Innkalling og saksframlegg til universitetsstyrets møte 12.2.2015
Transcription
Innkalling og saksframlegg til universitetsstyrets møte 12.2.2015
Dato: MØTEINNKALLING Utvalg: Møtested: Møtedato: Tidspunkt: Universitetsstyret Styrerommet, UiT Administrasjonsbygget 12.02.2015 10:30 Eventuelt forfall til styremøtet, må meldes snarest til Inger-Torill bakke, tlf 77 64 49 86, [email protected]. Vararepresentanter møter etter nærmere beskjed. Sakene ligger på hjemmesiden: http://uit.no/nyheter/referater?uit_referat_kat=6 Med hilsen Anne Husebekk Rektor Lasse Lønnum universitetsdirektør Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side1 Saksliste Saksnr Tittel/beskrivelse U.off. Arkivref. S 1/15 Referatsaker til universitetsstyrets møte 12. februar 2015 2015/338 S 2/15 Årsregnskap 2014 - UIT Norges arktiske universitet 2014/5719 S 3/15 Statsbudsjettet 2015 - tildelingsbrev og sammensetning av delegasjon til etatsstyringsmøtet 2014/4851 S 4/15 Gjennomgang av studieprogramporteføljen - forslag til prosess og kriterier 2014/5753 S 5/15 Fordeling av reduksjon i driftsutgifter avbyråkratiserings- og effekstivseringsreformen 2015/858 S 6/15 Basisutstilling ved Tromsø Museum -tildeling fra styrets strategiske midler 2014/2209 S 7/15 Styringssystem for informasjonssikkerhet ved UiT Norges arktiske universitet 2014/1583 S 8/15 Årsrapport 2014 om HMS ved UiT Norges arktiske universitet 2014/5237 S 9/15 Fusjonssamtaler med Høgskolen i Narvik og Høgskolen i Harstad 2015 2014/2952 Orienteringssaker OS 1/15 Forslag til nytt finansieringssystem for UH-sektoren rapport fra ekspertgruppen Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side2 2015/180 Universitetsledelsen Arkivref: 2015/338/IBA006 Dato: 16.01.2015 SAKSFRAMLEGG Til: Universitetsstyret Møtedato: 12.02.2015 Sak: 1/15 Referatsaker til universitetsstyrets møte 12. februar 2015 Innstilling til vedtak: Referatsakene tas til orientering. 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. Møtebok/referat for universitetsstyrets møte 11.12.2014 Saker behandlet på fullmakt av rektor 1.-31.12.2014 Saker behandlet på fullmakt av rektor 1.1.- 31.1.2015 Det helsevitenskapelige fakultet, referat fra fakultetsstyremøte 1.12.2014 Fakultet for humaniora, samfunnsvitenskap og lærerutdanning, referat fra fakultetsstyremøte 4.12.2104 Fakultet for biovitenskap, fiskeri og økonomi referat fra fakultetsstyremøte 25.11.2014 Fakultet for naturvitenskap og teknologi, referat fra fakultetsstyremøte 10.12.2014 Det juridiske fakultet, referat fra fakultetsstyremøte 15.12.2014 Det kunstfaglige fakultet, referat fra fakultetsstyremøte 23.1.2015 UB, referat fra møte i bibliotekstyret 27.8.2014 UB, referat fra møte i bibliotekstyret 1.10.2014 UB, referat fra møte i bibliotekstyret3.12.2014 TMU, UB, referat fra møte i museumsstyret 4.12.2014 Saksbehandler: Inger Torill Bakke Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side3 Side4 Side5 Side6 Side7 Side8 Side9 Side10 Side11 Side12 Side13 Side14 Side15 Side16 Side17 Side18 Side19 Side20 Side21 Side22 Side23 Side24 Side25 Side26 Side27 Side28 Side29 Side30 Side31 Side32 Side33 Side34 Side35 Side36 Side37 Side38 Side39 Side40 Side41 Side42 Side43 Side44 Side45 Side46 Side47 Side48 Side49 Side50 Side51 Side52 Side53 Side54 Side55 Side56 Side57 Side58 Side59 Side60 Side61 Side62 Side63 Side64 Side65 Side66 Side67 Side68 Side69 Side70 Side71 Universitetsledelsen Arkivref: 2014/5719/EMP026 Dato: 04.02.2015 SAKSFRAMLEGG Til: Universitetsstyret Møtedato: 12.02.2015 Sak: 2/15 Årsregnskap 2014 - UIT Norges arktiske universitet Innstilling til vedtak: Universitetsstyret godkjenner avlagt årsregnskap 2014 for UIT Norges arktiske universitet. Begrunnelse: I tråd med Kunnskapsdepartementets krav til regnskapsavleggelse for institusjoner i universitets- og høgskolesektoren, jf brev fra departementet av 18.12.2014, skal tertial- og årsregnskap være behandlet av styret før det sendes til departementet. Frist for innsending av årsregnskap 2014 til Kunnskapsdepartementet er 16.02.2015. Avlagt årsregnskap er lagt frem på grunnlag av faglige krav gitt i ovennevnte brev, tildelingsbrev fra Kunnskapsdepartementet (KD) av 19.12.2013 og regnskapsmal gitt departementet og lagt ut på DBHs nettsider i januar 2014. For nærmere kommentarer til regnskapet, vises det til “ledelseskommentarene” som er en del av regnskapet og følger vedlagt. Øvrige detaljer for intern rapportering for UIT vil bli lagt frem for styret til orientering i mars-møtet. Godkjent regnskap skal underskrives av styret. Vedlagt styresaken følger resultatregnskap, balanseoppstilling, kontantstrømoppstilling, noter, saldobalanse, periodisert resultatbudsjett og ledelseskommentarer. Lasse Lønnum universitetsdirektør Eli M. Pedersen økonomidirektør Dokumentet er elektronisk godkjent og krever ikke signatur Saksbehandler: Eli Margrete Pedersen Vedlegg. Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side72 Side73 Side74 Side75 Side76 Side77 Side78 Side79 Side80 Side81 Side82 Side83 Side84 Side85 Side86 Side87 Side88 Side89 Side90 Side91 Side92 Side93 Side94 Side95 Side96 Side97 Side98 Side99 Side100 Side101 Side102 Side103 Side104 Side105 Side106 Side107 Side108 Side109 Side110 Universitetsledelsen Arkivref: 2014/4851/SJO063 Dato: 14.01.2015 SAKSFRAMLEGG Til: Universitetsstyret Møtedato: 12.02.2015 Statsbudsjettet 2015 - tildelingsbrev delegasjon til etatsstyringsmøtet og Sak: 3/15 sammensetning av Innstilling til vedtak: 1. Styret tar tildelingsbrevet for 2015 for Universitetet i Tromsø – Norges arktiske universitet til orientering. 2. Styret ser det som viktig at alle grupperingene i UiTs styre er representert ved etatsstyringsmøte 26. mai 2015 og oppnevner følgende delegasjon til møte med Kunnskapsdepartementet: Anne Husebekk, --------------------------------------------------------------------- samt én representant for studentene. Universitetsdirektøren deltar i egenskap av styrets sekretær. 3. Styret gir rektor og universitetsdirektøren fullmakt til å ta ut påtalebegjæring i samsvar med pkt. 1.3.5. i vedlegg 1 til Tildelingsbrevet for 2015. Universitetsdirektøren gis også fullmakt til å forvalte de øvrige administrative fullmaktene i vedlegget i samsvar med gjeldende retningslinjer og regelverk. Begrunnelse: I brev av 19.12.2014 til Universitetet i Tromsø – Norges arktiske universitet har Kunnskapsdepartementet formidlet Stortingets budsjettvedtak for 2015 og hvilke forutsetninger vedtaket bygger på. Tildelingsbrevet er Kunnskapsdepartementets årlige styringsdokument til de statlige universitetene og høyskolene. I brevet innkalles det også til etatsstyringsmøte 26. mai 2015 kl. 11 – 13 i Kunnskapsdepartementets lokaler i Oslo. Brevet er delt inn i 5 hovedkapittel og i dette saksfremlegget trekkes hovedinnholdet i disse kapitlene frem. Departementets brev m/vedlegg følger som vedlegg til saken. 1. Innledning I innledningen blir det pekt på styrets sentrale rolle og at tildelingsbrevet skal distribueres til alle medlemmene av styret ved institusjonen. Eventuelle endringer eller ytterligere tildelinger vil bli formidlet gjennom supplerende brev. 2. Regjerningens prioriteringer Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side111 Det pekes i tildelingsbrevet på de forventninger som stilles til UH-sektorens rolle for å løse de store globale og samfunnsmessige utfordringene og for å bidra til næringslivets konkurransekraft. Den enkelte institusjons rolle krever et utstrakt og gjensidig forpliktende samspill med andre aktører. Departementet peker på at ulike indikatorer og evalueringer tyder på at utdanningskvaliteten og forventet læringsutbytte samlet sett kan styrkes betydelig i mange studier. I rapport fra Senter for økonomisk forskning (SØF) som antyder uakseptabel stor variasjon i praksis for karaktersetting på tvers av institusjonene, forventes det at institusjonene foretar en kritisk vurdering av faglig ambisjonsnivå i studietilbudet. Regjeringen har også besluttet å innføre forsøk med nasjonale deleksamener i enkelte profesjonsfag bl.a. for å gi fagmiljøene mulighet til å sammenligne seg med tilsvarende fagmiljø ved andre institusjoner. Regjeringen har satt i gang flere prosesser som vil medføre store endringer og som samlet skal bidra til å forme en sektor som står bedre rustet til å møte de store forventningene - - - - - - Stortingsmelding om struktur i universitets- og høyskolesektoren. Meldingen skal legges fram våren 2015 og målet er studietilbud av høy kvalitet forankret i solide fagmiljø. Færre institusjoner er ett av flere virkemiddel. Langtidsplan for forskning og høyere utdanning. Langtidsplanens tidshorisont er 2015-2024 og skal bidra til å styrke Norges konkurransekraft, og innovasjonsevne, løse store samfunnsutfordringer og utvikle fremragende miljø for forskning og høyere utdanning. Verdensledende fagmiljøer. Prioritering av å videreutvikle flere slike fagmiljø gjenspeiles både i Langtidsplanen og i statsbudsjettet for 2015. Strategi for forsknings- og innovasjonsarbeid med EU. Målet med strategien er å øke norsk deltakelse i og tildelingen fra EUs nye forsknings- og innovasjonsprogram Horisont 2020 betydelig. Lærerløftet. Sentralt i satsingen er en god lærerutdanning og regjeringen har besluttet å starte utvikling av en femårig lærerutdanning på masternivå. Et prosjekt for å gi rammer for en ny femårig grunnskolelærerutdanning vil munne ut i en ny forskrift om rammeplan for utdanningen. Rekruttering og karrieremuligheter. Et modernisert regelverk om karriere og stillingsinstruks i UH-sektoren skal gi større fleksibilitet og bedre muligheter for å rekruttere og beholde attraktive ansatte. Finansiering. Departementet nedsatte en ekspertgruppe for gjennomgå innretningen på finansiering av sektoren. Gruppen leverte sin rapport i januar 2015. Departementet tar sikte på å legge fram det konkrete forslaget til nytt finansieringssystem i budsjettproposisjonen for 2016. De viktigste nye satsingsområdene for UH-sektoren over programkategori 07.60 i statsbudsjettet for 2015 er: - - Verdensledende utdannings og forskningsmiljø. 100 mill kroner bevilges for å styrke arbeidet med fremragende kvalitet og for å utvikle flere miljø. 70 mill kroner av dette fordeles etter spissede kvalitetskriterier ved institusjoner mens 10 mill kroner er øremerket Universitetet i Oslo og 20 mill kroner er øremerket et partnerskapsprogram for forskning og utdanning. Struktur i universitets- og høyskolesektoren. Det bevilges 75 mill kroner til fusjonsprosesser. Rekrutteringsstillinger. Det bevilges om lag 95 mill kroner til nye rekrutteringsstillinger. 147 av disse er knyttet til oppfølging av Langtidsplanen for UiT / Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side112 2 - - forskning og utdanning mens 3 stillinger er øremerket Stipendiatprogrammet i Program for kunstnerisk utviklingsarbeid (PKU). Bygg og utstyr. 75 mill kroner bevilges til oppgradering av eksisterende bygg og lokaler. Fordeling av disse midlene vil skje etter innspill fra aktuelle institusjoner og forutsetter at tildelingene utløser tilsvarende beløp til samme formål fra institusjoner som mottar midler. I tillegg bevilges 30 mill kroner til utstyr for sykepleier- og ingeniørutdanningene. Studentboliger. Det gis tilsagn om tilskudd til 2000 nye studentboliger i 2015. Dette er en økning på 700 i forhold til 2014. Styrket grunnfinansiering. Den resultatbaserte omfordelingen (RBO) til UH-sektoren styrkes med 50 mill kroner gjennom EU-indikatoren. 3. Mål og budsjett 2015. Kunnskapsdepartementet har revidert målstrukturen for universiteter og høyskoler for å tydeliggjøre regjeringens mål og prioriteringer. Fire sektormål gjelder for 2015 og disse skal være langsiktige og gi en stabil ramme som institusjonen kan utvikle egne strategier og planer innenfor. De nasjonale styringsparametrene er besluttet videreført med små justeringer fra 2014. Departementet tar sikte på å revidere disse i 2016 og vil involvere sektoren i dette arbeidet. For 2015 gjelder følgende sektormål: 1. 2. 3. 4. Høy kvalitet i utdanning og forskning Forskning og utdanning for velferd, verdiskapning og omstilling God tilgang til utdanning Effektiv, mangfoldig og solid høyere utdanningssektor og forskningssystem Totalt bevilges det 29,8 mrd kroner over kap 260 post 50 til universiteter og statlige høyskoler i 2015. Universitetet i Tromsø – Norges arktiske universitet tildeles 2 446 355 000 kroner over kap kap 260 post 50. For en ytterligere detaljering av tildelingen, vises det til dokumentet Orientering om statsbudsjettet 2015 for universiteter og høyskoler1. Over kap. 281 bevilges det totalt 399,3 mill kroner til felles tiltak for universitetet og høyskoler. I vedlegg til tildelingsbrevet er UiTs fullmakter for 2015 delegert og definert. Fullmaktene gjelder budsjettfullmakter og administrative fullmakter. Departementet kan når som helst trekke tilbake gitte fullmakter. Fullmaktene medfører ingen innskrenkning i departementets instruksjonsmyndighet. De administrative fullmaktene gjelder: - Fullmakt til å forvalte statens eierinteresser - Delegering av innkallelse til generalforsamling i heleide selskap - Fullmakt til å inngå leieavtaler utover budsjettåret - Fullmakt til å inngå forlik eller innrømme erstatningsansvar - Fullmakt til å ta ut påtalebegjæring Link: https://www.regjeringen.no/contentassets/31af8e2c3a224ac2829e48cc91d89083/orientering_om_statsbudsj ettet_2015_for_universiteter_hoyskoler.docx.pdf 1 UiT / Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side113 3 4. Andre forutsetninger og krav EU-relatert arbeid: Det forventes og forutsettes at UH-sektoren øker sin innsats i det europeiske forskningssamarbeidet og at norske forskningsaktører henter hjem 2 % av midlene som fordeles. Rekrutteringsstillinger: Departementet forventer at institusjoner som er tildelt rekrutteringsstillinger finansierer minst tilsvarende antall rekrutteringsstillinger som de er tildelt. Fra 2014 kan institusjoner med rett til å tildele doktorgrad, fritt disponere sitt samlede antall tildelte rekrutteringsstillinger mellom stipendiat- og postdoktorstillinger. Kandidatmåltall: Kandidatmåltall ble innført fra 2014 for helse- og lærerutdanningen og angir et minstekrav om antall uteksaminerte kandidater den enkelte institusjon skal ha. UiTs kandidatmåltall for 2015 fremgår av Orientering om statsbudsjettet 2015 for universiteter og høyskoler. Økning av antall lærlinger i statsforvaltningen: Departementet forventer at UH-sektoren samlet sett øker tallet på lærlinger med minst 50 % i forhold til resultatene i 2014 innen utgangen av 2016. Eiendomsforvaltning for selvforvaltende institusjoner: Institusjonene i sektoren skal sørge for tilstrekkelig informasjon om bygningsmassens tilstand og utvikling og det skal foreligge langtidsplaner for verdibevarende vedlikehold med tilhørende årlige budsjettavsetninger som også bidrar til å hente inn deler av vedlikeholdsetterslepet. Oppfølging av revisjon og kartlegging i sektoren: Dok. 1 (2013-2014) fra Riksrevisjonen for regnskapsåret 2013 peker på flere områder innenfor økonomiforvaltningen hvor det er behov for ytterligere forbedringer. Lønn er en vesentlig kostnadspost og flere virksomheter har ikke tilfredsstillende internkontroll på området. Bidrags- og oppdragsfinansiert virksomhet har et utfordrende regelverk og arbeidet med korrekt klassifisering av prosjekter og tilstrekkelig belastning av kostnader skal prioriteres. Anskaffelser er et område som Riksrevisjonen fortsatt vil følge særskilt opp, og det er behov for å styrke etterlevelse av regelverket. Belastning av indirekte kostnader på bidrags- og oppdragsfinansiert forskningsaktivitet skal beregnes etter TDI-modellen med mindre prosjektets omfang eller kompleksitet er av en slik art at en enklere beregningsmodell kan legges til grunn. Samfunnssikkerhet og beredskap: Kunnskapsdepartementets styringsdokument skal ligge til grunn for institusjonenes arbeid med samfunnssikkerhet og beredskap i kunnskapssektoren. Institusjonen skal ha etablert virksomhetstilpasset risiko- og sårbarhetsanalyse (ROS) på samfunnssikkerhets og beredskapsfeltet. Analysen skal revideres minimum hvert annet år. Digital postkasse: UiT / Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side114 4 Alle statlige forvaltningsorgan som sender post på papir, skal innen 1. juli 2015 lage en plan for å ta i bruk Digital postkasse. Tidstyver: Arbeidet med å rapportere aktiviteter, prosedyrer, tiltak, regelverk m.m. som opplevdes som tidstyver, startet i 2014. Forbedringsarbeidet videreføres i 2015 bl.a. gjennom prioritering av tiltak som gir konkret effekt for brukerne. I årsrapporten for 2015 skal det rapporteres på egen mal om arbeidet med å avvikle brukerrettede tidstyver i egen virksomhet. 5. Rapportering og resultatoppfølging Frist for levering av Årsrapport (2015-2016) er 15. mars 2016 og frist for datarapportering til DBH er 15. februar 2016. Frist for innsendelse av budsjettforslaget for 2017 er 1. november 2015. UiT vil bli innkalt til etatsstyringsmøte 26. mai 2015 kl 11.00-13.00 i Kunnskapsdepartementets lokaler. Videre utvikling av målstruktur og oppfølgingspunkter fra tilbakemeldingen i 2014, samt planer for 2016, vil være sentrale punkter for møtet. Departementet ber styret melde inn strategisk viktige saker for institusjonen til møtet samtidig med innsending av Årsrapport (2014-2015). Departementet ønsker et representativt utvalg av styret og ber styret selv sette sammen en delegasjon fra styret på inntil sju deltakere. Hvorav styreleder og styremedlem valgt av studentene er obligatoriske deltakere. I tillegg til styrets medlemmer ønsker departementet at styrets sekretær deltar. Universitetsdirektørens vurderinger Tildelingen til UiT over kap 260 på statsbudsjettet for 2015 beløp seg til mer enn det som ble lagt til grunn i den interne budsjettfordelingen i styresak S 27/14. På bakgrunn av dette er det foretatt en revisjon av fordelingen for 2015 – jfr. fullmaktsak F 11/14. Som det fremkommer i departementets tildelingsbrev står både sektoren som helhet og UiT fremfor store utfordringer i 2015. Ved siden av å opprettholde forsknings- og undervisningsproduksjonen, har UiT igangsatt et program for utbygging og renovering av bygningsmessig infrastruktur over eget budsjett. I løpet av året vil også arbeidet med MH II igangsettes. I løpet av året vil det også foreligge avklaringer omkring den fremtidige strukturen i UH-sektoren og omkring nytt finansieringssystem for universitet og høyskoler. UiT vil trolig bli berørt av begge forhold. (Universitetsdirektøren tar forbehold om at ingen av de foreslåtte representantene fra UiTs styre til etatsstyringsmøtet med Kunnskapsdepartementet er forespurt i forbindelse med saksbehandlingen.) Lasse Lønnum universitetsdirektør Eli M Pedersen økonomidirektør Dokumentet er elektronisk godkjent og krever ikke signatur UiT / Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side115 5 Universitetet i Tromsø – Norges arktiske universitet Postboks 6050 Langnes 9037 Tromsø Deres ref Vår ref Dato 14/5309 19.12.2014 Statsbudsjettet for 2015 kap. 260 - Tildelingsbrev for Universitetet i Tromsø – Norges arktiske universitet Tildelingsbrevet for 2015 består av følgende deler: 1. 2. 3. 4. 5. Innledning ........................................................................................................................ 2 Regjeringens prioriteringer ........................................................................................... 2 Mål og budsjett for 2015 ................................................................................................. 6 Andre forutsetninger og krav ........................................................................................ 9 Rapportering og resultatoppfølging ............................................................................ 13 Postadresse Postboks 8119 Dep 0032 Oslo Kontoradresse Kirkegt. 18 Telefon 22 24 90 90 [email protected] Universitets- og høyskoleavdelingen Saksbehandler Telefon 22 24 77 01 Immanuel Olaussen www.kunnskapsdepartementet.no Telefaks 22 24 27 33 22247723 Org no. 872 417 842 Side116 Tildelingsbrev 2015 – Universitetet i Tromsø – Norges arktiske universitet 1. INNLEDNING På bakgrunn av Stortingets behandling av statsbudsjettet for 2015 sender Kunnskapsdepartementet med dette tildelingsbrev til institusjonen. Tildelingsbrevet er Kunnskapsdepartementets årlige styringsdokument til institusjonen og skal distribueres til alle medlemmer av institusjonens styre. Eventuelle endringer eller ytterligere tildelinger vil bli formidlet gjennom supplerende tildelingsbrev i løpet av året. 2. REGJERINGENS PRIORITERINGER 2.1 En ny universitets- og høyskolesektor Regjeringen har gjennom regjeringsplattformen uttrykt høye forventninger til universitetsog høyskolesektorens rolle for å løse de store globale og samfunnsmessige utfordringene, og for å bidra til næringslivets konkurransekraft. Også arbeids- og næringslivet gir jevnlig uttrykk for høye forventninger til institusjonenes bidrag til nasjonal og regional kompetanseutvikling, vekst og verdiskapning. Studentene etterspør studietilbud av høy kvalitet og god relevans. Institusjonenes viktige samfunnsrolle krever et utstrakt og gjensidig forpliktende samspill med andre aktører. Ulike evalueringer og indikatorer tyder på at utdanningskvaliteten og forventet læringsutbytte samlet sett kan styrkes betydelig i mange studier. En illustrasjon er resultatene fra studiebarometeret sammenholdt med karakterstatistikken i DBH. Ifølge studiebarometeret arbeider studenter i gjennomsnitt 28 timer i uken med studier, med til dels store variasjoner mellom ulike studier. Samtidig er to tredjedeler av karakterene som innrapporteres C eller bedre. Gitt den beskrivelsen av forventet læringsutbytte for karakteren C, indikerer dette at institusjonene kan ha vesentlig høyere faglige ambisjoner på studentenes vegne. For den enkelte student og for samfunnet innebærer studier en betydelig investering i form av tid og økonomiske ressurser. Institusjonene har et betydelig ansvar for å forvalte disse investeringene ved å sikre at forventet læringsutbytte holder høyt internasjonalt nivå. Rapporten om karaktersetting fra Senter for økonomisk forskning (SØF) tyder på at det er uakseptabel stor variasjon i praksis for karaktersettingen på tvers av institusjonene. Departementet forventer at institusjonene foretar en kritisk vurdering av faglig ambisjonsnivå i studietilbud der studieinnsatsen tilsynelatende er lav. Regjeringen har klare forventninger til institusjonenes systematiske arbeid med utdanningskvaliteten. Fra nasjonalt hold vil departementet fortsette å utvikle nasjonale statistikker og bidra til kunnskapsgrunnlaget. NOKUT er i ferd med å utvikle en ny tilsynsmodell som skal bidra til mer informasjon om tilstanden i sektoren og understøtte institusjonenes eget kvalitetsarbeid. Regjeringen har også besluttet å innføre forsøk med nasjonale deleksamener i enkelte profesjonsfag for å bidra til informasjon om studentenes kunnskapsnivå og gi fagmiljøene mulighet til å sammenligne seg med tilsvarende fagmiljøer ved andre institusjoner. Side 2 Side117 Tildelingsbrev 2015 – Universitetet i Tromsø – Norges arktiske universitet Regjeringen har som ambisjon å løfte kvaliteten på høyere utdanning og forskning. Det er utarbeidet syv punkter som skal være førende for arbeidet med å nå målene som er satt for universitets- og høyskolesektoren. Regjeringen har satt i gang flere prosesser som vil medføre store endringer og som samlet skal bidra til å forme en sektor som står bedre rustet til å møte de store forventningene. Stortingsmelding om struktur i universitets- og høyskolesektoren Regjeringen har varslet at den vil legge fram en stortingsmelding om struktur i universitets- og høyskolesektoren våren 2015. Utgangspunktet for arbeidet med stortingsmeldingen om framtidig struktur i universitets- og høyskolesektoren, er at sektoren er for fragmentert med for mange små og sårbare miljøer. Målet med arbeidet er studietilbud av høy kvalitet forankret i solide fagmiljøer. Færre institusjoner er ett av flere virkemidler for å lykkes med dette. Langtidsplan for forskning og høyere utdanning Sammen med Prop. 1 S (2014-2015) har regjeringen lagt fram en langtidsplan for forskning og høyere utdanning, Meld. St. 7 (2014-2015) Langtidsplan for forskning og høyere utdanning 2015-2024. Langtidsplanen skal bidra til å styrke Norges konkurransekraft og innovasjonsevne, løse store samfunnsutfordringer og utvikle fremragende miljøer for forskning og høyere utdanning. Verdensledende fagmiljøer Regjeringen vil prioritere å utvikle flere verdensledende fagmiljøer innenfor høyere utdanning og forskning. Dette gjenspeiles tydelig i prioriteringene i langtidsplanen og i statsbudsjettet for 2015. Departementet vil vurdere ytterligere tiltak i samråd med institusjonene. Strategi for forsknings- og innovasjonssamarbeidet med EU Regjeringen har lansert en strategi for forsknings- og innovasjonssamarbeid med EU. Kunnskapsdepartementet har ansvaret for oppfølgingen av denne overfor universitets- og høyskolesektoren med mål om å øke norsk deltagelse i og tildeling fra EUs nye forsknings- og innovasjonsprogram Horisont 2020 betydelig. Norge skal delta fullt ut i EUs neste rammeprogram for forskning og innovasjon, Horisont 2020 og i EUs program for utdanning, ungdom og idrett, Erasmus +. EUs programmer er viktige drivere for kvalitet i forskning og høyere utdanning. EU-samarbeidet byr på store muligheter for institusjonene og fagmiljøene og er viktig for å delta i forskningsfronten, i internasjonalt utdanningssamarbeid, og for å få tilgang til internasjonal kunnskapsutvikling. Lærerløftet Med Lærerløftet vil regjeringen utvikle en skole der elevene lærer mer. En god lærerutdanning er sentral i denne satsingen. Regjeringen har besluttet å starte utviklingen av en femårig lærerutdanning på masternivå. Side 3 Side118 Tildelingsbrev 2015 – Universitetet i Tromsø – Norges arktiske universitet Som ledd i dette arbeidet har departementet iverksatt et prosjekt for å gi rammer til ny femårig grunnskolelærerutdanning. Dette arbeidet vil munne ut i en ny forskrift om rammeplan for grunnskolelærerutdanning. Regjeringen har satt kvalitet som øverste prioritet i dette arbeidet. Prosjektet vil pågå i hele 2015. Et forhold som vil legge føringer for tilbudsstrukturen, er minstekravene til førstestillingskompetanse for å kunne tilby masterutdanning. Regjeringen skriver i Lærerløftet at de nasjonalt prioriterte fagene skal være lærerutdanningsfagene norsk, samisk, norsk tegnspråk, matematikk og engelsk. Regjeringen vil kreve at alle lærerutdanningsinstitusjoner må tilby masterutdanning i minimum to av de prioriterte fagene, før de kan tilby grunnskolemaster i øvrige fag. Rekruttering og karrieremuligheter Kunnskapsdepartementet tar sikte på å modernisere regelverk om karriere og stillingsstruktur i universitets- og høyskolesektoren for å gi institusjonene større fleksibilitet og dermed bedre muligheter for å rekruttere og beholde attraktive ansatte. Ny forskrift om innstegsstillinger er sendt på høring. Departementet arbeider med endringer som vil gi institusjonene større innflytelse over kompetansekrav og bedømminger ved opprykk, bedre vilkår for å ansette doktorander direkte etter stipendiatansettelsen, samt gi større muligheter for fast ansettelse av personer med ekstern finansiering uten at det svekker rekrutteringen til ordinære undervisnings- og forskerstillinger. Det er fortsatt for høy andel midlertidige ansettelser i sektoren. Enkelte institusjoner har gjort en god jobb for å nå målet om reduksjon i andel midlertidig ansatte. Men situasjonen er ikke tilfredsstillende ved andre institusjoner. Finansiering Kunnskapsdepartementet har nedsatt en ekspertgruppe for å gjennomgå innretningen på finansieringen av universiteter og høyskoler. Gruppen er faglig uavhengig og skal levere sin rapport i begynnelsen av januar 2015. Departementet vil ta med seg innspillene fra ekspertgruppen i arbeidet med stortingsmeldingen om struktur. Tidlig i 2015 vil det bli holdt et høringsmøte for institusjonene. Departementet tar sikte på å legge frem det konkrete forslaget til nytt finansieringssystem i budsjettproposisjonen for 2016. 2.2 Prioriteringer i statsbudsjettet for 2015 Nedenfor følger en omtale av de viktigste nye satsingene for universitets- og høyskolesektoren over programkategori 07.60 i statsbudsjettet for 2015. For en mer utfyllende omtale av de nye satsingene, samt en oversikt over tiltak som videreføres fra foregående budsjettår, viser vi til Innst. 12 S (2014-2015) og Prop. 1 S (2014-2015) for Kunnskapsdepartementet. Se også Orientering om statsbudsjettet 2015 for universiteter og høyskoler, jf. nettadresse på slutten av brevet. Side 4 Side119 Tildelingsbrev 2015 – Universitetet i Tromsø – Norges arktiske universitet Verdensledende utdannings- og forskningsmiljø Det bevilges 100 mill. kroner for å styrke arbeidet med fremragende kvalitet for å utvikle flere verdensledende fagmiljøer. Av dette blir 70 mill. kroner fordelt etter spissede kvalitetskriterier til institusjoner med fagmiljø som har særlige forutsetninger for å strekke seg mot verdenstoppen. Midlene vil gi en langsiktig styrking av budsjettene til de institusjonene som når opp i konkurransen, og skal brukes til rekruttering av internasjonale toppforskere. 10 mill. kroner tildeles Universitetet i Oslo for å videreutvikle det etablerte utdannings- og forskningssamarbeidet med Simula Research Laboratory og University of California, San Diego i informatikk innenfor geovitenskap og livsvitenskap. 20 mill. kroner tildeles et partnerskapsprogram for forskning og høyere utdanning. Programmet vil fremme langsiktig samarbeid mellom høyere utdannings- og forskningsinstitusjoner i Norge og prioriterte land utenfor EU og vil bli konkurranseutsatt for å sikre topp kvalitet og relevans. Struktur i universitets- og høyskolesektoren Bevilgningen for å stimulere til samarbeid, arbeidsdeling, konsentrasjon og sammenslåinger økes til 75 mill. kroner. Midlene skal gå til fusjonsprosesser. Rekrutteringsstillinger Det bevilges om lag 95 mill. kroner til 150 nye rekrutteringsstillinger. 147 stillinger er knyttet til oppfølging av langtidsplanen for forskning og høyere utdanning, Meld. St. 7 (2014-2015) Langtidsplan for forskning og høyere utdanning 2015-2024. Tre stillinger er til Stipendiatprogrammet i Program for kunstnerisk utviklingsarbeid (PKU). Bygg og utstyr Oppdaterte bygg og utstyr er en forutsetning for ambisjonen om flere fremragende forsknings- og undervisningsmiljø. 75 mill. kroner bevilges til oppgradering av bygg ved institusjoner som forvalter egen bygningsmasse. Oppgraderingen innebærer rehabilitering og tilpassing av eksisterende bygg og lokaler, slik at de kan møte byggtekniske krav og forventninger til forskning og utdanning av høy kvalitet. Departementet forventer at tildelingene utløser tilsvarende beløp til samme formål fra institusjonene som mottar midler. Departementet vil komme tilbake til fordeling av midler i begynnelsen av 2015 etter innspill fra institusjonene. 30 mill. kroner bevilges til utstyr for sykepleier- og ingeniørutdanningene. Det er behov for mer og bedre utstyr i disse utdanningene slik at studentene blir bedre forberedt på det som venter dem i arbeidslivet. Side 5 Side120 Tildelingsbrev 2015 – Universitetet i Tromsø – Norges arktiske universitet Studentboliger En av de viktigste studentvelferdsoppgavene til studentsamskipnadene er å tilby studentboliger. Det gis tilsagn om tilskudd til om lag 2 000 nye studentboliger i 2015. Dette er om lag 700 flere nye studentboliger enn i 2014. Styrket grunnfinansiering Den resultatbaserte omfordelingen (RBO) til universiteter og statlige høyskoler styrkes med 50 mill. kroner, som knyttes til EU-indikatoren. Finansieringen til private høyskoler styrkes med 4 mill. kroner. 3. MÅL OG BUDSJETT FOR 2015 3.1 Mål for 2015 Kunnskapsdepartementet har, som varslet i tildelingsbrevene til universiteter og høyskoler for 2014, revidert målstrukturen for universiteter og høyskoler. Hensikten med revisjonen har vært å tydeliggjøre regjeringens mål og prioriteringer, jf. regjeringsplattformen. Departementet har også vurdert mulighetene for forenkling. Departementet har på bakgrunn av dette fastsatt fire sektormål for 2015. Sektormålene skal være langsiktige og gi en stabil ramme som institusjonene kan utvikle egne strategier og planer innenfor. I tillegg til sektormålene setter departementet nasjonale styringsparametre innenfor sektormålene på områder der institusjonene skal ha særskilt oppmerksomhet på resultatutviklingen. De nasjonale styringsparametrene er ikke heldekkende for resultater som bidrar til måloppnåelsen, men signaliserer resultatområder som vil ha særskilt oppmerksomhet i styringen fra departementet. Kunnskapsdepartementet har besluttet å videreføre styringsparametrene fra 2014 i ett år til, med enkelte mindre justeringer. Det er lagt til en ny styringsparameter for oppfølging av EU-strategien under sektormål 1. Revisjonen av målstrukturen foregår i to trinn på grunn av arbeidet med framtidig struktur i universitets- og høyskolesektoren og gjennomgangen av finansieringen til universiteter og høyskoler. Disse prosessene kan medføre justeringer i styringsparametrene. Departementet tar sikte på å revidere styringsparametrene fra 2016. Sektoren vil bli involvert i arbeidet med reviderte styringsparametre. Hovedtrekkene fra revisjonen av målstrukturen fra 2012 ligger fast. Da fikk statlige universiteter og høyskoler delegert myndighet til å fastsette egne virksomhetsmål innenfor sektormålene. Side 6 Side121 Tildelingsbrev 2015 – Universitetet i Tromsø – Norges arktiske universitet Departementet viser til samfunns- og effektmålene som er satt for større bygge- og rehabiliteringsprosjekter i sektoren og forutsetter at aktuelle institusjoner tar hensyn til disse målene i sin virksomhetsstyring og planverk, jf. eget rapporteringskrav. For 2015 gjelder følgende sektormål med tilhørende styringsparametre: Sektormål 1: Høy kvalitet i utdanning og forskning Evalueringer viser at utdanning og forskning i Norge er god, men at vi har flere svake og fragmenterte utdannings- og forskningsmiljøer og at vi har få fremragende miljøer. Regjeringen vil at alle utdannings- og forskningsmiljøer i Norge skal holde høy kvalitet og at flere norske forsknings- og utdanningsmiljøer hevder seg internasjonalt. Dette inkluderer også faglig og kunstnerisk utviklingsarbeid. kvantitativ styringsparameter: gjennomføring på normert tid kvantitativ styringsparameter: andel uteksaminerte kandidater tatt opp på doktorgradsprogram seks år tidligere kvalitativ styringsparameter: studentene skal lykkes med å oppnå læringsutbyttet som er definert for studieprogrammene kvalitativ styringsparameter: resultatoppnåelse på forskning ut fra institusjonens egenart kvalitativ styringsparameter: samspill mellom forskning og utdanning ny kvantitativ styringsparameter: deltakelse i Horisont 2020 og Erasmus+ Sektormål 2: Forskning og utdanning for velferd, verdiskaping og omstilling Fundamentet for vår framtidige verdiskaping og velferd ligger i å realisere kunnskapssamfunnet. Regjeringen har som ambisjon at Norge skal være et av de mest innovative landene i Europa. For å få til dette trenger vi forskning, faglig og kunstnerisk utviklingsarbeid, kunnskapsdeling og kandidater som bidrar til nødvendig omstilling, innovasjon og verdiskaping i offentlig og privat sektor. kvantitativ styringsparameter: andel inntekter fra bidrags- og oppdragsfinansiert aktivitet(BOA) utenom forskningsfinansiering fra EU og Forskningsrådet kvalitativ styringsparameter: samarbeid med samfunns- og arbeidsliv kvalitativ styringsparameter: forskningsinnsats i MNT- og profesjonsfag Sektormål 3: God tilgang til utdanning Regjeringen vil at alle skal ha tilgang til og muligheter for å ta høyere utdanning, uansett kjønn, etnisitet, sosial og økonomisk bakgrunn og bosted. Utdanningstilbudet skal også legge til rette for at det er tilgang til nødvendig arbeidskraft og kompetanse i alle deler av landet. Livslang læring er viktig for å legge til rette for nødvendig omstilling og fornying for den enkelte og for samfunns- og arbeidsliv. kvalitativ styringsparameter: fleksibel utdanning Side 7 Side122 Tildelingsbrev 2015 – Universitetet i Tromsø – Norges arktiske universitet Sektormål 4: Effektiv, mangfoldig og solid høyere utdanningssektor og forskningssystem En effektiv, mangfoldig og solid høyere utdanningssektor og forskningssystem skal bidra til best mulig måloppnåelse på de tre første målene. Universiteter og høyskoler forvalter en betydelig andel av fellesskapets midler. Ressursene skal benyttes effektivt og til beste for samfunnet. Institusjonene skal utvikle profiler i tråd med styrke og egenart, som bidrar til en differensiert sektor med høy kvalitet, som møter samfunnets behov på ulike områder, og som bidrar til at vi kan hevde oss internasjonalt. Institusjoner som har grunnlag for det, forventes å dyrke frem utdannings- og forskningsmiljøer som kan hevde seg helt i verdenstoppen. kvalitativ styringsparameter: langsiktig økonomisk planlegging kvalitativ styringsparameter: solide fagmiljøer kvantitativ styringsparameter: andel kvinner i dosent- og professorstillinger kvantitativ styringsparameter: andel midlertidig ansatte kvalitativ styringsparameter: andel av samlingene og objektene som er tilfredsstillende sikret1 kvalitativ styringsparameter: andel av samlingene og objektene som er tilfredsstillende bevart2 3.2 Budsjett for 2015 Stortinget har gjort vedtak om bevilgning for 2015, jf. Innst. 12 S (2014-2015) og Prop. 1 S (2014-2015). 