Sääntöjen tarkoitus ja soveltamisala
Diakonia-ammattikorkeakoulun (jäljempänä Diak) tavoitteena on tarjota hyvät ja turvalliset, korkeakoululle tarkoituksenmukaiset mahdollisuudet tietojärjestelmän ja tietoverkon käyttöön.
Diakin ulkoinen kuva ja asema tietoverkkoyhteisössä yhdistetään sen omiin toimiin tietoviestinnän käyttäjänä. Hyvien ja turvallisten työskentelyolosuhteiden varmistamiseksi kaikkien käyttäjien ja ylläpitäjien on tiedettävä oikeutensa ja velvollisuutensa käyttäessään tietojärjestelmiä ja tietoverkkoja.
Verkkoympäristössä tietotekniikkaan kohdistuva ja sitä hyödyntävä väärinkäyttö on suurin turvallisuusriski, ja jokaisen käyttäjän huolellinen ja vastuullinen toiminta on olennainen osa sen torjumiseksi. Näiden sääntöjen tarkoitus on määrittää järjestelmän käyttäjien ja ylläpitäjien oikeudet ja velvollisuudet ja antaa käyttäjille ohjeet turvallisista toimintatavoista.
Säännöt koskevat kaikkien Diakin valvomien sekä Diakin viestintäverkkoon liitettyjen tietojärjestelmien ja tietoverkkojen käyttöä, mukana lukien palvelut, jotka Diak on asettanut saataville tai valtuuttanut. Tässä viitattuihin tietokonejärjestelmiin kuuluvat Diakin viestintäverkko, Diakin palvelinjärjestelmät ja asiakaskoneet, henkilökohtaiset ja julkiset tietokoneet Diakin tiloissa, oheislaitteet, mahdolliset puhelimet ja muut mobiililaitteet, joita käytetään osana tietojärjestelmää tai tietoverkkoa.
Tietohallinto vastaa Diakin jaettujen tietojärjestelmien ja -verkkojen ylläpidosta. Tietohallinnossa henkilöitä, joilla on pääkäyttäjän valtuudet, kutsutaan ylläpitäjiksi.
Diakin tietohallinnosta vastuussa oleva asiantuntija, jolla on tietohallintoa koskeva toimivalta, nimitetään rehtorin delegointipäätöksellä.
Tietohallinto voi antaa näitä sääntöjä täydentäviä ohjeita oheislaitteiden, ohjelmistojen, verkkojen ja sähköpostin käytöstä.
Sääntöjen ja ohjeiden nykyiset versiot julkaistaan Diakin henkilöstön intranetissä ja oppimisalustoilla / opiskelijoiden intranetissä tietohallinnon kohdalla.
- Diakin henkilöstöllä sekä Diakin tutkinto- ja vaihto-opiskelijoilla, jotka ovat rekisteröityneet joko läsnä- tai poissaoleviksi, on oikeus käyttää Diakin tietojärjestelmiä Diakiin liittyvissä töissään tai opinnoissaan. Jatko-opintoja ja avoimia opintoja suorittaville sekä Diakissa opiskelevien muiden yliopistojen opiskelijoille voidaan myöntää käyttöoikeudet, jos säädetyt opinnot sitä vaativat.
- Edellä mainittu tietojärjestelmien käyttö vaatii lisenssin, jonka myöntää tietohallinto tietyksi ajaksi. Lisenssi koskee yleisiä käyttöoikeuksia. Se kattaa oikeuden kirjautua sisään Diakin tietoverkkoon ja julkisille palvelimille ja palveluihin, jotka ovat käytettävissä verkossa tai sen kautta, sekä sähköpostiosoitteen ja siihen liittyvän tallennustilan.
- Yleislisenssi mahdollistaa käytettävissä olevien tietojärjestelmien käytön henkilökohtaiseen tietojenkäsittelyyn ja -siirtoon kohtuudella ja näiden sääntöjen mukaisesti, jos se ei häiritse ammatillisia velvollisuuksia tai Diakin toimintaa. Tietohallinnosta vastuussa oleva henkilö päättää muusta käytöstä ja rajoituksista.
