht op de systeem- en netwerkbeveiliging.

7. De Gebruiker ten wiens laste een onderzoek als bedoeld in artikel 4 lid 5 plaatsvindt, wordt zo spoedig mogelijk schriftelijk geïnformeerd over de aanleiding, uitvoering en het resultaat van het onderzoek. De Gebruiker wordt in de gelegenheid gesteld uitleg te geven over de aangetroffen gegevens. Het verstrekken van informatie aan de Gebruiker kan uitgesteld worden indien het onderzoek daardoor kan worden geschaad.


Sancties

1. Bij constatering van overtreding van de gedragsregels zal de portefeuillehouder informatiebeveiliging van de eenheid waar de overtreding is begaan een disciplinaire sanctie opleggen in verhouding tot de ernst van de overtreding.

2. Bij overtreding van de gedragsregels op zodanige wijze dat directe overlast voor andere gebruikers of derde partijen wordt veroorzaakt kan een gebruiker op last van de relevante portefeuillehouder voor beperkte tijd toegang tot (delen van) de informatievoorzieningen ontzegd worden.

3. Indien een gebruiker handelt in strijd met de wet[1], of een redelijk vermoeden hiertoe bestaat, zal hem of haar met onmiddellijke ingang toegang tot de Informatievoorzieningen worden ontzegd.

4. Voor de Werknemer zijn deze gedragsregels tevens op te vatten als een verbijzondering van artikel 9.1. van de CAO Nederlandse Universiteiten 1 september 2003 - 31 augustus 2004. Overtreding van deze gedragsregels kan voor de Werknemer eveneens rechtspositionele consequenties hebben.


Bezwaar

1. De Gebruiker ten aanzien van wie gericht onderzoek als bedoeld in artikel 4.5, 4.6 of 4.7 is of wordt uitgevoerd kan daartegen schriftelijk en gemotiveerd bezwaar aantekenen bij het College van Bestuur binnen zes weken nadat de Gebruiker is ingelicht over het onderzoek.

2. Het College van Bestuur reageert schriftelijk en gemotiveerd binnen vier weken na ontvangst van het bezwaar. Indien het bezwaar als bedoeld in het vorige lid gegrond wordt verklaard, worden de door middel van de onderzoeksmaatregelen verkregen gegevens terstond vernietigd. Tevens worden eventuele maatregelen ingetrokken indien deze - naar achteraf blijkt uit het nader onderzoek - ten onrechte zijn genomen.


Slotbepalingen

1. In gevallen waarin deze regeling niet voorziet, beslist het College van Bestuur.

2. Deze regeling treedt in werking op ……. en kan worden aangehaald als “Regeling Acceptabel Gebruik Informatievoorzieningen van de Universiteit Leiden”.

3. Ten opzicht van andere regelingen met eenzelfde werkingsgebied kent deze regeling een kaderstellend karakter. Dat wil zeggen dat overige regelingen niet strijdig mogen zijn met deze regeling maar hier wel een aanvulling op mogen geven.


[1] Merk hierbij op dat het genoemde in Artikel 2, lid 6 strafbaar kan zijn in het kader van de Wet
    Computercriminaliteit.