ANVA NDNINGSPOLICY FO R ELEKTRONISK POST VID A BO AKADEMI

Transkript

1 ANVA NDNINGSPOLICY FO R ELEKTRONISK POST VID A BO AKADEMI Godkänd av rektor den Vid behandlingen av elektroniska dokument tillämpas inom Åbo Akademi principerna om brevhemlighet, skydd för privatlivet och god förvaltningssed på samma sätt som vid behandlingen av andra officiella ärenden. Tystnadsplikt och förbud att utnyttja informationen beskrivs nedan samt i reglerna för användning av datasystem och datakommunikationsnät. Akademin har rätt att bestämma för vilka ändamål e-posten och datanätet används och har rätt att begränsa användarrättigheterna. Direktiven och rekommendationerna för användning av e-post och logguppgifter baserar sig på finländsk lag samt Finansministeriets direktiv 5/2001 och VAHTI 2/2005 som uppgjorts av ledningsgruppen för datasäkerheten inom statsförvaltningen. ( allisuus/3379/3380_fi.pdf samt llisuus/94935_fi.pdf). Denna policy träder i kraft den och ersätter Användningspolicy för elektronisk post vid Åbo Akademi, godkänd av rektor den E-postadresser E-postmeddelandena har i ovannämnda direktiv uppdelats i fyra klasser beroende på den adress till vilken de har sänts. I direktivet avses följande då det gäller såväl avsända som emottagna meddelanden inom akademin: Med akademins e-postmeddelande avses ett meddelande som hänför sig till akademins eller enhetens allmänna e-postadress, d.v.s. en organisationsadress (t.ex. registrator@abo.fi, information@abo.fi, studie.information@abo.fi) och meddelanden som förutsätter myndighetsåtgärder eller tjänster. Med arbets-e-postmeddelande avses ett meddelande som anknyter till hans/hennes arbetsuppgifter och den adress en anställd tilldelats av akademin (en personlig arbetse-postadress t.ex. egon.strom@abo.fi). En studerandes e-postmeddelande (som hänför sig till studierna) jämställs i tillämpliga delar med arbets-e-postmeddelanden. Med personligt e-postmeddelande avses ett personligt meddelande till eller från den e-postadress som användaren tilldelats av akademin (för den anställda i allmänhet samma adress som ifrågavarande persons arbets-e-postadress). Med övriga e-post-meddelanden avses meddelanden till och från en e-postadress som användaren skaffat sig för eget bruk (t.ex. egon.strom@egetbruk.fi). 1/6

2 En fysisk persons e-postadress är enligt personuppgiftslagen en personuppgift. Personuppgifterna finns registrerade i akademins personregister över vilka uppgjorts personregisterbeskrivningar. Personuppgifter behandlas vid akademin i enlighet med personregisterbeskrivningarna och för ändamål som framgår av dem. Akademin och dess enheter bör ha allmänna adresser som är avsedda att användas för hantering av officiella ärenden och för erbjudande av tjänster (t.ex. registrator@abo.fi, humkansli@abo.fi) Kontaktytan till akademin bör i första hand vara organisationsadresser, inte de anställdas arbets-e-postadresser. 2 Offentliggörande av e-postadresser Med publicerande/offentliggörande avses att man uppger e-postadressen bl.a. i akademins telefonkatalog eller i någon annan publikation, på akademins www-sidor, på visitkort eller i andra informationssystem. Akademin publicerar akademins allmänna e-postadresser och personalens kontaktuppgifter med personalens e-postadresser i formen förnamn.tillnamn@abo.fi. På www-sidor bör man undvika att uppge personliga e-postadresser. En studerandes e-postadress publiceras endast om den studerande gett sitt samtycke till det. Akademin publicerar inte utomstående e-postadresser. 3 Att observera vid hantering av Åbo Akademis e-postmeddelanden För meddelanden som hänför sig till skötseln av en tjänst eller befattning öppnas i akademins namn allmänna e-postadresser (en allmän adress kan också vara en postningslista). Akademin ger separata regler om användning och registrering av adresserna. För alla adresser utnämns ansvarspersoner. Det är, med tanke på dataskyddet och förvarandet av information, förbjudet att skicka eller automatiskt styra akademins e-post till en e-postadress vid en utomstående organisation. Av ett svar som den anställda sänder från akademin bör framgå att det har skickats som svar på ett meddelande som kommit till akademins allmänna e-postadress. I svaret bör man också poängtera eller uppge returadressen så att kontakten också i fortsättningen sker till akademins allmänna adress. Ett e-postmeddelande som inkommit till akademins adress bör dirigeras så att alla som handhar ärendet får kännedom om meddelandet. Om det med det ankomna meddelandet följer begäran om kvittering skall denna sändas utan dröjsmål. 2/6