3.2.1 Budsjettvedtak kap. 260 post 50 Det bevilges totalt 29,8 mrd. kroner over kap. 260 post 50 i 2015 til universiteter og statlige høyskoler. Følgende tildeling stilles med dette til disposisjon for Universitetet i Tromsø – Norges arktiske universitet: 2 446 355 000 kroner. Tabellen nedenfor viser endringene i budsjettrammen fra 2014 til 2015. Tabell 1 Endring 2014-15 Konsekvensjustering Pris- og lønnsjustering Nye rekrutteringsstillinger Andre endringer Resultatbasert uttelling utdanningsinsentiver Resultatbasert uttelling forskningsinsentiver 1 2 Gjelder universiteter med universitetsmuseum. Gjelder universiteter med universitetsmuseum. Side 8 Side123 Beløp (i kr 1 000) -22 838 78 024 1 893 7 944 -3 726 -2 155 Tildelingsbrev 2015 – Universitetet i Tromsø – Norges arktiske universitet Andre endringer omfatter blant annet 3 000 000 kroner til utslippsreduserende tiltak for F/F Helmer Hanssen. For en forklaring av de enkelte endringene vises det til Orientering om statsbudsjettet 2015 for universiteter og høyskoler. Se nettadresse på slutten av brevet. I supplerende tildelingsbrev kommer departementet tilbake til tildeling av midler til oppgradering av bygg ved institusjoner som forvalter egen bygningsmasse, og tildeling av midler å stimulere til samarbeid, arbeidsdeling, konsentrasjon og sammenslåinger. 3.2.2 Budsjettvedtak kap. 281 Det bevilges totalt 399,3 mill. kroner over kap. 281 i 2015 til felles tiltak for universiteter og høyskoler. 3.2.3 Fullmakter Stortinget har gitt de statlige universitetene og høyskolene særskilte fullmakter som fornyes for ett år av gangen i forbindelse med Stortingets behandling av statsbudsjettet. I tillegg har departementet delegert en rekke administrative fullmakter til institusjonene. En fullstendig oversikt over delegerte fullmakter finnes på departementets hjemmesider sammen med tildelingsbrevene for i år. Se nettadresse på slutten av brevet. 4. ANDRE FORUTSETNINGER OG KRAV 4.1 EU-relatert arbeid Norge bidrar med betydelige midler til Horisont 2020, og regjeringen har satt et mål om at norske forskningsaktører skal hente hjem 2 pst. av midlene som fordeles. Dette forutsetter at UH-institusjonene øker sin innsats betydelig sammenliknet med innsatsen i 7. rammeprogram. Departementet har fastsatt en ny styringsparameter under sektormål 1 for å tydeliggjøre forventninger til resultater i dette arbeidet. Engasjementet i det europeiske forskningssamarbeidet må sees i sammenheng med utviklingen av nye karriereløp, samarbeid med samfunns- og næringslivsaktører og internasjonale partnere. Universiteter og høyskoler skal formulere mål, strategier og tiltak for sitt EU-arbeid. 4.2 Rekrutteringsstillinger Fra og med 2014 kan institusjoner med rett til å tildele doktorgrad, fritt disponere sitt samlede antall tildelte rekrutteringsstillinger mellom stipendiat- og postdoktorstillinger. Departementet forventer at institusjonene finansierer stipendiat- og postdoktorstillinger minst tilsvarende antallet tildelte rekrutteringsstillinger, jf. tabell med oversikt over rekrutteringsstillinger i Orientering om statsbudsjettet 2015 for universiteter og høyskoler. Departementet vil følge med på utviklingen. Side 9 Side124 Tildelingsbrev 2015 – Universitetet i Tromsø – Norges arktiske universitet Forskningsrådet vil fra og med 2015 fjerne toppfinansiering av nye Marie Sklodowska Curie Actions (MSCA)-stipendiater i Horisont 2020. Norske universiteter og høyskoler kan fra og med 2015 bruke øremerkede midler til rekrutteringsstillinger for å toppfinansiere MSCA-stipendiater. Departementet forventer at summen av KD-finansierte rekrutteringsårsverk og MSCA-stipendiatårsverk tilsvarer minst måltallet for rekrutteringsstillinger per institusjon oppgitt i Orientering om statsbudsjettet 2015 for universiteter og høyskoler. 4.3 Kandidatmåltall for 2015 Departementet innførte fra 2014 kandidatmåltall for helse- og lærerutdanningene. Dette er utdanninger der det er kritisk at samfunnets behov imøtekommes. Kandidatmåltallene angir et minstekrav om antall uteksaminerte kandidater den enkelte institusjonen skal ha. Beregningen for kandidatmåltallene ble redegjort for i Orientering om statsbudsjettet 2014 for universiteter og høyskoler. Endelig kandidatmåltall for 2014 ble justert etter dialog med sektoren. Kandidatmåltallene for 2015 er redegjort for i Orientering om statsbudsjettet 2015 for universiteter og høyskoler. 4.4 Økning av antallet lærlinger i statsforvaltningen For å sikre det framtidige behovet for faglært arbeidskraft og gi ungdom muligheter til å gjennomføre videregående opplæring, må den statlige forvaltningen gjøre en større innsats for å skape flere læreplasser. Kommunal- og moderniseringsdepartementet og Kunnskapsdepartementet arbeider med en overordnet strategi for å forplikte og oppfordre statlige virksomheter til å øke antall læreplasser. Vi viser også til informasjonsside for nye lærebedrifter: lærlingløftet.no. Universitetene og de statlige høyskolene har de seneste årene hatt en positiv utvikling i antallet lærlinger, i tråd med fastsatte krav. Departementet ser imidlertid fortsatt et betydelig potensial for å øke antall lærlinger i universitets- og høyskolesektoren. Departementet forventer derfor at universitetene og de statlige høyskolene samlet sett har økt antall lærlinger med 50 pst. i forhold til resultatene i 2014 innen utgangen av 2016. Vi viser for øvrig til Statens personalhåndbok, kap. 9.10 Særavtale om lønns- og arbeidsvilkår for lærlinger og lærekandidater i staten. 4.5 Eiendomsforvaltning for selvforvaltende institusjoner Riksrevisjonen har gjennomført en undersøkelse om statens forvaltning av eiendomsmasse i universitets- og høyskolesektoren, jf. Riksrevisjonens Dokument 3:4 (2012-2013). Som oppfølging må institusjonene sørge for tilstrekkelig informasjon om bygningsmassens tilstand og utvikling. Institusjonene må ha langtidsplaner for Side 10 Side125 Tildelingsbrev 2015 – Universitetet i Tromsø – Norges arktiske universitet verdibevarende vedlikehold med tilhørende årlige budsjettavsetninger, som også bidrar til å hente inn deler av vedlikeholdsetterslepet. 4.6 Oppfølging av revisjon og kartlegginger i sektoren Dok. 1 (2013-2014) fra Riksrevisjonen for regnskapsåret 2013 gir uttrykk for at kvaliteten på regnskapene til Kunnskapsdepartementets underliggende virksomheter de seneste årene, har hatt en positiv utvikling. Dette gjenspeiles i færre saker der Riksrevisjonen har hatt vesentlige merknader til de avlagte regnskapene. Riksrevisjonen peker imidlertid på flere områder der det er behov for ytterligere forbedringer. Lønn er gjennomgående den vesentligste kostnaden for virksomhetene i universitets- og høyskolesektoren, og flere av virksomhetene har ikke etablert tilfredsstillende internkontroll på dette området. Dette øker risikoen for at virksomhetene har avvik fra regelverket, foretar mangelfull innberetning til skattemyndighetene eller utbetaler lønn på feil grunnlag. Etterlevelse av regelverket for bidrags- og oppdragsfinansiert aktivitet har vært utfordrende for universitets- og høyskolesektoren i flere år. Utfordringene er fortsatt størst når det gjelder tilstrekkelig kostnadsbelastning og klassifisering av prosjekter, der mange virksomheter fremdeles ikke har etablert tilstrekkelig internkontroll og rutiner for å unngå avvik fra regelverket. Kontroll- og konstitusjonskomiteen uttaler i likhet med Riksrevisjonen at de største utfordringene gjelder korrekt klassifisering av prosjekter og tilstrekkelig belastning av kostnader. Komiteen ber om at dette arbeidet blir prioritert. Anskaffelser er et område som Riksrevisjonen fortsatt vil følge særskilt opp, og der det er behov for å styrke etterlevelsen av regelverket. Departementet ber derfor institusjonene fortsatt ha oppmerksomhet på disse områdene, og videreføre arbeidet med å utvikle effektive arbeidsprosesser og god internkontroll. Standardisering og digitalisering er viktige elementer i forbedringsarbeidet. Departementet ber derfor institusjonene om å arbeide sammen og bidra til at det skapes gode fellesløsninger som kommer hele sektoren til nytte. UNINETT er en viktig ressurs som må utnyttes effektivt i dette arbeidet. Når det gjelder bidrags- og oppdragsfinansiert aktivitet knyttet til forskning, skal belastning av indirekte kostnader beregnes gjennom TDI-modellen3 med mindre prosjektets omfang eller kompleksitet er av en slik art at en enklere beregningsmodell kan legges til grunn. TDI-modellen, TDI= tid, direkte kostnader og indirekte kostnader, er en totalkostnadsmodell som beregner institusjonens reelle utgifter i prosjektene. Modellen er utarbeidet gjennom et samarbeid mellom sektoren og Norges forskningsråd (NFR). 3 Side 11 Side126 Tildelingsbrev 2015 – Universitetet i Tromsø – Norges arktiske universitet 4.7 Samfunnssikkerhet og beredskap Kunnskapsdepartementets styringsdokument for arbeidet med samfunnssikkerhet og beredskap i kunnskapssektoren skal ligge til grunn for institusjonens arbeid på dette feltet. Institusjonen skal ha etablert en virksomhetstilpasset risiko- og sårbarhetsanalyse (ROS) på samfunnssikkerhets- og beredskapsfeltet som revideres minimum hvert annet år. ROS-analysen skal følges opp gjennom en egen handlingsplan med tiltak for å redusere risiko og konsekvenser av uønskede hendelser. Institusjonen skal videre ha oppdaterte krise- og beredskapsplaner og gjennomføre årlige kriseøvelser. Institusjonen skal påse at informasjonssikkerhetsarbeidet er i samsvar med eForvaltningsforskriften og den nasjonale strategien for informasjonssikkerhet med tilhørende handlingsplan. Departementet vil også gjøre oppmerksom på dokumentet Veiledning i beredskapsplanlegging, utarbeidet av Utdanningsdirektoratet og Politidirektoratet, og veileder i styringssystem for informasjonssikkerhet i universitets- og høyskolesektoren, utarbeidet av UNINETT. Dokumentene omtalt over, er tilgjengelige her: http://www.regjeringen.no/nb/dep/kd/tema/grunnopplaring/krisehandtering.html?id=2 79675 https://www.uninett.no/infosikkerhet/styringssystemer Institusjonen skal i årsrapporten for 2015 rapportere på følgende: 1. Er det gjennomført/revidert en ROS-analyse i 2014 eller 2015? 2. Følges ROS-analysen opp gjennom egen handlingsplan? 3. Er det gjennomført og evaluert en kriseøvelse i 2015? 4. Er styringssystem for informasjonssikkerhet innført? Dersom spørsmål besvares med nei, må institusjonen opplyse om hvorfor tiltaket ikke er gjennomført, samt presentere en forpliktende plan for når og hvordan tiltaket skal gjennomføres. 4.8 Digital postkasse Alle statlige forvaltningsorganer som sender post på papir, skal innen 1. juli 2015 lage en plan for å ta i bruk Digital postkasse til innbyggere innen første kvartal 2016. Planen skal lages i samråd med Direktoratet for forvaltning og IKT (Difi) og inneholde kostnader, gevinster og omtale av arbeidet med gevinstrealisering. 4.9 Tidstyver Statlige virksomheter har i 2014 rapportert aktiviteter, tiltak, prosedyrer, regelverk m.m. gitt av andre som oppleves som tidstyver i det daglige arbeidet. Regjeringen følger nå opp disse innspillene. Virksomhetene skal også rapportere i årsrapporten for 2014 om sitt arbeid med å forenkle regelverk, bruke klart språk, og forenkle rutiner og ordninger de kan gjøre noe med selv. Dette skal følges opp som et ledd i et kontinuerlig forbedringsarbeid. Side 12 Side127 Tildelingsbrev 2015 – Universitetet i Tromsø – Norges arktiske universitet I 2015 skal institusjonen prioritere tiltak som gir konkrete effekter for brukerne. Institusjonen skal også vurdere, og eventuelt ta initiativ til, tiltak som vil forenkle brukernes kontakt med det offentlige på tvers av flere statlige virksomheter. Innen 1. juni 2015 skal institusjonen melde inn i Difis rapporteringsløsning, eller på annen egnet måte, om brukerrettede tidstyver i egen institusjon. Institusjonene skal så i dialog med sitt eierdepartement velge ut brukerrettede tidstyver de selv kan gjøre noe med og igangsette tiltak for å redusere eller fjerne disse. I årsrapporten for 2015 skal det rapporteres på en felles mal om arbeidet med å avvikle brukerrettede tidstyver i egen virksomhet, og hvordan det skal arbeides videre med disse, etter følgende mal: tidstyver virksomheten selv har prioritert å fjerne tiltak for å fjerne utvalgte tidstyver (planlagte, under arbeid og gjennomførte) resultater av arbeidet. Effektene for brukerne er spesielt interessante. 5. RAPPORTERING OG RESULTATOPPFØLGING 5.1 Rapportering om resultater for 2015 og planer for 2016 Universiteter og høyskoler skal innen 15. mars 2016 sende dokumentet Årsrapport (2015-2016) elektronisk til [email protected]. Årsrapportene vil bli publisert på departementets nettsider. Årsrapporten skal ha følgende struktur: I. Styrets beretning II. Introduksjon til virksomheten og hovedtall III. Årets aktiviteter og resultater IV. Styring og kontroll i virksomheten V. Vurdering av fremtidsutsikter VI. Årsregnskap Nærmere krav til innhold i årsrapporten fremgår av dokumentet Rapporteringskrav for årsrapport (2015 – 2016) i DBH, se lenke nedenfor til nettsiden. Årsrapporten skal også inneholde annen informasjon av betydning for departementets styring og oppfølging, jf. Bestemmelsene om økonomistyring i staten, pkt. 2.3.3. En oversikt over hovedtrekkene i styringsdialogen mellom departementet og institusjonene finnes på departementets hjemmesider sammen med tildelingsbrevene, jf. nettadresse på slutten av brevet. Side 13 Side128 Tildelingsbrev 2015 – Universitetet i Tromsø – Norges arktiske universitet Frist for datarapportering til DBH er 15. februar 2016. I DBH fremgår også krav til datarapporteringen og frister for dette. http://dbh.nsd.uib.no/dokumentasjon/rapporteringskrav/index.action 5.2 Budsjettforslag for 2017 Institusjonene skal utarbeide budsjettforslag, dvs. satsingsforslag utenfor rammen. Departementet bruker institusjonenes budsjettforslag i arbeidet med statsbudsjettet. Frist for innsendelse av budsjettforslag for 2017 er 1. november 2015. Forslagene sendes elektronisk til departementet ([email protected]). Se omtale og mal for tabeller i dokumentet Budsjettforslag for 2017, jf. nettadresse på slutten av brevet. 5.3 Styringsdialogen i 2015 Etatsstyringsmøtene skal være en strategisk dialog mellom departementet og institusjonens styre om institusjonens utvikling. Sentrale punkter vil være profil og ambisjoner, strategiske prioriteringer og utfordringer, sett i lys av nasjonale mål og prioriteringer, samt institusjonens resultater og rammebetingelser. En del av denne dialogen vil ta utgangspunkt i målstrukturen og bruk av denne som styringsverktøy. Departementet innkaller institusjonene som ikke hadde etatsstyringsmøte i 2014, til etatsstyringsmøte i 2015. I tillegg innkalles institusjoner med et særskilt behov for dialog i forbindelse med strukturendringer. Departementet tar sikte på å gjennomføre styringsmøter med alle universitetsmuseene og universitetsledelsene høsten 2015. Sist gang det ble gjennomført slike møter var høsten 2011. Departementet kommer tilbake med forslag til datoer per e-post.4 På bakgrunn av Årsrapport (2014-2015), tilstandsrapporten for universitets- og høyskolesektoren 2015 og resultatrapporteringen til DBH vil departementet gjøre en vurdering av alle institusjonene. Alle institusjonene, dvs. også de institusjonene som ikke har etatsstyringsmøte i 2015, vil derfor få en tilbakemelding fra departementet i løpet av 1. halvår 2015. Universitetet i Tromsø – Norges arktiske universitet blir innkalt til etatsstyringsmøte 26. mai 2015 kl 11.00-13.00 i Kunnskapsdepartementets lokaler, Kirkegata 18. Institusjonens videre utvikling av målstruktur og oppfølgingspunkter fra tilbakemeldingene i 2014, samt planer for 2016, vil være sentrale punkter for møtet. Departementet vil legge opp til en dagsorden som er omforent mellom departementet og institusjonen. Departementet ber derfor om at styret melder inn strategisk viktige saker 4 Gjelder universitetene i Oslo, Bergen, Tromsø og Stavanger og NTNU. Side 14 Side129 Tildelingsbrev 2015 – Universitetet i Tromsø – Norges arktiske universitet for institusjonen til etatsstyringsmøtet samtidig med innsending av Årsrapport (20142015) 15. mars 2015. Departementet vil sende institusjonen dagsorden i god tid før møtet. Departementet ber om at styret selv setter sammen en delegasjon fra styret på inntil sju representanter hvorav styreleder og styremedlem valgt av studentene er obligatoriske deltakere. Departementet ønsker å møte et representativt utvalg av styret og ber styret legge vekt på dette ved sammensetningen av delegasjonen til møtet. I tillegg til styrets medlemmer ønsker departementet at styrets sekretær (dvs. direktør eller rektor) deltar. Departementet ber om tilbakemelding om hvem som skal delta senest tre uker før møtedato. Med hilsen Toril Johansson (e.f.) ekspedisjonssjef Hedda Huseby avdelingsdirektør Dokumentet er elektronisk signert og har derfor ikke håndskrevne signaturer. Nettadresse til dokumenter vist til i tildelingsbrevet: www.regjeringen.no/tildelingsbrev_uh_2015 Kopi: Riksrevisjonen Fylkesmannen i Troms Fylkesmannen i Finnmark Studentsamskipnaden i Finnmark og Tromsø – Norges Arktiske Studentsamskipnad Norsk samfunnsvitenskapelig datatjeneste AS Side 15 Side130 Tildelingsbrev 2015 Fullmakter 2015 - utvidet1 1.1. Generelt Vi viser til Bevilgningsreglementet, Reglement for økonomistyring i staten, Bestemmelser om økonomistyring i staten og Hovedinstruks for økonomiforvaltningen ved statlige universiteter og høyskoler. For administrative fullmakter viser vi også til særskilte brev og rundskriv. Eventuelle tilskuddsordninger må forvaltes i tråd med regelverket for staten. Departementet kan når som helst trekke tilbake gitte fullmakter. Fullmaktene medfører ingen innskrenkninger i departementets instruksjonsmyndighet. 1.2. Budsjettfullmakter 1.2.1. Vedtak om nettobudsjettering Stortinget gir ved særskilt vedtak samtykke til unntak fra bruttoprinsippet, jf. Bevilgningsreglementet § 4 annet ledd. Unntaket er bekreftet for 2015 ved at det er gitt nettobevilgning under utgiftspost 50 i budsjett for 2015, jf. Budsjett-innst. 12 S (2014-2015) og Prop. 1 S (2014-2015). Stortingsvedtaket innebærer at institusjonen kan disponere eksterne inntekter fullt ut til sitt formål, i tillegg til bevilgning på 50-post. Institusjonen disponerer eventuelt positivt årsresultat og har ansvaret for å dekke eventuelt negativt årsresultat, jf. rundskriv R-106 fra Finansdepartementet Hovedinstruks for økonomiforvaltningen ved statlige universiteter og høyskoler. Institusjoner med unntak fra bruttoprinsippet må sørge for at midler fra andre statsinstitusjoner utbetales til institusjonenes arbeidskonti hos kontofører. 1.2.2. Eiendomsfullmakt Institusjonen kan i henhold til vedtak II Merinntektsfullmakter nr. 3 i Prop. 1 S (20142015), jf. Budsjett-innst. 12 S (2014-2015), avhende fast eiendom, jf. Instruks om avhending av statlig eiendom m.v., og bruke inntekter fra salg av eiendommer til kjøp, vedlikehold og bygging av andre lokaler til undervisnings- og forskningsformål ved samme institusjon. Institusjonene må legge frem for departementet saker som er av prinsipiell art eller som innebærer større arealendringer. 1 Gjelder Universitetet i Oslo, Norges teknisk-naturvitenskapelige universitet, Universitetet i Bergen, Universitetet i Tromsø - Norges arktiske universitet, Norges miljø- og biovitenskapelige universitet, Norges handelshøyskole og Norges idrettshøgskole. Side131 Tildelingsbrev 2015 1.2.3. Fullmakt til å opprette og eie aksjer i selskaper Institusjonenes adgang til å opprette selskaper og å kjøpe aksjer i eksisterende selskaper forutsetter at departementet gir institusjonene særskilte fullmakter i henhold til vedtak IV Andre fullmakter nr. 2, jf. Prop. 1 S (2014-2015), jf. Budsjett-innst. 12 S (2014-2015). Kunnskapsdepartementet gir institusjonen fullmakt til å: a) opprette nye selskap og eie aksjer i selskap som er av faglig interesse for institusjonen b) bruke overskudd av oppdragsfinansiert aktivitet til kapitalinnskudd ved opprettelse av nye selskaper eller ved kjøp av aksjer i selskaper, som er av faglig interesse for virksomheten c) bruke utbytte fra selskap som institusjonen har kjøpt aksjer i eller etter fullmakt forvalter, til institusjonens drift eller til kapitalinnskudd d) bruke inntekt fra salg av aksjer i selskap som institusjonen har ervervet med overskudd fra oppdragsvirksomhet eller etter fullmakt forvalter, til institusjonens drift eller til kapitalinnskudd. Institusjonens eierskap i selskaper skal besluttes av styret, som skal kunne godtgjøre at dette er av faglig interesse. Videre skal styret fastsette mål for eierskapet og retningslinjer for forvaltningen, jf. rundskriv F-07/2013. Eierskap er ikke en forutsetning for samarbeid eller for at ansatte ved institusjonen kan ha verv som styremedlem i et selskap. Institusjonen skal legge departementets reglement til grunn ved sin utøvelse av myndighet etter fullmaktene, jf. universitets- og høyskoleloven § 12-4. Det er ikke adgang til å benytte tingsinnskudd og å opprette stiftelser. 1.3. Administrative fullmakter 1.3.1. Fullmakt til å forvalte statens eierinteresser Kunnskapsdepartementet gir institusjonen fullmakt til å forvalte statens eierinteresser på vegne av departementet, jf. ovennevnte fullmakter. Institusjonen skal legge departementets retningslinjer for forvaltning av statens eierinteresser til grunn. For øvrig viser vi til Meld. St. 27 (2013–2014) Et mangfoldig og verdiskapende eierskap. 1.3.2. Delegering av innkallelse til generalforsamling i heleide selskap Kunnskapsdepartementet delegerer med dette til institusjonen å innkalle til generalforsamling i aksjeselskap der staten eier alle aksjene, og hvor institusjonen forvalter eierskapet, jf. aksjeloven § 20-5 første ledd. Delegeringen gjelder for 2015, og kan ikke delegeres videre. Departementet forutsetter at institusjonen holder seg til bestemmelsene i aksjeloven, herunder varsler Riksrevisjonen om generalforsamlinger i aksjeselskap der staten eier alle aksjene, jf. aksjeloven § 20-7. Institusjonen skal sørge for kjønnsbalanse i styrene i statsaksjeselskaper, jf. aksjeloven § 20-6. Departementet minner om at dette også er et mål i øvrige selskaper der staten eier aksjer. 2 Side132 Tildelingsbrev 2015 1.3.3. Fullmakt til å inngå leieavtaler utover budsjettåret Kunnskapsdepartementet gir institusjonen fullmakt til å inngå avtale om leie av lokaler, jf. departementets brev 26. mars 2001. Det er en forutsetning for bruk av fullmakten at kostnadene dekkes innenfor uendret bevilgningsnivå for hele avtaleperioden. Det er videre en forutsetning for bruk av fullmakten at institusjonen nøye vurderer behovet for oppsigelsesklausuler. Hensynet til fremtidig handlefrihet skal veie tungt ved denne vurderingen. Slike vurderinger skal foreligge som en del av grunnlagsmaterialet i den enkelte sak om inngåelse av leieavtaler. Fullmakten gjelder ikke for leieprosjekt som etter sin art eller omfang må klassifiseres som byggesak. Fullmakten gjelder derfor ikke for avtale om leie av lokaler med varighet utover ti år i markedet og der summen av fremtidige leieforpliktelser er 80 mill. kroner eller mer, jf. Instruks om håndtering av bygge- og leiesaker i statlig sivil sektor av 20. januar 2012 nr. 39. (Instruksen er under revidering.) Slike leieavtaler skal legges frem for Kunnskapsdepartementet før de inngås med bindende virkning for staten. Kunnskapsdepartementet gjør oppmerksom på Statsbyggs prosedyrer for håndtering av byggeprosjekter innenfor kurantordningen. Kommunal- og moderniseringsdepartementet har utarbeidet nye retningslinjer som gjelder fra 1. desember 2014, jf. Rundskriv H-11/4 av 7. november 2014: http://www.regjeringen.no/upload/KMD/STA/Rundskriv_kurantprosjekter_2014.pdf. Dette innebærer at kurantprosjekter på 50 mill. kroner eller mer må meldes til Kunnskapsdepartementet før institusjonene setter byggesakene i bestilling hos Statsbygg, jf. punktet Større investeringsprosjekter i dokumentet Rapporteringskrav for årsrapport. For kurantprosjekter og leie av arealer i det private markedet er det en forutsetning at alle kostnader dekkes innenfor uendret bevilgningsnivå for hele avtaleperioden. 1.3.4. Fullmakt til å inngå forlik eller innrømme erstatningsansvar Institusjonen har fullmakt til å inngå forlik eller innrømme ansvar i saker om erstatning opp til 250 000 kroner. Fullmakten gjelder de saker der institusjonen selv skal dekke beløpet innenfor egne budsjettrammer. I saker som gjelder erstatning over 250 000 kroner, skal saken legges frem for departementet til avgjørelse. Institusjonen har fullmakt til å møte i forliksrådet i saker der departementet ellers ville vært part, jf. universitets- og høyskoleloven § 12-2 tredje ledd, jf. første ledd. Dersom en sak som har vært behandlet i forliksrådet skal behandles for de alminnelige domstolene, vil departementet vurdere å delegere til institusjonene å representere staten også for disse instansene. Erstatning på grunnlag av alminnelige erstatningsregler, med unntak av ansvar i kontraktsforhold og ansvar i forbindelse med statens forretningsdrift, kan belastes Justis- og beredskapsdepartementets budsjett, kap. 471 Statens erstatningsansvar. Øvrige utbetalinger av erstatning må universiteter og høyskoler dekke innenfor egne rammer. 3 Side133 Tildelingsbrev 2015 Institusjonen har ansvar for juridisk kvalitetssikring av erstatningsrettslige spørsmål før avgjørelse treffes. Det forutsettes at institusjonen foretar en grundig vurdering av grunnleggende vilkår for erstatning, dvs. ansvarsgrunnlag, økonomisk tap, årsakssammenheng, påregnelighet og adekvans – og eventuelt om det skal inngås forlik uten å erkjenne ansvar. Saker av prinsipiell betydning eller saker der det kan være tvil om den juridiske vurderingen, skal forelegges Kunnskapsdepartementet, som vurderer om det er aktuelt å be Regjeringsadvokaten om bistand. 1.3.5. Fullmakt til å ta ut påtalebegjæring Kunnskapsdepartementet viser til straffeloven § 79 fjerde ledd, Statens personalhåndbok (SPH) og PM 1995-17 6. september 1995 og PM 1995-26 27. november 1995 om påtale ved økonomiske misligheter i statstjenesten. Departementet har delegert til styret for institusjonen å påtale økonomiske misligheter ved institusjonen. Styret kan delegere denne fullmakten til rektor og direktør, som ikke kan delegere den videre. Begjæring om offentlig påtale må settes frem senest seks måneder etter at den som er berettiget til å begjære påtale, er kommet til kunnskap om den straffbare handling og hvem som har foretatt den, jf. straffeloven § 80. Rask behandling av saken er viktig, både av hensyn til bevisene, fristen for påtale og fordi straffereaksjon ikke bør komme for lenge etter lovbruddet. Underslag og tyveri fra statlig arbeidsgiver påtales av det offentlige, enten etter begjæring av staten som fornærmet, eller når allmenne hensyn mv. krever påtale, jf. straffeloven § 264 første og andre ledd. Det samme gjelder alminnelig bedrageri og utroskap, jf. straffeloven § 280 første og andre ledd. Grovt bedrageri og grov utroskap er undergitt ubetinget offentlig påtale, men også her vil i praksis anmeldelse og påtalebegjæring fra fornærmede normalt måtte foreligge for at etterforskningen skal komme i gang. Institusjonen må orientere Riksrevisjonen, Kommunal- og moderniseringsdepartementet (KMD) og Kunnskapsdepartementet (KD) om den avgjørelse som er fattet. I saker hvor institusjonen er i tvil om påtale bør begjæres, eller hvor institusjonen ønsker å unnlate påtale, skal spørsmålet forelegges KD, som vil innhente KMDs uttalelse. Hvis det på grunn av beløpets størrelse eller av andre årsaker er åpenbart at tiltale og straff må begjæres, kan institusjonen likevel gjøre dette uten at saken på forhånd er tatt opp med KMD og KD. KMD har utferdiget retningslinjer som må følges i saker om underslag, korrupsjon, tyveri, bedrageri og utroskap i statstjenesten, jf. SPH punkt 10.19.. 4 Side134 Tildelingsbrev 2015 Tildelingsbrev 2015 – Hovedtrekkene i styringsdialogen Årshjul med tidsfrister for rapportering 20151) Tema Tidsfrist Mål, føringer og endelig budsjettramme Desember for 2015 2014 Kilde Tildelingsbrev for 2015 (Informasjon fra KD) Rapportering til DBH (Rapportering fra institusjonene) Resultatrapportering for 2014 og planer for 2015 Årsrapport (2014 – 2015)til KD 15. februar 2015 (hovedfrist) 15. mars 2015 (Rapportering fra institusjonene) Rapportering til Cristin (Rapportering fra institusjonene) Etatsstyringsmøter 2015 (Informasjon fra KD) Tilbakemeldinger fra KD på Årsrapport (2014 – 2015) 15. april 2015 kl 15 April – juni 2015 April-juni 2015 Målstruktur og foreløpige Oktober 2015 budsjettrammer for 2016, dokumentasjon av finansieringssystemet og kandidatmåltall (Informasjon fra KD) Budsjettforslag for 2017 1. november (Forslag fra institusjonene)til KD 2015 Mål, føringer og endelig budsjettramme Desember for 2016 2015 Tildelingsbrev for 2014 Se oversikt over alle tidsfrister på nettsidene til DBH. Tildelingsbrev for 2014 Tildelingsbrev for 2015 Brev av 12.03.14: Rapporteringskrav for årsrapport 2014 Tildelingsbrev for 2015 Tildelingsbrev for 2015 Brev til institusjonene Orientering om forslag til statsbudsjettet2016 for universiteter og høyskoler Tildelingsbrev for 2015, jf . vedlegg med mal for satsingsforslag Tildelingsbrev for 2016 (Informasjon fra KD) 1)Informasjon om regnskapsrapportering sendes i eget dokument. Side135 Tildelingsbrev 2015 – Universiteter og høyskoler– Budsjettforslag 2017 Budsjettforslag for 2017 – omtale og tabeller for satsingsforslag Institusjonenes budsjettforslag skal inneholde satsingsforslag utenfor rammen. Institusjonene må kort beskrive satsingsforslagene og redegjøre for behovet for midler til det enkelte tiltaket. Videre må det redegjøres for ønskede effekter av tiltaket og hvordan tiltaket er knyttet til institusjonens profil. Satsingsforslagene må oppsummeres i tabell, og kostnadene for det enkelte tiltaket må tallfestes per år, jf. mal for tabell nedenfor. Tiltak Tiltak 1 Tiltak 2 Sum 2017 2018 2019 Søknad om endret innplassering av utdanningsprogram Institusjonene kan søke om endret innplassering av kategori for eksisterende utdanningsprogram, jf. Orientering om statsbudsjettet 2015 for universiteter og høyskoler. Eventuell søknad må sendes departementet som en del av institusjonens samlede satsingsforslag. Departementet behandler ikke søknader om endret innplassering av utdanningsprogram som sendes utenom institusjonens årlige satsingsforslag. Side136 Universitetsledelsen Arkivref: 2014/5753/HSV000 Dato: 02.02.2015 SAKSFRAMLEGG Til: Universitetsstyret Møtedato: 12.02.2015 Sak: 4/15 Gjennomgang av studieprogramporteføljen - forslag til prosess og kriterier Innstilling til vedtak: Universitetsdirektøren anbefaler at styret gir sin tilslutning til prosess og kriterier som er foreslått for gjennomgang av studieprogramporteføljen. Universitetsdirektøren gis ansvar for å iverksette prosessen og gjøre eventuelle justeringer underveis dersom det viser seg å være nødvendig. Innledning Universitetsstyret behandlet i sitt møte den 11.12.2014 sak S 53/14 Gjennomgang av studieprogramporteføljen og gjorde følgende vedtak: 1. Universitetsstyret ber om at universitetsdirektøren innhenter erfaringer og resultater fra tidligere gjennomganger av studieporteføljen, og igangsetter prosess med å utarbeide forslag til målsetninger og prosess for ny gjennomgang av studieporteføljen i samarbeid med fakultetene. 2. Universitetsstyret fastsetter målsetninger og prosess for gjennomgang av studieporteføljen i egen sak våren 2015. Styret har videre bedt om at saken skal adresseres på alle styremøter våren 2015, og at forslag til prosess og kriterier legges fram på møtet den 12. februar d.å. Universitetsdirektøren vil i det følgende legge frem forslag til videre prosess, samt redegjøre for kriterier som bør legges til grunn for prosessen. Gjennomgangen skal omfatte årsstudier, bachelorprogram, masterprogram og ph.d.-program med tilhørende emner. For program som har flere studieretninger, skal både programmet og hver enkelt studieretning gjennomgås. Eksternt finansierte studietilbud omfattes ikke av denne gjennomgangen. Prosess for gjennomgang av studieprogramporteføljen Universitetsdirektøren legger til grunn at målet med prosessen er både å bedre studiekvaliteten, å gjøre mer effektiv bruk av universitetets ressurser og å gi oss større fleksibilitet. Diskusjoner i styret og i utvidet ledermøte har vært tydelig på at frigjorte ressurser skal disponeres av det fakultet der de frigjøres, og universitetsdirektøren legger derfor dette til grunn som et premiss for prosessen. Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side137 For å forankre prosessen hos fakultetene har universitetsdirektøren satt ned en arbeidsgruppe. Arbeidsgruppen består av representanter fra fakultetene, Avdeling for utdanning, Avdeling for forskning- og utviklingsarbeid og Senter for karriere og arbeidsliv. Fakultetsrepresentantene er oppnevnt av dekanene. Avdeling for utdanning er sekretær for gruppen. Arbeidsgruppen vil ha som hovedoppgave å utarbeide tydelige definisjoner på kriteriene. Arbeidsgruppen skal videre operere som støtte for fakultetene i det videre arbeidet med prosessen, og bidra til å sikre at felles problemstillinger adresseres på tvers av fakultetsgrensene. Potensielt frigjorte ressurser er knyttet til både program- og emneporteføljen, og en gjennomgang må ha som mål å redusere begge. I universitetsdirektørens forslag til prosess åpnes det derfor for at både emner og program gjennomgås. Det er imidlertid viktig at tid og ressurser knyttet til prosessen benyttes hensiktsmessig, og at det ikke benyttes uforholdsmessig mye tid på emner og program som av ulike faglige og/eller utdanningspolitiske grunner uansett ikke skal endres eller reduseres. Universitetsdirektøren legger derfor opp til en prosess i flere trinn med den hensikt å tidlig skille ut program som ikke skal gjennomgås i dybden. Prosessen foreslås derfor oppdelt i følgende fire trinn: Trinn 1: Grovsortering av studieprogram I dette trinnet gjøres et første utvalg av program som skal gjennomgås nærmere. Hensikten er å tidlig velge ut program som det av ulike grunner ikke er nødvendig å se nærmere på. Program med tilfredsstillende rekruttering tas ikke med i den videre gjennomgangen. Det gjør heller ikke studietilbud som universitetet har et nasjonalt og/eller regionalt ansvar for å gi, eksempelvis sykepleierutdanning, lærerutdanning og samisk, uavhengig av rekrutteringssituasjonen. Universitetsdirektøren foreslår at det utarbeides fakultetsvise oversikter over studieprogram med mindre enn et bestemt antall studenter i kullet 1 . Universitetsdirektøren gjør grovsorteringen i samarbeid med arbeidsgruppen og foreslår hvilke program som skal gjennomgås grundigere av fakultetene i trinn 2. Trinn 2: Gjennomgang av studieprogram i henhold til fastsatte kriterier Målet med dette trinnet i prosessen er å gjennomgå studieprogrammene som velges ut i trinn 1 med henblikk på hvorvidt, og i hvor stor grad, de imøtekommer de nedfelte kriteriene. Emnene som inngår i de utvalgte programmene skal også gjennomgås. Fakultetene gjør denne gjennomgangen av sine respektive program, inkludert tverrfakultære program. Eventuelle spørsmål og uklarheter som dukker opp underveis i dette arbeidet kan adresseres til arbeidsgruppen. Trinn 3: Forslag til reduksjon/endring i programporteføljen Program som i liten eller ingen grad møter de fastsatte kriteriene adresseres i denne fasen gjennom forslag til endringer, sammenslåinger og nedleggelser. I denne fasen er det også avgjørende at programmenes emneportefølje foreslås endret og redusert. Trinn 4: Styrebehandling Resultatet av gjennomgangen skal behandles på fakultetsnivå før det legges fram for universitetsstyret. Endringer som skal implementeres fra og med studieåret 2016/2017, legges fram for universitetsstyret i november 2015. Endringer som er av en slik art at de ikke trenger 1 Arbeidsgruppen fastsetter hvilket studenttall som er hensiktsmessig å ta utgangspunkt i for UiT. UiT / Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side138 2 styrets godkjenning, behandles i henhold til gjeldende retningslinjer. Plan for langsiktig oppfølging av prosessen legges også fram for universitetsstyret i november 2015. Forslag til kriterier for gjennomgang av studieprogramporteføljen Med utgangspunkt i kriteriene som ble fastsatt i forrige gjennomgang av programporteføljen, og på bakgrunn av diskusjoner i universitetsstyret, foreslår universitetsdirektøren at følgende kriteriesett benyttes: 1. Nasjonalt og/eller regionalt ansvar for studietilbud, forpliktelser som breddeuniversitet og muligheter for nasjonal arbeidsdeling 2. Strategiske prioriteringer og satsinger 3. Sammenhengen mellom utdannings- og forskningsvirksomheten 4. Studentenes læringsmiljø 5. Nylig oppstartede studietilbud 6. Ressurssituasjonen 7. NOKUTs kriterier og standarder for akkrediterte studietilbud I det følgende gis en nærmere beskrivelse av hvilke tema de foreslåtte kriteriene skal omhandle. Arbeidsgruppen gis i oppdrag å definere nærmere hva fakultetene skal vektlegge i sin gjennomgang. 1. Nasjonalt og/eller regionalt ansvar for studietilbud, forpliktelser som breddeuniversitet og muligheter for nasjonal arbeidsdeling Det kan være fag- og forskningspolitiske grunner som taler for at et fagmiljø bør opprettholdes selv om utdanningsvirksomheten er liten eller eventuelt bortfalt. Dersom dette er tilfelle for noen fagmiljø ved UiT etter fakultetenes gjennomgang av studieprogramporteføljen, må dette vurderes og begrunnes særskilt. I gjennomgangen må det redegjøres for om det eksisterer fagmiljø og studietilbud i det aktuelle faget andre steder i Norge og/eller i landsdelen. Det må også redegjøres for en eventuell nasjonal arbeidsdeling innen fagområdet som forplikter UiT til å gi det aktuelle studietilbudet. UiT er et breddeuniversitet som tilbyr både tradisjonelle universitetsutdanninger og profesjonsutdanninger. Mangfold i utdanningstilbudet og en spissing i retning av UiTs strategiske satsninger kan utfordre ivaretakelsen av små tradisjonelle fagdisipliner. Denne utfordringen må UiT ta sammen med landets øvrige breddeuniversitet, og jobbe for å inngå forpliktende samarbeid og arbeidsdeling innen utvalgte fagområder. 