- Erityistapauksissa tietohallinto voi myötää yleislisenssiä laajemmat oikeudet erikseen yksilöityihin tietojärjestelmiin.
- Päästäkseen Diakin verkkoon käyttäjä on tunnistettava luotettavasti asianmukaisten käyttövaltuuksien varmistamiseksi. Tämän vuoksi Diak käyttää käyttäjänimeen ja salasanaan perustuvaa tunnistusta. Saatuaan lisenssin käyttäjä sitoutuu noudattamaan Diakin voimassa olevia sääntöjä ja ohjeita, jotka tietohallinto on antanut tietojärjestelmien käytöstä. Käyttäjänimi ja salasana ovat henkilökohtaisia, eikä niitä saa missään tapauksessa antaa muille. Lisäksi käyttäjällä ei ole oikeuttaa luovuttaa muille mitään käyttöoikeuksia ohjelmistoihin ja tietoihin, jotka voidaan liittää näihin tunnistetietoihin. Jokainen käyttäjä on vastuussa kaikesta hänen henkilökohtaisilla tunnistetiedoillaan tapahtuvasta käytöstä. Toisen henkilön käyttäjätunnuksen käyttö on kielletty, myös vaikka käyttäjä sitä itse pyytäisi.
- Ennen laitteiden liittämistä Diakin tietojärjestelmiin tai -verkkoon tarvitaan lupa tietohallinnolta, ellei tiettyjä verkkoja tai järjestelmiä koskevia muita säännöksiä ole. Laitteita liitettäessä on noudatettava annettuja ohjeita.
- Tutkinto-opiskelijoiden käyttöoikeudet lakkaavat olemasta voimassa heidän suoritettuaan tutkinnon, kun heidän opiskeluoikeutensa päättyy. Jatko-opintoja ja avoimia opintoja suorittavien opiskelijoiden käyttöoikeudet lakkaavat olemasta voimassa, kun asiaankuuluva kurssi päättyy. Diakin henkilöstön käyttöoikeudet lakkaavat olemasta voimassa heidän palvelussuhteensa päättyessä.
- Kun käyttöoikeudet ovat päättyneet, tarpeettomat käyttäjään liittyvät tiedot poistetaan tietojärjestelmästä. Opiskelija-asiakirjat arkistoidaan elektronisessa muodossa pysyvästi tilastointia varten.
- EU:n yleisen tietosuoja-asetuksen (GDPR) mukaan käyttäjällä on oikeus milloin tahansa pyytää nähtäväkseen kaikki itseään koskevat Diakin tietojärjestelmiin tallennetut tiedot. Diakin on vastattava tähän pyyntöön ilman aiheetonta viivytystä, viimeistään 30 päivän kuluessa, ja toimitettava tiedot turvallisesti käyttäjälle.
- Jos Diakin tietojärjestelmiin on tallennettu käyttäjästä virheellisiä tietoja, käyttäjällä on oikeus pyytää niiden korjaamista.
- Käyttäjällä on oikeus tehdä valitus valvontaviranomaiselle, jos hän kokee, että hänen tässä asiakirjassa määriteltyjä oikeuksiaan on rikottu.
Luvallista käyttöä koskevat oikeudet ja velvollisuudet
- Lisenssi antaa oikeuden käyttää tietojärjestelmiä määräysten ja sääntöjen mukaisesti. Myös järjestelmiin asennettujen ja selkeästi yleiseen käyttöön tarkoitettujen ohjelmistojen käyttö on sallittu. Jokaisen on käytettävä aina vain omaa henkilökohtaista käyttäjänimeään.
- Tietojärjestelmiä käyttäessään käyttäjän on noudatettava lakeja, sääntöjä ja annettuja ohjeita sekä hyviä tapoja. Käyttäjän on oltava tietoinen siitä, että tietotekniikan käyttöön liittyy säädöksiä, kuten televiestintälaki, henkilötietolaki, tekijänoikeuslaki, laki yksityisyyden suojasta työelämässä ja rikoslaki. Järjestelmiä on käytettävä huolellisesti, järkevästi ja yksityisyyttä kunnioittaen. Käyttäjien on otettava huomioon tietoturvakysymykset omassa toiminnassaan. Käyttäjät ovat yksin vastuussa sähköpostiviestiensä ja muiden asiakirjojensa sisällöstä, laillisuudesta ja asianmukaisuudesta.