3 Meddelanden behandlas på sådant sätt som förutsätts i lagen om offentlighet i myndigheternas verksamhet (offentlighetslagen). Offentlighetslagen stadgar bl.a. om vad en myndighetshandling är, vilka handlingar som är sekretessbelagda och om rätten att ta del av handlingar. E-postmeddelanden behandlas och arkiveras vid behov på det sätt som framgår av arkivbildningsplanen. 4 Att observera vid hantering av arbets-e-postmeddelanden Det är, med tanke på dataskyddet och förvarandet av information, förbjudet att skicka eller automatiskt styra arbets-e-post till en e-postadress vid en utomstående organisation. I regel behandlar akademin ett meddelande som kommit till en arbets-e-postadress som om det vore ett personligt meddelande eftersom mottagaren inte kan förhindra att personliga meddelanden anländer. Om det med ett anlänt meddelande följer begäran om kvittering, bör mottagaren göra detta. Vid elektronisk handläggning av förvaltningsärenden skall man kvittera ett anlänt meddelande fastän det inte separat har begärts. Av ett arbets-e-postmeddelande bör framgå att avsändaren är en myndighet, inte en privat arbetstagare/tjänsteman, t.ex. genom att man till underskriften fogar sin tjänsteställning och enhetens namn samt genom att man påminner om att kommunikationen i fortsättningen kommer att skötas via en organisationsadress. Påminnelsen kan också göras genom att man bifogar organisationsadressen som returadress. Meddelanden behandlas på sådant sätt som förutsätts i lagen om offentlighet i myndigheternas verksamhet (offentlighetslagen). Offentlighetslagen stadgar bl.a. om vad en myndighetshandling är, vilka handlingar som är sekretessbelagda och om rätten att ta del av handling. E-postmeddelanden behandlas och arkiveras vid behov på det sätt som framgår av arkivbildningsplanen. 5 Att observera vid hantering av personligt e-postmeddelande Den anställda bör omedelbart överföra privata meddelanden som anlänt till hans/hennes arbets-e-postadress till sina egna privata e-postmappar. Av mappens namn bör framgå, att det inte är fråga om arbets-e-post. Detta gäller både anlända och avsända meddelanden. Den personliga e-postadressen är typiskt densamma som arbets-e-postadressen. Användning av e-post för privata ändamål är tillåten i ringa utsträckning. Användning för affärsmässigt och politiskt ändamål, såsom privat företagsverksamhet eller valreklam är dock 3/6

4 ovillkorligen förbjuden. Det är inte heller tillåtet att sända kedjebrev via akademins e-postservers. 6 Att observera vid hantering av övriga e-postmeddelanden Övriga e-postadresser som en person skaffat sig för eget bruk av en utomstående operatör, för hantering av privata e-postmeddelanden, är personens privata angelägenhet och behandlas inte närmare här. För denna e-postverksamhet får man inte använda samma lösenord som vid akademin. 7 Hantering av ett e-postmeddelande som inte når fram Avsändaren av ett e-postmeddelande har det huvudsakliga ansvaret för att meddelandet kan läsas, för att meddelandet når fram, för att det kommer fram inom utsatt tid eller andra härmed jämförbara omständigheter. Om adressen för ett ankommande meddelande inte känns igen av e-postsystemet eller om mottagarens e-postlåda är full, avvisas meddelandet automatiskt med ett felmeddelande. Användaren ansvarar själv för att e-postkvoten räcker till. 8 Filtrering av e-post All e-post granskas med hjälp av automatisk innehållsanalys. 8.1 Skräppost Med skräppost avses störande e-postmeddelanden, som användaren inte önskar få, oftast reklampost. Akademin försöker med tekniska medel reducera problemet med skräppost genom att hindra den att komma fram. Akademin behöver varken meddela adressaten eller avsändaren om att skräpposten förstörs och behöver inte returnera den till avsändaren. Användarna kan meddela om störande skräppost till ICT-service. 8.2 Begränsande av e-postmeddelanden och av filer som bifogats dem Akademin har rätt att göra upp begränsningar för e-postmeddelanden och filer som bifogas dem. Begränsningarna kan t.ex. göras genom filtrering av för stora meddelanden och filer eller sådana meddelanden, filer, program och annat som skadar eller hotar akademins datasäkerhet. Användarna informeras om dessa begränsningar. Akademin har rätt att programtekniskt granska meddelanden och filer med tanke på eventuella sabotageprogram. Akademin har rätt att avvisa meddelanden som innehåller sabotageprogram 4/6