2. Strategiske prioriteringer og satsinger «Drivkraft i nord: Strategi for UiT mot 2020» ble vedtatt av universitetsstyret den 13.3.2014. Det er satt i gang prosesser for å implementere den nye strategien på alle nivå i organisasjonen og UiTs studieprogramportefølje må vurderes opp mot dette. Vi må blant annet se porteføljen i sammenheng med strategiens fem tematiske satsningsområder og gjennomgangen skal tydeliggjøre hvilke satsninger eksisterende studietilbud bidrar til å oppnå, hvilke nye studietilbud vi trenger, og hvilke studietilbud som skal utgå. UiT / Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side139 3 3. Sammenhengen mellom utdannings- og forskningsvirksomheten Fagmiljøene har arbeidsoppgaver knyttet både til utdanning, forsknings- og utviklingsarbeid og formidling. I vår strategi heter det at UiT skal tilby forskningsbaserte utdanninger med kvalitet på høyt internasjonalt nivå. Vi ønsker å videreutvikle koblingen mellom forskning og undervisning, spesielt på lavere grad. I gjennomgangen må vi identifisere fagmiljø med lav forskningsaktivitet og vurdere om det er grunnlag for å opprettholde miljøet. 4. Studentenes læringsmiljø UiT skal legge til rette for et godt og kreativt læringsmiljø med fasiliteter som gjør universitetet attraktivt som studiested (Strategi for UiT mot 2020). Et godt læringsmiljø er en av flere indikatorer på studiekvalitet, og størrelsen på studentgruppene det undervises til vurderes å ha stor betydning for læringsmiljøet. Rekrutteringen til UiTs studieprogrammer skal være god nok til at et tilfredsstillende læringsmiljø og et stabilt studium kan etableres og opprettholdes over tid. Hvilket studenttall som gir et tilfredsstillende læringsmiljø kan variere mellom ulike studier. Potensielt frafall fra studiene er også av betydning i vurderingen av læringsmiljøet. Program og fag med få studenter og marginale læringsmiljø er spesielt sårbare fordi frafall kan føre til at læringsmiljøet nærmest faller helt bort. 5. Nylig oppstartede studietilbud Studietilbud som er nyetablert og under oppbygging tas ikke med i denne gjennomgangen. For å sikre god kvalitet i nye studieprogram skal ansvarlig fakultet følge opp disse programmene særskilt og foreta evaluering av emner og studieprogram i henhold til kravene i UiTs kvalitetssystem. Videre skal rekrutteringssituasjonen for nye studier følges opp spesielt. Ved lav rekruttering må nødvendige tiltak iverksettes for å øke rekrutteringen, eller programmet må fases ut. 6. Ressurssituasjonen I forbindelse med strukturdebatten er det ikke kommet frem at det vil bli tildelt nye studieplasser. Utvikling av nye studier må gjøres internt ved institusjonene og for å etablere nye studier innenfor egen ramme må vi nødvendigvis gjøre endringer i eksisterende studieportefølje, enten i form av revisjoner eller nedleggelser. Universitetets studieprogramportefølje binder opp store ressurser til undervisnings-, veiledningsog eksamensaktiviteter. For stor spredning av ressursene og manglende samsvar mellom ressursinnsats og resultat må unngås. Ressurser må ikke bindes opp i dublering av fag- og kompetansemiljøer og i liten grad også i studieprogram med dårlig studenttilfang. Fakultetene må i gjennomgangen av studieprogramporteføljen vurdere ressurssituasjonen med sikte på å kunne tilby høy kvalitet i studieprogrammene som skal videreføres, samt skape større handlingsrom for strategiske prioriteringer og satsninger i studietilbudet. I fakultetenes forslag til endringer i studieprogramporteføljen skal det redegjøres for hvilke avveininger som er gjort i forhold til ressurssituasjonen. Frigjorte ressurser som følge av endring og reduksjon i studietilbudet tilfaller det aktuelle fakultetet. UiT / Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side140 4 7. NOKUTs kriterier og standarder for akkrediterte studietilbud Med hjemmel i Forskrift om tilsyn med utdanningskvaliteten i høyere utdanning (Studietilsynsforskriften) kan NOKUT på fritt grunnlag iverksette tilsyn med all virksomhet i norsk høyere utdanning (jf. § 8.1). NOKUT gjennomførte tilsyn med UiTs masterutdanninger innfor humanistiske fag i 2014 og vi må i gjennomgangen ta hensyn til anbefalinger som kom frem gjennom tilsynet. Oppsummering og forslag til vedtak Universitetsdirektøren har i denne saken lagt fram for styret forslag til en prosess for gjennomgang av UiTs studieprogramportefølje, samt forslag til et sett kriterier som skal legges til grunn for gjennomgangen. Universitetsdirektøren anbefaler at styret gir sin tilslutning til prosessen og kriteriene som er foreslått. Universitetsdirektøren gis ansvar for å iverksette prosessen og til å gjøre eventuelle justeringer underveis dersom det viser seg å være nødvendig. Den nedsatte arbeidsgruppen bistår universitetsdirektøren i dette arbeidet. Arbeidsgruppens viktigste oppgave før prosessen iverksettes er å utarbeide utfyllende definisjoner av de foreslåtte kriteriene slik at disse blir et godt verktøy for fakultetenes gjennomgang og vurderinger. Lasse Lønnum universitetsdirektør Dokumentet er elektronisk godkjent og krever ikke signatur Saksbehandler: Heidi Adolfsen, Julia Holte Sempler og Hege Svendsen UiT / Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side141 5 Universitetsledelsen Arkivref: 2015/858/SAT000 Dato: 04.02.2015 SAKSFRAMLEGG Til: Universitetsstyret Møtedato: 12.02.2015 Sak: 5/15 Fordeling av reduksjon i driftsutgifter - avbyråkratiserings- og effektiviseringsreformen Innstilling til vedtak: 1. Styret slutter seg til universitetsdirektørens forslag til fordeling av reduksjonen i driftsutgiftene slik det fremgår av dette saksfremlegget. 2. Styret ber universitetsdirektøren følge opp reformarbeidet ved UiT. Begrunnelse: Et gjennomgående tiltak i statsbudsjettet for 2015, er en «avbyråkratiserings- og effektiviseringsreform».1 Reformen medfører for UiT en reduksjon i driftsutgiftene for 2015 på 14,745 millioner kroner (0,6 % av driftsutgiftene). I Kunnskapsdepartementets budsjettproposisjon, fremgår det at regjeringen forutsetter at alle statlige virksomheter gjennomfører årlige tiltak for å øke produktiviteten. Det er derfor grunn til å tro at man vil få tilsvarende årlige kutt under hele regjeringsperioden. Dette vil ha betydelige konsekvenser for UiT, og det er derfor behov for en grundig vurdering av hvordan reformen skal håndteres. UiT har allerede en gjennomgående strategi relatert til arbeidsmiljø og organisasjon, hvor det er uttrykt at UIT skal etablere en effektiv, robust og fleksibel organisasjon som bidrar til at vi når våre mål. I dette arbeidet vil det være sentralt å invitere til en prosess som sikrer bred og god involvering og medvirkning, og hvor man klarer å se reformen i sammenheng med egne strategiske prioriteringer. Arbeidet må ha som målsetting å dyrke en organisasjon som er egnet til å støtte opp om “Drivkraft i nord – strategi mot 2020” og våre fem satsingsområder. Reformen aktualiserer behovet for å jobbe langsiktig, og det er derfor naturlig å koordinere dette arbeidet med de pågående forbedringsprosessene. Det legges til grunn at reformen og innsparingstiltakene gjelder det som er underlagt universitetsdirektørens virkeområde, og dermed den samlede administrative virksomhet gjennomgående på alle nivåer. Dette betyr at kravet gjelder den ressursbruken som universitetet har til ledelse, administrasjon og tekniske tjenester som finansieres av eget grunnbudsjett. Kravet 1 Se vedlegg 1: Omtale av reformen i Prop. 1. S. (2014-2015) Regjeringens budsjettforslag (gul bok) Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side142 kan oppfattes slik at UiT skal oppnå samme eller bedre produksjon/resultater i kjernevirksomheten med lavere ressursinnsats innenfor de administrative områdene. En videreføring av innsparingen på 0.6 pst. i hele regjeringsperioden, vil for UiT bety reduksjoner i driftsinntektene på omlag 15 millioner årlig. Dette tilsier at man i 2018 vil ha ca. 60 millioner mindre til driftsutgifter enn hva man disponerer i dag. Følgende modell illustrerer dette: Reduksjoneridriftsutgifter,imillNOK 70 60 50 40 30 20 10 0 2015 2016 år1 2017 år2 år3 2018 år4 UiT baserer sin virksomhetsstyring på risikovurdering, og det er sentralt å ha dette med seg i det påfølgende reformarbeidet. Det er viktig å unngå at kuttet rammer tilfeldig og steder der hvor det ikke vil være gode effektivitets- eller avbyråkratiseringsgevinster å hente. Konsekvensen vil i verste fall kunne bli motsatt, gjennom at man ser økt tidsbruk og flere uønskede resultater/utfall. Det er også sentralt å trekke frem at en reduksjon i administrativ kapasitet vil kunne ha negative konsekvenser for utførelsen av våre kjerneoppgaver innenfor forskning, undervisning og formidling. Dette er utfordrende samtidig som vi skal bygge opp verdensledende miljøer og håndtere ny fusjoner. UiT / Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side143 2 Fordeling av kutt på fakulteter og enheter 2015 For å synliggjøre kuttet vil reduksjonen i driftsutgiftene fordeles pro rata med utgangspunkt i antall egenfinansierte årsverk innen administrasjon på de enkelte fakultet/avdelinger. En gjennomgang av antall årsverk finansiert over eget grunnbudsjett knyttet til administrasjon, drift og vedlikehold og støttestillinger for undervisning, forskning og formidling gir følgende tall:2 Drift. og vedl. Støttest. 69,2 Adm. Helsefak 143,9 Jurfak 20 Kunstfak 16 0,8 BFE-fak* 54,4 9 43,2 HSL-fak** 116,4 0,3 7 NT-fak 69,7 1,8 28,9 Finnfak 33,2 TMU 25,6 6,3 19,3 UB 25,5 39,1 Sentraladm*** 160 ITA 104,1 BEA 148,3 Andre enheter 9 SUM 926,1 17,4 207,5 * 9 stk overenstkomst lønnet ** Inkl. Kvinnforsk, SESAM og Barentsinst. *** 412,4 minus ITA og BEA. Uvett er fordelt på UB og KSA Total 213,1 20 16,8 106,6 123,7 100,4 33,2 51,2 64,6 160 104,1 148,3 9 1151 % inkl. drift/ % av Adm. vedl/støttest. 15,54 18,51 2,16 1,74 1,73 1,46 5,87 9,26 12,57 10,75 7,53 8,72 3,58 2,88 2,76 4,45 2,75 5,61 17,28 13,90 11,24 9,04 16,01 12,88 0,97 0,78 Tallene er hentet fra DBH og inkluderer alle årsverk i 2014 finansiert over eget grunnbudsjett, minus undervisnings- og forskningsstillinger. 2 UiT / Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side144 3 Kuttet kan fordeles på de forskjellige enhetene basert på antall administrative årsverk (A), eller inkludere drift, vedlikehold og støttestillinger for undervisning, forskning og formidling (B). Fordelingen for 2015 vil da kunne se slik ut: Helsefak Jurfak Kunstfak BFE-fak* HSL-fak** NT-fak Finnfak TMU UB Sentraladm*** ITA BEA Andre enheter SUM Kuttfordeling (i tusen kr) A) Adm B) Støttest. 2291,12 2729,94 318,43 256,21 254,75 215,22 866,14 1365,61 1853,28 1584,67 1109,74 1286,18 528,60 425,31 407,59 655,90 406,00 827,56 2547,46 2049,70 1657,44 1333,58 2361,17 1899,81 143,29 115,30 14745,00 14745,00 Universitetsdirektøren mener det er sentralt å komme frem til en fordelingsnøkkel for 2015 som er samstemt med det enkelte fakultet/enhets relative størrelse og aktivitetstype. Fordelingsnøkkelen er i forarbeidet diskutert med avdelingsdirektørene, fakultetsdirektørene og i utvidet ledermøte. Valget av fordelingsnøkkel gir forskjellig utslag for de enkelte fakultetene/enhetene. Universitetsdirektøren ønsker derfor å foreslå at man baserer beregningen på et gjennomsnitt av de to beregningsgrunnlagene, for på denne måten inkludere støttestillinger, men uten at dette gir en for stor effekt for de fakultetene/avdelingene som har mange ansatte i denne stillingskategorien. Foreslått fordeling for det enkelte fakultet/avdeling (*1000): Helsefak Jurfak Kunstfak BFE-fak* HSL-fak** NT-fak Finnfak TMU UB Sentraladm*** ITA BEA Andre enheter SUM 2510,53 287,32 234,98 1115,87 1718,97 1197,96 476,95 531,75 616,78 2298,58 1495,51 2130,49 129,29 14745,00 UiT / Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side145 4 Det videre arbeidet med reformen Det er ønskelig med en bred og konstruktiv tilnærming til avbyråkratisering- og effektiviseringsreformen, med mål om å etablere gode og effektive administrative tjenester som støtter opp under kvaliteten i utdanning, forskning og formidling. Kravet om effektivisering og avbyråkratisering berører hele organisasjonen, både på langs og på tvers av nivåer. Det betyr at fakulteter, avdelinger, tillitsvalgte og ledelse må involveres og påregne å foreslå tiltak som treffer innenfor reformen. I forarbeidet til saksfremlegget har UiTs håndtering av reformen vært drøftet i utvidet ledermøte, fakultetsdirektørmøte, avdelingsdirektørmøte og med fagforeningene gjennom IDF-møtet. Universitetsdirektøren vil legge opp til en todelt tilnærming i dette reformarbeidet: 1. Gjennomgående tiltak for hele UiT 2. Fakultets-/avdelingsdrevne tiltak Ad. 1 - Gjennomgående tiltak for hele UiT Eksempel på aktuelle gjennomgående tiltak kan være (lista er ikke fullstendig): Innkjøpsfunksjoner Eksamensavvikling HMS-funksjoner Vurdere fullmaktsstruktur og delegasjonsgrad ved UiT Etablering av administrasjonsstrategi for perioden Digitalisering av virksomhetsprosesser Implementering av allerede gjennomførte forbedringsprosesser Mv. Ad. 2: Fakultets- og avdelingsdrevne prosjekter Det foreslås at fakultetene/avdelingene har frist frem til 20. april 2015 med å synliggjøre hvordan foreslåtte kutt skal håndteres. Dette skal inkludere: Tiltaksoversikt internt ved fakultetet/avdeling Forventet gevinstrealisering Forslag til gjennomgående reformer utover nevnte tiltakskategorier Organisering av reformarbeidet Siden hele institusjonen er underlagt reformen, er det viktig å sørge for samkjøring av arbeidet. Direktøren ønsker derfor å benytte avdelingsdirektørene og fakultetsdirektørene som styringsgruppe for arbeidet. I tillegg vil det etableres et sekretariat for reformarbeidet, med en koordinerende og saksforberedende funksjon. Lasse Lønnum universitetsdirektør Dokumentet er elektronisk godkjent og krever ikke signatur Saksbehandlere: André Løvik og Svein Are Tjeldnes UiT / Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side146 5 Vedlegg 1: Omtale av reformen i Prop. 1. S. (2014-2015) Regjeringens budsjettforslag (gul bok) I regjeringens budsjettforslag for 2015 er det gitt denne omtalen av reformen: 7.1 Innføring av avbyråkratiserings- og effektiviseringsreform Regjeringen vil bygge sin politikk på en effektiv bruk av fellesskapets ressurser. Som i næringslivet vil det også i offentlig forvaltning være et potensiale for å bli mer effektiv. For å hente ut potensialet må det stilles klare krav om mindre byråkrati og mer igjen for skattebetalernes penger. Regjeringen innfører derfor en avbyråkratiserings- og effektiviseringsreform fra og med 2015. Regjeringen vil forutsette at alle statlige virksomheter gjennomfører tiltak for å bli mer effektive. Kravet om mindre byråkrati og mer igjen for pengene vil gjelde det meste av statlig forvaltning. Reformen vil også omfatte sektorer som er politisk prioritert. Det er ikke mindre viktig å sikre effektiv ressursbruk i prioriterte sektorer. Innføringen av avbyråkratiserings- og effektiviseringsreformen vil gi insentiver til mer effektiv statlig drift og skape handlingsrom for prioriteringer i statsbudsjettet. Reformen innebærer at deler av gevinstene fra mindre byråkrati og mer effektiv bruk av pengene overføres i de årlige budsjettene til fellesskapet. Den årlige overføringen til fellesskapet settes til 0,5 pst. av alle driftsutgifter som bevilges over statsbudsjettet. Samlet sett er overføringen til fellesskapet som følge av reformen beregnet til 1,4 mrd. kroner i 2015. For å oppnå en varig effekt må tiltakene være en del av en planlagt prosess. Regjeringen vil derfor la dette inngå som en fast del av budsjettarbeidet framover. Reformen vil stimulere forvaltningen til å avbyråkratisere og bruke ressurser mer effektivt også i årene framover. Tiltaket er i tråd med anbefalinger fra OECD. Flere land reduserer på tilsvarende måte bevilgningene til drift for å oppnå effektiviseringsgevinster og handlingsrom for nye satsinger. Blant annet har Danmark, Sverige og Finland tilsvarende ordninger for å effektivisere driften. Kravet om mindre byråkrati og mer igjen for pengene gjelder alle statlige virksomheter som mottar driftsbevilgninger fra statsbudsjettet. Det legges til grunn at forslaget gjelder forvaltningens driftsutgifter på postene 01 til 29. Nettobudsjetterte virksomheter som universiteter, høyskoler og forskningsinstitusjoner er inkludert i reformen. I tillegg er spesialisthelsetjenestene med i ordningen. Driftsresultatene i statlig forretningsdrift holdes imidlertid utenfor. Driftsutgiftene til departementer og etater hvor deler av virksomheten finansieres av gebyrer inkluderes også i reformen. For disse virksomhetene stilles det krav om at tiltak for mindre byråkrati og mer igjen for pengene skal komme publikum til gode. Det er forutsatt at gebyrsatser som hovedregel tilpasses et lavere utgiftsnivå. Utgangspunktet for overføringen til fellesskapet i de årlige budsjettforslagene vil være saldert budsjett for foregående år. Dette bidrar til forutsigbarhet for statlige virksomheter i årene framover. UiT / Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side147 6 Universitetsledelsen Arkivref: 2014/2209/SJO063 Dato: 20.01.2015 SAKSFRAMLEGG Til: Universitetsstyret Møtedato: 12.02.2015 Sak: 6/15 Tildeling fra styrets strategiske midler Innstilling til vedtak: 1. Universitetsstyret bevilger 1 mill kroner av styrets strategiske midler til utvikling av den nye basisutstillingen, Tellus, ved Tromsø Museum Universitetsmuséet. 2. Universitetsstyret bevilger 1,4 mill kroner til finansiering av oppbygging av siviløkonomstudiet ved Campus Alta i påvente av en permanent grunnfinansiering av studiet. Begrunnelse: Tellus – Tromsø Museum Universitetsmuséet. Tromsø Museum Universitetsmuséet (TMU) utvikler for tida ei ny basisutstilling. Utstillinga behandler de sentrale geologiske og biologiske prosessene som har gjort intelligent liv og en teknologisk prega sivilisasjon mulig. Målsetningen er å formidle relevant og ny kunnskap om jordens ressurser, liv og prosesser i og fra nord. Utstillinga har fått navnet TellUs (Tellus) som henspeiler på vår klode og på formidling av kunnskap som fagmiljøer ved UiT Norges arktiske universitet besitter. Basisutstillinger er ett av universitetsmuseets samfunnsoppdrag og skal etter planen stå ferdig i april 2015. Med dette prosjektet søker TMU å sprenge grenser for vitenskapelig formidling og internt universitetssamarbeid. Institutt for informatikk har utviklet en enestående visningsvegg Tromsø Large Display Wall som åpner for nye teknologiske løsninger med mulighet for høy og eksperimentell interaktivitet. Veggen er 7,5x3 m og det bygges sitteplasser samt arbeidsbenker til 30 personer i tilknytning til visningsveggen. Det er inngått tett samarbeid med Senter for fremragende forskning, CAGE, og arktisk petroleumssenter, ARCEx, samt Institutt for geologi (IG) for å kunne formidle deres utfordrende spørsmål og spennende perspektiv. Visningsveggen er en dynamisk infrastruktur for formidling av ny viten i feltet. I tillegg til de nevnte miljøer, er IT-avdelinga sterkt inne med både hardware- og softwarekompetanse. Det tverrfaglige samarbeidet har utløste nye muligheter og nye innsikter. Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side148 Veggen kan videreutvikles til en unik undervisningsplattform som kan virke inspirerende og utviklende på andre fagmiljøer miljøer ved UiT og ikke minst være en ressurs for lærerutdanninga som kan gjøre veggen til et utviklings- og forskningsfelt for strategiens krav om digital kompetanse i utdanning. I tillegg er det et eminent verktøy for forskningskommunikasjon for alle fagmiljøer og kan utløse tverrfakultære og tverrfaglige prosjekter. Ved å løfte veggen som felles satsingsprosjekt for UiT kan miljøer inviteres til å benytte den til formidling av egen forskning, til å utforske undervisningsmetoder og til å posisjonere seg i front i digital formidling. Prosjektet Tellus har et totalbudsjett på 10,8 mill kroner. Den vesentligste delen av dette finansieres gjennom egeninnsats/egne midler og det jobbes kontinuerlig for å skaffe til veie eksterne bidragsytere for å sikre fullfinansiering. Siviløkonomstudiet Campus Alta. BFE-fakultetet ble i 2014 tildelt 1,6 mill kroner av SAK-midlene (S 27 -14) til oppbygging av siviløkonomstudiet ved Campus Alta. Midlene utgjorde en del av finansieringsbehovet på 3 mill kroner som grunnfinansiering av studiet. I styrets vedtak om tildeling midlene, var det en forutsetning at oppbyggingen av dette studietilbudet måtte skje gjennom omdisponering av tidligere tildelte studieplasser på fagområdet. Universitetsdirektøren vil anbefale at fakultetet tildeles 1,4 mill kroner av styrets strategiske midler for å sikre finansiering av oppstarten av studietilbudet i påvente av en avklaring av en mer permanent grunnfinansiering. Lasse Lønnum universitetsdirektør Eli M Pedersen økonomidirektør Dokumentet er elektronisk godkjent og krever ikke signatur UiT / Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side149 2 Universitetsledelsen Arkivref: 2014/1583/NIS000 Dato: 03.02.2015 SAKSFRAMLEGG Til: Universitetsstyret Møtedato: 12.02.2015 Sak: 7/15 Styringssystem for informasjonssikkerhet ved UiT Norges arktiske universitet Innstilling til vedtak: 1. Universitetsstyret godkjenner Styringssystem for informasjonssikkerhet. Styringssystemet erstatter dokumentet Informasjonssikkerhet ved Universitetet i Tromsø vedtatt av universitetsdirektøren 01.09.2011 2. Delegasjon vedtas som beskrevet i styringssystemet under punkt 3 om Roller, ansvar og oppgaver 3. Universitetsdirektøren bes om å følge opp anbefalinger fra arbeidsgruppa for Styringssystem for informasjonssikkerhet Bakgrunn: UiT Norges arktiske universitet (UiT) er pålagt å innføre et styringssystem for informasjonssikkerhet. Dette følger både av lovgivningen som gjelder i universitets- og høyskolesektoren og av nye krav som Kunnskapsdepartementet stiller til institusjonene i tildelingsbrevet. Styringssystemet for informasjonssikkerhet skal sørge for at UiTs informasjonsverdier håndteres på en systematisk, planmessig og tilfredsstillende måte. Dette innebærer at all informasjon som UiT forvalter er sikret mot brudd på: Konfidensialitet – vi beskytter sensitiv eller viktig informasjon mot uautorisert innsyn, tilgang eller misbruk, Integritet – vi beskytter sensitiv eller viktig informasjon mot uautorisert endring eller sletting Tilgjengelighet – vi sørger for at all informasjon er tilgjengelig for alle som skal ha tilgang til den Universitetsdirektøren nedsatte en arbeidsgruppe som fikk i oppdrag å utarbeide et forslag til styringssystem for informasjonssikkerhet. Arbeidsgruppa leverte forslag til styringssystem 1.6.2014 sammen med et notat med anbefalinger til oppfølging av systemet. Forslaget fra arbeidsgruppa ble sendt på høring til enhetene ved UiT 3.7.2014. Avdeling for IT (ITA) mottok fem høringssvar, fra henholdsvis Universitetsbiblioteket (UB), Tromsø Museum (TMU), Det juridiske fakultet (JurFak) og Det helsevitenskapelige fakultet (Helsefak). JurFak og Helsefak hadde ingen merknader til høringsdokumentet. UB har kommentarer til selve styringssystemet, mens TMU i hovedsak har kommentarer til anbefalingene fra arbeidsgruppa. Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side150 Etter at arbeidsgruppa hadde levert sitt forslag, har UNINETTs sekretariatet for informasjonssikkerhet i universitets- og høgskolesektoren utarbeidet en veileder for innføring av styringssystem for informasjonssikkerhet i UH-sektoren. 1 Arbeidsgruppa fikk i oppdrag å omarbeide forslaget til styringssystem ut fra enhetenes kommentarer og UNINETTs veileder. Endringer i forslaget til styringssystem på bakgrunn av høringssvar og veilederen Endringer som følge av høringssvarene Arbeidsgruppa har tatt inn punktene som høringsinstansene har kommentert som går på styringssystemet. Spesielt gjelder dette punktet om akseptabel risiko. UB påpeker at punktet var mangelfullt eller til å misforstå. Arbeidsgruppa har på bakgrunn av dette gjort vesentlige endringer i dette punktet. Videre har POA spilt inn at det i forbindelse med HMS-prosjektet ved UiT ble utviklet et rammeverk for helhetlig styringssystem ved UiT og at det ble utarbeidet en felles beskrivelse for dokumentstyring. Arbeidsgruppa anbefaler at styringssystemet tilpasses dette rammeverket og beskrivelsen for dokumentstyring. Det samme gjelder rutinene og retningslinjene som bør endres etter at styringssystemet er vedtatt. Endringer som følge av UNINETTs veileder I hovedsak har arbeidsgruppa sett behovet for å endre på hvilke roller som beskrives under pkt. 3 om roller, ansvar og oppgaver. I UNINETT sin veileder foreslås at styringssystemet vedtas av Universitetsstyret. Universitetsstyret sin rolle er derfor også beskrevet i styringssystemets punkt 3. UNINETT har også inkludert Avdeling for bygg og eiendom (BEA) som heller ikke var beskrevet tidligere. BEA har allerede en rolle i arbeidet med informasjonssikkerhet blant annet gjennom sikring av bygninger. I tillegg har arbeidsgruppa slått sammen lederrollene for å få bedre oversikt da disse i hovedsak var sammenfallende. Anbefalinger til oppfølgning av styringssystemet Behov for økte ressurser Den største endringen som fremkommer etter arbeidet med rolleavklaringer og ansvarsfordeling er beskrivelsen av en delvis ny rolle som informasjonssikkerhetsrådgiver. Mange av oppgavene som er beskrevet inngår allerede i stillingen til IT-sikkerhetsansvarlig på ITA. Arbeidsgruppa mener imidlertid at ITA per i dag ikke har tilstrekkelig kapasitet og forvaltningskompetanse til å gjøre det nødvendige løftet som kreves for å ivareta det helhetlige arbeidet med informasjonssikkerhet. Arbeidsgruppa foreslår derfor at det etableres et team hvor eksisterende IT-sikkerhetsansvarlig har fokus på det operative og tekniske, og at det tilsettes en rådgiver som har fokus på det strategiske og forvaltningsmessige informasjonssikkerhetsarbeidet. Ettersom det er en forutsetning at disse to jobber tett og delvis overlappende (eksempelvis ROS-analyser, rådgivning og oppfølgning av avvik), har arbeidsgruppa beskrevet disse rollene sammen under punkt 3 Roller, ansvar og oppgaver som Informasjonssikkerhetsrådgiver(e). Arbeidsgruppa ser det som en fordel at det ansettes noen med juridisk og risikostyringskompetanse til å forvalte og følge opp arbeidet med styringssystemet. Dette er særlig viktig siden vedkommende bør få ansvar for å sørge for at UiT til enhver tid oppfyller kravene som blant annet stilles i gjeldende personvernregelverk. I dette ligger blant annet vedlikehold av strategier, rutiner og styringssystemet for øvrig. Det er også tenkelig at dette vil inkludere oppfølgning av databehandleravtaler og leverandøravtaler. En annen ny oppgave som er Jf. https://www.uninett.no/infosikkerhet/styringssystemer-informasjonssikkerhet-er-i-fokus-p%C3%A5suhs-konferansen 1 UiT / Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side151 2 beskrevet er utforming av rapport for årlig gjennomgang av styringssystemet til ledelsen. Det vil være en fordel med juridisk kompetanse for å kunne holde seg faglig oppdatert over konstante endringer i regelverk innenfor området, samt erfaring innen generell saksbehandling. I sær vil det være viktig at denne personen kan fungere som en pådriver for at styringssystemet gjøres kjent på enhetene og som rådgiver for linjeorganisasjonen. Arbeidsgruppa foreslår at stillingen legges under ITA i team med eksisterende stilling. Opplæring En av de klassiske feilene med informasjonssikkerhet som Datatilsynet peker på, er at rutinene i virksomheten ikke er kjent hos de ansatte eller hos databehandler. Det er derfor svært viktig med kontinuerlig opplæring for å bevisstgjøre ansatte og studenter om betydningen av informasjonssikkerhet og bidra til å bygge en god sikkerhetskultur ved UiT. Styringssystemet legger opp til en del ordninger som det per i dag ikke gis opplæring i, som for eksempel risikovurderinger og kryptering av sensitiv informasjon. Det bør tilbys kurs på disse områdene slik at de ansatte er i stand til å ivareta sine roller i styringssystemet. Arbeidsgruppa anbefaler at det kjøpes inn et verktøy som kan brukes i risikovurderinger som vil gjøre risikovurderinger enklere å utføre, samt sikrer en felles tilnærming til risikovurderinger. Arbeidsgruppa foreslår at opplæring i første omgang spisses mot: - Ledere på alle nivå - Inngå i planlagt saksbehandleropplæring for administrativt ansatte2 - Generell opplæring/informasjon om informasjonssikkerhet til alle studenter og ansatte gjennom Nasjonal sikkerhetsmåned Nye nettsider Informasjon, retningslinjer og rutiner må være enkle, tilgjengelige og relevante. Arbeidsgruppa anbefaler at nettsidene endres og oppdateres slik at det kan brukes både som ledd i markedsføringen av styringssystemet og som reelt hjelpemiddel for brukere av styringssystemet. Informasjonssikkerhetsforum Arbeidsgruppa anbefaler at det opprettes et informasjonssikkerhetsforum på UiT. Formålet med forumet vil være å sikre at enhetene ved UiT har en enhetlig tilnærming til informasjonssikkerhet. Forumet er nærmere beskrevet under punktet om roller, ansvar og oppgaver i styringssystemet. De som deltar i forumet bør ha daglig ansvar og forhold til informasjonssikkerhet. Det kan være gjennom å lede eller delta i risikovurderinger, opplæring eller å inneha en kontrollfunksjon. Forumet bør ledes av informasjonssikkerhetsrådgiver(e). Enhetene bør få anledning til å gi tilbakemelding om hvem som bør inngå i forumet. Elektronisk melding av avvik Arbeidsgruppa har tidligere meldt tilbake om ønske om felles elektronisk avviksskjema for HMS og informasjonssikkerhet. Universitetsdirektøren vil vurdere generell funksjonalitet i systemet slik at det også kan dekke behovene for avviksrapportering om informasjonssikkerhet. Internrevisjon 2 Sølvi Anderssen leder arbeidsgruppen som utarbeider saksbehandleropplæring for adm. ansatte. Kurset ble kjørt første gang 1. og 2. oktober 2014. Det er tatt inn 30 minutter foredrag om informasjonssikkerhet. Kurset skal arrangeres to ganger årlig og er obligatorisk for alle nytilsatte i administrative stillinger. UiT / Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side152 3 Universitetsdirektøren vil utrede organisering av et samlet opplegg for internrevisjon ved UiT. I og med at utredningsarbeidet enda er i startfasen har ikke arbeidsgruppa gjort noen endringer i styringssystemet på bakgrunn av dette. Arbeidsgruppa støtter imidlertid at internrevisjon av styringssystemet for informasjonssikkerhet eventuelt skal utføres av et revisjonsteam på UiT, som kjenner til metodikk og fagfeltet internrevisjon. Universitetsdirektørens vurdering Fram til nå har dokumentet «Informasjonssikkerhet ved Universitetet i Tromsø», vedtatt 1.9.2011, beskrevet hvordan informasjonssikkerhet ivaretas ved UiT. Når det nye styringssystemet er implementert vil dokumentet «Informasjonssikkerhet ved Universitetet i Tromsø» ikke lenger være aktuelt. Universitetsdirektøren mener styringssystemet vil bidra til økt oppmerksomhet og bevissthet rundt viktigheten av god informasjonssikkerhet på alle nivå i organisasjonen. Universitetsdirektøren mener at arbeidsgruppas anbefalinger vil være en forutsetning for å lykkes med å få styringssystemet operativt ute på enhetene. Universitetsdirektøren ser at innføring av systemet vil medføre en ny forvaltningsoppgave for ITA som de ikke har hatt tidligere. ITA mangler denne forvaltningskompetansen i dag, og det er nødvendig at det settes av ressurser til å styrke ITA på dette området. Midler til dette vil bli vurdert i forbindelse med budsjettbehandlingen våren 2015. For å sikre en suksessfull implementering av styringssystemet i organisasjonen er det essensielt at det arbeides videre med nettsider, rutiner og opplæring. ITA vil ha et særskilt ansvar for å følge opp arbeidsgruppas anbefalinger som krever koordinering og organisering på flere områder. Lasse Lønnum universitetsdirektør Stig Ørsje IT-direktør Dokumentet er elektronisk godkjent og krever ikke signatur Saksbehandler: juridisk rådgiver Jannicke Hudson UiT / Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side153 4 Styringssystem for informasjonssikkerhet 7.1.2015 - 0 Side154 Side155 Styringssystem for informasjonssikkerhet Innhold 1 2 Innledning .............................................................................................................1 1.1 Formål og hensikt.................................................................................................1 1.2 Styringssystemet for informasjonssikkerhet ved UiT ..........................................1 1.3 Avgrensning av styringssystemet .........................................................................2 1.4 Behandlingsansvarlig og databehandlere............................................................2 Sikkerhetspolicy.....................................................................................................2 2.1 Sikkerhetsmål.......................................................................................................3 2.2 Sikkerhetsstrategi .................................................................................................3 2.3 Klassifisering av informasjon ..............................................................................4 2.4 Akseptabel risiko ..................................................................................................5 3 Roller, ansvar og oppgaver....................................................................................6 4 Risikovurdering.....................................................................................................9 5 Opplæring............................................................................................................10 6 Kontroll og oppfølging........................................................................................11 7 6.1 Internrevisjon.....................................................................................................11 6.2 Rapportering av avvik........................................................................................11 6.3 Ledelsens gjennomgang......................................................................................11 Vedlegg.................................................................................................................13 7.1 Relevant regelverk ..............................................................................................13 7.2 Prosedyrer, instrukser og rutiner .......................................................................13 7.3 Mal for ROS- vurdering (risiko- og sårbarhetsvurdering) ................................13 7.4 Mal for databehandleravtale fra Datatilsynet ..................................................13 7.5 Mal for leverandøravtale ...................................................................................13 Side156 Side157 1 Innledning 1.1 Formål og hensikt Universitetet i Tromsø – Norges arktiske universitet (UiT) er et nasjonalt og internasjonalt kraftsenter for kompetanse, vekst og nyskaping i nordområdene. Dette skal blant annet vises gjennom høy kvalitet på UiTs kunnskapsforvaltning og informasjonsverdier: forskningsdata, forskningsresultater og informasjon eller kunnskap som inngår i undervisning, forskning og formidling. Et systematisk og planmessig arbeid for å sikre våre informasjonsverdier er derfor en sentral del av UiTs kunnskapsforvaltning. Både interne og eksterne aktører - ledere, ansatte, studenter, samarbeidspartnere og offentligheten for øvrig - skal kunne stole på at UiT ivaretar 1. informasjonens konfidensialitet - vi beskytter sensitiv eller viktig informasjon mot uautorisert innsyn, tilgang eller misbruk, 2. informasjonens integritet - vi beskytter sensitiv eller viktig informasjon mot uautorisert endring eller sletting, 3. informasjonens tilgjengelighet - vi sørger for at all informasjon er tilgjengelig for alle som skal ha tilgang til den. UiT er underlagt en rekke lover og forskrifter som pålegger oss å ha tilfredsstillende informasjonssikkerhet. Dette gjelder blant annet forvaltningsloven med forskrift (eforvaltningsforskriften), personopplysningsloven med forskrift og helseforskningsloven med forskrift. I tillegg inneholder andre lovverk, blant annet offentlighetsloven og arkivloven, bestemmelser som har betydning for arbeidet med sikring av informasjonen ved UiT. I Kunnskapsdepartementets (KD) tildelingsbrev til UiT for 2014 kreves det innføring av et styringssystem for informasjonssikkerhet som bygger på grunnprinsippene i anerkjente sikkerhetsstandarder. Styringssystemet for informasjonssikkerhet ved UiT ivaretar de kravene som lovverket og KD stiller til arbeidet med informasjonssikkerhet i universitets- og høyskolesektoren. 1.2 Styringssystemet for informasjonssikkerhet ved UiT Styringssystemet for informasjonssikkerhet skal sørge for at UiTs informasjonsverdier håndteres på en systematisk, planmessig og tilfredsstillende måte. I dette dokumentet beskrives hovedtrekkene i styringssystemet, det vil si mål, strategi og organisering av arbeidet med informasjonssikkerhet. Styringssystemet inneholder blant annet beskrivelse av roller og ansvar, oversikt over informasjonsverdier og retningslinjer. 1 Side158 Styringssystemet består av tre hovedelementer: 1. Styrende - overordnet policy, herunder sikkerhetsmål og -strategi, roller og ansvar. 2. Gjennomførende - risikovurderinger samt konkrete rutiner og retningslinjer i vedleggene. 3. Kontrollerende – internrevisjon, rapportering av avvik og ledelsens gjennomgang. 1.3 Avgrensning av styringssystemet Informasjonssikkerhet er et topplederansvar. Det operative ansvaret og det praktiske arbeidet med å ivareta informasjonssikkerheten kan delegeres til de enkelte enhetene ved UiT, jf. beskrivelsen av sikkerhetsorganisasjonen med roller og ansvar i punkt 3. Styringssystemet for informasjonssikkerhet ved UiT omfatter alle brukere av UiTs IT-ressurser1 alle UiTs studiesteder/campuser alle organisatoriske enheter2 all teknologi3 alle informasjonsverdier Med informasjonsverdier menes utstyr, prosesser eller data som er tilknyttet informasjon og som virksomheten anser som nødvendig å beskytte. Hvordan man skal beskytte informasjonsverdiene avhenger av resultatene fra risikovurderinger. Informasjonssikkerhet knyttet til data er medie- og formatuavhengig, gjelder både informasjon som lagres og brukes i mobile enheter, cd-rom og på papir. Det kan være et IT-system, for eksempel personalsystem, læringsplattform og arkivsystem, eller en type informasjon, for eksempel studentinformasjon, pasientinformasjon eller data som inngår i et forskningsprosjekt. 