- Tietojärjestelmien käyttäjien on otettava huomioon muut järjestelmän käyttäjät. Sekä Diakin tietojärjestelmiä että ulkoisia tietoverkkoja on käytettävä maltillisesti. Muille käyttäjille, organisaatioille ja tietojärjestelmille ei saa aiheuttaa vahinkoa tai haittaa.
Kielletty käyttö
- Tietojärjestelmien luvaton käyttö ja väärinkäyttö on kielletty.
- Diakin tietojärjestelmien käyttö muihin kuin edellä sallittuihin tarkoituksiin on kielletty. Erityisesti kiellettyä on
- käyttää Diakin omaa tietoverkkoa tai muita Diakin kautta käytettävissä olevia tietoverkkoja ilman lisenssiä
- yrittää päästä sisään järjestelmään käyttäjänimellä, joka ei kuulu käyttäjälle, tai ylittää valtuudet tai kiertää käyttörajoitukset, jotka liittyvät käyttäjän omaan käyttäjänimeen
- sallia luvattoman henkilön nähdä tai käyttää tietoja, joiden käyttöoikeus perustuu erityiseen lisenssiin, lukuun ottamatta tietojen normaalia julkituloa oikeutettuihin tarkoituksiin
- etsiä tai käyttää tietojärjestelmien tiedossa olevia tai uusia turvallisuuteen liittyviä haavoittuvuuksia tai käyttää niitä niiden olemassaolon osoittamiseen tai testaamiseen
- käyttää järjestelmän osia tai ominaisuuksia, joita ei selvästikään ole tarkoitettu yleiseen käyttöön
- asentaa yleiseen käyttöön ohjelmia, jotka näyttävät olevan osa järjestelmän normaalia toimintaa
- seurata tai analysoida verkkoliikennettä
- estää tai väärentää lokitietojen normaali luonti tai muita käyttöä koskevia todisteita
- estää tietojärjestelmiä suojaavien järjestelmien ja ohjelmien, kuten palomuurin tai virustorjunnan, toiminta tai kiertää ne
- käyttää Diakin tietojärjestelmiä laittoman materiaalin hankkimiseen, tallentamiseen tai jakamiseen, tai mihin tahansa muuhun laittomaan toimintaan
- hakea, lukea, käyttää, tallentaa tai jakaa muille käyttäjille kuuluvia tietoja ilman heidän lupaansa
- lähettää sähköpostiviestejä kohdistamattomina massapostituksina tai vastaanottajan nimenomaisen kiellon vastaisesti, tai lähettää tai välittää mainoksia, haittaohjelmia tai ketjukirjeitä, jotka todennäköisesti haittaavat tietoviestintää
- haitata suoraan tai epäsuorasti tietokoneita, tietoviestintää tai muiden käyttäjien toimia esimerkiksi tuhlaamalla tai ylikuormittamalla koneiden tai verkon kapasiteettia
- käyttää loukkaavaa kieltä tai lähettää, jakaa, esittää tai tallentaa kirjoitettua, kuvallista tai muuta loukkaavaa materiaalia yleiseen käyttöön
- luoda henkilökohtaisia tilejä verkkopalveluihin käyttäen Diakin sähköpostiosoitetta tai käyttäjänimeä.
- Ilman tietohallinnon antamaa erillistä lupaa kiellettyä on myös
- asentaa yksityisesti hankittuja tai lisensoituja ohjelmia Diakin tietokoneille
- jakaa oman tai jaetun verkossa olevan työaseman resursseja tai ottaa käyttöön muita verkkopalveluja työasemalla
- asentaa järjestelmään omia jatkuvasti tai itsenäisesti ajettavia palveluprosesseja
- kopioida ohjelmia järjestelmästä omaan käyttöön lukuun ottamatta julkisohjelmia.