5 eller bifogade filer. 9 Upphörande av tjänsteförhållande och avslutande av studierna Tillvägagångssätten då användarrättigheterna upphör beskrivs i Användningsreglerna för ittjänster och E-postreglerna. Då en användare avlidit stängs hans/hennes e-postadress. Meddelandena sparas ett år och förstörs därefter. Om hanteringen av arbets-e-postmeddelandena beslutar enhetens chef. På basis av ett skriftligt avtal med enheten kan användarens meddelanden överlåtas till dödsboet. 10 Förfaringssätt vid arbetstagarens tillfälliga frånvaro Om det finns risk för att skötseln av arbetsuppgifterna vid akademin allvarligt försvåras, kan man råka in i en situation då man bör kunna komma åt enstaka e-postmeddelanden i den frånvarande arbetstagarens e-postmappar. Tillvägagångssättet beskrivs och specificeras i Hämtning och öppning av en arbetstagares e-post. 11 Hantering och verifiering av e-postmeddelanden som innehåller sekretessbelagda uppgifter Huvudregeln är att man inte med e-post får sända dokument som klassificerats som hemliga eller synnerligen hemliga. Endast dokument som innehåller enbart offentliga uppgifter får överföras som e-post eller på annat sätt över nätet utan användande av kryptering. Sekretessbelagda uppgifter eller personuppgifter som skall hållas hemliga kan överföras per e-post om man använder tillräckligt kraftiga krypteringsmetoder eller hela överföringskedjan kan anses uppfylla säkerhetskraven. Krypteringsprogram för akademins e-postmeddelanden och arbets-e-postmeddelanden bör vara godkända och använda av akademin. Ett dokument som emottagits via e-post bör vid behov kunna bestyrkas till sin riktighet och äkthet. Om ett arbets-e-postmeddelande krypterats så att endast mottagaren kan öppna det bör det omedelbart efter överföringen sparas i klartext. Vid behov kan det på nytt krypteras så att det kan öppnas även av andra personer som behandlar ärendet. 5/6

6 12 Övervakning av e-post och datanät ICT-service övervakar funktionen av e-postsystemen och datanätet. Vid akademin användes logginformation normalt endast för tekniska arbetsuppgifter som utförs av underhållspersonalen. Sådana uppgifter är t.ex. säkerställandet av servicenivån, utredning av drifts- eller andra störningar eller sammandrag som kan jämföras med statistiska uppgifter, där användningen inte kan urskiljas i detalj. Underhållspersonalen har tystnadsplikt. Logginfo används inte för att göra användarspecifika profilsammandrag eller liknande, men om man med fog misstänker missbruk kan logginfo också användas för att klarlägga saken. I arkivbildningsplanen eller underhållsanvisningarna definieras uppbevaringstid och -plats för loggarna. Om övervakningen och användningen av loggfiler bestäms närmare i lagen, användar- och underhållsregler. 13 Åbo Akademis rättigheter att läsa e-postmeddelanden Vid störningar som hotar informationssystemets verksamhet eller servicenivå kan underhållspersonalen vara tvungen att öppna e-postlådan eller filen som innehåller meddelandet. För dessa situationer finns närmare anvisningar i underhållsstadgandena. 14 Underhållspersonalen Varje e-postsystem har en eller flera ansvarspersoner, som utses av direktören för ICT-service. Till underhållspersonalen hör de personer, som på grund av sitt arbete kommer åt logginformation och andra personers meddelanden. De har ovillkorlig tystnadsplikt och de har förbundit sig att iaktta verksamhetsreglerna för underhållspersonal. För underhållspersonalen definieras om möjligt personliga användarnamn. Underhållsuppgifterna uppdelas i mån av möjlighet på flera personer som har olika användarbefogenheter. Underhållsåtgärderna dokumenteras och nödvändig logginformation samlas även in. E-postservrarna skyddas strängt och underhållet av dem sker så att både användbarheten och konfidentialiteten garanteras. 6/6