1.4 Behandlingsansvarlig og databehandlere To sentrale begrep går igjen i styringssystemet og personvernlovgivningen; behandlingsansvarlig og databehandler. Den behandlingsansvarlige er den som bestemmer formålet med behandlingen av personopplysninger, og hvilke hjelpemidler som skal benyttes. Databehandleren er den som behandler personopplysninger på oppdrag fra den behandlingsansvarlige. Det skal alltid inngås en databehandleravtale før eksterne aktører kan behandle personopplysninger for UiT, også i småskala. 2 Sikkerhetspolicy God informasjonssikkerhet skal bidra til at UiT oppnår sine strategiske målsettinger og ivaretar sitt samfunnsoppdrag. Konfidensialitet, integritet og tilgjengelighet for Studenter, ansatte, gjester, samarbeidspartnere etc. Avdelinger, fakulteter, institutter, sentre, museum, databehandlere 3 IT-systemer, datanettverk, databaser/-registre etc. 1 2 2 Side159 UiTs informasjonsverdier skal ivaretas på en enhetlig og systematisk måte i hele organisasjonen. Informasjonsverdiene skal være tilgjengelig for de som skal ha tilgang (tilgjengelighet), de skal sikres mot utilsiktet og urettmessig endring (integritet), og de skal ikke være tilgjengelig for uvedkommende (konfidensialitet). 2.1 Sikkerhetsmål Sikkerhetsmålene skal understøtte UiTs kjerneområder utdanning, forskning og formidling. Følgende sikkerhetsmål skal oppnås: Arbeidet med informasjonssikkerhet skal til enhver tid være i tråd med de krav som stilles i lov og forskrifter som gjelder for UiT. Informasjonen som behandles ved UiT skal ha riktig sikkerhetsnivå basert på klassifisering og risikovurderinger. Ansatte, studenter, besøkende og samarbeidspartnere skal være kjent med UiTs krav til informasjonssikkerhet og etterleve disse kravene. UiT skal sørge for at sentrale tjenester, infrastruktur og informasjon er pålitelig og tilgjengelig for de som skal ha tilgang. Avvik og ekstraordinære hendelser skal håndteres på en planmessig og forutsigbar måte. 2.2 Sikkerhetsstrategi Arbeidet med informasjonssikkerhet er viktig i alle ledd av organisasjonen. Sikringstiltakene skal være både av teknisk, organisatorisk og personellmessig karakter. Følgende strategi er førende for hvordan UiT skal oppnå sine sikkerhetsmål: UiTs sikkerhetsorganisasjon med tilhørende roller og ansvar skal være tydelig og kjent. Ledere har et særskilt ansvar for sikkerheten, og skal gis nødvendig opplæring og oppfølgning. De skal tilrettelegge for god informasjonssikkerhet innen sitt ansvarsområde og følge dette opp på lik linje med økonomi- personal- og fagansvar. Opplæring og tilgjengelige retningslinjer skal bidra til at den enkelte ansatte og student skal være i stand til å etterleve kravene til informasjonssikkerhet. Det skal være en felles tilnærming til risikovurderinger med tilhørende akseptkriterier, jf. punkt 2.4. UiT skal etablere og ivareta kontinuitets- og beredskapsplaner for kritiske tjenester og infrastruktur. Styringssystem for informasjonssikkerhet og underliggende rutiner og policyer skal revideres jevnlig og minst hvert tredje år. Universitetets informasjonsbehandling skal beskyttes mot alle identifiserbare trusler. Dette omfatter både interne og eksterne, samt tilsiktede og utilsiktede, trusler. Sikkerhetstiltak skal forhindre at ansatte, studenter og andre skal kunne forårsake informasjonssikkerhetsbrudd, både uaktsomt og forsettlig. 3 Side160 2.3 Klassifisering av informasjon En forutsetning for å kunne si noe om behovet for sikkerhetstiltak er at det er foretatt en klassifisering av informasjonen som behandles. Blant annet så er det nødvendig med en slik oversikt for å oppfylle plikter i personopplysningsloven med forskrift. Dette innebærer for eksempel å etablere formål og hjemmel til å behandle personopplysninger, plikt til å gi innsyn og informasjon, samt ivareta melde- og konsesjonsplikt. All informasjon skal klassifiseres med hensyn til akseptabelt sikkerhetsnivå, tilgangsbegrensning og akseptabel bruk. Denne klassifiseringen er med på å avgjøre hvilken grad av sikring, både IT-teknisk og fysisk, informasjonen skal underlegges. Klassifisering av informasjon er delt inn i tre nivåer4: 1. Åpen informasjon er informasjon der det ikke påhviler noen restriksjoner for hvem som kan ha tilgang. Denne informasjonen kan fritt sendes i e-post, per post og lagres hos tredjepart uten spesiell avtale. Denne informasjonen kan behandles og lagres på alle deler av UiTs IT-systemer. Eksempler kan være en nettside som presenterer UiT som virksomhet eller beskriver en enhet, eller studiemateriell for et emne eller kurs som ligger åpent men som likevel er merket med lisens eller opphavsrett. 2. Intern informasjon er informasjon som er beregnet kun på ansatte eller studenter ved UiT, eller andre navngitte enkeltpersoner eller grupper som UiT samarbeider med. Dette omfatter blant annet informasjon som er unntatt offentlighet, upubliserte artikkel- eller bokmanus, ikke-konfidensielle forskningsdata som ikke er godkjent for publisering/offentliggjøring av prosjektleder, utkast til strategier/planer eller ikke-publiserte forslag til forskningsprosjekter.5 3. Konfidensiell informasjon er informasjon som er omfattet av lovbestemt og avtalemessig taushetsplikt. Dette kan være taushetsbelagt informasjon, sensitive personopplysninger, konfidensielle forskningsdata, medisinske data, økonomiske data eller data med konfidensialitetsklausuler. Denne informasjonen skal kun være tilgjengelig for medarbeidere med strengt kontrollerte rettigheter. I spesielle tilfeller kan konfidensiell eller sensitiv informasjon også gjøres tilgjengelige for eksterne aktører, for eksempel når personopplysninger etter spesielle avtaler skal formidles til andre. Dette skal i så fall skje under de samme strengt kontrollerte tilgangsrettighetene som gjelder for UiTs egne medarbeidere med slike rettigheter. Slik informasjon kan ikke lagres hos tredjepart uten at det finnes en spesifikk avtale for dette. All overføring og behandling av konfidensiell informasjon må sikres tilstrekkelig mot uautorisert innsyn. Nivåene samsvarer med det som er anbefalt i UNINETTs Fagspesifikasjon - UFS136: Retningslinjer for klassifisering av informasjon (https://www.uninett.no/webfm_send/758). 5 Jf. Uninetts veileder i styringssystem for informasjonssikkerhet i UH-sektoren versjon 1.0 s. 16 4 4 Side161 2.4 Akseptabel risiko Ved all informasjonsbehandling eksisterer det en risiko for brudd på kravene om integritet, konfidensialitet og tilgjengelighet. Det er derfor viktig å ha en forsvarlig risikostyring. For å oppnå dette må det fastsettes kriterier man kan styre etter (akseptkriterier), slik at det er mulig å avgjøre når en risiko overstiger et på forhånd akseptert nivå. Dette nivået betegnes som akseptabel risiko, og kan omtales som den risikoen UiT godtar i informasjonsbehandlingen. Denne vurderingen er ikke nødvendigvis fritt opp til UiT å avgjøre, men kan også være underlagt lovpålagte krav6. For å oppnå tilfredsstillende informasjonssikkerhet skal informasjonen klassifiseres enten som åpen, intern eller konfidensiell, jf. punkt 2.3. Det presiseres at dette gjelder både elektroniske og fysiske data. UiT har fastsatt følgende kriterier for informasjonssikkerhet innenfor UiTs kjerneområder; Personopplysninger Universitetet behandler personopplysninger av stor betydning for studenter og ansatte, herunder opplysninger om søkere til studieplasser, tidligere studenter/ansatte og søkere til fond som universitetet forvalter. Feil i disse opplysningene kan medføre forsinkelser og økonomisk tap for denne gruppen. For personopplysninger aksepteres ikke brudd på konfidensialitet eller integritet. Dette gjelder i særlig grad for sensitive personopplysninger7. Kortere avbrudd i personopplysningers tilgjengelighet aksepteres. Forskningsdata Det må skilles mellom forskningsdata som ikke er klar for publisering og forskningsresultater som kan publiseres. Det aksepteres ikke brudd på konfidensialiteten og integriteten til konfidensielle forskningsdata som ikke er godkjent for publisering/offentliggjøring av prosjektleder. Kortere avbrudd i forskningsdataens tilgjengelighet aksepteres. For forskningsresultater som er klar for publisering skal tilgjengelighet og integritet prioriteres foran konfidensialitet. Elektroniske systemer som benyttes til lagring av forskningsdata skal oppfylle kravene til oppbevaring av personidentifiserende opplysninger stilt i personopplysningsloven med forskrift. Eksempelvis for personopplysninger så inneholder personopplysningsforskriften flere bestemmelser for ivaretakelse av tilfredsstillende informasjonssikkerhet. 7 I personopplysningsloven § 2 defineres sensitive personopplysninger som opplysninger om rasemessig eller etnisk bakgrunn; politisk, filosofisk eller religiøs oppfatning; at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling; helseforhold; seksuelle forhold eller medlemskap i fagforeninger. 6 5 Side162 Dokumenter og andre opplysninger i forskningsprosjekter som faller inn under helseforskningsloven, skal behandles i tråd med Internkontrollsystem for helseforskning. Direkte identifiserbare og avidentifiserte forskningsdata skal overføres kryptert. Eksamensoppgaver og eksamensbesvarelser Det aksepteres ikke brudd på konfidensialiteten og integriteten til eksamensoppgaver (tekster/forslag) og eksamensbesvarelser. Det samme gjelder uferdige eller innleverte studentoppgaver (bachelor/master) og avhandlinger (ph.d./dr. philos) som ikke skal publiseres eller offentliggjøres. Korte avbrudd i tilgjengelighetene aksepteres kun der det ikke vanskeliggjør gjennomføring av eksamen eller innlevering og sensurering av eksamensbesvarelser, studentoppgaver eller avhandlinger. 3 Roller, ansvar og oppgaver Oversikt over de som har roller, ansvar og oppgaver i styringssystemet for informasjonssikkerhet ved UiT: universitetsstyret universitetsdirektør IT-direktør informasjonssikkerhetsrådgiver(e) Avdeling for IT Avdeling for bygg og eiendom enhetsledere (dekaner, avdelingsdirektører, museumsdirektør biblioteksdirektør) systemeiere brukere Computer Security Incident Response Team (CSIRT) Informasjonssikkerhetsforum og I det følgende gis en nærmere beskrivelse av hvilket ansvar og hvilke oppgaver som er lagt til de ulike rollene. Universitetsstyret behandler og vedtar styringssystemet for informasjonssikkerhet ved UiT kan stille krav til det videre arbeidet med informasjonssikkerhet ved UiT Universitetsdirektør 6 Side163 er behandlingsansvarlig for alle personopplysninger, dette omfatter også å bestemme formålet med behandling av personopplysninger, samt å ha dokumentert oversikt over disse har ansvar for informasjonssikkerhet på et overordnet nivå, herunder å sette av tilstrekkelige ressurser til arbeidet med informasjonssikkerhet, inkludert opplæring og kompetanseheving har ansvaret for at styringssystemet for informasjonssikkerhet blir implementert og vedlikeholdt, samt for organiseringen av sikkerhetsarbeidet skal iverksette årlig internrevisjon, jf. punkt 6.1. skal årlig gjennomgå status for arbeidet med informasjonssikkerhet8 skal oppnevne medlemmer av informasjonssikkerhetsforumet IT-direktør er informasjonssikkerhetsansvarlig og har forvaltningsansvaret for informasjonssikkerheten ved UiT har instruksjonsmyndighet overfor alle andre enheter ved UiT i saker som angår informasjonssikkerhet skal påse at holdningsskapende programmer gjennomføres Informasjonssikkerhetsrådgiver(e) skal utøve IT-direktørens myndighet i saker om informasjonssikkerhet skal være rådgiver for linjeorganisasjonen i spørsmål relatert til informasjonssikkerhet skal lede CSIRT-teamet og Informasjonssikkerhetsforum skal utarbeide og vedlikeholde overordnet beredskapsplan for IKT skal følge opp avvik på overordnet nivå og sørge for at disse blir kanalisert til og fulgt opp av berørte enheter skal drive opplysningsvirksomhet, rådgivning og opplæring innen informasjonssikkerhet skal vedlikeholde overordnet policy og rutiner for informasjonssikkerhet skal iverksette og delta i revisjoner og risikovurderinger ved behov skal utarbeide årlig rapport til ledelsens gjennomgang skal holde oversikt over databehandleravtaler som inngås på UiT Avdeling for IT skal bistå systemeier ved utforming av krav til informasjonssikkerhet ved anskaffelse av nye system har ansvar for drift av IT-systemene, og skal ivareta tilfredsstillende informasjonssikkerhet på IT-infrastruktur basert på risikovurderinger skal, på bakgrunn av risiko- og sårbarhetsanalyser, utarbeide en kontinuitetsog beredskapsplan (KBP) som dekker kritiske og viktige informasjonssystemer og infrastruktur skal dokumentere systemer/infrastruktur med tilhørende sikkerhetstiltak 8 Jf. ledelsens gjennomgang 7 Side164 skal utarbeide og vedlikeholde sikkerhetspolicy, retningslinjer og prosedyrer for den tekniske infrastrukturen skal overvåke vesentlige endringer i trusler mot UiTs informasjonsverdier Avdeling for bygg og eiendom skal sørge for at sikring av tilgang til bygninger, rom og områder er i tråd med kriterier for akseptabel risiko skal bistå enheter ved risikovurderinger av fysisk sikkerhet og ved gjennomføring av nødvendige fysiske sikringstiltak Enhetsledere er ansvarlig for å tilfredsstille krav til informasjonssikkerhet i egen enhet skal gjennomføre risikovurderinger skal iverksette tiltak dersom det er nødvendig for å ivareta informasjonssikkerheten i egen enhet skal rapportere resultat fra risikovurderinger med handlingsplan og avvik til informasjonssikkerhetsrådgiver skal følge opp avviksmeldinger i egen enhet og sørge for at disse blir lukket skal informere ansatte i egen enhet om de rutiner og retningslinjer som gjelder til enhver tid og sørge for at kravene i styringssystemet til egen enhet blir fulgt Systemeier skal etablere og vedlikeholde rutiner for å ivareta sikkerhetsmålene skal stille krav til informasjonssikkerhet i anskaffelse, utvikling og vedlikehold av informasjon og informasjonssystemet, i samråd med Avdeling for IT skal sørge for at tilganger blir gitt etter tjenstlig behov, avsluttet når behovet opphører, samt at nødvendig opplæring blir gitt skal, i samråd med informasjonssikkerhetsrådgiver, sørge for at databehandleravtaler inngås skal utføre risikovurdering av systemet i henhold til punkt 4, og dokumentere at risikovurderinger er utført skal iverksette eventuelle tiltak på bakgrunn av risikovurderinger Brukere av IT-tjenester (ansatte/studenter) har plikt til å gjøre seg kjent med og følge de sikkerhetsrutiner og retningslinjer som til enhver tid gjelder for sikker håndtering av informasjonsverdier og personopplysninger har plikt til å forhindre og rapportere hendelser som kan innebære avvik, samt rapportere avvik når disse oppstår, gjennom avviksmeldingssystemet Computer Security Incident Response Team (CSIRT) skal iverksette, eller beordre iverksatt, ethvert tiltak som vurderes som tjenlig for å avverge skade på UiTs IT-systemer og data 8 Side165 skal rapportere om sikkerhetshendelser, skadepotensial, skadeomfang og iverksatte tiltak til IT-direktøren Informasjonssikkerhetsforum skal gi råd om tiltak/initiativ som fremmer informasjonssikkerheten skal koordinere planleggingen og gjennomføringen av tiltak og initiativ på informasjonssikkerhetsområdet som omfatter hele institusjonen skal gjennomgå rapporterte avvik og sikkerhetshendelser, og påse at disse blir lukket skal gjennomgå rapport til ledelsens gjennomgang skal bidra til implementering av styringssystemet i organisasjonen skal jevnlig gjennomgå styringssystemet for informasjonssikkerhet med tilhørende dokumenter og generelle ansvarsforhold, samt vurdere behov for endringer 4 Risikovurdering Risikovurderinger skal avdekke mulige uønskede hendelser/trusler som kan føre til brudd på informasjonssikkerheten ved UiT. Vurderingene er derfor sentral i arbeidet med å sikre trygg og sikker behandling av UiTs informasjonsverdier. I tillegg til å avdekke hva som kan gå galt, skal de avdekke hva vi har gjort og hva vi ytterligere kan gjøre for å hindre at uønskede hendelser inntreffer, samt redusere konsekvensene dersom de likevel skjer. Risikovurderingen må videre sees i sammenheng med etablerte akseptkriterier for risiko (jf. punkt 2.3), og akseptabel risiko må fastsettes før risikovurderingen foretas. Dersom risikoen for at en eller flere uønskede hendelser skjer er større enn det som er definert som akseptabelt, må denne risikoen håndteres ved at forebyggende tiltak iverksettes. Risikovurderinger skal foretas når trusselbildet endres før oppstart av behandling av personopplysninger ved oppstart av forskningsprosjekter ved etablering eller endring av IKT-systemer ved organisatoriske endringer som kan påvirke informasjonssikkerheten Alle risikovurderinger skal dokumenteres. Dersom risikovurderinger avdekker tilfeller som skal følges opp, skal det navngis hvem som har ansvar for å fastsette relevante tiltak og plan for oppfølgning av disse. Risikovurderingen skal leveres til informasjonssikkerhetsrådgiver(ne) som skal benytte disse i ledelsens gjennomgang og sørge for at dokumentene lagres i UiTs arkivsystem. 9 Side166 5 Opplæring Opplæring skal bidra til å bygge en god sikkerhetskultur ved UiT. Den skal bevisstgjøre ansatte og studenter om betydningen av informasjonssikkerhet og gjøre dem i stand til å etterleve UiTs sikkerhetspolicy i sitt daglige virke. Opplæring i informasjonssikkerhet må derfor tas inn som en naturlig del av opplæringen av studenter og ansatte på alle nivå i organisasjonen. Systemeiere er spesielt ansvarlig for opplæring i sine respektive systemer. Ledere har et overordnet ansvar for at nødvendig informasjon blir gitt til de ansatte, og at det blir satt av tid og ressurser til opplæring. For å sikre at dette ansvaret blir ivaretatt skal informasjonssikkerhet inngå i UiTs lederopplæring. Videre skal universitetsdirektøren sørge for at informasjonssikkerhet tas opp som tema i egnede lederfora minst en gang i året. Informasjon om informasjonssikkerhet ved UiT skal være lett tilgjengelig for alle via universitetets nettsider og andre relevante kanaler. Alle som er tildelt sentrale roller og oppgaver i sikkerhetsarbeidet skal gis spesiell opplæring. Eksterne kurs, seminarer og deltakelse i relevante nettverk er viktig for å sikre utveksling av informasjon og øke kompetansen hos denne gruppen ansatte. 10 Side167 6 Kontroll og oppfølging 6.1 Internrevisjon Hensikten med internrevisjon er å kontrollere at det vedtatte styringssystemet for informasjonssikkerhet innføres, driftes og vedlikeholdes i alle deler av organisasjonen. Det skal gjennomføres årlig systematisk kontroll av universitetets behandling av informasjon der det er krav til konfidensialitet, integritet og tilgjengelighet. Kontrollen skal identifisere eventuelle avvik og behov for justeringer i selve styringssystemet og/eller i opplæringen. Det skal føres kontroll av de interne retningslinjene og hvorvidt disse er oppdatert i forhold til regler og praksis i virksomheten. Det skal også kontrolleres at de etterlever krav i lov og forskrifter. Den årlige kontrollen skal danne grunnlag for ledelsens gjennomgang. 6.2 Rapportering av avvik Avvik er brudd på lover, forskrifter eller interne bestemmelser på UiT. Melding av avvik er viktig- både for å kartlegge årsaken til at de skjer, og for å eventuelt iverksette nye sikringstiltak for å unngå liknende avvik i fremtiden. Avvik handler således om kvalitet og forbedring. Eksempler på avvik: Tyveri av datautstyr, misbruk av IT-tjenester, misbruk av passord, dataangrep for eksempel ved virusangrep eller hacking, datalekkasje, svakheter i IT-systemer eller rutiner på UiT, sensitiv informasjon på avveie, personopplysninger på avveie, uautorisert tilgang til opplysninger. Fremgangsmåte ved avvik: 1. Den som oppdager et avvik skal rapportere dette via avviksmeldingssystemet. 2. Informasjonssikkerhetsrådgiver(ne) undersøker årsakene til avviket og iverksetter korrigerende tiltak for å lukke avviket. 3. Informasjonssikkerhetsrådgiver(ne) skal føre en samlet oversikt over alle avvik som er meldt inn. Disse skal blant annet inngå i ledelsens gjennomgang og benyttes for læring på tvers i organisasjonen for å hindre gjentakelse. 6.3 Ledelsens gjennomgang Informasjonssikkerhet er et lederansvar på lik linje med andre sentrale lederoppgaver ved UiT. Det er ledelsen som har det øverste ansvaret for å sikre at UiT ivaretar pålagte krav til informasjonssikkerhet, og som skal passe på at medarbeidere og studenter har tilstrekkelig kjennskap til informasjonssikkerhet. For at ledelsen skal kunne ivareta sine oppgaver, skal det årlig utarbeides en rapport som gjennomgår arbeidet med informasjonssikkerhet. Informasjonssikkerhetsrådgiver(ne) har ansvar for at denne rapporten blir utarbeidet. 11 Side168 Ledelsens gjennomgang skal omhandle resultater fra internrevisjonen resultater fra risikovurderinger rapporterte avvik og iverksatte tiltak eventuelle nødvendige justeringer av styringssystemet Ledelsen skal etter gjennomgangen ta stilling til om ansvars- og oppgavefordelingen er hensiktsmessig om det er behov for endringer i styringssystemet om det er spesielle ressurs- og opplæringsbehov for kommende år 12 Side169 7 Vedlegg 7.1 Relevant regelverk 7.2 Prosedyrer, instrukser og rutiner 7.2.1 Instruks for behandling av personopplysninger ved Universitetet i Tromsø 7.2.2 Retningslinjer for bruk av Universitetets IT-ressurser 7.2.3 Rutiner for behandling av studentopplysninger ved Universitetet i Tromsø 7.2.4 Rutiner for behandling av personopplysninger som forvaltes av Avdeling for personal og organisasjon og av Avdeling for økonomi 7.2.5 Rutiner for behandling av personopplysninger i forsknings- og studentprosjekter ved Universitetet i Tromsø 7.2.6 Systemlandskap ved UiT 7.2.7 Klassifikasjon av informasjonsverdier ved UiT 7.2.8 Rutiner for helseforskning for Helsefak og UNN 7.2.9 Prosedyre for bestilling av leverandørkonto og fjerntilgang 7.2.10 Prosedyre for taushetsplikt og taushetserklæring 7.2.11 Prosedyre for fysisk sikring, tilgangskontroll og systemanskaffelser 7.2.12 Rutine for søknad om overføring av personopplysninger fra FS, Paga og System X til andre datasystemer 7.3 Mal for ROS- vurdering (risiko- og sårbarhetsvurdering) 7.4 Mal for databehandleravtale fra Datatilsynet 7.4.1 Mal for databehandleravtale etter helseregisterloven 7.4.2 Mal for databehandleravtale etter personopplysningsloven 7.5 Mal for leverandøravtale 13 Side170 Vedlegg 7.1 Relevante regelverk for informasjonssikkerhet Rettsregler som stiller krav til informasjonssikkerhet finnes i mange lover, forskrifter og instrukser. I tillegg kan det være et krav i kontrakter. Generelt er det ingen regelverk eller kontrakter som utelukkende handler om informasjonssikkerhet og kravene kan være vanskelig å finne i de forskjellige regelverkene. Det finnes generelle regler knyttet til alle typer saksbehandling som for eksempel forvaltningsloven, offentleglova og personopplysningsloven. Det finnes også spesielle regler som kommer til anvendelse på spesielle områder, som for eksempel helseregisterloven og helseforskningsloven. Der det finnes særlovgivning med forskrifter, går disse foran de generelle lovene. De generelle lovene kan også være utfyllende på områder som særlovgivningen ikke regulerer. Nedenfor følger en liste med de mest relevante rettsreglene som gjelder for informasjonssikkerhet. - Lov: Generelle regler om personopplysninger Personopplysningsloven Regulerer behandling av personopplysninger også i tilknytning til forskning på mennesker, helseopplysninger og humant biologisk materale. Personopplysninger kan bare behandles hvis den opplysningene gjelder har samtykke, eller det står i en særlov at slik behandling kan gjøres, eller en av de seks andre særlige grunnene som er nevnt i loven er tilstede. For sensitive personopplysninger, må det søkes om konsesjon/tillatelse fra Datatilsynet, med mindre behandlingen har hjemmel i egen lov. Virksomheten kan bare behandle personopplysninger dersom ledelsen sørger for ”tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet…”. Dette skal skje gjennom planlagte og systematiske tiltak som skal dokumenteres. Det stilles også krav om at det etableres et system for internkontroll for hele loven. Forskrift: Personopplysningsforskriften Ytterligere krav til særlig ledelsens ivaretakelse av informasjonssikkerhet. Det er den daglige ledelsen som har ansvaret for å påse at reglene etterleves. Dette innebærer krav om klar fordeling og dokumentasjon av ansvar og myndighet for bruk av informasjonssystemet. Ledelsen skal også sørge for at det formuleres sikkerhetsmål og sikkerhetsstrategi, der formålet med personopplysningene skal fremgå, og hvilke valg og prioriteringer som skal gjøres for å nå formålet. Det skal jevnlig undersøkes om bruken av informasjonssystemet er god 1 Side171 i forhold til virksomhetens behov, og om sikkerhetsstrategien gir god nok informasjonssikkerhet som resultat. Forskriften krever at resultatet av gjennomgangen skal dokumenteres og brukes til forbedringer. Kriterier for akseptabel risiko skal bestemmes, risikovurderinger skal gjennomføres, som grunnlag for revidering av om kriteriene er hensiksmessige. Resultatene skal dokumenteres. Det skal også jevnlig gjennomføres sikkerhetsrevisjon. Sikkerhetsbrudd/avvik skal rapporteres og gi grunnlag for forbedring. Lov: Generelt forvaltningslovverk Forvaltningsloven Har generelle bestemmelser om forvaltningens saksbehandling. Inneholder regler om taushetsplikt for opplysninger om noens personlige forhold eller om konkurranseutsatte opplysninger (§13 flg). Fødested, fødselsdato, personnummer, statsborgerforhold, sivilstand, yrke, bopel og arbeidssted er ikke omfattet, med mindre det er fare for å røpe forhold som må anses som personlige. Offentleglova Regulerer allmennhetens rettigheter til innsyn i offentlige saksdokument. Hovedregelen er at saksdokumenter skal være offentlige. Arkivlova Arkivlova er en lov for alle typer offentlige arkiv. Den har som formål å sikre arkiv som har omfattende kulturell eller forskningsmessig verdi eller som inneholder rettslig eller viktig forvaltningsmessig dokumentasjon, at disse blir tatt vare på og gjort tilgjengelig for ettertida. Forskrift: Forskrift om offentlege arkiv Regulerer de fleste sider ved arkivfunksjonen i offentlig forvaltning, ved UiT ivaretatt i ePhorte. Forskrift om elektronisk Gir bestemmelser om tilrettelegging, samordning og kommunikasjon sikring av elektronisk kommunikasjon med (eForvaltningsforskriften) virksomheten, og for elektronisk saksbehandling i virksomheten. Stiller krav til informasjonssikkerhet for å støtte eller bidra til at forskriftens formål nås. Forvaltningsorgan som benytter elektronisk kommunikasjon skal ha beskrevet sikkerhetsmål og sikkerhetsstrategi for informasjonssikkerhet i virksomheten. I praksis betyr dette at dersom virksomheten skal utvikle og ta i bruk nytt IKT-system, må det utarbeides mål og strategi for informasjonssikkerhet som skal danne grunnlag for utvikling og bruk av systemet. Annet: Beskyttelsesinstruksen Gir konkrete regler for behandling av taushetsbelagt 2 Side172 informasjon. - Særlovgivning Lov: Helseforskningsloven Regulerer all forskning på mennesker, helseopplysninger og humant biologisk materiale som har til hensikt å fremskaffe ny kunnskap om helse og sykdom. Helseregisterloven Helseregisterloven omhandler innsamling, lagring og bruk av helseopplysninger i helseregistre. Sikkerhetsloven Forskrift: Forskrift om Skal fremme forsvarlig organisering og gjennomføring av organisering av medisinsk og helsefaglig forskning og er hjemlet i medisinsk og helsefaglig helseforskningsloven. forskning 3 Side173 Vedlegg A til “Informasjonssikkerhet ved Universitetet i Tromsø” Arkivref. 2010/2582 INSTRUKS FOR BEHANDLING AV PERSONOPPLYSNINGER VED UNIVERSITETET I TROMSØ Fastsatt av universitetsdirektøren 24.8.2011 1. Behandlingsansvarlig 1.1. Universitetet i Tromsø ved universitetsdirektøren er behandlingsansvarlig, jf. lov om behandling av personopplysninger § 2, for behandling av personopplysninger som helt eller skjer med elektroniske hjelpemidler ved universitetet. 1.2. Ved Universitet i Tromsø skjer elektronisk behandling av personopplysninger i forsknings- og studentprosjekter og ved administrativ behandling vedrørende studenter og tilsatte. 1.3. Behandlingsansvarlig er ansvarlig for at behandlingen av personopplysninger skjer i overensstemmelse med lov om behandling av personopplyninger (personopplysningsloven) forskrift om behandling av personopplysninger (personopplysningsforskriften). 1.4. Behandlingsansvarlig skal fastsette hvem som har det daglige ansvaret for den enkelte behandling av personopplysninger ved universitetet, se Informasjonssikkerhet ved Universitetet i Tromsø punkt 3.1. 1.5. Behandlingsansvarlig skal utarbeide gjennomførende rutiner for behandling av personopplysninger i forsknings- og studentprosjekter, og for den administrative behandlingen av personopplysninger vedrørende studenter og tilsatte. 1.6. I alle forsknings- og studentprosjekter ved Universitetet i Tromsø skal respondentene informeres om at Universitetet i Tromsø er behandlingsansvarlig. 1.7. Norsk samfunnsvitenskapelig datatjeneste skal være personvernombud for forsknings- og studentprosjekter som gjennomføres helt eller delvis ved Universitetet i Tromsø. 2. Grunnkrav til behandling av personopplysninger 2.1. Behandlingsansvarlig skal sørge for at personopplysningene som behandles a) bare behandles når dette er tillatt etter personopplysningsloven §§ 8 og 9, b) bare nyttes til uttrykkelig angitte formål som er saklig begrunnet i universitetets virksomhet, c) ikke brukes senere til formål som er uforenelig med det opprinnelige formålet med innsamlingen, uten at den registrerte samtykker, d) er tilstrekkelige og relevante for formålet med behandlingen, og e) er korrekte og oppdatert, og ikke lagres lenger enn det som er nødvendig ut fra formålet med behandlingen. 2.2. Behandlingsansvarlig skal sørge for at bare tilsatte eller studenter som har et saklig behov for det skal ha tilgang til personopplysningene som behandles. 2.3 Senere behandling av personopplysningene for historiske, statistiske eller vitenskapelige formål anses ikke uforenelig med de opprinnelige formålene med innsamlingen av opplysningene jf. 2.1. c), dersom samfunnets interesse i at behandlingen finner sted, klart overstiger ulempene den kan medføre for den enkelte. 3. Innformasjonsplikt ved innsamling av personopplysninger 3.1. Når det samles inn personopplysninger fra den registrerte selv, skal behandlingsansvarlig av eget tiltak først informere den registrerte om Side174 a) b) c) d) e) at Universitetet i Tromsø er behandlingsansvarlig, inkludert adresse, formålet med behandlingen av personopplysninger, opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, det er frivillig å gi fra seg opplysningene, og annet som gjør den registrerte i stand til å bruke sine rettigheter etter personopplysningsloven på best mulig måte, for eksempel informasjon om retten til å kreve innsyn og retten til å kreve retting. 3.2. Når det samles inn opplysninger fra andre enn den registrerte selv, skal behandlingsansvarlig av eget tiltak informere den registrerte om hvilke opplysninger som samles inn og gi informasjon som nevnt i punkt 3.1. så snart opplysningene er innhentet. 4. Plikt til innhenting av samtykke 4.1. Ved behandling av personopplysninger hvor samtykke fra den registrerte er nødvendig, jf. personopplysningsloven §§ 8 og 9, skal det innhentes en frivillig, uttrykkelig og informert erklæring fra den registrerte om at hun eller han godtar behandling av opplysninger om seg selv. 5. Plikt til å gi innsyn 5.1. Enhver som ber om det skal få vite hva slags behandling av personopplysninger universitetet foretar, og kan kreve å få følgende informasjon om en bestemt type behandling: a) hvem som har det daglige ansvaret for å oppfylle pliktene som er tillagt behandlingsansvarlig, b) formålet med behandlingen c) beskrivelser av hvilke typer personopplysninger som behandles, d) hvor opplysningene er hentet fra, og e) om personopplysningene vil bli utlevert, og eventuelt hvem som er mottaker 5.2. Dersom den som ber om innsyn er registrert, skal behandlingsansvarlig opplyse om a) hvilke opplysninger om den registrerte som behandles, og b) sikkerhetstiltakene ved behandlingen så langt innsyn ikke svekker sikkerheten. 5.3. Den registrerte kan kreve at den behandlingsansvarlige utdyper informasjonen som nevnt ovenfor i punkt 5.1. og 5.2 i den grad dette er nødvendig for at den registrerte skal kunne vareta egne interesser. 5.4. Retten til informasjon etter punkt 5.2. og 5.3. gjelder ikke dersom personopplysningene behandles utelukkende for historiske, statistiske eller vitenskapelige formål og behandlingen ikke får noen direkte betydning for den registrerte. 6. Plikt til å rette mangelfulle personopplysninger 6.1. Dersom det er behandlet personopplysninger som er uriktige, ufullstendige eller som det ikke er adgang til å behandle, skal den behandlingsansvarlige av eget tiltak eller på begjæring av den registrerte rette de mangelfulle opplysningene. Den behandlingsansvarlige skal om mulig sørge for at feilen ikke får betydning for den registrerte. Side175 6.2. Retting av uriktige eller ufullstendige personopplysninger som kan ha betydning som dokumentasjon, skal skje ved at opplysningene tydelig markeres og suppleres med korrekte opplysninger. 6.3. Sletting bør suppleres med registrering av korrekte og fullstendige opplysninger. Dersom dette ikke er mulig, og dokumentet som inneholdt de slettede opplysningene av den grunn gir et åpenbart misvisende bilde, skal hele dokumentet slettes. 7. Forbud mot å lagre unødvendige personopplysninger 7.1. Behandlingsansvarlig skal ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Hvis ikke personopplysningene deretter skal oppbevares i henhold til arkivloven eller annen lovgivning, skal de slettes. 7.2. Behandlingsansvarlig kan lagre personopplysninger for historiske eller vitenskapelige formål, dersom samfunnets interesse i at opplysningene lagres klart overstiger de ulempene den kan medføre for den enkelte. Behandlingsansvarlig skal i disse tilfellene sørge for at opplysningene ikke oppbevares på måter som gjør det mulig å identifisere den registrerte lenger enn nødvendig. 7.3. Den registrete kan kreve at opplysninger som er sterkt belastende for ham eller henne skal sperres ellet slettes dersom dette a) ikke strider mot lov, og b) er forsvarlig ut fra en samlet vurdering av blant annet andres behov for dokumentasjon, hensynet til den registrerte, kulturhistoriske hensyn og ressurser gjennomføring av kravet forutsetter. 7.4. Hvis dokument som inneholdt de slettede opplysningene gir et åpenbart misvisende bilde etter slettingen, skal hele dokumentet slettes. 8. Frist for å svare på henvendelser om informasjon med mer 8.1. De behandlingsansvarlige skal svare på henvendelser om innsyn, retting og sletting, jf. punkt 5, 6 og 7 uten ugrunnet opphold og senest innen 30 dager fra den dagen henvendelsen kom inn. 9. Meldeplikt til Datatilsynet 9.1. Den behandlingsansvarlige skal gi melding til Datatilsynet før a) behandling av personopplysninger med elektroniske hjelpemidler, b) opprettelse av manuelt personregister som inneholder sensitive personopplysninger, jf. personopplysningsloven § 2 første ledd nr. 8. 9.2. Meldingen skal gis 30 dager før behandlingen tar til. 9.3. Meldingen skal inneholde opplysninger som fastsatt i personopplysningsloven § 32. 9.4 Melding om behandling av personopplysninger i forsknings- og studentprosjekter skal meldes til Norsk samfunnsvitenskapelig datatjeneste. 9.5 Behandling av personopplysninger om studenter som skjer i medhold av lov om universiteter og høyskoler eller etter samtykke fra den enkelte student, er unntatt fra meldeplikten. Side176 10. Krav om konsesjon fra Datatilsynet 10.1 Det kreves konsesjon fra Datatilsynet for å behandle sensitive personopplysninger, se personopplysningsloven § 2 første ledd nr. 8. 10.2. Søknad om konsesjon fra Datatilsynet for behandling av sensitive personopplysninger i forsknings- og studentprosjekter skal foregå i henhold til universitetets avtale med Norsk samfunnsvitenskapelig datatjeneste. 10.3 Behandling av personopplysninger om studenter som skjer i medhold av lov om universiteter og høyskoler eller etter samtykke fra den enkelte student, er unntatt fra konsesjonsplikten. 11. Internkontroll 11.1. Den behandlingsansvarlige skal etablere og holde ved like planlagte og systematiske tiltak som er nødvendige for å oppfylle ovennevnte plikter og krav, som følger av personopplysningsloven, herunder sikre personopplysningenes kvalitet. 11.2. Den behandlingsansvarlige skal dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos behandlingsansvarlig. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda. 12. Risikovurdering 12.1. Den behandlingsansvarlige skal klarlegge sannsynlighet for, og konsekvens av sikkerhetsbrudd ved hjelp av risikovurdering. Risikovurdering skal gjennomføres før behandling av personopplysninger med elektroniske hjelpemidler settes i gang, og deretter ved endringer av betydning for informasjonssikkerheten. 12.2. Den behandlingsansvarlige skal holde oversikt over de personopplysninger som behandles med elektroniske hjelpemidler, samt angi hvilke opplysninger det er nødvendig å sikre konfidensialitet, tilgjengelighet eller integritet for. Denne oversikten skal benyttes som en del av grunnlaget for risikovurderingen. 12.3. Resultatet av risikovurdering skal sammenlignes med de fastlagte kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger, jf. Informasjonssikkerhet ved Universitetet i Tromsø punkt 1.1. 13. Databehandler 13.1. Dersom en ekstern enhet skal behandle personopplysninger på vegne av universitetet som behandlingsansvarlig, skal det foreligge en avtale mellom databehandleren og universitetet som regulerer behandlingen. Av avtalen skal det gå frem at databehandleren plikter å gjennomføre sikringstiltak som følger av personopplysningsloven § 13. 13.2. En databehandler kan ikke behandle personopplysninger på annet måte enn det som er skriftlig avtalt med universitetet. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse. Side177 Retningslinjer for bruk av Universitetets IT-ressurser Fastsatt av universitetsdirektøren 01.04.05. Sist endret 27.03.08. Ref: 2010/2582 Innhold: 1.0 Begrepsforklaringer 2.0 Formål 3.0 Anvendelse 4.0 Lojalitet 5.0 Datasikkerhet 6.0 Respekt for andre brukere, personvern 7.0 Sømmelig bruk 8.0 Ressursbevissthet 9.0 Rettigheter 10.0 Erstatningsansvar 11.0 Privat bruk 12.0 Logging 13.0 Taushetsplikt 14.0 Utlevering og sletting av data ved brukerforholdets opphør 15.0 Sanksjoner 16.0 Klageinstans 1.0 Begrepsforklaringer Forklaringer av ord og uttrykk som brukes i retningslinjene. Brukere Alle som får tilgang til og benytter IT-ressursene ved Universitetet. Dette gjelder bl.a. arbeidstakere, studenter og andre som får tildelt tilgang til IT-ressursene. Brukerkontrakt Avtale mellom bruker og avdeling(er) ved Universitetet som regulerer brukerens aksessrettighet til IT-ressursene. Brukerkontrakten er også en bekreftelse på at disse retningslinjene er akseptert av brukeren. Data Informasjon som befinner seg på Universitetets IT-anlegg. Dette inkluderer både innhold i datafiler og programvare. Datanett Side178 Maskinvare og/eller programvare som gjør det mulig å opprette forbindelser mellom to eller flere maskiner. Dette inkluderer både private, lokale, nasjonale og internasjonale datanett som man får tilgang til gjennom Universitetets IT-ressurser. Driftsforstyrrelser Forstyrrelser og/eller unormaliteter som i uakseptabel grad hemmer brukeres utnyttelse av ITanlegget. IT-ressurs Inkluderer maskinvare, data, tjenester og datanett. Maskinvare Maskinelt utstyr som kan brukes til databehandling. Private data Data som befinner seg på et område som er markert som privat. 2.0 Formål Formålet med retningslinjene er å bidra til et utviklende IT-miljø hvor de mulighetene ITressursene gir kan utnyttes på best mulig måte, både i forhold til samfunnet og til fellesskapet ved Universitetet. Dette for å fremme utdanning og forskning, samt spre kunnskap om vitenskapens metoder og resultater. 3.0 Anvendelse Disse retningslinjene gjelder for bruk av Universitetets IT-ressurser, og gjelder alle brukere som får tilgang til disse ressursene. Bruk av IT-ressursene fordrer også at brukeren kjenner eventuelle supplerende bestemmelser. 4.0 Lojalitet En bruker skal alltid opptre under fullt navn og det skal ikke herske tvil om brukerens identitet. I tillegg skal brukeren klargjøre tilknytningen til Universitetet. En bruker skal altså alltid identifisere seg med navn, egen brukeridentitet, passord eller på annen regulær måte ved bruk av tjenester i datanettet. Det er ikke tillatt å bruke Universitetets IT-ressurser uten å få tillatelse til dette i forkant. Det å være en bruker ved Universitetet innebærer at tillatelse er gitt til formålstjenlig bruk. Eksterne miljøer skal ikke misbrukes ved at bruker tilegner seg informasjon som ikke er tiltenkt den, eller ved å bruke tjenestene til annet enn det de forutsetter. Bruker må vise særskilt aktsomhet med taushetsbelagte opplysninger. En bruker skal følge driftspersonalets anvisninger om bruk av IT-ressursene. Brukeren skal Side179 også i tilstrekkelig grad sette seg inn i bruksanvisning, dokumentasjon m.v. for å redusere muligheten for at uvitenhet skal skape risiko for driftsforstyrrelser eller tap av data eller utstyr. Ved opphør av ansettelses- eller studieforhold er brukeren ansvarlig for at kopier av data som eies/disponeres av Universitetet sikres for Universitetet. 5.0 Datasikkerhet En bruker plikter å treffe tiltak som er nødvendig for at tap av data eller lignende skal få minst mulig følger gjennom sikkerhetskopiering, forsvarlig oppbevaring av media, m.v. Dette kan gjøres ved å forsikre seg om at driftspersonellet tar seg av dette. Egne filer er i utgangspunktet personlige, men bør likevel beskyttes slik at de ikke kan leses av andre. En bruker plikter å ikke gjøre passord eller andre sikkerhetselementer kjent for andre, samt forhindre at uvedkommende får tilgang til IT-ressursene. Dette gjelder også å gi fra seg Universitets interne brukernavn og passord til maskiner som ikke tilhører Universitetet. Dette kan være å lagre Universitetets brukernavn/passord i nett-lesere på eksterne maskiner. Innførsel av data medfører en risiko for uønskede elementer som f.eks. virus, orm og trojanere. Bruker plikter å gjennomføre tiltak som beskytter IT-ressursene mot slikt. Alle maskiner (deriblant hjemme- og bærbare maskiner) som skal bruke Universitetets IT-ressurser skal være beskyttet med relevante sikkerhetsmekanismer (antivirus, brannmur, system for jevnlige oppdateringer etc.). En bruker plikter å rapportere forhold som kan ha betydning for anleggets sikkerhet eller integritet til nærmeste foresatte eller den som har ansvar for datasikkerheten. 6.0 Respekt for andre brukere, personvern En bruker må ikke søke å gjøre seg kjent med andres passord o.l., eller søke å oppnå uautorisert tilgang til andres data. Dette gjelder uavhengig av om dataene er beskyttet eller ikke. Det er viktig å understreke at det å anvende IT-ressurser i andres navn er strengt forbudt. Det er mange handlinger som kan begås i eller ved hjelp av IT-ressurser som er belagt med straffe- eller erstatningsansvar. Det kan derfor være svært belastende om noen begår handlinger i andres navn. En bruker som behandler eller har tenkt å starte med elektronisk behandling av personopplysninger, administrativt eller i forsknings- eller studentprosjekter, plikter å gjøre seg kjent med personopplysningsloven og personopplysningsforskriften, samt å sette seg inn i Universitets egne retningslinjer for behandling av personopplysninger. Før behandling av personopplysninger tar til i forsknings- eller studentprosjekter skal behandlingen meldes til Norsk samfunnsvitenskapelig datatjeneste. Kopi av meldingen skal sendes til avdelingen (fakultetet/Norges fiskerihøgskole). Brukere har taushetsplikt om personlige forhold, jf. forvaltningsloven § 13, som brukeren får kjennskap til gjennom bruk av Universitetets IT-ressurser. Side180 7.0 Sømmelig bruk Universitetets IT-ressurser må ikke brukes til å fremsette ærekrenkelser eller diskriminerende uttalelser, formidle pornografi eller spre taushetsbelagte opplysninger, krenke privatlivets fred eller oppfordre eller medvirke til ulovlige handlinger. Utover dette skal brukere avholde seg fra usømmelig kommunikasjon på nettet. IT-ressursene skal brukes i overensstemmelse med formålet til Universitetet. Dette utelukker direkte kommersiell bruk. 8.0 Ressursbevissthet Universitetets IT-ressurser skal styrke og understøtte faglig virksomhet, administrasjon, utvikling, forskning og undervisning. Brukeren har et medansvar for at ressursene utnyttes best mulig. Bruk som ikke er begrunnet i institusjonens formål er for eksempel privat bruk. Dette er det vanlig å tillate, men ikke slik at det opptar store ressurser eller skjer til fortrengsel for oppgaver som inngår i forskning, undervisning, formidling og administrasjon. 9.0 Rettigheter Til data er det normalt knyttet rettigheter som gjør bruk avhengig av avtale med rettighetshaver. Bruker forplikter seg til å respektere andres rettigheter, herunder også vilkår ihht lisensavtaler Universitetet har inngått. Dette gjelder også når Universitetet gjør data tilgjengelig. Kopiering av dataprogrammer via Universitetets datanett tillates bare når brukeren har rett til å bruke dataprogrammet. Det er ikke tillatt å gjøre datafiler, herunder musikk- og mediafiler, tilgjengelig på Universitetets datanett uten tillatelse fra opphavsmannen. Det tillates ikke at bruker legger ut linker, herunder ved bruk av fildelingsprogram, på Universitets datanett til ulovlig materiale. 10.0 Erstatningsansvar Brukerne har selv ansvaret for bruk av data som gjøres tilgjengelig ved bruk av IT-ressursene. Universitetet fraskriver seg ansvar for økonomisk tap som følge av feil eller mangler ved ITanlegget, herunder f.eks. feil eller mangler i data, bruk av data fra tilgjengelige databaser eller andre data innhentet gjennom datanettet m.v. Universitetet er ikke ansvarlig for skader som måtte påføres brukeren som følge av manglende sikring av egne data. 11.0 Privat bruk All informasjon en ansatt mottar i kraft av sin stilling ved Universitetet, herunder e-post, har Universitetet som arbeidsgiver full innsynsrett i. Samtidig har Universitetet full innsynsrett i det universitetseide datautstyret og det som måtte være lagret der. Ved fravær vil Universitetet ha rett til å skaffe seg tilgang til data som ligger lagret på den ansattes område, for å sikre at oppgaver utføres i rett tid og med best mulig datagrunnlag. Skulle den ansatte motta privat epost eller lagre private data på Universitetets utstyr, må dette lagres i mapper merket Side181 (navngitt) «Privat». Universitetet vil respektere slik merking og vil ikke skaffe seg tilgang til data lagret på slike områder uten at særskilt hjemmel kan påvises. 12.0 Logging Enhver pålogging på Universitetets IT-ressurser blir logget. Loggene blir brukt til å understøtte driften av institusjonens IT-systemer. Utlevering av logger av trafikkdata eller innhold i kommunikasjoner utleveres til politi, påtalemyndighet eller andre utenforstående etter beslutning av en norsk domstol. 13.0 Taushetsplikt Driftsansvarlige har taushetsplikt med hensyn til opplysninger om brukeren eller brukerens virksomhet som driftsansvarlige får på denne måte, med det unntak at forhold som kan representere brudd på retningslinjene kan meddeles til overordnede instanser. 14.0 Utlevering og sletting av data ved brukerforholdets opphør Når brukerens forhold til Universitetet opphører, for eksempel ved endt studium eller avsluttet arbeidsforhold skal brukeren selv sørge for å fjerne sine data fra Universitetets IT-ressurser. Dataene vil bli slettet 3 måneder etter opphør av brukerforholdet. Ved brukers død slettes privat mappe som er lagret på arbeidsplassmaskinen etter 3 måneder. Utlevering av privat mappe vil ikke bli foretatt uten at særskilt hjemmel kan påvises. 15.0 Sanksjoner Ved brudd på gjeldende regelverk/retningslinjer for bruk av Universitetets IT-ressurser skal det vurderes reaksjon. Reaksjonsform og eventuell av utstenging eller begrenset tilgang til datasystemer/IT ressurser skal vurderes ut fra alvorlighetsgraden av handlingen eller unnlatelsen av å handle (sikre personopplysninger). For ansatte vil dette variere fra muntlig orientering om gjeldende regelverk (muntlig tjenstlig tilrettevisning) til andre reaksjoner etter lov om statens tjenestemenn. For studenter skal det vurderes stenging av brukerkonto for en periode eller for alltid. For alle brukergrupper kan det ved vesentlige brudd på sikkerhetsbestemmelser som medfører vesentlige kostnader, vurderes å søke regress for kostnadene hos brukeren. Sanksjoner mot brukere skal begrunnes, og kan ilegges av den som er tillagt slik myndighet i henhold til de regler som gjelder for Universitetet. Eventuell stenging av en students brukerkonto besluttes av Universitetsdirektøren. 16.0 Klageinstans Klager på sanksjoner (for eksempel utestengelse eller nektelse av brukertilgang) skal rettes til den myndighet som ilegger sanksjonene. Dersom klagen ikke blir imøtekommet, sendes den videre til Universitetsstyrets klagenemnd for endelig avgjørelse. Klager på overvåkning følger samme prosedyre som for sanksjoner. Side182 Vedlegg C til “Informasjonssikkerhet ved Universitetet i Tromsø” Arkivref. 2010/2582 RUTINER FOR BEHANDLING AV STUDENTOPPLYSNINGER VED UNIVERSITETET I TROMSØ Fastsatt av universitetsdirektøren 04.07.05, jf. pkt. 1.5 i Instruks for behandling av personopplysninger ved Universitetet i Tromsø(instruksen). Sist endret 14.06.11. 1. Formål og definisjon Formålet med rutinebeskrivelsen er å ivareta de sikkerhetsmål og strategier for behandling av studentopplysninger som er fastsatt av universitetsdirektøren. Rutinene gjelder for registrering og behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler ved Universitetet i Tromsø. Med personopplysning menes opplysninger og vurderinger som kan knyttes til en person jf. personopplysningsloven § 2 første ledd. 2. Ansvarsforhold og roller Universitetsdirektøren er behandlingsansvarlig og har det overordnede ansvaret for at behandling av studentopplysninger skjer i samsvar med personopplysningsloven og personopplysningsforskriften. Utdanningsdirektøren har det daglige ansvaret for at pliktene som personopplysningsloven tillegger behandlingsansvarlig, er oppfylt for den administrative behandling av studentopplysninger som skjer ved Universitetet i Tromsø. 3. Formål med behandlingen av personopplysninger Ved Universitetet i Tromsø behandles personopplysninger vedrørende studenter elektronisk i personregisteret Felles studentsystem (FS). Som støttesystem i behandlingen brukes arkiv- og saksbehandlingssystemet ePhorte. Formålet med behandlingen av personopplysningene er å organisere opptaket og forhold i tilknytning til studiesituasjonen til den enkelte student ved Universitetet i Tromsø. Personopplysninger skal bare registreres i FS i forbindelse med studentopptaket, semesterregistrering, undervisning, eksamensavvikling og oppnådde grader. Felles studentsystem leverer elektronisk studentopplysninger til følgende interne systemer: System BibSys Brukeradministrativ system (BAS) Fronter Orakeltjenesten Syllabus Studentweb Søknadsweb Formål Lånekort til Universitetsbiblioteket Aktivere IT-rettigheter og adgangskort Læringsadministrasjon Brukerstøtte for IT-tjenesten Timeplanlegging og romreservasjon Semesterregistrering, eksamensoppmelding m.v. Søknadsregistrering Side183 4. Personopplysninger som behandles Registeret kan inneholde følgende opplysninger om både søkere og studenter: - fødselsnummer - navn - adresse(r) - telefon - språk - opptaksgrunnlag, herunder generell studiekompetanse - personkode - e-postadresse - særlig tilrettelegging (ikke grunnlaget) Registeret kan inneholde følgende opplysninger om søkere: - svaradresse - svartelefon - og andre opplysninger som er saklig begrunnet og nødvendig for å behandle søknaden - søknadsdokumentene Registeret kan inneholde følgende opplysninger om utenlandske studenter: - boligønske - behov for lån - oppholdstillatelse - statsborgerskap - dato ankomst Norge - fødselsnummerering - og andre opplysninger som er relevante for søknadsbehandlingen Registeret kan inneholde følgende opplysninger om studenter: - studentnummer - semesteradresse - språk - studentkortnummer - studiekull - permisjon - personbilde Registeret kan inneholde ytterligere opplysninger om den enkelte i sammenheng med: - semesterregistrering - undervisning - eksamensavvikling - sensur - oppnådde/ønskede grader - godkjenning av tidligere studium - stipendsøknadsopplysninger - utestegning/tap av eksamensrett Opplysningene skal kun registreres når de er saklig begrunnet og nødvendig ut fra formålet med behandlingen. Side184 5. Konfidensialitet, integritet og tilgjengelighet Konfidensialitet I FS skal det ikke registreres sensitive personopplysninger jf. personopplysningsloven § 33 første ledd og 2 nr. 8. Enkelte personopplysninger som registreres kan være taushetsbelagt i henhold til forvaltningsloven § 13. Omfanget av taushetsbelagte opplysninger vil være liten. For det meste vil det dreie seg om opplysninger som indirekte kan indikere noens personlige forhold, som igjen kan være taushetsbelagt. Eksempelvis vil dette kunne gjelde studenter som har institusjonsadresse og opplysninger om innvilget særlig tilrettelegging ved eksamen. Bare administrativ tilsatte, med et arbeidsmessig behov for det, skal ha tilgang til FS. Den enkelte student skal ha tilgang til deler av sine egne opplysninger gjennom StudentWeb. FS skal bare være tilgjengelig ved pålogging, brukernavn og passord. FS-brukerne skal årlig endre passord. Alle datamaskiner som kan brukes for å logge seg inn på FS, skal ha skjermbeskytter med passord. Tilgangen via StudentWeb, skal bare være mulig ved personlig brukernavn og pinkode. Utdanningsdirektøren ved FS-administrator skal hvert kvartal sjekke om noen av FS-brukerne er inaktive. Brukere som ikke har vært aktive de siste to månedene skal sperres. Integritet Personopplysningene registrert i FS skal ikke kunne endres utilsiktet eller av uvedkommende. Særlig viktig er dette for opplysninger om den registrertes fødsels- og personnummer, karakterer og oppnådde grader. Dette må informasjonssikkerheten og kontrollrutinene spesielt ivareta. Bare FS-brukere som har et arbeidsmessig behov for det skal ha mulighet til å registrere eller endre personopplysninger i FS. Maksimalt to FS-brukere på det enkelte fakultet skal ha tilgang til eksamensprotokollen i FS. All aktivitet i eksamensprotokollen skal synliggjøres ved at saksbehandler legger igjen sitt elektroniske visittkort. Hvert semester skal aktiviteten i eksamensprotokollen kontrolleres av utdanningsdirektøren ved FS-administrator. Studenter skal via StudentWeb ha mulighet til å registrere seg som student, inngå utdanningsplan og melde seg opp til eksamen. Studentene skal selv kunne legge inn eller endre sin adresse, e-postadresse og/eller telefonnummer. Søkere kan gjøre dette i Søknadsweb. Tilgjengelighet Omfanget av personopplysninger registrert i FS er omfattende og registeret er sentralt i virksomheten ved universitetet. Det er således svært viktig at FS til enhver tid er tilgjenglig for brukerne. Teknisk arbeid med FS, som medfører at FS må gjøres utilgjengelig for brukerne, skal så langt det er mulig legges utenfor ordinær arbeidstid. Det må daglig kjøres backup av personopplysningene registrert i FS. Side185 6. Innsamling av opplysninger Opplysningene i registeret kan innhentes - fra den registrerte selv - med hjemmel i lov eller forskrift - fra Database for Samordna opptak i forbindelse med opptak av nye studenter - fra nasjonal vitnemåldatabase - internt i utdanningsinstitusjonen i forbindelse med opptaket og administrasjonen av studietilbudet - fra tilsvarende registre ved annen utdanningsinstitusjon 7. Informasjon ved innsamling av personopplysninger Ved innsamling av personopplysninger skal daglig ansvarlig/FS-bruker sørge for at den registrerte gis informasjon om innsamlingen i samsvar med punkt 3 i instruksen. 8. Behandling av innsynsforespørsler Alle innsynsforespørsler om hva slags behandling av personopplysninger vedrørende studenter som universitetet foretar, skal henvises til utdanningsdirektøren ved FS-administrator. Forespørslene behandles i samsvar med punkt 5 og 8 i instruksen. 9. Utlevering av personopplysninger Personopplysninger fra FS skal ikke utleveres til utenforstående. Utlevering kan likevel skje 1. med samtykke fra den registrerte, 2. med hjemmel i lov eller forskrift, 3. som ledd i betalingsinnkreving, inkasso, 4. til Lånekassen i forbindelse med lånesøknader, 5. til Samordna opptak, 6. til Nasjonal klagenemnd for opptakssaker og Felles klagenemnd i forbindelse med klage fra den registrerte, 7. til Norsk institutt for studier av forskning og høyere utdanning (NIFU) 8. til Database for høyere utdanning(DBH)/Norsk samfunnsvitenskaplig datatjeneste NSD, 9. til Nasjonal database for godkjenning av utenlandsk høyere utdanning (NAG), 10. til Helsetilsynet, 11. studentens navn, adresse, telefonnummer og e-postadresse kan utleveres til Studentsamskipnaden, 12. opptaksopplysninger, opplysninger om karakterer og opplysninger om oppnådd grad, kan utleveres til andre utdanningsinstitusjoner når en student søker opptak ved denne, 13. til databehandler som ved avtale med Universitetet i Tromsø plikter å gjennomføre sikkerhetstiltak som følger av personopplysningsloven § 13. 14. verifisering av karakteropplysninger og opplysninger om fullført utdanning ved Universitetet i Tromsø Forespørsler om studentopplysninger fra forvaltningsorganer, som for eksempelvis NAV og UDI, skal henvises til Avdeling for utdanning. Forespørsler om studentopplysninger fra Politiets sikkerhetstjeneste skal henvises til utdanningsdirektøren. Den registrertes telefonnummer kan gis til offentlig helseinstitusjon eller liknende ved ulykker, dødsfall eller andre tilfeller, hvor det er viktig å få hurtig kontakt med den registrerte. Side186 Andre som ber om utlevering og ikke kan få utlevert studentopplysninger, er henvist til å be om innsyn i eventuelle saksdokumenter som inneholder personopplysningene, jf. offentlighetslova. 10. Retting av mangelfulle personopplysninger FS-bruker som blir kjent med at det er registrert personopplysninger i FS som er uriktige, ufullstendige eller som det ikke er adgang til å behandle, skal av eget tiltak eller etter krav av den registrerte, rette de mangelfulle opplysningene i samsvar med instruksens punkt 6. Dersom den som oppdager feil ikke er autorisert til å utføre rettingen, skal feilen meldes til systemansvarlig eller til bruker som har nødvendig autorisasjon. 11. Sletting av personopplysninger Det skal ikke lagres personopplysninger i FS lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Opplysninger i tilknytning til opptaket og vedrørende personer som har søkt om opptak, men ikke tatt opp ved universitetet, skal slettes senest ett år etter det opprinnelige opptaket/vurderingen ble foretatt. Forvaltningsopplysninger, det vil si opplysninger om studentens generelle studiekompetanse og opplysninger i forbindelse med søknadsalternativene, kan lagres ut over ett år selv om personen ikke blir tatt opp til studier ved universitetet. Opplysninger om at en student er blitt utestengt fra institusjonen, skal slettes når utestegningsperioden er over. Opplysninger om studentens navn, fødselsnummer, eksamenresultater, studenthistorikk og oppnådde grader skal ikke slettes. Med studenthistorikk menes her opplysninger om semesterregistreringer og hvilke eksamener studenten har meldt seg opp til. FS-administrator ved Avdeling for utdanning skal hvert semester foreta sletting i tråd med ovennevnte retningslinjer. 12. Sikkerhet og risikovurdering FS brukere har et selvstendig ansvar for sikring av at datamaskiner og passord er i tråd med retningslinjene i punkt 7.1.2 i Informasjonssikkerhet ved Universitetet i Tromsø. Rutiner for behandling av studentopplysninger forvaltes av Avdeling for utdanning og skal revideres minst hvert tredje år. For å sikre at informasjonssikkerhet ivaretas på en tilfredsstillende måte, skal Avdeling for utdanning minst hvert tredje år foreta en risikovurdering av behandlingen av studentopplysninger. Side187 Vedlegg D til “Informasjonssikkerhet ved Universitetet i Tromsø” Arkivref. 2010/2582 side 1 av 5 Side188 side 2 av 5 Side189 side 3 av 5 Side190 side 4 av 5 Side191 side 5 av 5 Side192 RUTINER for behandling av personopplysninger i forsknings- og studentprosjekter ved Universitetet i Tromsø ” Vedlegg E til “Informasjonssikkerhet ved Universitetet i Tromsø Fastsatt av: Dato: Universitetsdirektøren 11.2.2005 Ansvarlig enhet: Avdeling for forskning og utviklingsarbeid Kode: (AFU) Sist endret av: Dato: Universitetsdirektøren 20.4.2012 Erstatter: Versjon av 14.6.2011 Arkivref.: 2010/2582-17 Hjemmel: Pkt. 1.5 i Instruks for behandling av personopplysninger ved Universitetet i Tromsø 1. Virkeområde og definisjoner Disse rutinene gjelder for alle forsknings- og studentprosjekter ved Universitetet i Tromsø som innbefatter behandling av personopplysninger helt eller delvis med elektroniske hjelpemidler. Definisjoner: Personopplysninger: Opplysninger som direkte eller indirekte kan identifisere en person. Direkte personidentifiserende opplysninger er navn, personnummer eller andre personlige kjennetegn. Indirekte personidentifiserende opplysninger er bakgrunnsopplysninger som kan gjøre det mulig å spore opplysningene tilbake til en enkeltperson, for eksempel bostedskommune eller institusjonstilknytning kombinert med opplysninger om alder, kjønn, yrke, nasjonalitet, etc. Behandling av personopplysninger: Enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter. Behandlingsansvarlig: Universitetsdirektøren, jf. instruksen pkt. 1. Daglig ansvarlig: Den personen som har det daglige ansvaret for oppfylling av pliktene som den behandlingsansvarlige har, jf. instruksen pkt. 1. Enhet: Fakultet, TMU eller senter. Instruksen: Instruks for behandling av personopplysninger ved Universitetet i Tromsø. Respondent: En som har svart på en undersøkelse/som er undersøkt. 2. Ansvar Prosjektleder for det enkelte forskningsprosjekt er daglig ansvarlig. Ved tvil avgjør enheten hvem som skal ha det daglige ansvaret. Daglig ansvarlig for studentprosjekter (også ph.d.-prosjekter) er oppnevnt faglig veileder. Den aktuelle enheten må sørge for etablering av gode rutiner slik at de prosjektene som skal meldes inn blir meldt. 483795.DOCX Side193 Side 1 of 4 3. Melding til personvernombud Meldeplikten til Datatilsynet, jf. pkt 9 i instruksen, er erstattet av meldeplikt til personvernombud. Personvernombud for prosjekter som ikke faller inn under helseforskningsloven Norsk samfunnsvitenskapelig datatjeneste (NSD) er personvernombud for forsknings- og studentprosjekter som gjennomføres helt eller delvis ved Universitetet i Tromsø og som ikke faller inn under helseforskningsloven. Planene for behandling av personopplysninger må være godkjent før prosjektet settes i gang. Den daglig ansvarlige skal så snart som mulig, og senest 30 dager før behandlingen av personopplysningene tar til, melde prosjektet. Meldeskjema og veiledning til det finnes på NSDs internettsider: http://www.nsd.uib.no/personvern/ Prosjekter som faller inn under helseforskningsloven Regionale komiteer for medisinsk og helsefaglig forskningsetikk (REK) er personvernombud for forsknings- og studentprosjekter som faller inn under helseforskningsloven og som gjennomføres helt eller delvis ved Universitetet i Tromsø. Planene for behandling av personopplysninger må være godkjent før prosjektet settes i gang. Daglig ansvarlig skal melde prosjektet så snart som mulig. Meldeskjema med veiledning og informasjon om behandlingstid finnes på REKs internettsider: http://helseforskning.etikkom.no/ikbViewer/page/forside?lan=2 4. Informasjon ved innsamling av personopplysninger Daglig ansvarlig skal sørge for at informasjon blir gitt til respondenten i samsvar med pkt. 3 i instruksen. 5. Innhenting av samtykke Daglig ansvarlig skal sørge for at samtykke blir innhentet fra respondenten i samsvar med pkt. 4 i instruksen. 6. Behandling av innsynsforespørsler Alle forespørsler om hva slags behandling av personopplysninger universitetet foretar i forskningsog studentprosjekter, skal henvises til universitetsdirektøren ved Avdeling for forskning og utviklingsarbeid (AFU). Forespørslene behandles i samsvar med instruksen pkt 5. Henvendelser om innsyn skal besvares uten ugrunnet opphold og senest innen 30 dager fra den dagen henvendelsen kom inn. 7. Utlevering av personopplysninger Personopplysninger i forsknings- eller studentprosjektene må ikke utleveres til utenforstående. Utlevering kan likevel skje 1. som informert om ved innhenting av personopplysningene, 2. med samtykke fra respondenten, 3. med hjemmel i lov, eller forskrift gitt med hjemmel i lov. 8. Retting av mangelfulle personopplysninger Personer som behandler personopplysninger i forsknings- eller studentprosjekter som blir kjent med at det er registrert personopplysninger i prosjektet som er uriktige, ufullstendige eller som det ikke er adgang til å behandle, skal av eget tiltak eller etter krav fra respondenten rette de mangelfulle opplysningene i samsvar med pkt 6 i instruksen. Dersom den som oppdager slike feil ikke er autorisert til å utføre rettingene, skal feilen meldes til brukere som er autorisert for det. 483795.DOCX Side194 Side 2 of 4 Henvendelser fra respondenten om retting skal besvares uten ugrunnet opphold og senest innen 30 dager fra den dagen henvendelsen kom inn. 9. Lagring og sletting av personopplysninger Det skal ikke lagres personopplysninger i forsknings- eller studentprosjekter lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Daglig ansvarlig skal sørge for at opplysningene blir slettet. Personopplysninger kan lagres ved universitetet ut over dette for vitenskapelige formål, dersom samfunnets interesse i at opplysningene lagres klart overstiger de ulempene den kan medføre for den enkelte respondent. Slik beslutning skal treffes av universitetsdirektøren etter forslag fra daglig ansvarlig for behandlingen. Dersom slik lagring besluttes, skal universitetsdirektøren sørge for at opplysningene ikke oppbevares på en måte som gjør det mulig å identifisere respondenten lenger enn nødvendig. Personopplysninger kan etter søknad fra den daglig ansvarlige lagres hos NSD. Personopplysninger ved alle prosjekter som er støttet av Norges forskningsråd, skal lagres hos NSD. Daglig ansvarlig skal informere universitetsdirektøren skriftlig når personopplysningene er slettet eller overført til NSD. 10. Risikovurdering Universitetsdirektøren skal holde oversikt over alle forsknings- og studentprosjekter hvor det behandles personopplysninger. Enheten skal årlig risikovurdere minst 5 % av sine pågående forsknings- og studentprosjekter. I risikovurderingen skal det klarlegges om sikkerhetskravene i punkt 11 er oppfylt, og sannsynlighet for og konsekvensen av sikkerhetsbrudd skal vurderes. Risikovurderingen skal foretas av en gruppe nedsatt av administrativ leder av enheten. Minst en forsker og en med IKT-kunnskaper skal være med i gruppen. Universitetet har fastsatt kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger i dokumentet ”Informasjonssikkerhet ved Universitetet i Tromsø” punkt 1.1 Sikkerhetsmål. Disse kriteriene skal benyttes som et grunnlag for risikovurderingen. Resultatet av risikovurderingen skal dokumenteres og kopi sendes universitetsdirektøren og den daglig ansvarlige for prosjektet. 11. Sikkerhetskrav Ved elektronisk behandling av personopplysninger i forsknings- og studentprosjekter, som Universitetet i Tromsø er behandlingsansvarlig for, skal universitetets IT-ressurser benyttes så langt det er mulig. Direkte personidentifiserbare opplysninger skal ikke lagres elektronisk. Personopplysninger skal avidentifiseres. Direkte personidentifiserbare opplysninger kan unntaksvis lagres elektronisk på universitetets filserver når dette er klart nødvendig ut fra formålet med behandlingen. Kodeliste, eller annet materiale som kan brukes til å identifisere personene, skal ikke lagres på samme maskin eller filserver. Hvis private maskiner blir benyttet, skal data lagres i kryptert form slik at ingen andre har tilgang til dataene. Alle maskiner, deriblant hjemme- og bærbare maskiner, som skal brukes i behandlingen av personopplysningene skal være beskyttet med relevante sikkerhetsmekanismer, herunder blant annet antivirus, brannmur og system for jevnlige oppdateringer. 483795.DOCX Side195 Side 3 of 4 Den som er daglig ansvarlig er ansvarlig for at det blir tatt jevnlig sikkerhetskopi, backup, av datamaterialet. Ved bruk av bærbar pc og eksterne lagringsmedier må brukeren være aktsom i forhold til oppbevaring og frakt av utstyret for å minimalisere risikoen for tyveri og skader. Med eksterne lagringsmedier menes minnepinner, CD-/DVD-er, eksterne harddisker, kameraer og lignende. Dersom opplysningene skal behandles elektronisk ved ekstern virksomhet, skal den som er daglig ansvarlig informere virksomheten om behandlingen og påse at virksomheten oppfyller kravene til informasjonssikkerhet etter personopplysningsloven § 13 og kan dokumentere sitt informasjonssystem og sikkerhetstiltakene. Privat e-postadresse skal ikke brukes i korrespondanse vedrørende prosjektet. Universitetet vil etter risikovurdering kunne stille ytterligere sikkerhetskrav til det enkelte prosjekt. 12. Internkontrollrutiner Avdeling for forskning og utviklingsarbeid (AFU) skal ha ansvaret for revisjon av universitets internkontrollsystem for behandling av personopplysninger i forsknings- og studentprosjekter ved Universitetet i Tromsø, herunder kontrollere ledelsens valg av rutiner og etterlevelsen av rutinene. NSDs system og register over forsknings- og studentprosjekter og REK Nords register skal brukes som et grunnlag i dette arbeidet. En utpekt tilsatt ved AFU med egen særskilt fullmakt, skal være oppnevnt som kontaktperson overfor NSD og ha ansvaret for å gi informasjon til universitetets forskere og studenter om personvernlovgivningen, melde- og konsesjonsplikt, ordningen med personvernombud, ordningen med arkivering av persondata etter prosjektslutt og universitetets rutiner for behandling av personopplysninger i forsknings- og studentprosjekter. AFU skal årlig foreta kontroll av et utvalg av pågående forsknings- og studentprosjekter som er meldt til NSD og REK Nord. Formålet med kontrollen er å se om behandlingen av personopplysningene skjer i henhold til universitetets retningslinjer, som opplyst om i melding til NSD, i henhold til eventuelle konsesjonsvilkår og avdelingens eventuelle anbefalte spesielle sikkerhetsrutiner for prosjektet. Når prosjektet er avsluttet skal AFU kontrollere om personopplysningene har blitt slettet eller overført til lagring, jf. punkt 9. AFU skal evaluere internkontrollsystemet minst hvert tredje år. 483795.DOCX Side196 Side 4 of 4 1 Systemlandskap ved UiT (vedtatt av ASF 21.09.2010) Bygg og eiendom Side197 System NSM adgangskotroll (Tidligere Securimaster) Beskrivelse/Funksjon Adgangskontrollanlegg for alle bygg på Campus og Tromsø Museum Leverandør Niscayah as Driftes av ITA/UiT Systemeier Bygg- og eiendomsdirektør Kommentar Securimaster adgangskontroll Adgangskontrollanlegg Mellomveien og Strandveien. Niscayah as ITA/UiT Bygg- og eiendomsdirektør Planlegges oppgradert og innfaset i NSM adgangskontroll i løpet av våren 2010 Nøkkelbanken Nøkkelhåndteringssystem med persondatabase for alle nøkkelinnehavere Administrasjon av elektroniske nøkler på Teorifagbygget, driftssentralen og adm. bygget. Database med persondata for alle nøkkelinnehavere. Adgangskontrollanlegg på Strandveien, innvendige dører. Planlegges utfaset i løpet av 2010. BEA/UiT Bygg- og eiendomsdirektør Bygg- og eiendomsdirektør TrioVing SNAP TrioVing adgangskontroll SALTO adgangskontroll Off-line adgangskontroll som skal samkjøres med NSM Låsgruppen/TrioVing ITA/UiT Låsgruppen/ TrioVing ITA/UiT Bygg- og eiendomsdirektør Møller Undall/ Norsk Nøkkel ITA/UiT Bygg- og eiendomsdirektør 2 System TAC-Vista Sentral Driftskontroll (SDanlegg) Beskrivelse/Funksjon Universitetets styrings- og overvåkingssystem for byggkontroll - vann, varme, sanitær, ventilasjon og lignende Leverandør TAC Driftes av BEA/ITA/UiT Systemeier Bygg- og eiendomsdirektør Plania Aktivitetsstyring, areal- og branndokumentasjon, renholdsstyring Grafisk visning og betjeneing av brannalarmsystem. Plania ITA/UiT ELTEK ? Detec ITV Videoovervåkning Niscayah as ? Siemens ITV (ex-HiTø anlegg) Videoovervåkning Bravida ? Al-Tel alarmsendere Brann- og innbruddsvarsling Securinett BEA Parkeringskortløsning Administrasjon av universitetets parkingspolicy for ansatte, studenter og gjester. ITA/UiT ITA/UiT Bygg- og eiendomsdirektør Bygg- og eiendomsdirektør Bygg- og eiendomsdirektør Bygg- og eiendomsdirektør Bygg- og eiendomsdirektør Bygg- og eiendomsdirektør Eltek FireWin Kommentar ITA drifter servere. BEA drifter applikasjon. Side198 3 Utdanning System FS (prod, test og kurs) StudentWeb (FS, FS kursbase, FS Unis) Side199 SøknadsWeb (FS, FS kursbase, FS Unis) EVUWeb (FS, FS kursbase, FS Unis) EpN (FS) FagpersonWeb FS-Coversheet Syllabus Beskrivelse/Funksjon Studentadministrativt system Leverandør USIT, UiO Driftes av UiT/ITA Systemeier Utdanningsdirektør Utdanningsdirektør Webapplikasjon knyttet til FS, selvbetjening for adresseendring, melding til undervisning/eksamen, semesterregistrering, innsyn i resultater, innsyn i data sendt til Lånekassen. Webapplikasjon knyttet til FS, selvbetjeningssystem for søknad om opptak til studier. Webapplikasjon knyttet til FS, selvbetjeningssystem for påmelding til etterutdanningskurs og til videreutdanning. Webapplikasjon knyttet til FS, oppretting, nedlegging av emner, samt vedlikehold av emnebeskrivelser, inkl. godkjenning ved sekvensiell arbeidsflyt. Ikke foreløpig i bruk. USIT, UiO UiT/ITA USIT, UiO UiT/ITA Utdanningsdirektør USIT, UiO UiT/ITA Utdanningsdirektør USIT,UiO USIT, UiO Utdanningsdirektør USIT/UiO UiT/ITA Produksjon av forsider som benyttes ved scanning av vitnemålsrelevant søknadsdokumentasjon slik at dokumentene legges i søkerens dokumentarkiv i FS. Timeplanlegging og rombooking. UiT UiT/ITA Utdanningsdirektør Utdanningsdirektør Scientia UiT/ITA Utdannings- Kommentar Overført fra NTNU til USIT/UiO. Programvaren er laget ved UiT. 4 System Beskrivelse/Funksjon Leverandør Driftes av Søknadsweb utenlandske søkere Webapplikasjon for søknad om studieplass for søkere uten 11-sifret fødselsnummer. Programvaren er laget ved UiT. Design og produksjonssystem for studentkort. Ble benyttet ved Høgskolen i Tromsø. Benyttes fortsatt for generering av løpenummer i en bestemt serie. Follow-me-løsning for tidligere studenter ved Høgskolen i Tromsø. Knyttet til data fra ID-works. UiT/UiO UiT/ITA Datacard Group Kjell Arnesen AS ID-Works Kopi/printsystem Side200 Aqua Datastudio Oracle XE/APEX Questback Spesiell tilrettelegging LIST Produksjon av egenutviklede datauttrekk fra FS. Produksjon og distribusjon internt av egenutviklede datauttrekk fra FS for kvalitetskontroll, dataeksport for spesielle formål, samt utarbeidelse av kravspesifikasjoner overfor USIT. Primært for studentevalueringer (spørreskjema). Svaksynte studenter får tilgang til programvare hos fakultetene. Webapplikasjon med ledelsesinformasjon og statistikk, data hentes fra FS. Systemeier direktør Utdanningsdirektør Kommentar UiT/ITA Utdanningsdirektør Skal fases ut så snart som mulig, helst i løpet av våren 2010. UiT/ITA Utdanningsdirektør Skal fases ut og erstattes av evt. nytt system som vil gjelde for hele organisasjonen. Forankres hos ITA. UiT/ITA Utdanningsdirektør Utdanningsdirektør Oracle UiT/ITA Questback UiT/ITA USIT USIT Utdanningsdirektør Utdanningsdirektør Utdanningsdirektør Funksjonalitet skal overtas av Søknadsweb (FS). Systemeierskap og ansvar? UTA sjekker opp. 5 Økonomi System Agresso Økonomi Beskrivelse/Funksjon Økonomisystemet Leverandør Agresso Driftes av UiT/ITA Agresso Budget Manager (ABM) BFS System for budsjettoppfølging Agresso UiT/ITA Bestillings- og fakturahåndteringssystem Skanning av faktura Agresso UiT/ITA (ReadSoft/Kodak gjennom) Agresso Riksrevisjonen UiT/ITA ITA UiT/ITA Agresso UiT/ITA Leverandør USIT/UiO Driftes av USIT/UiO Fakturaskanning Tomas Side201 Økonomirapporter på Web Agresso Batch Input Formatter Programpakke for levering av transaksjonsdata til Riksrevisjonen Nettspørring på Økonimidata Excel tillegg UiT/ITA Systemeier Økonomidirektør Økonomidirektør Økonomidirektør Økonomidirektør Økonomidirektør Kommentar Fases ut 2011 til ekstern leverandør Økonomidirektør Økonomidirektør Forskning og utviklingsarbeid System Frida Beskrivelse/Funksjon Forskningsresultater, informasjon og dokumentasjon av vitenskapelige aktiviteter Systemeier Forskningsdirektør Kommentar 6 Personal og organisasjon Side202 System Paga Beskrivelse/Funksjon Lønns- og personalsystem Leverandør Bluegarden AS Driftes av Bluegarden AS PagaWeb Webportalen til Paga Bluegarden AS Bluegarden AS SLP4 Lønns- og personalsystem (frem til 31.03.09) Bluegarden AS ITA SystemX ePhorte Registering av gjester++ Elektronisk arkiv- og saksbehandlingssystem. Saksbehandling, dokumentproduksjon og elektronisk arkivering iht. arkivforskriften Elektronisk arkiv- og saksbehandlingssystem. Saksbehandling, dokumentproduksjon og elektronisk arkivering iht. arkivforskriften Rolle- og autorisasjonssystem ITA Ergo Group AS ITA ITA Software Innovation Database med sikkerhetsdatablad DocuLive SystemY? Fleksitid, avspaserings-tid overtid/reisetid? Chess Systemeier Personal- og Organisasjonsdirektør Personal- og Organisasjonsdirektør Personal- og Organisasjonsdirektør IT-direktør Personal- og Organisasjonsdirektør Kommentar ITA Personal- og Organisasjonsdirektør Konvertering til historisk base i ePhorte i 2010 ? ? ? ? Trenger gjennomgang/forankring Trenger gjennomgang/forankring Bureau Veritas Norway AS ErgoGroup AS ? Personal- og Organisasjonsdirektør Personal- og Organisasjonsdirektør Historiske data som delvis er konvertert inn i Paga Trenger revisjon 7 System ChessWeb Jobbadmin.no Arbeidstakerregister over eksponerte arbeidstakere Beskrivelse/Funksjon Webportalen til sikkerhetsdatablad, risikomodul, historisk modul og rapportmodul Webportal for administrasjon av søkere til stillinger ved Uit Leverandør Bureau Veritas Norway AS Driftes av ErgoGroup AS Jobbnorge.no Jobbnorge.no Register over arbeidstakere eksponert for visse helseskadelige forhold. Pålagt fra Arbeidstilsynet Side203 Systemeier Personal- og Organisasjonsdirektør Personal- og Organisasjonsdirektør Personal- og Organisasjonsdirektør Kommentar Kommentar Studieemner, program-, kull- og undervisningsrom med tilhørende studenter/lærere fra FS via BAS Fullt integrert i Fronter. Under anskaffelse/etablering Uvett System Fronter Beskrivelse/Funksjon Læringsplattform (LMS) for UiT. Leverandør Fronter as Driftes av Fronter / USIT Systemeier Daglig leder UVETT Creaza Et internettbasert verktøy for produksjon av multimedia (Cartoonist, Mindomo, MovieEditor og AudioEditor) Creaza Fronter / Creaza Daglig leder UVETT Ephorus – Plagiatkontroll Et verktøy som undersøker graden av samsvar mellom Ephorus, Nederland Ephorus Daglig leder UVETT Fullt integrert med innleveringsmapper i Fronter. 