Käyttäjän vastuu
- Diak vastaa tietojärjestelmiensä ja -verkkonsa teknisestä turvallisuudesta. Käyttäjän vastuulla on käyttää tietojärjestelmiä ja -verkkoa turvallisesti ja käyttäytyä hyvien tapojen mukaisesti. Diak ei vastaa käyttäjälle tai kolmannelle osapuolelle aiheutuvasta vahingosta tai menetyksestä, joka johtuu Diakin tietojärjestelmien väärinkäytöstä.
- Diak ei vastaa käyttäjien julkiseksi asettaman materiaalin laillisuudesta lukuun ottamatta Diakin tehtäviin liittyviä verkkosivustoja. Käyttäjien on itse varmistettava esimerkiksi se, että materiaali ei loukkaa tekijänoikeuksia. Tietohallinto voi antaa erilliset ohjeet siitä, miten tekijänoikeuksin suojattua materiaalia saa julkaista Diakin tehtäviin liittyvissä verkkosivustoissa.
- Jokainen käyttäjä on yhteisesti vastuussa tietojärjestelmien turvallisuudesta. Käyttäjien on raportoitava havaitsemistaan tietojärjestelmän tietoturvarikkomuksista ja -loukkauksista, myös niiden yrityksistä, Diakin tietohallinnolle. Raportit on laadittava huomiota herättämättä.
Ylläpitäjän oikeudet
- Diakilla on lailliset valtuudet kerätä ja käsitellä tietojärjestelmien käyttöön liittyviä loki-, tunniste- ja sijaintitietoja. Diak huolehtii näiden tietojen turvallisuudesta ja luottamuksellisuudesta. (Tietoyhteiskuntakaari 917/2014) http://www.finlex.fi/en/laki/kaannokset/2014/en20140917.pdf, alkuperäinen suomeksi: http://www.finlex.fi/fi/laki/alkup/2014/20140917 ja Laki yksityisyyden suojasta työelämässä http://www.finlex.fi/fi/laki/kaannokset/2004/en20040759, alkuperäinen suomeksi: http://www.finlex.fi/fi/laki/ajantasa/2004/20040759.
- Taistellakseen tietoturvarikkomuksia vastaan ja poistaakseen tietoturvan häiriöt ylläpitäjillä on oikeus ryhtyä tarvittaviin toimiin tietoturvan varmistamiseksi. Tämä voi tapahtua esimerkiksi estämällä sähköpostiviestien lähettäminen tai vastaanottaminen, poistamalla viesteistä tietoturvaa uhkaavat haittaohjelmat ja ryhtymällä muihin vastaaviin teknisiin toimiin.
- Ylläpitäjillä on oikeus ohjailla, rajoittaa ja säädellä Diakin tietoverkkoon liitettyjen tietojärjestelmien käyttöä, kun se on tarpeen seuranta-, ohjelmisto- tai järjestelmäpäivitysten lataamisen, vikatilanteiden korjaamisen, järjestelmien suojaamisen tai muiden huoltotöiden vuoksi.
- Ylläpitäjillä on oikeus saada pääsy tai muulla tavoin päästä käsiksi käyttäjän tiedostoihin ja verkkoliikenteeseen ilman käyttäjän lupaa, jos järjestelmähäiriön selvittäminen sitä vaatii tai jos on syytä epäillä rikollista toimintaa tai muuta järjestelmän väärinkäyttöä. Sähköpostiviestien sisältöön kajoaminen on sallittua vain teknisin keinoin viestin tarkistamiseksi ja poistamiseksi, jos on kohtuullisia perusteita epäillä, että viesti sisältää rikollisen tietokoneohjelman tai että viestiä saatetaan käyttää tietoviestinnän rikolliseen häirintään. Tällaiset toimet lopetetaan heti, kun ne eivät enää täytä edellä mainittuja ehtoja. Pääsy muihin tiedostoihin ja muuhun verkkoliikenteeseen vaatii käyttäjän luvan.
- Suorittaessaan edellä mainittuja toimia ja muita tehtäviä ylläpitäjät kunnioittavat yksityisyyttä ja viestien luottamuksellisuutta sekä pitäytyvät sellaisissa rajoituksissa, jotka ovat verkon tai viestintäpalvelujen turvallisuuden kannalta tarpeen.