8 Side204 System Beskrivelse/Funksjon tekster. Leverandør Driftes av Systemeier Kommentar Elluminate Live Program som gir fagmiljøene muligheter til å gi sanntids (”her og nå”) undervisning fra sin PC ved blant annet å kunne dele skjermbilder, vise video av deltakerne og snakke sammen ved hjelp av IP telefoni. Elluminate Elluminate Daglig leder UVETT Elluminate Live er fullt integrert i Fronter. Mediasite WebTV Produksjonsenhet / server for webTV-produksjon. U-vett administrerer nettsted for Tele- og videokonferanse og Web TV tjenester for Universitetet i Tromsø Sonicfoundry Avikom as Avikom as Avikom as Daglig leder UVETT Daglig leder UVETT Har pr i dag 1300 webTVproduksjoner i basen se http://uit.meeting.no/ Portal for videokonferanse Kommunikasjons- og samfunnskontakt System IknowBase (UiT.no) Beskrivelse/Funksjon UiTs Internettportal Leverandør Evita Driftes av UiT/ITA Intranettløsning Intranett for UiT ? UiT/ITA Cumulus Bildedatabase Imentor UiT/ITA Systemeier Kommentar Kommunikasjonsdirektør Kommunikasjons- Leverandør og system er ikke valgt. direktør Kommunikasjonsdirektør 9 Tromsø museum System FotoStation Beskrivelse/Funksjon Lagring /gjenfinning av bilder, film osv. Leverandør FotoWare Driftes av TMU Systemeier Kommentar Museumsdirektør Side205 10 Universitetsbiblioteket System Munin/iPortal Septentrio Academic Publishing Side206 Bibsys Ofelaš (lokalt navn) Arkitekturguiden for Nord-Norge og Svalbard Beskrivelse/Funksjon Benytter systemet DSpace for lagring og distribusjon av vitenskapelige resultater og høyere grads studentarbeider. iPortal er en egen instans av DSpace som omfatter det lukka innleveringssystemet for mastergradsoppgaver og dr.avhandlinger Infrastruktur for publisering av digitale tidsskrift (utgivelse). Benytter systemet Open Journal System. Katalogiserings og beholdningsadminstrasjon av fysiske og elektroniske biblioteksressurser Søkeportal med fullteksttilgang til ektroniske ressurser i abonnement. Basissystem er MetaLib og SFX. Inneholder bilder og beskrivelser om byggverk og landskapsarbeider i Nordland, Troms, Finnmark og på Svalbard. Bygger på systemet 4Images. Leverandør Opensource/ DuraSpace/ Universitetsbiblioteket Driftes av Systemeier Univ. Bibl./IFU Biblioteksdirektør Kommentar Opensource/Public Knowledge Project/ Universitetsbiblioteket Univ.bibl./IFU Biblioteksdirektør Bibsys Bibsys Biblioteksdirektør Nytt system planlagt tatt i bruk i 2012 ExLibris USIT/UB Biblioteksdirektør Systemene MetaLib og SFX er fellesinstallasjon for UiO, UiB NTNU og UiT Opensource/ 4homepages.de/ Universitetsbiblioteket Univ. Bibl./IFU Biblioteksdirektør 1 Klassifikasjon av informasjonsaktiva ved UiT (vedtatt av ASF 23.09.2010) Personal og organisasjon Informasjonsaktiva Funksjon/beskrivelse Lagres i Opplysninger om stilling, lønn, skatt, bankkonto og reiser Opplysninger om Familieopplysninger tilsattes nærmeste pårørende og barn Opplysninger om Fraværsopplysninger fravær, eksl. sykefravær Opplysninger om Fraværsopplysninger sykefravær, krav og mottak av sykepengerefusjoner fra NAV Fagforeningstilhørighet Fagforeningstilhørighet og fagforeningstrekk Saksbehandling og Personopplysninger dokumentasjon av personlige forhold om søkere, ansatte og studenter Saksbehandling og Helseopplysninger dokumentasjon av ansatte og studenters rettigheter under Lønns- og stillingsopplysninger Side207 Generell rangering for UiT Kritisk Tilgjengelig- Konfidensialitet het Integritet Kommentar Kritisk Personinformasjon Kritisk bilag i papirarkiv Paga Kritisk Kritisk Personinformasjon Kritisk Paga Kritisk Kritisk Personinformasjon Kritisk Paga og Agresso Kritisk Kritisk Sensitiv personinformasjon Kritisk Paga og Agresso ePhorte DocuLive Kritisk Kritisk Kritisk Kritisk Kritisk Sensitiv personinformasjon Personopplysninger ePhorte DocuLive Kritisk Kritisk Sensitive personopplysninger Kritisk Paga og Agresso Kritisk bilag i papirarkiv bilag i papirarkiv bilag i papirarkiv Eldre materiale på papir Eldre materiale på papir 2 Informasjonsaktiva Disiplinære forhold Annet arkivmateriale Side208 Risikovurderinger Curriculum Vitae (CV) Funksjon/beskrivelse Lagres i sykdom, vedtak om dispensasjon/fritak o.a. Saksbehandling og dokumentasjon av ansatte og studenters av straffbare forhold og disiplinære forhold iht. U&H-loven Saksbehandling og dokumentasjon av korrespondanse med eksterne og interne aktører, utredninger, reglementer, møtebøker, avtaler, kontrakter m.m. Register over eksponerte arbeidstakere Utdanning, yrkeskarriere, personopplysninger, nasjonalitet Generell rangering for UiT Tilgjengelig- Konfidensialitet het Integritet Kommentar ePhorte DocuLive Kritisk Kritisk Sensitive personopplysninger Kritisk Eldre materiale på papir ePhorte DocuLive Kritisk Kritisk Øvrig informasjon. Kritisk Firmahemmeligheter. Eldre materiale også på papir. Ikke avgjort hvor opplysninger skal lagres. Viktig Viktig Sensitive personopplysninger Kritisk Under etablering. Inneholder muligens helseopplysninger. Oppretting meldt Datatilsynet Jobbadmin.no Viktig ephorte Viktig Sensitiv personopplysninger Kritisk 3 Økonomi Informasjonsaktiva Funksjon/beskrivelse Lagres i Regnskapsopplysninger – personer Side209 Regnskapsopplysninger – personer Regnskapsopplysninger –øvrige Økonomimodell Kundeopplysninger – personer Kundeopplysninger –øvrige Leverandøropplysninger – personer Generell rangering for UiT Kritisk Tilgjengelig- Konfidensialitet het Integritet Kritisk Sensitive Kritisk personopplysninger Opplysninger fra Paga Agresso (og Paga) Kritisk Kritisk Personinformasjon Kritisk Opplysninger fra Paga Opplysninger om mottak av sykepengerefusjoner fra NAV. Opplysninger om fagforeningstrekk og andre trekk Opplysninger om lønn, skatt, bankkonto og reiser Alle transaksjonsdetaljer Agresso (og Paga) Agresso Kritisk Kritisk Øvrig informasjon Kritisk Alle dimensjoner/ dimensjonstrær, regler og relasjoner Kundereskontro (adresse) Agresso Kritisk Kritisk Øvrig informasjon Kritisk Agresso Viktig Viktig Personinformasjon Kritisk Kundereskontro Agresso Viktig Viktig Øvrig informasjon Kritisk Leverandørreskontro, leverandøropplysninger (f.nr. bankkonto, adresse) Agresso Kritisk Kritisk Personinformasjon Kritisk Kommentar Enkelte opplysninger fra Paga 4 Informasjonsaktiva Funksjon/beskrivelse Lagres i Leverandøropplysninger – øvrige Anleggsregister Leverandørreskontro, leverandøropplysninger Agresso Generell rangering for UiT Kritisk Informasjon om utstyr m.m. Agresso Viktig Tilgjengelig- Konfidensialitet het Integritet Kritisk Øvrig informasjon Kritisk Viktig Øvrig informasjon Viktig Kommentar Side210 5 Forskning og utvikling Informasjonsaktiva Funksjon/beskrivelse Lagres i Metadata om og oversikt over vitenskapelig publisering. Forskningsformidling Oversikt over forskningsformidling Kompetansekatalog Informasjon om forskere med presentasjon av/oversikt over forskere Oversikt over Informasjon om forskningsprosjekter forskningsprosjekter ved institusjon/enhet. Oversikt over Omformasjon om forskningsenheter – forskningsenheter ved grupper, sentre, institusjon. institutter etc. Informasjon om omfang Informasjon om forskermobilitet av inn-/utgående mobilitet + oversikt over land og institusjoner som forskerne har hatt oppholdt ved. Oversikt over FoUInformasjon til årsrapportering terminer, priser, Vitenskapelige publikasjoner Side211 Tilgjengelig- Konfidenhet sialitet Integritet Kommentar Frida Generell rangering for UiT Kritisk Viktig Øvrig informasjon Viktig Data rapporteres til DBH Frida Viktig Ikke viktig Ikke viktig Frida Viktig Ikke viktig Øvrig informasjon Øvrig informasjon Frida Viktig Ikke viktig Øvrig informasjon Ikke viktig Frida Viktig Ikke viktig Øvrig informasjon Ikke viktig Frida Viktig Viktig Øvrig informasjon Viktig Frida Viktig Ikke viktig Øvrig informasjon Ikke viktig Ikke viktig Data rapporteres til DBH 6 Informasjonsaktiva Funksjon/beskrivelse Lagres i Generell rangering for UiT Tilgjengelig- Konfidenhet sialitet Integritet Kommentar arrangementer etc. Bygg og eiendom Informasjonsaktiva Side212 Tilgangsopplysninger Tilgangsopplysninger Tilgangsopplysninger Tilgangsopplysninger Tilgangsopplysninger Tilgangsopplysninger Aktivitetsstyring Internkontroll Funksjon/beskrivelse Lagres i Generell rangering for UiT Adgangskontroll NSM Viktig Adgangskontroll Securimaster(Hitø) Viktig Adgangskontroll TrioVing Viktig Access(Hitø) Adgangskontroll ?(Kunstfag) Viktig Elektronisk nøkkelsystem TrioVing SNAP Viktig Nøkkelhåndteringssystem Nøkkelbanken Ikke viktig Tilgjengelig- Konfidenhet sialitet Aktivitetsstyring, drift og renhold Internkontroll, branndokumentasjon Integritet Viktig Viktig Viktig Personinformasjon Viktig? Personinformasjon Viktig? Personinformasjon Viktig? Viktig Viktig Ikke viktig Personinformasjon Viktig? Personinformasjon Viktig? Personinformasjon Viktig? Plania Ikke viktig Viktig Personinformasjon Plania Viktig Viktig Personinformasjon Kommentar Må vurderes nærmere Må vurderes nærmere Må vurderes nærmere 7 Utdanning Informasjonsaktiva Informasjon om studenters studiesituasjon Funksjon/beskrivelse Lagres Generell Tilgjenge- Konfideni rangering lighet sialitet for UiT FS Kritisk Kritisk Integritet Kommentar PersonKritisk informasjon Side213 Gjelder: -oppnådde grader/kvalifikasjoner. studenters startår/termin, kulltilhørighet, datointervall for studierett, studierettstatus og studentstatus-undervisning, undervisningsmeldinger, undervisningstimeplandata semesterregistrering (registerkort) - karakterutskrift, vitnemål og diploma supplement, kursbevis vurderings/eksamensmeldinger - Studentkortopplysninger Utdanningsplan inkl. bekreftelse av planens del 1 og del 2 - Vurderings/eksamensresultater 8 Informasjonsaktiva Funksjon/beskrivelse Lagres Generell Tilgjenge- Konfideni rangering lighet sialitet for UiT Integritet Kommentar Side214 Logg som viser endringer i eksamens/ vurderingsprotokoll og eksamens/ vurderingsmeldinger FS Kritisk Kritisk Personinfor masjon Kritisk Opplysninger om en persons søknad om opptak til studier, inkl. søknadsalternativer, hvorvidt personen er kvalifisert eller ikke, poengsummer, vitnemål fra videregående skole, kontaktinformasjon i søknadsperioden Opplysninger som gjelder fakura for semesteravgift (og SAIHstøtte) og hvorvidt dette er betalt (fakturareskontro) Basisinformasjon om personer FS Kritisk Kritisk Personinfor masjon Kritisk FS Kritisk Kritisk Personinfor masjon Kritisk FS Kritisk Kritisk Personinfor masjon Kritisk (tabell VURDKOMBPROTLOGG, oppretting, sletting, endring, resultater, endring av resultater inkl. årsakskode) - (tabell VURDKOMBMELDLOGG, oppretting, sletting, endring, resultater oppnådd) (studenter, søkere, fagpersoner): fødselsnummer, navn, adresse, epostadresse, telefonnr. 9 Informasjonsaktiva Funksjon/beskrivelse Lagres Generell Tilgjenge- Konfideni rangering lighet sialitet for UiT Integritet Kommentar FS Kritisk Kritisk Personinfor masjon Kritisk FS Viktig Kritisk Personinfor masjon Kritisk Søknad om godkjenning av utdanning fra annen norsk eller utenlandsk institusjon, samt konklusjonene av søknadsbehandlingen Søknad om utvekslingsopphold FS Kritisk Viktig Personinfor masjon Kritisk FS Kritisk Viktig Personinfor masjon Kritisk Side215 Informasjon om den enkelte saksbehandler i systemet og dennes tilganger Logg som viser endringer i protokoll som gjelder oppnådde grader/kvalifikasjoner og utdanningsplaner Gjelder tabell OPPNADD_GRAD_PROT_LOGG (Oppretting, sletting, endring/sletting av resultat, vitnemålsdato) og UTDPLANLOGG (oppretting, sletting, endring, studentstatus, studierettsdatointervall, undervisnings- og vurderingsinfo i utdanningsplan, eksterneksamen, kulltilhørighet, studieretning, emne i utdanningsplan) 10 Informasjonsaktiva Funksjon/beskrivelse Lagres Generell Tilgjenge- Konfideni rangering lighet sialitet for UiT Integritet Kommentar Dokumentarkiv for studenter og søkere inneholder utgående brev og eposter, samt innscannet vitnemålsrelevant dokumentasjon innhentet i forbindelse med opptaksarbeidet Side216 FS Viktig Viktig Personinfor masjon Kritisk Informasjon om studenters studiesituasjon FS Viktig Viktig Personinfor masjon Kritisk Gjelder informasjon om hvorvidt en student har permisjon fra et gitt studieprogram og studenters klage på vurdering/ eksamensresultat (sensur) og resultatet av klagen Logg som viser endringer i ulike tabeller FS Viktig Viktig Personinfor masjon Kritisk tabell TABELLENDRINGSLOGG (tabell, endringstype, datostempel, bruker som har foretatt endring og fødselsnummer for person endringen gjelder) og tabell GODKJSAKLOGG (Oppretting, sletting, endringer av sakstype, sakstatus og vekting godkjent) 11 Informasjonsaktiva Funksjon/beskrivelse Lagres Generell Tilgjenge- Konfideni rangering lighet sialitet for UiT Integritet Kommentar Side217 Logg som viser endringer i undervisningsmelding FS Ikke viktig Viktig Personinfor masjon Kritisk Logging som viser endringer av datafeltet Status_betalt for fakturadetaljer (FAKTURALOGG) Informasjon om bygning/rom FS Ikke viktig Ikke viktig Personinfor masjon Kritisk Brukes ved FS administrasjon av eksamen og undervisning Grunnlag for mye FS utdanningsadministrasjo n samt emne- og studieprogramkataloger på nett FS Kritisk Kritisk Øvrig Kritisk informasjon Kritisk Kritisk Øvrig Kritisk informasjon Kritisk Viktig FS Viktig Viktig Øvrig Viktig informasjon Øvrig Viktig informasjon FS Viktig Viktig Informasjon om emner, studieprogrammer, kvalifiaksjoner og vurderingsordninger Informasjon om timeplaner Informasjon om kurs (ikke studiepoenggivende) Logg som viser endringer i vurderingsenhet Øvrig Kritisk informasjon (tabell UNDMELDINGLOGG, oppretting, endring, kvalifisert, tilbud, svar på tilbud, partiplassering, prioritet) (tabell VURDKOMBENHETLOGG, oppretting, sletting, endring, tid, form og varighet på eksamen/vurdering, frister) 12 Informasjonsaktiva Funksjon/beskrivelse Lagres Generell Tilgjenge- Konfideni rangering lighet sialitet for UiT Integritet Kommentar Side218 Logg som viser endringer i sentrale data om studieprogrammer og i sentrale emnedata og data om vurderingskombinasjoner FS Ikke viktig Viktig Øvrig Kritisk informasjon Opplysninger om at en person er utestengt fra adgang til eksamen Informasjon om en student har krav på særlig tilrettelegging under eksamen/studiet Opplysning om at en person er død FS Kritisk Kritisk FS Kritisk Viktig FS Ikke viktig Viktig Grenser mot Kritisk sensitiv informasjon Grenser mot Kritisk sensitiv personinfor masjon Grenser mot Kritisk sensitiv informasjon Hindrer utsending av post/epost, samt at vedkommende listes i rapporter tabell STUDIEPROGRAMLOGG (opprettinger, slettinger, endringer av sted, navn, studium, egenfinansieringsandel, heltidsandel, vekting) og tabell EMNELOGG (opprettinger, slettinger, endringer som gjelder vurderingsordninger, knytning til studieprogram, knytning til sted, navn på emne og vurdering) 13 Universitetsbiblioteket Informasjonsaktiva Funksjon/beskrivelse Lagres i Side219 Generell rangering for UiT Kritisk Tilgjengelig- Konfidenhet sialitet Integritet Kommentar Kritisk Øvrig informasjon Kritisk Kritisk Godkjente avhandlinger eksporteres til Munin Godkjente oppgaver som kan gjøres åpent tilgjengelig blir eksportert til Munin Doktorgradsavhandlinger Innleveringssystem for – innlevering til avhandlinger og bedømming saksbehandling frem til avsluttet disputas Mastergradsoppgaver – Innleveringssystem for eksamensinnlevering mastergradsoppgaver og saksbehandling frem til avsluttet evaluering iPortalMunin iPortalMunin Kritisk Kritisk Informasjon om saksbehandlere i innleveringssystemet iPortalMunin Kritisk Kritisk Øvrig informasjon, men kan være sensitiv (oppgaver som skal klausuleres av hensyn til personvern eller andre forhold) Øvrig informasjon Munin Viktig Viktig Øvrig informasjon Kritisk Munin Viktig Viktig Øvrig informasjon Kritisk Mastergradsoppgaver Navn på saksbehandlere ved institutt/fakultet og på UB, og hvilke rettigheter de har i systemet Metadata om oppgaven og selve oppgaven i fulltekst Doktorgradsavhandlinger Metadata om Kritisk Data leveres til/høstes av nasjonale og internasjonale meta-arkiv Data leveres 14 Informasjonsaktiva Funksjon/beskrivelse Lagres i Generell rangering for UiT Tilgjengelig- Konfidenhet sialitet Integritet avhandlingen og selve avhandlingen i fulltekst Side220 Vitenskapelige publikasjoner Metadata om publikasjonen og selve publikasjonen i fulltekst Munin Viktig Viktig Øvrig informasjon Viktig Tidsskriftsartikler Infrastruktur for publisering av artikler i digitale tidsskrifter, forfatteropplysninger, metadata om artikkel og selve artikkelen i fulltekst Navn, adresse, fnr., epostadr., tlf.nr., tilhørighet/enhet, kategori (ansatt, student/ laveregradsstud.) Utlånte objekter, bestillinger, purringer, misligholdte lån Bibliotekkatalog med opplysninger om alle objekter som inngår i samlingene Septentrio Viktig Academic Publishing Viktig Øvrig informasjon Kritisk BIBSYS Viktig Viktig Personinformasjon Kritisk BIBSYS Viktig Viktig Sensitiv Kritisk personinformasjon BIBSYS Viktig Viktig Øvrig informasjon Basisinformasjon om lånetaker Lånetakerstatus Beholdningsdata Viktig Kommentar til/høstes av nasjonale og internasjonale meta-arkiv Data leveres til/høstes av nasjonale og internasjonale meta-arkiv Data leveres til/høstes av nasjonale og internasjonale meta-arkiv Informasjon fra FS for studentene Opplysningene deles med andre BIBSYS-bibliotek 15 Informasjonsaktiva Funksjon/beskrivelse Lagres i Leverandøropplysninger og prisinformasjon Spesielt for tidsskrifter med historisk og fremtidig prisinformasjon Litteraturbudsjettet fordelt på det enkelte fag eller faggruppe og regnskapstall på samme nivå for litteraturkjøp Inneholder informasjon om alle elektroniske ressurser i abonnement Budsjett og regnskapstall for litteratur på fagkategorier Beholdningsdata – elektroniske ressurser Integritet Viktig Øvrig informasjon Viktig BIBSYS Viktig Viktig Øvrig informasjon Viktig Aggregert budsjett og regnskap i Agresso Ofelaš Viktig Viktig Øvrig informasjon Viktig Opplysningene deles med UiO, UiB og NTNU og eksporteres til bibliotekkatalogen Side221 Tilgjengelig- Konfidenhet sialitet BIBSYS Generell rangering for UiT Viktig Kommentar Beskrivelse av feltene Informasjonsaktivai Funksjon/beskrivelse Lagres i i Generell rangering for UiTii Tilgjengelighetiii Konfidensialitetiv Informasjon som er knyttet til spesifikk arbeidsprosess og som skiller seg fra annen informasjon ut fra klassifisering. Integritetv Kommentar 16 ii Vurder på generelt grunnlagt viktigheten av informasjon er for den daglige av driften av UiT. (Kritisk, Viktig, Ikke viktig). iii Vurder viktigheten av at informasjon er tilgjengelig, herunder konsekvens av nedetid/utilgjengelighet. (Kritisk, Viktig, Ikke viktig) iv Vurder viktigheten av at kun personell som er autorisert har tilgang til informasjonsaktiva. (Sensitiv personinformasjon, Personinformasjon, Firmahemmeligheter, Øvrig informasjon) v Vurder viktigheten av at informasjonaktiva er korrekt, at kun autorisert personell har tilgang til å gjøre endringer, samt behov for logging av slik endring. (Kritisk, Viktig, Ikke viktig). Side222 Vedlegg 7.2.9 Prosedyre for bestilling av leverandørkonto og fjerntilgang Noen systemer ved UiT har leverandøravtaler som forutsetter tilgang til UiTs systemer. Når avtaler om slik tilgang blir gjort skal følgende punkter avklares: Ved tilgang fra ekstern leverandør skal behovet for tilgang spesifiseres. Bruk av systemet utover spesifisert behov anses som avtalebrudd. Leverandøren må dokumentere tilfredsstillende sikkerhetstiltak. Kun autorisert personell fra leverandør skal gis tilgang. Disse skal være forhåndsgodkjent og den enkelte gis tilgang ved bruk av en unik tilpasset bruker-id. Avdeling for IT har ansvaret for å gi bruker-id til disse. Hvis ekstern leverandør har tilgang til system som behandler konfidensielle og/eller interne opplysninger, jf. styringssystemet for informasjonssikkerhet pkt. 2.1, skal det kreves taushetserklæring fra de som skal ha tilgang. Ekstern tilgang skal kun skje ved VPN-tilkobling basert på forhåndsutvekslet krypteringsnøkkel eller sertifikat. Der det er mulig skal dette gjøres via en terminalserver. Avdeling for IT åpner porter i egen brannmur/aksessliste for nødvendig administrasjonsverktøy iht. avtale med leverandøren. Avdeling for IT må sikre at tilgangen fjernes når den ikke lenger er nødvendig. Side223 Vedlegg 7.2.10 Prosedyre for taushetsplikt og taushetserklæring Alle ansatte ved UiT er omfattet av Lov om behandlingsmåten i forvaltningssaker (fvl.), og taushetsplikten er beskrevet i lovens § 13 som lyder slik: «Enhver som utfører tjeneste eller arbeid for et forvaltningsorgan, plikter å hindre at andre får adgang eller kjennskap til det han i forbindelse med tjenesten eller arbeidet får vite om: 1) noens personlige forhold, eller 2) tekniske innretninger og fremgangsmåter samt drifts- eller forretningsforhold som det vil være av konkurransemessig betydning å hemmeligholde av hensyn til den som opplysningen angår. Som personlige forhold regnes ikke fødested, fødselsdato og personnummer, statsborgerforhold, sivilstand, yrke, bopel og arbeidssted, med mindre slike opplysninger røper et klientforhold eller andre forhold som må anses som personlige. Kongen kan ellers gi nærmere forskrifter om hvilke opplysninger som skal reknes som personlige, om hvilke organer som kan gi privatpersoner opplysninger som nevnt i punktumet foran og opplysninger om den enkeltes personlige status for øvrig, samt om vilkårene for å gi slike opplysninger. Taushetsplikten gjelder også etter at vedkommende har avsluttet tjenesten eller arbeidet. Han kan heller ikke utnytte opplysninger som nevnt i denne paragraf i egen virksomhet eller i tjeneste eller arbeid for andre.» Etter § 13 plikter tjenestemenn ikke bare å selv bevare taushet, men må også sørge for at taushetsbelagte opplysninger ikke gjøres kjent, eller tilgjengelig, for andre. Utover lovbestemt taushetsplikt vil også beskyttelse av UiTs forretningshemmeligheter være omfattet av ansattes ulovfestede lojalitetsplikt. Det samme vil også kunne gjelde samarbeidspartneres forretningshemmeligheter. Utlevering av opplysninger om kundeforhold, tekniske innretninger og forretningshemmeligheter til uvedkommende vil utgjøre et brudd på ansattes lojalitetsplikt. Med forretningshemmeligheter menes blant annet opplysninger om tekniske forhold, innretninger og kundeopplysninger. Brudd på taushetsplikt vil være et pliktbrudd og en tjenesteforsømmelse, og vil kunne medføre tjenestemessig reaksjon fra arbeidsgivers side. Advarsel/tjenstlig tilrettevisning vil kunne være aktuelt. Strengere reaksjoner etter tjenestemannsloven §§ 14 og 15 vil også kunne bli vurdert. Brudd på taushetsplikt er også straffbart etter straffeloven § 121. Utlevering av forretningshemmeligheter kan også rammes av straffeloven § 294 nr. 2. Utlevering av forretningshemmeligheter vil også kunne gi grunnlag for erstatningsansvar både for den enkelte ansatte personlig eller mot arbeidsgiver. En skriftlig bekreftelse av taushetsplikten er ikke nødvendig, da taushetsplikten følger av lov og av lojalitetsplikten. Rutinemessig informasjon om taushetsplikt og dens omfang er mer hensiktsmessig enn en skriftlig erklæring som underskriver og arkiveres. Det er seksjonsledere og linjelederes ansvar at de ansatte informeres regelmessig om taushetsplikten og dens omfang på de enkelte områder. Side224 Vedlegg 7.2.11 Prosedyre for fysisk sikring, tilgangskontroll og systemanskaffelser Fysisk sikring og adgangskontroll All adgang til driftsutstyr1 skal være sikret på en slik måte at kun autorisert personell får adgang til slikt utstyr. Tilgang til driftsutstyr skal gjennomgås periodisk. Utstyret skal vernes mot misbruk, tyveri og skade. Avdeling for IT har ansvaret for sikring av driftsutstyr. Serverrom skal ha system for varsling av innbrudd. Systemet skal varsle vaktsentral. Adgang til serverrom skal registreres. Det skal til enhver tid finnes en oversikt hvem som har adgang til serverrommene. Eksterne parter/leverandører som skal ha tilgang skal registreres med navn, leverandør, oppdragsbeskrivelse og servicemedarbeidernes signatur. På kritiske steder som datarom/maskinhall skal det være brann- og røykvarslingssystem, og temperatur- og fuktighetsfølere med spesifiserte nivåer for utløsning av alarm. Brukertilgang til IT-systemer Brukere skal ha nødvendige tilganger for å utføre sitt virke ved UiT. UiTs retningslinjer for bruk av IT-ressurser skal leses og aksepteres ved tildeling av ITbrukerkonto. Pålogging til IT-systemer skal kreve at brukeren identifiserer seg med tildelt brukernavn og passord. Unntatt fra dette kan være publikumsterminaler, undervisningsrom o.l. Ved slike løsninger skal det være iverksatt sikkerhetstiltak som hindrer misbruk av systemene. Sikkerhetstiltakene skal baseres på en risikovurdering. Systemeier skal ha oversikt over hvem som til enhver tid har hvilke tilganger. Avdeling for IT skal i tillegg ha oversikt over tilganger til systemer som Avdeling for IT spesielt har ansvar for2. Tilgangene skal slettes når tilknytningen til UiT opphører. Systemanskaffelser, utvikling og vedlikehold Ved anskaffelser av nye systemer skal det utpekes en systemeier. Systemeier skal i samråd med Avdeling for IT utforme krav til sikkerhet som skal inngå i kravspesifikasjonen. Det skal alltid gjennomføres en risikoanalyse for å definere kravene til sikkerhet. Ved anskaffelse av nye systemer skal Avdeling for IT også bistå systemeier i å vurdere leverandørens løsningsforslag i forhold til kravspesifikasjonen. Ansvaret for å vedlikeholde systemets integritet skal tillegges systemeier og leverandør av systemet. Avdeling for IT har ansvar for at drift av systemet skjer etter systemeiers og leverandørens anvisning og anbefalinger. Det skal være streng kontroll med gjennomføring av endringer for å begrense forringelse av informasjonssystemene. 1 2 Med driftsutstyr menes serverrom, koblingssteder, fordelere o.l. Med systemer menes her databaser, servere, nettverksutstyr o.l. Side225 Rutine for søknad om overføring av personopplysninger fra FS, Paga og System X til andre datasystemer. Ifølge instruks for behandling av personopplysninger skal behandlingsansvarlig pkt. 2.1 sørge for at personopplysningene som behandles a) bare behandles når dette er tillatt etter personopplysningsloven §§ 8 og 9, b) bare nyttes til uttrykkelig angitte formål som er saklig begrunnet i universitetets virksomhet, c) ikke brukes senere til formål som er uforenelig med det opprinnelige formålet med innsamlingen, uten at den registrerte samtykker, d) er tilstrekkelige og relevante for formålet med behandlingen, og e) er korrekte og oppdatert, og ikke lagres lenger enn det som er nødvendig ut fra formålet med behandlingen. Universitetsdirektøren er behandlingsansvarlig og har det overordnede ansvaret for at behandling av personopplysninger skjer i samsvar med personopplysningsloven og personopplysningsforskriften. Utdanningsdirektøren har det daglige ansvaret for at pliktene som personopplysningsloven tillegger behandlingsansvarlig er oppfylt for den administrative behandlingen av studentopplysninger som skjer ved UIT Norges arktiske universitet. Utdanningsdirektøren er systemeier for Felles studentsystem, FS. Personal- og organisasjonsdirektøren har det daglige ansvaret for at pliktene som personopplysningsloven tillegger behandlingsansvarlig er oppfylt for den administrative behandlingen av personalopplysninger, opplysninger om gjester og andre eksterne medarbeidere som skjer ved UIT Norges arktiske universitet. Personal- og organisasjonsdirektøren er systemeier for Lønns- og personalsystemet, Paga og System X. Før personopplysninger overføres til andre datasystemer må systemeier godkjenne overføringen etter søknad. Dette gjelder også ved endringer i tidligere godkjente overføringer og ved endringer i formålet til datasystemet som personopplysningene overføres til. Søknad om overføring av personopplysninger fra FS, Paga og System X rettes til de respektive systemeiere. Søknaden registreres som egen sak i sakarkivsystemet med benevnelsen: Søknad om overføring av personopplysninger fra <system> til <system>. Systemeier må vurdere søknaden opp mot vilkårene knyttet til lov om behandling av personopplysninger (personopplysningsloven) og universitetets sikkerhetsmål og sikkerhetsstrategi, jf. Informasjonssikkerhet ved Universitetet i Tromsø, pkt 1.1 og 1. 2. I I tillegg må systemeier foreta en risikovurdering før overføring av personopplysninger kan godkjennes. Side226 Søknaden om overføring av personopplysninger må inneholde følgende informasjon: 1. En beskrivelse av formålet som datasystemet er ment å dekke. 2. En vurdering av grunnlaget for behandling av personopplysninger i datasystemet, jf. personopplysningsloven § 8. 3. En beskrivelse av datasystemet som personopplysningene søkes overført til. Dersom datasystemet driftes av ekstern leverandør må det inngås en databehandleravtale med den eksterne leverandøren før personopplysningene overføres. 4. Hvem er systemeier? 5. Hvem skal ha tilgang til datasystemet? Beskriv hvilken gruppe/funksjoner som skal ha tilgang til datasystemet, eks interne/eksterne brukere og omtrentlig antall brukere. 6. En beskrivelse av tilgangsstrukturen. 7. Rutine for tilgang/avgang for brukere av datasystemet. 8. Hvilke personopplysninger søkes overført til datasystemet? Det overordnede i forbindelse med overføring av personopplysninger fra FS, Paga og System X er å begrense risikoen så mye som mulig. Utvalget av informasjon knyttet til den enkelte person må derfor begrenses til det som er nødvendig i forhold til formålet med datasystemet. Det må også vurderes om fødselsnummer kan erstattes med ansattnummer, brukerid eller lignende. Søknaden må inneholde en begrunnelse for utvalget. 9. Hvilket utvalg personer søkes overført til personregisteret? Med utgangspunkt i de samme hensyn som ligger i nr. 8 må utvalget av personer som søkes overført begrenses til det som er nødvendig i forhold til formålet med datasystemet. 10. En beskrivelse om hvordan sikring av konfidensialitet, integritet og tilgjengelighet blir ivaretatt, se personopplysningsforskriften §§ 2-11, 2-12 og 2-13. 11. En risikovurdering av datasystemet som personopplysningene skal overføres til. 12. Informasjon om prosedyrene for retting og sletting av personopplysningene i datasystemet. Side227 Side228 Vedlegg 7.3 Mal for ROS-vurdering (risiko- og sårbarhetsvurdering) Formålet med ROS-vurderingen er å kartlegge hvilke trusler som eksisterer i universitetets systemer som inneholder personopplysninger. ROS-vurderingen ved UiT ble gjennomført våren 2012. Vurderingen ble avgrenset til systemene ePhorte, FS, Agresso og Paga, som alle inneholder personopplysninger. Begreper som benyttes Akseptabel risiko: Det risikonivået virksomheten er villig til å akseptere Autentisering: Bevis for at en person er den man utgir seg for å være Autorisasjon: Tillatelse til å utføre visse oppgaver eller få tilgang til bestemte informasjonsressurser Behandlingsansvarlig: Den som formelt er ansvarlig for hvordan informasjon behandles og forvaltes i henhold til lover og forskrifter Integritet: At informasjonen og informasjonsbehandlingen er korrekt og fullstendig, og et resultat av autoriserte aktiviteter Konfidensialitet: At informasjonen bare er tilgjengelig for de som er autorisert Konsekvens: Mulig følge av en hendelse Kritisitet (kritikalitet): Relativ viktighet av informasjonen eller informasjonssystemet basert på hvor stor skade som kan oppstå ved brudd på konfidensialitet, integritet eller tilgjengelighet Personopplysninger: Opplysninger og vurderinger som kan knyttes til en enkeltperson, jf. Personopplysningsloven Risiko: En funksjon av sannsynligheten for at en hendelse skal inntreffe, og den forventede skadevirkning (konsekvens) hendelsen kan medføre Risikoanalyse: Systematisk bruk av informasjon for å identifisere kilder og anslå risiko Risikoevaluering: Prosess for å sammenligne anslått risiko med risikokriterier for å bestemme risikoens betydning Risikovurdering: Samlet prosess som består av risikoanalyse og risikoevaluering Risikostyring: Koordinerte aktiviteter for å styre og kontrollere en virksomhet med hensyn til risiko Side229 Risikohåndtering: Prosess for å velge og å iverksette tiltak som skal endre risiko Sårbarhet: Et uttrykk for de svakheter og mangler som finnes i systemet, og som kan øke sannsynligheten for at en hendelse inntreffer Tilgjengelighet: At informasjonen eller systemet er tilgjengelig til riktig tid og i riktig format Trussel: Potensiell årsak til en uønsket hendelse som kan skade Metodikk Når en analyse skal gjøres på tvers av organisasjon og fagmiljøer er det viktig å bruke en klar metodikk for å sikre konsistens i resultatene. En sentral del av metodikken for ROS-analyser, slik anbefalt fra UNINETT, er en konsistent bruk av en matrise som vurderer sannsynlighet, konsekvens og akseptabelt nivå på faktoren for disse. Den valgte metoden følger fem steg: Steg 1 er å identifisere hvilke systemer som inneholder personopplysninger og sensitive personopplysninger, inklusive hjemmel og omfang. Steg 2 er å identifisere hvilken skadevirkning UiT frykter. For UiT formål ble det valgt “skadet omdømme, renommé og tillit. Steg 3 er å bestemme hvor grensen mellom betydelig og utydelig skade skal trekkes. Dette avhenger blant annet av organisasjonens økonomiske bæreevne, størrelse, virksomhetens art, og regulatoriske krav for bransjen. Skalaen som ble benyttet er gjengitt under steg 5. Steg 4 er å vurdere hva slags hendelser som kan føre til de identifiserte skadevirkningene og hvor alvorlige konsekvensene kan bli. Skadevirkningene vurderes innenfor rimelighetens grenser for å få et nøkternt og realistisk bilde av risikoen. Konfidensialitet, integritet og tilgjengelighet vurderes, og det settes en karakter fra 1-4. (1=lav sannsynlighet, 2=moderat sannsynlighet, 3=høy sannsynlighet, 4=svært høy sannsynlighet). Steg 5 er å vurdere sannsynligheten for at skadevirkningene skal vise seg. Sannsynlighet kvantifiseres ved å anslå hvor ofte en bestemt hendelse forventes inntreffe. Side230 Sannsynlighetsmatrise Frekvens Letthet Motivering Lav sannsynligher (1) Moderat sannsynlighet (2) Hendelser som kan inntreffe 1 Hendelser som kan inntreffe 1 gang pr 5 år eller sjeldnere gang pr 2 år eller sjeldnere For brann: hvert 50. år eller For brann: hvert 10. år eller sjeldnere. sjeldnere Sikkerhetstiltak er etablert i Sikkerhetstiltak er etablert i forhold til sikkerhetsbehovet og forhold til sikkerhetsbehovet og fungerer etter hensikten. Tiltakene fungerer etter hensikten. Tiltakene kan kun omgås/brytes av egne kan likevel omgås/brytes av egne medarbeidere med gode ressurser, medarbeidere med små til normale og god/fullstendig kjennskap til ressurser, som i tillegg har normal tiltakene. Utenforstående kan ikke kjennskap til tiltakene. omgå/bryte tiltakene. Utenforstående trenger gode ressurser, og god/fullstendig kjennskap til tiltakene for å omgå/bryte disse. Høy sannsynlighet (3) Svært høy sannsynlighet (4) Hendelser som kan inntreffe flere Hendelser som kan inntreffe flere ganger pr. år ganger pr. halvår. For brann: årlig eller sjeldnere For brann: flere ganger pr. år. Sikkerhetstiltak er ikke fullt etablert, eller fungerer ikke etter hensikten. Egne medarbeidere trenger kun små til normale ressurser for å omgå/bryte tiltakene, og det er ikke nødvendig med forutgående kjennskap til tiltakene. Utenforstående trenger små til normale ressurser, samt normal kjennskap til tiltakene, f.eks. hvilke rutiner som gjelder eller hvordan sikkerhetsteknologi er implementert. Sikkerhetstiltak er ikke etablert, eller kan omgås/brytes av egne medarbeidere og utenforstående med små til normale ressurser. Det er ikke nødvendig med forutgående kjennskap til tiltakene Sikkerhetsbrudd kan kun skje ved at egne medarbeidere opptrer med overlegg og har spesiell kompetanse eller kunnskap. Utenforstående må ha spisskompetanse og et samarbeid med personer i virksomheten Sikkerhetsbrudd kan skje ved uaktsomhet av egne medarbeidere. Utenforstående må ha noe kompetanse, og forsettelig (bevisst eller aktivt) gå inn for å bryte sikkerhetstiltakene. Sikkerhetsbrudd kan skje ved uaktsomhet (ubevisst eller uten forsett) av egne medarbeidere eller utenforstående. Det er ikke nødvendig med spesielle kunnskaper om interne forhold. Sikkerhetsbrudd kan skje ved at egne medarbeidere opptrer med forsett og har en viss kompetanse. Utenforstående må opptre med overlegg og noe kunnskap om interne forhold (med hensikt og plan, eksempelvis ved at flere tiltak brytes i riktig rekkefølge) for å omgå/bryte sikkerhetstiltakene Konsekvensmatrise, vedtatt under workshop Konsekvensmatrise for personvern og virksomhetskritisitet Konfidensialitet Ubetydelig (1) Ingen uautorisert innsyn i ikke sensitive personopplysninger der konfidensialitet er nødvendig. Alvorlig (3) Katastrofal (4) Uautorisert innsyn i ikke sensitive personopplysninger eller personopplysninger der konfidensialitet er nødvendig. Uautorisert innsyn i enkelte sensitive personopplysninger eller personopplysninger der konfidensialitet er nødvendig. Fullt uautorisert innsyn i alle sensitive personopplysninger eller personopplysninger der konfidensialitet er nødvendig. Brudd på lov. Brudd på lov. Brudd på lov. I forhold til enkeltpersoner En eller få kan få innsyn Mange kan få innsyn der konfidensialitet er nødvendig. Hele/deler registeret avdekket på fakultets-/avdelingsnivå Integritet Journal/ nedtegnelser er tilnærmet komplett Tilgjengjelighet Moderat (2) Systembrudd er uvesentlig. Utfall 1 dag (studentregistrering /eksamen 1-2 timer) Noen mangler i Journal/ nedtegnelser Hele registeret avdekket på institusjonsnivå Viktig informasjon mangler i journal/ Kritisk informasjon mangler i journal/ nedtegnelser nedtegnelser og brudd på lov. Mulighet for endring av personopplysninger Registeret har tapt integritet for enkeltperson. Mulighet for endring av enkelte sensitive personopplysninger eller personopplysninger der integritet er nødvendig. Systembrudd kan føre til skade dersom reservesystem ikke fins. Utfall opptil 5 dager. (studentregistrering /eksamen = 2 t). System settes ut av drift opptil 14 System settes ut av drift mer enn 4 dager uker (studentregistrering /eksamen = 5 t) (studentregistrering /eksamen = 1 dag) Side231 Mulighet for omfattende uautorisert endring av alle sensitive personopplysninger eller personopplysninger der integritet er nødvendig. I vurderingen av risiko for de enkelte systemer foretas en gjennomgang av tenkelige hendelser knyttet til disse, og hver enkelt hendelse vurderes med en score for sannsynlighet og en score for konsekvens jf. tabellene ovenfor. Hver tenkte hendelse vurderes i forhold til konfidensialitet (K), integritet (I) og tilgjengelighet (T) og score for hver av disse multipliseres og gis en sum som representerer risikonivået. Risikonivået er rangert etter følgende prinsipper: - Grønn/akseptabel risiko: Gul/evalueres: Rød/uakseptabel risiko: 1-3 4-6 8-16 Eksempel: Aksepttabell Konsekvens Liten/ ubetydelig(1) Stor/ alvorlig (3) Katastrofal/Svært alvorlig (4) Hendelse 1 Høy (3) Hendelse 3 Høy risiko Sannsynlighet Svært høy (4) Moderat/ mindre alvorlig (2) Moderat (2) Lav (1) Hendelse 2 Lav risiko Middels risiko Score for hver enkelt tenkte hendelse avgjør følgelig hvor i aksepttabellen hendelsen rangeres. I dette eksempelet må det utarbeides tiltak for hendelse 3 og hendelse 1 må evalueres nærmere. Side232 Avtaleskisse– databehandleravtale etter helseregisterloven (NB – gjelder i hovedsak helse/forskning) Databehandleravtale I henhold til helseregisterlovens § 16, jf. § 18 og personopplysningsforskriftens kapittel 2. mellom …………………………. databehandlingsansvarlig og …………………………. databehandler Side233 1. Avtalens hensikt Avtalens hensikt er å regulere rettigheter og plikter etter Lov av 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger (helseregisterloven) og forskrift av 15. desember 2000 nr. 1265 (personopplysningsforskriften). Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende. Avtalen regulerer databehandlers bruk av personopplysninger på vegne av den databehandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse. 2. Formål Her skal det redegjøres for formålet med databehandleravtalen. Herunder: hvilke personopplysninger som skal behandles hvilke behandlinger som omfattes av avtalen hva som er rammene for databehandlers håndtering av personopplysninger 3. Databehandlers plikter Databehandler skal følge de rutiner og instrukser for behandlingen som databehandlingsansvarlig til enhver tid har bestemt skal gjelde. Databehandler plikter å gi databehandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå, slik at databehandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift. Databehandlingsansvarlig har, med mindre annet er avtalt eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette. Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør. 4. Bruk av underleverandør Dersom databehandler benytter seg av underleverandør eller andre som ikke normalt er ansatt hos databehandler skal dette avtales skriftlig med databehandlingsansvarlige før behandlingen av personopplysninger starter. Avtale med underleverandører En slik avtale bør gjøres som et tillegg til denne avtalen. Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse. Side234 5. Sikkerhet Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven og personopplysningsforskriften, herunder særlig helseregisterlovens §§ 16 – 18 og personopplysningsforskriftens kap. 2 og 3. Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på databehandlingsansvarliges forespørsel. Avviksmelding etter personopplysningsforskriftens § 2-6 skal skje ved at databehandler melder avviket til databehandlingsansvarlig. Databehandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet. 6. Sikkerhetsrevisjoner Databehandlingsansvarlig skal avtale med databehandler at det gjennomføres sikkerhetsrevisjoner jevnlig for systemer og lignende som omfattes av denne avtalen. Revisjon Revisjonen kan omfatte gjennomgang av rutiner, stikkprøvekontroller, mer omfattende stedlige kontroller og andre egnede kontrolltiltak. 7. Avtalens varighet Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av databehandlingsansvarlig. eller avtalen gjelder til ______________ Ved brudd på denne avtale eller personopplysningsloven kan databehandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning Avtalen kan sies opp av begge parter med en gjensidig frist på ______, jf. punkt 8 i denne avtalen. 8. Ved opphør Ved opphør av denne avtalen plikter databehandler å tilbakelevere alle personopplysninger som er mottatt på vegne av den databehandlingsansvarlige og som omfattes av denne avtalen. Tilbakelevering Videre kan det avtales at det skal gis en utskrift og kopi av alt innhold i databaser og lignende med data som er omfattet. Kostnader ved dette, eller om opplysningene skal leveres i et særskilt format, kan også inngå i en slik avtale. Side235 Det skal avtales at databehandler skal slette eller forsvarlig destruere alle dokumenter, data, disketter, cd-er mv, som inneholder opplysninger som omfattes av avtalen. Dette gjelder også for eventuelle sikkerhetskopier. Avtalen bør spesifisere på hvilken måte sletting og/eller destruksjon skal skje etter avtalens opphør. Databehandler skal skriftlig dokumentere at sletting og eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør. 9. Meddelelser Meddelelser etter denne avtalen skal sendes skriftlig til: ___________ 10. Lovvalg og verneting Avtalen er underlagt norsk rett og partene vedtar XXXXXX tingrett som verneting. Dette gjelder også etter opphør av avtalen. Valg av verneting kan avtales *** Denne avtale er i 2 – to eksemplarer, hvorav partene har hvert sitt. Sted og dato Databehandlingsansvarlig Databehandler ……………………….. ……………………… (underskrift) (underskrift) Side236 Avtaleskisse – databehandleravtale etter personopplysningsloven NB: Les veilederen på www.datatilsynet.no/databehandler Databehandleravtale I henhold til personopplysningslovens § 13, jf. § 15 og personopplysningsforskriftens kapittel 2. mellom …………………………. behandlingsansvarlig og …………………………. databehandler Side237 1. Avtalens hensikt Avtalens hensikt er å regulere rettigheter og plikter etter Lov av 14. april 2000 nr. 31om behandling av personopplysninger (personopplysningsloven) og forskrift av 15. desember 2000 nr. 1265 (personopplysningsforskriften). Avtalen skal sikre at personopplysninger om de registrerte ikke brukes urettmessig eller kommer uberettigede i hende. Avtalen regulerer databehandlers bruk av personopplysninger på vegne av den behandlingsansvarlige, herunder innsamling, registrering, sammenstilling, lagring, utlevering eller kombinasjoner av disse. 2. Formål Her skal det redegjøres for formålet med databehandleravtalen. Herunder: hvilke personopplysninger som skal behandles hvilke behandlinger som omfattes av avtalen hva som er rammene for databehandlers håndtering av personopplysninger 3. Databehandlers plikter Databehandler skal følge de rutiner og instrukser for behandlingen som behandlingsansvarlig til enhver tid har bestemt skal gjelde. Databehandler plikter å gi behandlingsansvarlig tilgang til sin sikkerhetsdokumentasjon, og bistå, slik at behandlingsansvarlig kan ivareta sitt eget ansvar etter lov og forskrift. Behandlingsansvarlig har, med mindre annet er avtale eller følger av lov, rett til tilgang til og innsyn i personopplysningene som behandles og systemene som benyttes til dette formål. Databehandler plikter å gi nødvendig bistand til dette. Databehandler har taushetsplikt om dokumentasjon og personopplysninger som vedkommende får tilgang til iht. denne avtalen. Denne bestemmelsen gjelder også etter avtalens opphør. 4. Bruk av underleverandør Dersom databehandler benytter seg av underleverandør eller andre som ikke normalt er ansatt hos databehandler skal dette avtales skriftlig med behandlingsansvarlige før behandlingen av personopplysninger starter. Avtale med underleverandører En slik avtale bør gjøres som et tillegg til denne avtalen. Samtlige som på vegne av databehandler utfører oppdrag der bruk av de aktuelle personopplysningene inngår, skal være kjent med databehandlers avtalemessige og lovmessige forpliktelser og oppfylle vilkårene etter disse. Side238 5. Sikkerhet Databehandler skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven og personopplysningsforskriften, herunder særlig personopplysningslovens §§ 13 – 15 med forskrifter. Databehandler skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene. Dokumentasjonen skal være tilgjengelig på behandlingsansvarliges forespørsel. Avviksmelding etter personopplysningsforskriftens § 2-6 skal skje ved at databehandler melder avviket til behandlingsansvarlig. Behandlingsansvarlig har ansvaret for at avviksmelding sendes Datatilsynet. 6. Sikkerhetsrevisjoner Behandlingsansvarlig skal avtale med databehandler at det gjennomføres sikkerhetsrevisjoner jevnlig for systemer og lignende som omfattes av denne avtalen. Revisjon Revisjonen kan omfatte gjennomgang av rutiner, stikkprøvekontroller, mer omfattende stedlige kontroller og andre egnede kontrolltiltak. 7. Avtalens varighet Avtalen gjelder så lenge databehandler behandler personopplysninger på vegne av behandlingsansvarlig. eller avtalen gjelder til ______________ Ved brudd på denne avtale eller personopplysningsloven kan behandlingsansvarlig pålegge databehandler å stoppe den videre behandlingen av opplysningene med øyeblikkelig virkning Avtalen kan sies opp av begge parter med en gjensidig frist på ______, jf. punkt 8 i denne avtalen. 8. Ved opphør Ved opphør av denne avtalen plikter databehandler å tilbakelevere alle personopplysninger som er mottatt på vegne av den behandlingsansvarlige og som omfattes av denne avtalen. Tilbakelevering Videre kan det avtales at det skal gis en utskrift og kopi av alt innhold i databaser og lignende med data som er omfattet. Kostnader ved dette, eller om opplysningene skal leveres i et særskilt format, kan også inngå i en slik avtale. Det skal avtales at databehandler skal slette eller forsvarlig destruere alle dokumenter, data, disketter, cd-er mv, som inneholder opplysninger som omfattes av avtalen. Dette gjelder også for eventuelle sikkerhetskopier. Side239 Avtalen bør spesifisere på hvilken måte sletting og/eller destruksjon skal skje etter avtalens opphør. Databehandler skal skriftlig dokumentere at sletting og eller destruksjon er foretatt i henhold til avtalen innen rimelig tid etter avtalens opphør. 9. Meddelelser Meddelelser etter denne avtalen skal sendes skriftlig til: ___________ 10. Lovvalg og verneting Avtalen er underlagt norsk rett og partene vedtar XXXXXX tingrett som verneting. Dette gjelder også etter opphør av avtalen. Valg av verneting kan avtales *** Denne avtale er i 2 – to eksemplarer, hvorav partene har hvert sitt. Sted og dato Behandlingsansvarlig Databehandler ……………………….. ……………………… (underskrift) (underskrift) Side240 Databehandleravtale og avtale om ekstern tilgang for underleverandør av UiT Norges Arktiske universitet (UiT) til UiTs nettverk for support og vedlikeholdsarbeid. I henhold til personopplysningslovens § 13, jf. § 15 og personopplysningsforskriftens kapittel 2. er det inngått avtale mellom UiT Norges arktiske universitet Behandlingsansvarlig OG (leverandør).. (org nr) Leverandør/databehandler (heretter referert til som Leverandøren). Databehandleravtele med underleverandør Side 1 av 4 Side241 1 BRUKSOMRÅDE FOR AVTALEN Formålet med avtalen er å beskrive ansvars- og myndighetsforhold overfor andre virksomheter som behandler personopplysninger på vegne av UiT. Databehandler skal ikke behandle personopplysninger på annen måte enn det som er skriftlig avtalt med Behandlingsansvarlig. Opplysningene skal heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse. Avtalen er utformet for å regulere ansvaret mellom UiT og Leverandøren ved ekstern tilgang, og skal være knyttet opp mot den support/vedlikeholdsavtale som er gjort mellom partene. Formålet med avtalen er, i tillegg til ovennevnte, å regulere Leverandørens bruk og sikring av personopplysninger som er stilt til dennes rådighet av UiT eller som Leverandøren får tilgang til via support/vedlikeholdsavtalen. Det skal fremgå klart dersom Leverandøren kan overlate personopplysninger til andre for oppbevaring, bearbeiding eller annet bruk. 2 VARIGHET OG OPPSIGELSE Avtalen trer i kraft ………………….. Avtalen fornyes deretter automatisk for ett år av gangen, med gjensidig rett for partene til å si opp med tre måneders skriftlig varsel før utløpet av hver periode. 3 DEFINISJONER Databehandlingsansvarlig: den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes, Databehandler: den som behandler personopplysninger på vegne av den behandlingsansvarlige. 4 PARTENES ANSVARSOMRÅDE UNDER LOV OM BEHANDLING AV PERSONOPPLYSNINGER MED FORSKRIFTER UiT er i henhold til Lov om behandling av personopplysninger (POL) å anse som behandlingsansvarlig, jfr. Lovens § 2 nr. 4. Den behandlingsansvarlige har ansvaret for å påse at krav, herunder krav til sikkerhet, som stilles i POL med forskrifter er oppfylt. Leverandøren skal følge de rutiner og instrukser for behandling av personopplysninger og tilgang som Behandlingsansvarlig til enhver tid har bestemt skal gjelde. Bilag 1 Leverandøren skal sikre at eventuelle personopplysninger stilt til rådighet av UiT holdes atskilt fra egne og andres materiale. Ved utløp av avtalen skal Leverandøren påse at eventuelle personopplysninger som er stilt til dennes disposisjon av UiT makuleres slik at opplysningene ikke kan gjenfinnes. I stedet for makulering kan Leverandøren levere tilbake alt utlevert/tilsendt materiale som omfatter person opplysninger tilbake til UiT. 5 SPESIFIKASJON AV FJERNTILGANG 5.1 KONTAKTPERSONER Følgende kontaktpersoner er oppnevnt i forbindelse med Leverandørens fjerntilgang til UiTs informasjonssystem: Kontaktpersoner ved administrative avvik: UiT: <navn og kontaktinformasjon> Databehandleravtele med underleverandør Side 2 av 4 Side242 For Leverandøren: <navn og kontaktinformasjon> Kontaktpersoner ved tekniske avvik: For UiT <navn og kontaktinformasjon> For Leverandøren: <navn og kontaktinformasjon> 5.2 LEVERANSE Metode for fjerntilgang og oversikt over de applikasjoner og systemer som skal nås av Leverandøren er spesifisert i Bilag 2 til denne kontrakten. For å gi Leverandøren fjerntilgang til ressursene beskrevet over skal personlige tilgangsrettigheter tildeles de av Leverandørens medarbeidere som skal gjennomføre leveransen/tjenesten. Leverandørens tilgangsrettigheter begrenses til kun å gjelde den applikasjon/system og tjenester som er beskrevet i support og vedlikeholdsavtalen. UiT skal til enhver tid ha oversikt over hvilke av Leverandørens medarbeidere som er gitt fjerntilgang. 5.3 PLIKTER Leverandøren skal iverksette rutiner for tilgangsautorisasjon og – styring som sikrer at de av Leverandørens medarbeidere som skal gjennomføre leveransen/tjenesten til enhver tid har riktig fjerntilgang. 6 TAUSHETSPLIKT Partene skal bevare taushet om alle konfidensielle opplysninger, noens personlige forhold, sikkerhetsmessige og forretningsmessige forhold, opplysninger som kan skade en av partene eller som kan utnyttes av utenforstående i næringsvirksomhet. Taushetsplikten gjelder partenes ansatte og andre som handler på partenes vegne i forbindelse med gjennomføring av kontrakten. Alle ansatte skal ha undertegnet taushetserklæring. Partene plikter å ta de forholdsregler som er nødvendig for å sikre at materiale eller opplysninger ikke blir gjort kjent for andre i strid med dette punktet. Punktet gjelder også etter at kontrakten er opphørt. Ansatte og andre som fratrer sin tjeneste hos en av partene skal pålegges taushet også etter fratredelse om forhold som nevnt ovenfor. 7 MISLIGHOLD Mislighold foreligger dersom en av partene ikke oppfyller sine plikter etter denne avtalen og dette ikke skyldes forhold som den andre parten har ansvaret for eller risikoen for. Dersom en av partene ønsker å påberope seg mislighold, skal dette meddeles den andre parten skriftlig uten ugrunnet opphold. 8 SANKSJONER VED MISLIGHOLD Ved mislighold kan den krenkende part holde tilbake sin motytelse, men ikke åpenbart mer enn det som synes påkrevd for å avhjelpe virkningene av misligholdet, og bare inntil forholdet er brakt i overensstemmelse med avtalen. Hvis det foreligger vesentlig mislighold, kan den andre parten – etter å ha gitt skriftlig varsel og rimelig frist til å bringe forholdet i orden – heve hele eller deler av avtalen med øyeblikkelig virkning og kreve erstatning for eventuelle tap dette har medført. Databehandleravtele med underleverandør Side 3 av 4 Side243 9 ANSVAR FOR UNDERLEVERANDØRER Dersom en av partene engasjerer utenforstående (underleverandører) til å utføre ytelser som følger av denne avtalen, er parten fullt ansvarlig for utførelsen av disse ytelsene på samme måte som om han selv stod for utførelsen. 10 RETTSVALG OG VERNETING Partenes rettigheter og plikter etter denne avtalen bestemmes i helhet av norsk rett. Eventuelle tvister som springer ut av denne avtalen skal behandles ved de ordinære domstoler. NordTroms tingsrett vedtas som verneting. 11 AVTALEENDRINGER Avtaleendringer mellom partene tas inn i Bilag3 12 BILAG Denne avtalen har 3 Bilag. Bilag 1 Instruks for leverandørtilgang Bilag 2 Bestilling leverandørkonto UiT og Taushetserklæring Bilag 3 Avtaleendring 13 UNDERTEGNING Denne avtalen er undertegnet i 2 – to – eksemplarer, hvorav hver av partene beholder 1 – ett – eksemplar. Tromsø, den _____________ ________________________ UiT _______________________ Leverandøren Databehandleravtele med underleverandør Side 4 av 4 Side244 Universitetsledelsen Arkivref: 2014/5237/ANP002 Dato: 03.02.2015 SAKSFRAMLEGG Til: Universitetsstyret Møtedato: 12.02.2015 Sak: 8/15 Årsrapport for 2014 om HMS ved UiT Norges arktiske universitet Innstilling til vedtak: 1. Universitetsstyret tar Årsrapport om HMS for 2014 til etterretning. 2. Universitetsstyret ber Universitetsdirektøren om å følge opp identifiserte utviklingsområder og iverksette nødvendige tiltak slik at universitetets mål for helse, miljø, sikkerhet og beredskap kan nås. 3. Alle fakulteter, TMU og UB bes om å behandle årsrapporten som egen sak i sine beslutningsorganer. Bakgrunn Universitetsdirektøren legger med dette frem årsrapport om helse-, miljø- og sikkerhetsarbeidet for 2014. Rapporten gir en oversikt over aktiviteter, utfordringer og tiltak innen HMS ved UiT. Rapporten skal bidra til å sikre kontinuerlig fokus på institusjonens arbeid med organisatorisk og psykososialt arbeidsmiljø, sikkerhet og beredskap, og miljøledelse. Rapporten er behandlet av Arbeidsmiljøutvalget i møtet 29. januar 2015. Det foregår mye godt helse-, miljø- og sikkerhetsarbeid (HMS-arbeid) ved Universitetet i Tromsø - Norges arktiske universitet (UiT). I 2014 har det blant annet vært arbeidet aktivt med å følge opp funn fra arbeids- og klimaundersøkelsen og å etablere samhold og treffpunkt i arbeidsmiljøet. Det legges til rette for medvirkning i HMS-arbeidet, og samarbeidet mellom leder og verneombud synes å fungere godt ved de fleste arbeidsstedene. Det er arrangert arbeidsmiljødag, og arbeidsmiljøprisen er utdelt for andre gang. Arbeidet med å videreutvikle universitetets beredskap er godt i gang, det er inngått ny avtale om bedriftshelsetjenester, og vernetjenesten har blitt gjennomgått og revidert. Funn fra tilsyn og revisjoner er fulgt opp i organisasjonen. Et godt HMSarbeid kan også være en del av forklaringen til at UiT samlet sett fortsatt har et lavt sykefravær. Det er også i 2014 registrert få HMS-relaterte avvik, skader og nestenulykker og ingen svært alvorlige hendelser med personskader. UiT vil i 2015 prøve ut elektronisk system for innmelding og behandling av HMS-avvik. Ansatte og studenter må fortsatt stimuleres til økt rapportering i forbindelse med HMS-relaterte avvik, skader og nestenulykker. Kvaliteten på rapportene fra fakultetene og enhetene på samme nivå er gjennomgående styrket. De fleste rapporterer at de har etablert skriftlige mål for HMS-arbeidet og utarbeidet skriftlig Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side245 oversikt over hvordan ansvar og oppgaver for HMS-arbeidet er fordelt. Det fremgår også av rapportene at de har nådd egne målsettinger for HMS-arbeidet for 2014, og at ledere er oppdatert med hensyn til hvordan lover og forskrifter regulerer HMS-arbeidet ved enheten. Ledernes risikoforståelse og kjennskap til egne risikoområder har økt i løpet av de siste årene. Det er likevel skuffende at kun halvparten av enhetene har gjennomført pålagte beredskapsøvelser i 2014 og ført oversikt over ansatte på tjenestereise eller studieopphold i utlandet. Det er utfordringer knyttet til opplæring innen helse, miljø og sikkerhet, og sentral HMSopplæring etterspørres av ulike brukergrupper. Gjennomføring av medarbeidersamtaler er fremdeles lav. Ledere må dermed også i 2015 følge opp dette ved å gå i dialog med ansatte og verneombud om opplæring samt ved å tilby og gjennomføre medarbeidersamtaler. Ledere må fortsatt prioritere å tilrettelegge for gode arbeidsforhold slik at ansatte opprettholder fysisk og psykisk god helse og bevarer motivasjon og arbeidsglede. Viktige tiltak her er gjennomføring av analyse av sykefravær, videreføring av forbyggende tiltak samt iverksetting av nye tiltak ved behov. Resultater fra arbeids- og klimaundersøkelsen anbefales brukt for nærmere analyse av sykefraværet ved enhetene. I 2014 ble det fastsatt ny handlingsplan for miljøledelse ved UiT. For at universitetet skal lykkes i sitt arbeid med å redusere belastningen på det ytre miljø, er det viktig at hele organisasjonen bidrar med tiltak knyttet til satsingsområdene avfall, innkjøp, transport og energi. Med unntak av én enhet, rapporterer fakulteter og enheter som har et risikofylt arbeidsmiljø at lokal sikkerhetsopplæring gjennomføres før oppstart av risikofylte aktiviteter. Når det gjelder dokumentasjon av gjennomført opplæring, må resultatet forbedres. Universitetsledelsen ser alvorlig på at kun fem av ni fakulteter/enheter rapporterer at de fulgte UiTs retningslinjer og fakultetets/enhetens rutiner for alt risikofylt arbeid som ble utført i 2014. Tre av fakultetene/enhetene hadde heller ikke utarbeidet skriftlige rutiner for risikofylt arbeid som kan medføre særlig fare for liv og helse, og som fakultetet/enheten har ansvar for. Kravene til arbeidsgiver om å føre register over eksponerte personer ble heller ikke oppfylt ved hele universitetet. Fakulteter og enheter må dermed også i 2015 ha sterkt fokus på risiko- og eksponeringsvurderinger, vedlikehold av stoffkartotek, sikker utførelse av arbeid og føring av register over eksponerte. Det er fremdeles noen fakulteter som i 2015 må prioritere å beskrive kravene til sikkerhetsopplæring i emnebeskrivelser og studieprogram der risikofylt arbeid inngår. Universitetsdirektøren anbefaler at Universitetsstyret på bakgrunn av rapporten fatter vedtak om prioriteringer og satsinger for HMS-arbeidet ved UiT for 2015. Lasse Lønnum universitetsdirektør Odd Arne Paulsen personal- og organisasjonsdirektør Dokumentet er elektronisk godkjent og krever ikke signatur Saksbehandler: Anita Pettersen UiT / Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side246 2 Vedlegg: Årsrapport om HMS 2014 UiT / Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side247 3 Årsrapport om HMS Universitetsdirektøren, Avdeling for personal og organisasjon Arkivref. ePhorte: 2014/5237 Side248 2014 Sammendrag Det foregår mye godt helse-, miljø- og sikkerhetsarbeid (HMS-arbeid) ved Universitetet i Tromsø Norges arktiske universitet (UiT). I 2014 har det blant annet vært arbeidet aktivt med å følge opp funn fra arbeids- og klimaundersøkelsen og å etablere samhold og treffpunkt i arbeidsmiljøet. Det legges til rette for medvirkning i HMS-arbeidet, og samarbeidet mellom leder og verneombud synes å fungere godt ved de fleste arbeidsstedene. Det er arrangert arbeidsmiljødag, og arbeidsmiljøprisen er utdelt for andre gang. Arbeidet med å videreutvikle universitetets beredskap er godt i gang, det er inngått ny avtale om bedriftshelsetjenester, og vernetjenesten har blitt gjennomgått og revidert. Funn fra tilsyn og revisjoner er fulgt opp i organisasjonen. Et godt HMS-arbeid kan også være en del av forklaringen til at UiT samlet sett fortsatt har et lavt sykefravær. Det er også i 2014 registrert få HMS-relaterte avvik, skader og nestenulykker og ingen svært alvorlige hendelser med personskader. UiT vil i 2015 prøve ut elektronisk system for innmelding og behandling av HMS-avvik. Ansatte og studenter må fortsatt stimuleres til økt rapportering i forbindelse med HMSrelaterte avvik, skader og nestenulykker. Kvaliteten på rapportene fra fakultetene og enhetene på samme nivå er gjennomgående styrket. De fleste rapporterer at de har etablert skriftlige mål for HMS-arbeidet og utarbeidet skriftlig oversikt over hvordan ansvar og oppgaver for HMS-arbeidet er fordelt. Det fremgår også av rapportene at de har nådd egne målsettinger for HMS-arbeidet for 2014, og at ledere er oppdatert med hensyn til hvordan lover og forskrifter regulerer HMS-arbeidet ved enheten. Ledernes risikoforståelse og kjennskap til egne risikoområder har økt i løpet av de siste årene. Det er likevel skuffende at kun halvparten av enhetene har gjennomført pålagte beredskapsøvelser i 2014 og ført oversikt over ansatte på tjenestereise eller studieopphold i utlandet. Det er utfordringer knyttet til opplæring innen helse, miljø og sikkerhet, og sentral HMS-opplæring etterspørres av ulike brukergrupper. Gjennomføring av medarbeidersamtaler er fremdeles lav. Ledere må dermed også i 2015 følge opp dette ved å gå i dialog med ansatte og verneombud om opplæring samt ved å tilby og gjennomføre medarbeidersamtaler. Ledere må fortsatt prioritere å tilrettelegge for gode arbeidsforhold slik at ansatte opprettholder fysisk og psykisk god helse og bevarer motivasjon og arbeidsglede. Viktige tiltak her er gjennomføring av analyse av sykefravær, videreføring av forbyggende tiltak samt iverksetting av nye tiltak ved behov. Resultater fra arbeids- og klimaundersøkelsen anbefales brukt for nærmere analyse av sykefraværet ved enhetene. I 2014 ble det fastsatt ny handlingsplan for miljøledelse ved UiT. For at universitetet skal lykkes i sitt arbeid med å redusere belastningen på det ytre miljø, er det viktig at hele organisasjonen bidrar med tiltak knyttet til satsingsområdene avfall, innkjøp, transport og energi. Med unntak av én enhet, rapporterer fakulteter og enheter som har et risikofylt arbeidsmiljø at lokal sikkerhetsopplæring gjennomføres før oppstart av risikofylte aktiviteter. Når det gjelder dokumentasjon av gjennomført opplæring, må resultatet forbedres. Universitetsledelsen ser alvorlig på at kun fem av ni fakulteter/enheter rapporterer at de fulgte UiTs retningslinjer og fakultetets/enhetens rutiner for alt risikofylt arbeid som ble utført i 2014. Tre av fakultetene/enhetene hadde heller ikke utarbeidet skriftlige rutiner for risikofylt arbeid som kan medføre særlig fare for liv og helse, og som fakultetet/enheten har ansvar for. Kravene til arbeidsgiver UiT Norges arktiske universitet N-9037 Tromsø Sentralbord: 77 54 40 00 Faks: 77 64 49 00 [email protected] www.uit.no Side249 2 om å føre register over eksponerte personer ble heller ikke oppfylt ved hele universitetet. Fakulteter og enheter må dermed også i 2015 ha sterkt fokus på risiko- og eksponeringsvurderinger, vedlikehold av stoffkartotek, sikker utførelse av arbeid og føring av register over eksponerte. Det er fremdeles noen fakulteter som i 2015 må prioritere å beskrive kravene til sikkerhetsopplæring i emnebeskrivelser og studieprogram der risikofylt arbeid inngår. UiT Norges arktiske universitet N-9037 Tromsø Sentralbord: 77 54 40 00 Faks: 77 64 49 00 [email protected] www.uit.no Side250 3 Innhold Sammendrag .......................................................................................................................................... 2 1 2 3 4 Sentralt organisert HMS-arbeid ved UiT ................................................................................... 5 1.1 Arbeidsmiljøutvalget (AMU) ..............................................................................................................5 1.2 Læringsmiljøutvalget (LMU) ..............................................................................................................5 1.3 Verneombud og hovedverneombud (VO og HVO).............................................................................6 1.4 Bedriftshelsetjenesten ..........................................................................................................................7 1.5 Opplæring og informasjon ...................................................................................................................7 1.6 Sykefravær ...........................................................................................................................................9 1.7 Beredskap ..........................................................................................................................................10 1.8 Strålevern...........................................................................................................................................11 1.9 Melding om skader og nestenulykker ................................................................................................11 1.10 Tilsyn og revisjoner ...........................................................................................................................12 Rapport om fakultetenes HMS-arbeid for 2014....................................................................... 13 2.1 HMS organisatorisk ...........................................................................................................................14 2.2 HMS-kompetanse ..............................................................................................................................15 2.3 Fysisk og psykososialt arbeidsmiljø ..................................................................................................15 2.4 Beredskap ..........................................................................................................................................16 2.5 Ytre miljø...........................................................................................................................................17 2.6 Risikofylt arbeidsmiljø ......................................................................................................................17 2.7 Måloppnåelse og tiltak som har fungert spesielt godt........................................................................19 2.8 Oppsummering av lokale utfordringer...............................................................................................19 2.9 Utfyllingen av årsrapporten ...............................................................................................................20 Oppfølging av særskilte satsingsområder................................................................................. 20 3.1 HMS-tiltak i henhold til Årsplan 2014 for Avdeling for personal og organisasjon...........................20 3.2 Arbeidsmiljø- og klimaundersøkelse (ARK) .....................................................................................21 3.3 Inkluderende arbeidsliv......................................................................................................................22 3.4 Arbeidsmiljødag.................................................................................................................................22 3.5 Ytre miljø og miljøledelse .................................................................................................................22 Utfordringer og områder som bør vies spesiell oppmerksomhet i 2015 ................................ 23 UiT Norges arktiske universitet N-9037 Tromsø Sentralbord: 77 54 40 00 Faks: 77 64 49 00 [email protected] www.uit.no Side251 4 1 Sentralt organisert HMS-arbeid ved UiT Universitetets sentrale HMS-arbeid var i 2014 organisert gjennom Avdeling for personal og organisasjon (POA) og følges av Arbeidsmiljøutvalget (AMU), hovedverneombudene (HVO) og verneombudene (VO), som skal se til at Universitetet i Tromsø – Norges arktiske universitet (UiT) som arbeidsgiver ivaretar sitt HMS-ansvar. Læringsmiljøutvalget (LMU) har også en rolle i HMS-arbeidet. 1.1 Arbeidsmiljøutvalget (AMU) AMU er et partssammensatt samarbeidsorgan som skal legge de grunnleggende premissene for arbeidsmiljøarbeidet ved UiT. Hovedverneombud, arbeidstakere, arbeidsgiver, hovedtillitsvalgte og bedriftshelsetjenesten er representert i AMU. Toppledelsen skal være representert i AMU, LMU og HMS-personalet i POA har observatørstatus. AMU har både besluttende, koordinerende og rådgivende rolle i arbeidet med å gjennomføre arbeidsmiljølovgivningen ved UiT. I saker som angår både ansattes og studenters arbeidsmiljø samarbeider AMU med LMU. AMU behandler videre universitetets årlige rapport om HMS-arbeidet ved UiT. AMU har et spesielt ansvar for å overvåke sykefraværet ved UiT. AMU har i 2014 hatt spesielt fokus på oppfølging av sykefravær og gjennomføring av arbeidsmiljø- og klimaundersøkelsen (ARK) ved UiT. Det ble foretatt nyvalg av AMU for perioden 1. august 2014 til 31. juli 2016. I forbindelse med fusjonen med Høgskolen i Finnmark ble det besluttet at tidligere Høgskolen i Finnmark skulle ha to representanter i AMU, og at denne ordningen skulle vurderes i første halvdel av 2014. AMU besluttet i sak 6/14 at denne ordningen ikke skulle videreføres, men at det skulle oppfordres til at både arbeidsgiver- og arbeidstakersiden oppnevnte minst én representant fra campus utenfor Tromsø. Retningslinje for Arbeidsmiljøutvalget (AMU) er oppdatert med hensyn på dette. AMU har avholdt fire møter og behandlet 25 saker i 2014. For mer informasjon vises det til årsrapport 2014 fra Arbeidsmiljøutvalget (AMU) ved UiT. 1.2 Læringsmiljøutvalget (LMU) LMU fører tilsyn med at UiT oppfyller bestemmelsene om læringsmiljøet gitt i Lov om universiteter og høyskoler. Utvalget skal også påse at UiT følger opp Handlingsplan for tilrettelegging og tilgjengelighet, og generelt være en pådriver i arbeidet for et bedre læringsmiljø ved universitetet. LMU består av fire studentrepresentanter med vararepresentanter, studiedirektøren, en fakultetsdirektør, en dekan og en ansatt med universitetspedagogisk kompetanse. Det har vært avholdt fem møter i LMU i studieåret 2013/2014. Ett av møtene var et besøk ved Finnmarksfakultetet der LMU fikk en grundig presentasjon om hvordan Utdannings- og læringsmiljøutvalget ved tidligere Høgskolen i Finnmark (HiF) jobbet med læringsmiljø og studiekvalitet. De fire resterende møtene ble avholdt i Administrasjonsbygget, campus Tromsø. UiT Norges arktiske universitet N-9037 Tromsø Sentralbord: 77 54 40 00 Faks: 77 64 49 00 [email protected] www.uit.no Side252 5 I forbindelse med NOKUTs evaluering av UiTs system for kvalitetssikring av utdanningsvirksomheten ble det anbefalt at UiT etablerer et studentmobiliserende prosjekt i samarbeid med Studentparlamentet for å få en sterkere representasjon av studenter i ulike råd og utvalg ved UiT. Saken Studentmobiliserende prosjekt har vært diskutert som en egen sak på alle fem møtene i LMU i studieåret 2013/2014. Prosjektet er stort og rommer flere temaer innen læringsmiljø og studiekvalitet, og vil være en stor del av LMUs arbeid i de neste årene. Hovedtemaene i Studentmobiliserende prosjekt overlapper noe, men kan oppsummeres som følger: (1) innføring av en formalisert tillitsvalgtordning på alle fakultet, (2) beskrivelse av hvilke arbeidsoppgaver som tilhører de ulike verv som studenter innehar, (3) poenggivende tillitsvalgtkurs, (4) honorering av studenter i verv og (5) evaluering av program og emner. Universitetsstyret vedtok våren 2009 å innføre økonomiske sanksjoner ved sensur på eksamen som kunngjøres mer enn én uke etter sensurfristen. Midlene skal gå til studiekvalitetsfremmende tiltak og fordeles av LMU etter søknad fra enhetene og Studentparlamentet. Studieåret 2012/2013 utgjorde midlene til sammen kr 286 000,-. Midlene ble lyst ut i desember 2013, og LMU fordelte midlene i februar 2014. Det kom inn totalt 21 søknader fra enhetene og studentorganisasjonene. Prosjekter som gir en langsiktig merverdi for læringssituasjonen for en større gruppe studenter ble prioritert. Læringsmiljøutvalget har bestilt en evaluering av ordningen med økonomiske sanksjoner ved forsinket sensur på eksamen. Det er viktig å se om ordningen har fungert i tråd med intensjonen. For nærmere informasjon om studiekvalitet vises det til LMUs årsrapport for studieåret 2013/2014. 