- Tietoturvan ja tietojen ongelmattoman käsittelyn varmistamiseksi Diakilla on oikeus suodattaa tai rajoittaa liikennettä ja viestejä Diakin viestintäverkossa. Tällainen suodatus voi perustua esimerkiksi viestien sisällön ohjelmalliseen analyysiin, ja se voi estää materiaalin pääsyn vastaanottajalle. Liikennettä voidaan rajoittaa myös tietokoneen osoitteen perusteella.
- Ylläpitäjillä on salassapitovelvollisuus.
- Diakilla on oikeus ja velvollisuus ryhtyä toimiin laittoman toiminnan estämiseksi.
Käyttäjän omistamien tietojen käsittelysäännöt
- Kun työntekijä on poissa töistä eikä kukaan muu työntekijä käsittele asiaa samaan aikaan, Diakilla on oikeus päästä käsiksi henkilöstön sähköpostiviestikansioissa oleviin viesteihin, jotka kuuluvat Diakille, liittyvät Diakin tehtäviin ja ovat välttämättömiä Diakin toiminnalle, sekä muihin vastaaviin, kotihakemistoissa tai muilla Diakin tiedontallennusvälineillä oleviin, Diakin tehtäviin liittyviin tietoihin. Tämän tehtävän hoitamiseksi Diakilla on oikeus selvittää työntekijän sähköpostiviestien otsikko-, lähettäjä- tai vastaanottajatietojen tai muiden tietojen kautta, onko kyseessä elektroninen materiaali, joka on tarkoitettu työnantajalle, asiaan liittyvässä laissa tarkoitetulla tavalla. (Tietoyhteiskuntakaari 917/2014)
- Edellä tarkoitetun materiaalin selville saamiseksi ja avaamiseksi on normaalisti hankittava lupa asianomaiselta työntekijältä. Materiaalia saa käyttää myös ilman lupaa, jos se on tärkeää ja välttämätöntä Diakin toiminnalle, jos viivytystä on vältettävä ja jos lupaa ei pystytä hankkimaan kohtuullisessa ajassa työntekijän työmatkan tai sairauden vuoksi tai siksi, että työntekijä ei pysty hoitamaan työtehtäviään jostakin muusta odottamattomasta syystä, eikä viestin lähettäjään saada yhteyttä viestin sisällön selvittämiseksi tai viestin lähettämiseksi uudelleen Diakin valitsemaan osoitteeseen. Tällaisissa tapauksissa toimialajohtaja tai rehtori/toimitusjohtaja voi määrätä ylläpitäjän etsimään ja avaamaan materiaalin.
- Edellä mainitut sähköpostiviestit tai muun materiaalin avaa työntekijän esihenkilö työnantajan edustajana järjestelmän ylläpitäjän avustuksella ja toisen henkilön läsnä ollessa. Tapahtumassa osallisena olevat valmistelevat ja allekirjoittavat menettelystä selonteon, jossa eritellään avattu materiaali ja ilmoitetaan avaamisen syy, avaamisen päiväys, materiaalin avanneet henkilöt ja se, kenelle tiedot avatusta materiaalista on annettu. Selonteko annetaan työntekijälle. Avatun materiaalin sisältö on pidettävä salassa kolmansilta osapuolilta.
- Työntekijän on varmistettava, että luottamukselliset henkilökohtaiset viestit ovat selkeästi erotettavissa työnantajalle kuuluvista viesteistä tallentamalla ne eri kansioon.
- Luottamuksellisten henkilökohtaisten viestien ja asiakirjojen avaaminen ja lukeminen on kielletty. Toiselle henkilölle tarkoitettu sähköpostiviesti tulisi välittää oikealle vastaanottajalle aina, kun se on mahdollista. Salassapitovelvollisuus koskee muille tarkoitettuja ja tällä tavoin saatuja viestejä.
- Käyttäjän sähköpostikansiot, muut asiakirjat ja kotihakemisto poistetaan, kun käyttäjän tietokoneenkäyttöoikeudet lakkaavat olemasta voimassa. Diak ei ota vastaan, välitä eteenpäin eikä tallenna käyttäjän sähköpostiosoitteeseen tulevia viestejä tai muita asiakirjoja käyttäjän käyttöoikeuksien umpeuduttua.
- Ennen palvelussuhteen päättymistä työntekijän on poistettava henkilötietonsa Diakin tietojärjestelmistä ja jätettävä sähköpostiviestit ja muut Diakille kuuluvat asiakirjat Diakin käyttöön.
- Käyttäjän on avattava Diakin tehtäviin liittyvät salatut sähköpostiviestit niiden saapuessa.
Muut säännöt
- Sähköpostia saa käyttää ylläpitäjän luvalla Diakin omiin viestintätarpeisiin liittyvään massapostitukseen. Diakin ylläpitämiä sähköpostilistoja saavat käyttää vain Diakin työntekijät hoitaessaan tehtäviään, ellei muita ohjeita listan käytöstä ole annettu.
- Käyttäjän sähköpostiviestien ja kotihakemiston käytettävissä olevaa tilaa sekä tulevien viestien kokoa voidaan rajoittaa. Jos käyttäjä ei noudata tallennustilaa koskevia rajoituksia, ylläpitäjällä on oikeus poistaa käyttäjän asiakirjat. Käyttäjälle ilmoitetaan asiasta tällöin viipymättä. Asiakirjat saatetaan joutua siirtämään väliaikaisesti muualle ilman erillistä ilmoitusta.
- Käyttäjien on kirjauduttava ulos istunnosta poistuessaan laitteen välittömästä läheisyydestä. Vaikka laitteet olisivat lukituissa tiloissa, käyttäjät eivät saa jäädä sisäänkirjautuneiksi, esimerkiksi yön ajaksi. Jos käyttäjä havaitsee, että istunto on jäänyt auki joko unohduksen tai virheen seurauksena, hänen on suljettava istunto välittömästi tai pyydettävä ylläpitäjiä sulkemaan sen.
Väärinkäyttö ja sen seuraukset
- Tietojärjestelmien väärinkäyttö tarkoittaa mitä tahansa toimintaa, joka ei ole näiden sääntöjen mukaista tai joka rikkoo lakeja, kuten henkilötietolakia, lakia yksityisyyden suojasta sähköisessä viestinnässä, lakia yksityisyyden suojasta työelämässä, televiestintälakia, tekijänoikeuslakia, rikoslakia tai asetuksia tai Diakin sääntöjä ja ohjeita.
- Diak valvoo näiden sääntöjen noudattamista. Väärinkäyttötapaukset käsitellään ensisijaisesti Diakin omia selvitys- ja valvontatoimia käyttäen. Kun epäillään väärinkäyttöä, ylläpitäjillä on oikeus estää tai rajoittaa järjestelmien käyttöä analysoinnin ja tutkimuksen aikana. Lisäksi väärinkäyttötapauksissa voidaan ryhtyä seuraaviin toimiin:
- Käyttäjään voidaan ottaa yhteyttä selvitystä varten, jos väärinkäyttöä epäillään.
- Rehtori/toimitusjohtaja, tulosaluejohtaja tai henkilöstöjohtaja antaa väärinkäytöstä vastuussa olevalle henkilölle kirjallisen tai suullisen huomautuksen ja soveltaa käyttörajoituksia tai -kieltoja määrätyn ajan tai toistaiseksi.
- Jos väärinkäyttäjä ei ole Diakin palveluksessa, esimerkiksi opiskelija, tapaus käsitellään ammattikorkeakoululain ja hallituksen ammattikorkeakouluista antaman asetuksen (1129/2014) sekä Diakin asetusten mukaisesti.
- Väärinkäyttötapauksen selvittämiseen liittyvät kustannukset veloitetaan väärinkäytöstä vastuussa olevalta henkilöltä.
- Asia siirretään viranomaisten käsiteltäväksi, mahdollisesti poliisitutkintaan.
Sääntöjen voimassaolo
- Diak voi muuttaa sääntöjä ilmoittamatta siitä henkilökohtaisesti käyttäjille. Sääntöjen muutokset voivat astua voimaan välittömästi. Tietohallinnosta vastaava henkilö valvoo sääntöjen päivitystarvetta.
- Nämä säännöt tulevat voimaan välittömästi ja kumoavat aiemmin annetut määräykset ja säännöt.