1.3 Verneombud og hovedverneombud (VO og HVO) Verneombudene skal ivareta arbeidstakernes interesser i verneområdet i saker som angår arbeidsmiljøet og virke som en støtte for arbeidsgiverne. God kommunikasjon mellom ledelsen og verneombudene er vesentlig for å ivareta et godt arbeidsmiljø ved UiT. I 2014 ble det foretatt en gjennomgang av universitetets inndeling i verneområder. Fra høsten 2014 ble UiT delt inn i elleve hovedverneområder og 66 verneområder. UiT hadde elleve HVO, ni vara HVO, 66 VO og 59 vara VO. Ombudene er valgt for perioden 1. august 2014 til 31. juli 2016. I 2014 har HVOene: Gjennomført fem fellesmøter, tre formøter i forkant av AMU-møter og jevnlige møter med verneombudene, i tillegg til løpende møter vedrørende enkeltsaker Gjennomført ett møte med universitetsdirektøren Deltatt på to AMU-møter og på det årlige arbeidsmøtet for sentrale hovedverneombud fra universitetene. Representant på disse møtene er koordinator for hovedverneombudenes aktivitet Arrangert ett verneombudsforum med tema Byggesaker og medvirkning av verneombudet. Leder for Prosjektseksjonen ved Avdeling for bygg og eiendom Øistein Hansen var foreleser. Deltatt i forarbeid og møter i tilknytning til ARK Deltatt ved ulike tilsyn ved UiT Deltatt på Nasjonal konferanse for universitetshovedverneombudene på Svalbard samt Arbeidsmiljøkongressen i Bergen I 2014 har flere hovedverneombuds-/verneombudsmøter blitt avviklet på tvers av campusene ved at møtene avholdes via toveis lyd/bilde. UiT Norges arktiske universitet N-9037 Tromsø Sentralbord: 77 54 40 00 Faks: 77 64 49 00 [email protected] www.uit.no Side253 6 HVOene har bedt UiT iverksette dekkende 40 timers opplæring for verneombudene samt fastsette én tidsplan for 2015 som spesifiserer når de forskjellige delene i opplæringen skal avholdes. For mer informasjon vises det til årsrapport 2014 om hovedverneombudenes fellesaktiviteter ved UiT. Områder med behov for oppfølging: Tilby verneombudene opplæring i bruk av HMS-informasjon i HR-portalen 1.4 Bedriftshelsetjenesten I 2013 ble kjøp av bedriftshelsetjeneste ved UiT konkurranseutsatt, og Hemis ble valgt som leverandør. Hemis deltar ved gjennomføring av kartlegginger og risikovurderinger og gjennomfører lovpålagte helsekontroller. De deltar også ved sykefraværsoppfølging. Innenfor psykososialt helsearbeid bistår de både på organisasjonsnivå, på enhetsnivå og på individnivå. Universitetsledelsen og Hemis har to samarbeidsmøter hvert semester. For mer informasjon vises det til årsrapport 2014 fra Hemis. 1.5 Opplæring og informasjon Ledere skal, i samarbeid med verneombud, ansatte og studenter, sørge for at det arbeides systematisk med HMS. En viktig målsetting for UiT er at ledere, verneombud, ansatte og studenter skal ha god og riktig HMS-kompetanse. Ledere har et særskilt ansvar for å motivere og inspirerer alle ansatte og studenter til forpliktende og aktiv deltagelse i HMS-arbeidet og til å sørge for nødvendig HMSkompetanse ved eget ansvarsområde. Informasjon om HMS-opplæring som arrangeres ved UiT finnes på nettsidene om HMS i HR-portalen. Opplæring som tilbys skal også annonseres under interne kurs på nettsidene til UiT. I henhold til årsrapporten for 2013 om HMS ved UiT skulle iverksetting av HMS-opplæring for samtlige brukergrupper ved UiT prioriteres. Dagskurs i HMS for ledere skulle gjennomføres våren 2014. HMS-opplæring gitt av UiT i 2014: Grunnopplæring i HMS (20 t) for ledere, VO, HVO samt representanter i AMU og LMU og deres stedfortredere er gjennomført 30. september 2014 med 68 deltagere, hvorav elleve er ledere, fire HVO, 35 VO, 15 vara VO, én LMU-representant og to HMS-rådgivere. Grunnleggende førstehjelp for ansatte på norsk og engelsk er i 2014 gitt til 41 personer. Deltakerne er fordelt på fire kurs. I tillegg har Sikkerhetskursene hatt 64 deltakere på Grunnleggende førstehjelp, 36 deltakere på Førstehjelp for arbeid i felt og tokt og 64 deltakere på Førstehjelp i laboratorium. Lederopplæring 10. februar og 4. september 2014: 20 minutters presentasjon av beredskap, herunder sentral beredskapsplan og lokale beredskapsplaner, oppbygging av UiT Norges arktiske universitet N-9037 Tromsø Sentralbord: 77 54 40 00 Faks: 77 64 49 00 [email protected] www.uit.no Side254 7 beredskapsorganisasjonen ved UiT, oppgavefordeling innen beredskapsorganisasjonen, varsling, øvelser, eksempler på praktisk beredskapsarbeid ved UiT ved øvelser og skarpe hendelser. Sikkerhet i laboratorium, felt og tokt (emne HMS-0500): Kurset har vært gjennomført to ganger i 2014 med til sammen 108 deltagere, hvorav 32 var ansatte, 61 mastergradsstudenter og 19 PhD. studenter. Opplæringen omhandler følgende tema: Systematisk HMS-arbeid Stoffkartotek Beredskap Brannvern med praktiske øvelser Elektriske installasjoner Risikovurderinger Arbeid med kjemikalier Førstehjelp – grunnleggende Førstehjelp – felt og tokt Førstehjelp – laboratorium Genmodifisert materiale Sikkerhetskabinett Arbeid med biologisk materiale Zoonoser Hanskebruk Allergi Gass under trykk og flytende nitrogen Tokt- og feltopplæring med praktiske øvelser Bruk av gummibåt Strålevern introduksjonskurs Ikke-ioniserende stråling Grunnkurs strålevern (20 timer) Videregående kurs for strålevernkontakter Lokal sikkerhetsopplæring skal alltid være gjennomført før oppstart av risikofylte arbeidsaktiviteter. Opplæringen skal dokumenteres lokalt. Det gis dessuten mye lokal opplæring og informasjon ved UiT som samlet sett har HMS-aspekter i seg, men disse beskrives ikke her. Områder med behov for oppfølging: Gjennomføre HMS-opplæring for samtlige brukergrupper ved UiT Gjennomføre dagskurs i HMS for ledere våren 2015 UiT Norges arktiske universitet N-9037 Tromsø Sentralbord: 77 54 40 00 Faks: 77 64 49 00 [email protected] www.uit.no Side255 8 1.6 Sykefravær Tabellen nedenfor viser utviklingen av legemeldt sykefravær ved UiT i perioden 2009-2014. Legemeldt sykefravær ved UiT i prosent (%): År 2009 2010 1.kvartal 4,7 3,7 2.kvartal 4,1 3,5 3.kvartal 4,5 4,1 4.kvartal 4,4 3,9 2011 4,6 4,3 5,0 4,1 2012 4,4 4,0 5,0 4,6 2014 4,1 3,7 4,7 2013 4,6 3,4 4,0 4,1 Det legemeldte sykefraværet i 1. kvartal 2014 er 0,5 % lavere enn samme kvartal i 2013, men høyere enn i 2010. Fraværet har gått opp 0,7 % i 3. kvartal 2014 sammenlignet med tall for 2013, men ligger likevel under nivåene i 2011 og 2012. Andel sykemeldte per diagnose av totalt årlig legemeldt sykefravær ved UiT i prosent (%): Årstall 2012 2013 2014 Kvartal 1. 2. 3. 4. 1. 2. 3. 4. 1. 2. 3. Almenne og uspesifiserte lidelser 5,3 9,0 6,8 9,9 9,0 9,2 8,0 7,5 6,3 5,8 4,1 Sykdommer i fordøyelsesorganene 5,0 3,8 5,0 4,1 6,0 6,7 8,2 6,5 4,3 5,2 5,4 Sykdommer i hjerte/kar-systemet 2,3 3,0 1,8 4,6 3,7 3,0 2,3 5,4 5,3 4,5 2,6 Muskel- og skjelett lidelser 33,1 27,5 34,4 32,3 31,7 35,1 36,4 35,6 35,4 37,9 43,2 Sykdommer i nervesystemet 6,0 5,3 4,9 5,3 5,7 6,7 7,8 5,4 5,0 5,3 4,7 Psykiske lidelser Sykdommer i luftveiene Svangerskapssykdommer Andre lidelser 20,2 27,6 25,4 21,7 19,4 19,1 18,2 23,8 19,4 18,6 7,9 18,7 9,7 7,8 5,5 4,2 9,9 6,8 6,6 4,2 6,0 5,4 7,0 11,3 7,1 8,9 6,6 7,6 9,5 10,3 5,0 9,6 4,1 9,3 3,8 8,8 3,3 4,2 2,9 8,4 12,1 13,8 3,5 12,3 Muskel-/skjelettlidelser og psykiske lidelser er fortsatt de to mest dominerende årsakene til sykefraværet. De utgjør til sammen 61,9 % i 3. kvartal 2014. Muskel-/skjelettlidelser fortsetter å stige. Økningen fra 3. kvartal 2013 er på 6,8 %. Andelen psykiske lidelser holder seg stabilt og er 0,5 % over tallet fra samme kvartal i 2013. Samleposten «andre lidelser» har gått noe ned fra 2. kvartal 2014, men ligger fortsatt høyere enn samme kvartal i 2013. Kjønnsfordeling for sykefraværet frem til 3. kvartal 2014 er 70 % for kvinner og 30 % for menn. Det er samme fordeling som i 2013. I løpet av 2014 har fem enheter ved UiT hatt kvartalsvis sykefravær over 5 %. Disse er: Administrasjonen, Finnmarksfakultetet, Det kunstfaglige fakultet, Tromsø museum og Universitetsbiblioteket. Den kvartalsvise fordelingen av det legemeldte sykefraværet viser at det høyeste fraværet ligger i 3. kvartal, det vil si i og etter sommerferier. UiT Norges arktiske universitet N-9037 Tromsø Sentralbord: 77 54 40 00 Faks: 77 64 49 00 [email protected] www.uit.no Side256 9 Områder med behov for oppfølging: Det er fortsatt behov for systematisk oppfølging av arbeid med sykefravær på individ- og virksomhetsnivå 1.7 Beredskap Beredskapshåndboka for UiT er et verktøy for å bidra til at organisasjonen skal kunne reagere raskt og effektivt ved kritiske og pressede situasjoner. For å mestre en kritisk hendelse må virksomheten trene på potensielle fare- og ulykkessituasjoner som kan oppstå, inkludert kommunikasjon og samhandling med andre aktører. Beredskapen skal tilpasses risikobildet i organisasjonen. I henhold til årsrapporten for 2013 om HMS ved UiT skulle det i 2014 tas en gjennomgang av det samlede risikobildet ved UiT og av beredskapen knyttet til tilsiktede uønskede hendelser. I tillegg skulle en fullskalaøvelse med trussel/terror som tema gjennomføres. Med bakgrunn i styringssignaler fra KD har UiT igangsatt arbeid med å velge metodikk for ROSanalyse. Fakulteter og enheter på samme nivå skal innen juni 2015 ha gjennomført ROS-analyser etter universitetets metodikk. Resultater sammenstilles i et overordnet risikobilde. Universitetet hadde våren 2013 en sikkerhets- og beredskapsmessig gjennomgang av tilsiktede, uønskede hendelser og deres innvirkning på verdiområder for universitetet. Rapporten fra gjennomgangen forelå i juni 2013. Universitetsdirektørens beslutning om hvilke tiltak som skal gjennomføres ble fattet i april 2014. Oversikt over tiltak som skal gjennomføres i løpet og 2014 med ansvar for gjennomføring er oversendt fakulteter og enheter på samme nivå. UiT gikk i desember 2014 til innkjøp av et elektronisk styringssystem for sikkerhet og beredskap (KunnskapsCIM). Systemet skal bidra til å sikre effektiv informasjonshåndtering, loggføring og rapportering mellom UiT og KD samt internt ved universitetet ved kriser og katastrofer. En storskala kriseøvelse for sentral beredskapsgruppe er under planlegging ved UiT. Øvelsen skal gjennomføres i samarbeid med UNN og vil finne sted i vårsemesteret 2015. Overordnet avtale om beredskapssamarbeid mellom UiT og UNN er under utforming. ROS-analyse av områder der UiTs og UNNs beredskap må koordineres danner grunnlag for avtalen. Videre planlegger UiT i samarbeid med Sjømannskirken å gjennomføre en kriseøvelse som berører ansatte og studenter som oppholder seg i utlandet. Det har ikke vært registrert svært alvorlige hendelser med personskader ved UiT i 2014. Mindre hendelser er håndtert av sentral og/eller lokale beredskapsgrupper i tråd med UiTs beredskapsorganisasjon og håndbok for beredskap. Sentralt gitt lederopplæring innen beredskap er beskrevet ovenfor under punkt 1.5. Områder med behov for oppfølging: Gjennomføre planlagte beredskapsøvelser Implementere av KunnskapsCIM Gjennomføre ROS-analyser og sammenstille resultater i overordnet risikobilde UiT Norges arktiske universitet N-9037 Tromsø Sentralbord: 77 54 40 00 Faks: 77 64 49 00 [email protected] www.uit.no Side257 10 1.8 Strålevern UiT har godkjenning fra Statens strålevern (SSV) for forskningsmessig bruk av ioniserende stråling og industriell radiografi, samt tillatelse til avfallshåndtering og utslipp knyttet til forskningsmessig bruk av åpne radioaktive kilder. Godkjenningene gjelder for perioden 2011-2015. Til godkjenningene følger generelle og konkrete krav, deriblant krav om årlig rapportering om strålebruk og avfallshåndtering ved UiT innen utgangen av mars hvert år. I etterkant av årsrapporteringen til SSV om strålebruken ved UiT for 2013 mottok UiT brev fra SSV datert 4. desember 2014 der det gis avvik på vilkår 3 i tillatelsen grunnet brudd på leveringsplikten i avfallsforskriftens § 16-7. UiT hadde ikke overholdt plikten til å oversende avfall med I-125 og uran til mottaker med tillatelse til å motta denne type avfall minst en gang pr år. I-125 og uranavfallet ble den 19. desember 2014 oversendt godkjent mottak. UiT avventer nå tilbakemelding fra SSV på om avviket er behandlet tilfredsstillende og om søknad om dispensasjon fra avfallsforskriftens § 16-7 godkjennes. I henhold til årsrapporten for 2013 om HMS ved UiT skulle Retningslinje for håndtering av ulike typer stråling revideres og implementeres i 2014. I tillegg skulle strålebruken ved tidligere HiF kartlegges og tilrettelegges. Retningslinje for håndtering av ulike typer stråling, herunder rutine for innkjøp av åpne radioaktive kilder og kontaminasjonskontroller, er fortsatt under revisjon, men vil ferdigstilles i løpet av februar 2015. Informasjonsmøter vil bli gjennomført ute på de enkelte enhetene for implementering av de reviderte retningslinjene med tilhørende rutiner. Alt arbeid med ioniserende stråling er registrert som egne prosjekter. Kartlegging og tilrettelegging av strålebruken ved tidligere HiF ble gjennomført høsten 2014. Det er registrert ett prosjekt ved fakultetet. Det skal føres register over ansatte og studenter som arbeider med ioniserende stråling, jf. punkt 2.6. Universitetsdirektøren har i forbindelse med årsrapportering om bruk av stråling for 2014 bedt enhetsledere om å gjennomføre registreringen innen utgangen av mars 2015. Enheter som ikke overholder fristen kan miste retten til å håndtere ioniserende stråling. Områder med behov for oppfølging: Føring av register over personer som arbeider med ioniserende stråling Sluttføre revisjon av retningslinje for håndtering av ulike typer stråling. Endringer må implementeres i virksomheten Utarbeidelse av ny søknad til SSV om forskningsmessig strålebruk for 2015-2020 1.9 Melding om skader og nestenulykker Alle HMS-relaterte avvik, skader og nestenulykker ved UiT skal meldes og følges opp av ledelsen for å sikre forebygging og kontinuerlig kvalitetssikring av arbeidsmiljøet. Oppsummering fra rapporter om HMS-relaterte avvik, skader og nestenulykker gis i AMU-møter. I 2014 ble det meldt totalt 36 HMS-relaterte avvik, skader og nestenulykker ved UiT. De meldte avvikene, skadene og nestenulykkene hadde varierende alvorlighetsgrad. Ingen av meldingene resulterte i at personer ble eksponert for helseskadelige faktorer. UiT Norges arktiske universitet N-9037 Tromsø Sentralbord: 77 54 40 00 Faks: 77 64 49 00 [email protected] www.uit.no Side258 11 Sammendrag av avviksmeldinger og fraværsdager forårsaket av skade for 2010-2014: Totalt År Kjemikalier Stikk, Fall, og kutt skli, biologisk strekk materiale og involvert løft Transport Fallende Andre gjenstander personskader 2014 Avviksmeldinger 36 7 5 14 0 4 4 2014 Fraværsdager 166 0 14 153 0 0 0 2013 Avviksmeldinger 27 7 6 4 0 0 10 2013 Fraværsdager 99 0 0 24 0 0 75 2012 Avviksmeldinger 29 10 3 6 0 3 7 2012 Fraværsdager 119 0 0 88 0 31 0 2011 Avviksmeldinger 49 21 2 9 1 2 7 2011 Fraværsdager 45 0 5 37 0 0 3 2010 Avviksmeldinger 41 8 4 10 0 3 5 2010 Fraværsdager 403 0 0 403 0 0 0 Det er sannsynlig at det fremdeles er underrapportering av både HMS-relaterte avvik, skader og nestenulykker ved UiT. UiT vil i 2015 prøve ut et elektronisk system for håndtering av HMS-avvik, jf. punkt 3.1 nedenfor. Områder med behov for oppfølging: Elektronisk system for håndtering av HMS-avvik skal prøves ut Stimulere til økt rapportering av HMS-relaterte avvik, skader og nestenulykker Fortsatt fokus på risiko- og eksponeringsvurderinger og enhetenes vedlikehold av register over eksponerte arbeidstakere og studenter ved UiT 1.10 Tilsyn og revisjoner All kontakt med tilsynsmyndigheter koordineres av Universitetsdirektøren. Det er en utfordring at tilsynsmyndigheter gjennomgående henvender seg til underliggende enheter og at underliggende enheter ikke henviser varsel om tilsyn til Universitesdirektøren. Brann og redning Tromsø kommune gjennomførte i juni 2014 tilsyn ved Tromsø museum (TMU). Tilsynet omfattet alle forhold av betydning for brannsikkerheten, herunder bygningsmessige, tekniske, utstyrsmessige og organisatoriske brannsikringstiltak, forhold av betydning for gjennomføringen av brannbekjempelse og øvrig redningsinnsats. Tilsynet medførte ingen avvik, men derimot tre anmerkninger knyttet til manglende/mangelfull kontroll, ettersyn og vedlikehold av branntekniske installasjoner og dokumentasjon. Alta brann- og redningskorps gjennomførte i november 2014 branntilsyn ved campus Alta. I rapporten fremkommer fire avvik knyttet til branntekniske tegninger, intern organisering og risikovurdering samt person- og materiell sikkerhet. Det fremkom under oppsummeringsmøtet at eier/virksomheten/bruker vil finne løsninger for å rette opp de avvik som er angitt i rapporten. UiT Norges arktiske universitet N-9037 Tromsø Sentralbord: 77 54 40 00 Faks: 77 64 49 00 [email protected] www.uit.no Side259 12 Ved branntilsyn skal enhetene kunne fremvise dokumentasjonen for tilsynsmyndighetene. Arbeidet med en enhetlig mal for utforming av enhetenes samlede branndokumentasjon ble sluttført i 2013. Implementering ved UiT gjenstår. Arbeidstilsynet gjennomførte i april 2014 tilsyn knyttet til det psykososiale- og organisatoriske arbeidsmiljøet ved NT-fakultetet og ved Administrasjonen. Ved NT-fakultetet ble det gitt pålegg knyttet til HMS-opplæring, samarbeidsplan med bedriftshelsetjenesten samt kartlegging og risikovurdering av forhold som kan påvirke arbeidstakernes fysiske eller psykiske helse eller sikkerhet. Avvikene ble fulgt opp ved UiT og deretter lukket av Arbeidstilsynet. Tilsynet ved Administrasjonen medførte ingen avvik. Det Lokale Eltilsynet gjennomførte i februar 2014 tilsyn ved BFE-fak. Det ble ikke gjort funn av feil på det elektriske anlegg. Derimot ble det ble påpekt mangler knyttet til internkontrollarbeidet for det elektriske anlegget. Kunnskapsdepartementet varslet i november 2014 at de vil gjennomføre tilsyn med universitets arbeid med samfunnssikkerhet og beredskap. Tilsynet vil finne sted 12. januar 2015, og departementet har bedt hele kriseledelsen ved UiT om å møte. Statoil utførte i 2013, som et ledd i arbeidet med inngåelse av rammeavtale mellom Statoil og UiT, en ekstern HMS-revisjon ved FF Helmer Hanssen. Det ble i revisjonen funnet tre avvik. Disse er under oppfølging. I henhold til årsrapporten for 2013 om HMS ved UiT skulle det utarbeides metodikk for interne revisjoner ved UiT. Finansdepartementet har i 2013 og 2014 utredet bruk av internrevisjon i statsforvaltningen. Formålet er å etablere mer forutsigbare rammer for bruk av internrevisjon i staten. Forslaget var høsten 2014 til høring ved universiteter og høgskoler. Arbeidet med interne revisjoner ved UiT vil bli fult opp i 2015 og i tråd med departementets anbefaling og beslutning. Områder med behov for oppfølging: Følge opp avvik og pålegg fra tilsyn og revisjoner Etablere samlet branndokumentasjon basert på eier- og brukeransvaret ved alle bygg Utarbeide metodikk for interne revisjoner ved UiT 2 Rapport om fakultetenes HMS-arbeid for 2014 Ved UiT rapporterer alle fakulteter og enheter på samme nivå årlig om status for eget HMS-arbeid. Rapportene skal bygge på informasjon innhentet fra institutter og andre enheter på underliggende nivå. Rapporteringen ble i 2014 gjort i form av en elektronisk sjekkliste. Utfyllingen innebærer en egenvurdering opp mot spørsmål knyttet til UiTs systematiske HMS-arbeid og fakultets/enhetens HMS-mål og handlingsplan for HMS-arbeidet. Rapporten bekreftes utfylt av enhetens leder og hovedverneombud. For 2014 har ti av ti fakulteter/enheter levert årsrapport om lokalt HMS-arbeid. Disse omfatter: Administrasjonen (Uadm) Finnmarksfakultetet (Fifak) Det juridiske fakultet (Jurfak) Universitetsbiblioteket (UB) UiT Norges arktiske universitet N-9037 Tromsø Sentralbord: 77 54 40 00 Faks: 77 64 49 00 [email protected] www.uit.no Side260 13 Det kunstfaglige fakultet (Kunstfak) Det helsevitenskapelige fakultet (Helsefak) Tromsø Museum – Universitetsmuseet (TMU) Fakultet for naturvitenskap og teknologi (NT-fak) Fakultet for biovitenskap, fiskeri og økonomi (BFE-fak) Fakultet for humaniora, samfunnsvitenskap og lærerutdanning (HSL-fak) Finnmarksfakultetet avga årsrapport om HMS for første gang. Formålet med årsrapportering er å se til at elementene i det systematiske HMS-arbeidet ved UiT stemmer overens med interne og eksterne krav samt vurdere om aktivitetene i HMS-arbeidet er hensiktsmessig i forhold til UiTs overordnede mål for HMS. Årsrapportene vil også avdekke forbedringspotensialer slik at tiltak kan vurderes og prioriteres ved UiT. Universitetsdirektøren utarbeider årlig rapport om HMS-arbeidet ved hele universitetet. Denne rapporten behandles av AMU og Universitetsstyret. Universitetsdirektøren gir deretter en skriftlig tilbakemelding til fakulteter og enhetene på samme nivå. Rapporten skal følges opp ved enhetene. 2.1 HMS organisatorisk Fakultetene, UB, TMU og Uadm rapporterer at enhetens leder er oppdatert med hensyn til hvordan lover og forskrifter regulerer HMS-arbeidet. Det rapporteres videre at det legges til rette for medvirkning i HMS-arbeidet og at det tilrettelegges og iverksettes nødvendige tiltak før igangsetting av aktiviteter og arbeidsoppgaver. Det avholdes jevnlige møter med verneombud ved ni fakulteter/enheter. Fakultater/enheter som har hatt HMS-relaterte avvik, nestenulykker eller ulykker har fulgt disse opp som angitt i Retningslinje for oppfølging av skader, nestenulykker og yrkessykdommer. Åtte av ti fakulteter/enheter rapporterer at de har etablert skriftlig oversikt over virksomhetens organisasjon, herunder hvordan ansvar, myndighet og oppgaver for HMS-arbeidet er fordelt. I 2013 hadde sju av ni enheter beskrivelsen på plass. I 2012 hadde kun halvparten av fakultetene/enhetene som avga årsrapport en slik beskrivelse på plass. Med unntak av Jurfak og Helsefak rapporterer fakultetene/enhetene at de har kartlagt farer og problemer og på denne bakgrunn vurdert risiko samt utarbeidet tilhørende planer og tiltak for å redusere risikoforholdene knyttet til arbeidsmiljøet for ansatte og studenter. Planlagte tiltak for å redusere risikoforholdene er gjennomført ved seks enheter. Helsefak opplyser imidlertid at de er godt i gang med arbeidet, men at det fremdeles gjenstår noen risikovurderinger. Åtte av ti enheter rapporterer at de hadde fastsatt skriftlige mål for HMS-arbeidet for året som gikk. Seks av disse hadde også en samlet, skriftlig og ajourført handlingsplan for HMS-arbeidet. I 2013 hadde sju av ni enheter etablert skriftlige mål for HMS-arbeidet, hvorav fem også hadde ajourført egen handlingsplan. Det er gledelig at Fifak som avgir årsrapport om HMS for første gang i 2014, bekrefter at de har alt organisatorisk HMS-arbeid på plass. UiT Norges arktiske universitet N-9037 Tromsø Sentralbord: 77 54 40 00 Faks: 77 64 49 00 [email protected] www.uit.no Side261 14 Områder med behov for oppfølging: Utarbeidelse av HMS-mål og HMS-handlingsplan på alle nivå i organisasjonen Utarbeidelse av skriftlig oversikt over virksomhetens organisasjon, herunder hvordan ansvar, myndighet og oppgaver for HMS-arbeidet er fordelt. Samordningsavtaler må utarbeides når fakultetet/enheten er én av flere arbeidsgivere på samme arbeidssted 2.2 HMS-kompetanse Helse, miljø og sikkerhet er et lederansvar. For å sikre et forsvarlig arbeids- og læringsmiljø og aktivitet med hensyn til systematisk utvikling og forbedring av arbeidsmiljøet er UiT avhengig av at alle ledere har tilstrekkelig HMS-kompetanse. Opplæringen er personlig og skal dokumenteres skriftlig. UB og TMU rapporterer at alle ledere med personalansvar har nødvendig og dokumentert opplæring innen HMS. I 2013 var dette på plass kun ved Universitetsbiblioteket. Det ble i 2014 gjennomført nyvalg av verneombud ved UiT. Åtte av ti enheter rapporterer at alle verneombudene innehar nødvendig kompetanse til å utøve sine oppgaver innen helse, miljø og sikkerhet. Personer som har fått delegert HMS-oppgaver som innebærer ledelse eller kontroll av andre arbeidstakere eller studenter skal påse at hensynet til HMS blir ivaretatt under planleggingen og utførelse av de arbeidsoppgavene de har fått delegert. Tre av ti fakulteter/enheter rapporterer at disse personene har nødvendig og dokumentert opplæring innen HMS. På dette området er det ingen forbedring sammenlignet med 2013. Leder skal også se til at nytilsatte blir introdusert til og får opplæring i HMS ved UiT. Behovet for opplæring kan blant annet kartlegges ved bruk av Veiledende rutine for ledere ved mottak av nytilsatte. Åtte av ti enheter praktiserer rutinen ved mottak av nytilsatte. Sentral HMS-opplæring for ulike brukergrupper gjennomført i 2014 er beskrevet ovenfor under punkt 1.5. Behovet for tilpasset HMS-opplæring for ulike brukergrupper rapporteres fremdeles å være stort ved UiT. TMU, UB og Helsefak ber UiT iverksette øvrige moduler i den sentrale HMS-opplæringen. Opplæring må annonseres i god tid før gjennomføring. Områder med behov for oppfølging: Iverksette HMS-opplæring tilpasset ulike brukergrupper Ledere må prioritere gjennomføring og dokumentasjon av egen og ansattes HMS-opplæring 2.3 Fysisk og psykososialt arbeidsmiljø Samtlige fakulteter/enheter rapporterer at kontor- og laboratoriearbeidsplasser for ansatte og studenter utformes og tilpasses på en ergonomisk hensiktsmessig måte. Fakulteter/enheter som har mottatt varsel om diskriminering, vold, trusler, trakassering eller annen utilbørlig opptreden har fulgt disse opp som angitt i Retningslinjer for varsling. Det er videre svært positivt at samtlige fakulteter/enheter bekrefter at de følger UiTs rutiner for oppfølging av sykemeldte. Uadm og TMU rapporterer at de har hatt sykefravær på over 5 % i løpet av UiT Norges arktiske universitet N-9037 Tromsø Sentralbord: 77 54 40 00 Faks: 77 64 49 00 [email protected] www.uit.no Side262 15 ett eller flere kvartal i 2014. Dette avviker fra kvartalsvis sykefravær rapportert under punkt 1.6. Ekstraordinære analyser av sykefraværet ble iverksatt ved Uadm. I henhold til Handlingsplan for inkluderende arbeidsliv (IA) skal det gjennomføres et årlig møte mellom ledelsen ved fakultetet/enheten, tillitsvalgte og hovedverneombud med IA/HMS som eneste tema. Seks av ti fakulteter/enheter har i 2014 gjennomført et slikt møte. I 2013 hadde fem av ni fakulteter /enheter avholdt et slikt møte. UiT har de senere år hatt fokus på viktigheten av medarbeidersamtaler. Fire av ti fakulteter/enheter rapporterer at alle ansatte har fått tilbud om medarbeidersamtaler. Medarbeidersamtaler er gjennomført for alle som har ønsket dette. I 2013 ble medarbeidersamtaler tilbudt og gjennomført for alle ansatte ved to av ni fakulteter/enheter. Måloppnåelsen for fysisk og psykisk arbeidsmiljø er økt sammenlignet med resultatene for 2013. Områder med behov for oppfølging: Gjennomføre årlig møte mellom ledelsen, tillitsvalgte og HVO med IA/HMS som eneste tema Tilby og gjennomføre årlig medarbeidersamtale for alle ansatte 2.4 Beredskap Hvert fakultet/enhet skal ha en lokal beredskapsplan som bygger på risikovurderinger (se punkt 2.1 ovenfor) og som viser hvordan enheten arbeider med hendelser av mindre omfang. Lederes kjennskap til egne risikoområder og prioritering av beredskapsarbeidet ved egen enhet har økt i løpet av de siste årene. Ni av ti fakulteter/enheter har, etter risikovurdering og gjennomføring av risikoreduserende tiltak, utarbeidet en lokal beredskapsplan for den risikoen som fremdeles ligger der. Kunstfak har tilbakemeldt at de skal oppdatere beredskapsplanen i løpet av 2015. I 2013 rapporterte sju av ni fakulteter/enheter at de hadde utført arbeidet. Ledere skal være kjent med beredskapshåndboka for UiT og fakultetets/enhetens beredskapsplan, herunder hvordan lokal beredskapsgruppe er sammensatt og hvordan de øver. Ledere skal også være kjent med funn fra øvelser, tiltak som iverksettes og resultater fra oppfølging av tiltak. Kun halvparten av fakultetene/enhetene rapporterer at lokal beredskapsgruppe har hatt de to pålagte beredskapsøvelsene i 2014. I 2013 rapporterte sju av ni fakulteter/enheter at lokal beredskapsgruppe har hatt to beredskapsøvelser. Tiltak etter beredskapsøvelser følges i overveiende grad opp. Lederopplæring innen beredskap gjennomført i 2014 er beskrevet under punkt 1.5. Ved fem av ti fakulteter/enheter gjøres ansatte og studenter kjent med den lokale beredskapsplanen, herunder rutinene for varsling av kritiske hendelser og for evakuering av bygg. I 2013 rapporterte sju av ni fakulteter/enheter at de ivaretok denne oppgaven. TMU, HSL-fak, Jurfak, NT-fak og UBT registrerer ansatte på tjenestereise eller studieopphold i utlandet som angitt i Beredskapshåndboka for UiT. På dette området er måloppnåelsen den samme som i 2013. NT-fak, TMU og UB har fulgt opp arbeidet på alle områder som etterspørres ved årsrapportering om beredskap. UiT Norges arktiske universitet N-9037 Tromsø Sentralbord: 77 54 40 00 Faks: 77 64 49 00 [email protected] www.uit.no Side263 16 Områder med behov for oppfølging: Fakulteter/enheter må følge opp etablerte rutiner for registrering av ansatte på tjenestereise eller studieopphold i utlandet, jf. Skjema for registrering av opphold i utlandet for ansatte Fortsatt sikre gjennomføring av pålagte beredskapsøvelser og oppfølging av tiltak etter hendelser og øvelser Sikre at ansatte og studenter gjøres kjent med lokal beredskapsplan, herunder evakuerings- og varslingsrutiner 2.5 Ytre miljø Det er positivt at universitetets video- og telefonkonferanseutstyr er i utstrakt bruk ved alle fakulteter/enheter. Åtte av ti fakulteter/enheter har også innført tiltak for å redusere årlig innkjøpt mengde A4 papir, og ni av ti har lagt til rette for kildesortering. Når det gjelder tiltak for å redusere energibruken, er det fremdeles kun halvparten av fakultetene/enhetene som har gjennomført tiltak. Kun fire av ti fakulteter/enheter har gjennomført holdningsskapende arbeid knyttet til mer miljøvennlig innkjøp, transport, energi og avfall. Dette er en nedgang fra 2013 da seks av ni fakulteter/enheter rapporterte at de hadde utført tiltak. Helsefak og BFE-fak har gjennomført samtlige tiltak som etterspørres innen miljøledelse. For de øvrige fakultetene/enhetene er måloppnåelsen sammenlignbar med eller lavere enn i 2013. Sentralt organisert arbeid med miljøledelse er beskrevet under punkt 3.5. Områder med behov for oppfølging: For at universitetet skal lykkes i sitt arbeid med å redusere belastningen på det ytre miljø er det viktig at fakulteter/enheter bidrar med arbeid knyttet til satsingsområdene 2.6 Risikofylt arbeidsmiljø I 2014 ble det utført risikofylt arbeid ved ni av ti fakulteter/enheter. Disse er: Uadm, Fifak, UBT, Kunstfak, Helsefak, TMU, NT-fak, BFE-fak og HSL-fak. Med unntak av ved Uadm rapporteres det at lokal sikkerhetsopplæring gjennomføres før oppstart av risikofylte arbeidsoppgaver. Gjennomført lokal opplæring dokumenteres derimot kun ved fem fakulteter/enheter. Fakultetene og enhetene opplyser at de vil arbeide for å forbedre dette resultatet. Uadm, Kunstfak, Helsefak, TMU, NT-fak, BFE-fak og HSL-fak har stoffkartotek. Instituttene og enhetene ved Uadm, Helsefak, TMU, BFE-fak og HSL-fak har rapportert at de har oppdatert både elektronisk og papirbasert utgave av stoffkartoteket. Søk i det elektroniske stoffkartoteket verifiserer imidlertid ikke dette til fulle. Kun fem av ni fakulteter/enheter rapporterer at de følger UiTs retningslinjer og fakultetets/enhetens egne rutiner for alt risikofylt arbeid som utføres ved fakultetet/enheten. Seks av ni fakulteter/enheter har utarbeidet skriftlige rutiner for alt arbeid som fakultetet/enheten har ansvar for som kan medføre særlig fare for liv og helse. UiT Norges arktiske universitet N-9037 Tromsø Sentralbord: 77 54 40 00 Faks: 77 64 49 00 [email protected] www.uit.no Side264 17 Forskrift om utførelse av arbeid, bruk av arbeidsutstyr og tilhørende tekniske krav (forskrift om utførelse av arbeid) fastsatt av Arbeidsdepartementet i 2011, sist endret ved forskrift av 24. februar 2014, setter krav til at arbeidsgiver skal ha oversikt over ansatte og studenter som er eller kan bli utsatt (eksponert) for stoffer som kan gi alvorlige sykdommer over tid. Kravet til å føre register omfatter ansatte og studenter som: 1 Er eller kan bli eksponert for kreftfremkallende eller arvestoffskadelige kjemikalier Arbeider med bly og blyforbindelser Har vært eller kan bli utsatt for støv med asbestfiber Er eller har vært eksponert for biologiske faktorer (smitterisikogruppe 3 og 4) Arbeider med ioniserende stråling Er utsatt for helseskadelige stoffer ved bergarbeid Det er videre krav om at det skal være mulig for andre å finne tilbake til disse personene etter lang tid, ofte 40 eller 60 år. Personer som er oppført i et slikt registrer, skal gjøres kjent med dette og ha adgang til opplysningene som gjelder egen person. Ved UiT skal det for alle studentkurs/metoder/arbeidsoppgaver som kan medføre eksponering for helseskadelige stoffer, gjennomføres risiko- og eksponeringsvurderinger etter UiTs systematikk. Funn skal gjennomgås, og institutt- og fakultetsledelsen skal fatte endelige beslutning om tiltak som skal gjennomføres ved arbeidsstedet og om ansatte, gjester og studenter skal føres i register over eksponerte. Ved UiT utfører Uadm, Kunstfak, Helsefak, TMU, NT-fak, BFE-fak og HSL-fak arbeid som kan medføre innlegging i slikt registret. NT-fak, HSL-fak, Kunstfak, TMU og Uadm opplyser at de fører arbeidstakerregister. Helsefak rapporterer at noen personer er ført inn i registeret, men at de har utfordringer med å få systematikken til å fungere godt ved fakultetet. Ved BFE-fak er de fleste risiko- og eksponeringsvurderingene gjennomført. Resultatene er oversendt bedriftshelsetjenesten for vurdering og anbefaling vedrørende hvem som skal føres i registeret. Fra høsten 2011 skal det gå fram av alle emnebeskrivelser for emner med laboratoriearbeid, tokt, feltarbeid, studier i utlandet og lignende hvilken sikkerhetsopplæring som er nødvendig for at studentene skal kunne gjennomføre emnet. Nødvendig sikkerhetsopplæring skal defineres som et arbeidskrav i de emnene der dette er aktuelt, og gjennomført opplæring skal registreres som et utført arbeidskrav i Felles Studentsystem. Manglende beskrivelse av krav til sikkerhetsopplæring i emner og studieprogram har i 2014 vært fulgt opp ved Avdeling for utdanning. I 2014 rapporterer Helsefak, HSL-fak, Kunstfak og Fifak at de har spesifisert kravene til nødvendig sikkerhetsopplæring i fakultetets emner og studieprogram. BFE-fak og NT-fak må i 2015 prioritere å beskrive krav til sikkerhetsopplæring i alle emnebeskrivelser og studieprogram der risikofylt arbeid inngår. 1 Klassifisert som Kreft1, Kreft2, Mut 1 eller Mut 2 etter forskrift 16. juli 2002 nr. 1139 om klassifisering, merking mv. av farlige kjemikalier, eller klassifisert som Carc. 1A, Carc. 1B, Muta. 1A eller Muta. 1B etter forskrift 16. juni 2012 nr. 622 om klassifisering, merking og emballering av stoffer og stoffblandinger (CLP). UiT Norges arktiske universitet N-9037 Tromsø Sentralbord: 77 54 40 00 Faks: 77 64 49 00 [email protected] www.uit.no Side265 18 Områder med behov for oppfølging: Fakulteter og enheter skal fortsette å ha sterkt fokus på risko- og eksponeringsvurdering og føring av register over eksponerte Fakulteter og enheter må se til at gjennomført lokal sikkerhetsopplæring dokumenters NT-fak og BFE-fak må angi kravene til sikkerhetsopplæring i alle emnebeskrivelser og studieprogram der risikofylt arbeid inngår Fakultetene/enhetene skal utarbeide nødvendige rutiner for arbeid som kan medføre særlig fare for liv og helse 2.7 Måloppnåelse og tiltak som har fungert spesielt godt Åtte av ti fakulteter/enheter rapporterer at de hadde fastsatt skriftlige mål for HMS-arbeidet for 2014. Disse nådde også egne målsettinger for HMS-arbeidet. For at UiT skal kunne utvikle arbeidsmiljøet for ansatte og studenter, anses det som viktig å dele og dra nytte av gode tiltak som er gjennomført i organisasjonen. Åtte av ti fakulteter/enheter rapporterer at de i 2014 har gjennomført tiltak som har fungert spesielt godt. Det har vært arbeidet for å etablere samhold og treffpunkt i arbeidsmiljøet, styrking av medarbeidersamtalen samt gjennomføring av dialogmøter og faglige og sosiale tiltak. Arbeidsplassgjennomganger med påfølgende arbeidsplasstilrettelegging ved aktiv bruk av bedriftshelsetjenesten har gitt gode resultater både ved nyansettelser og ved løpende behov. Blant tiltakene som ellers neves er arbeid med risikoreduksjon og HMS-opplæring. Ved Kunstfak har låseanordninger knyttet til verkstedsmaskiner og anskaffelse av individuelt tilpassede formstøpte ørepropper for forebygging av hørselsskader hos studenter og ansatte fungert godt. Helsefak melder at arbeid i tilknytning til ARK har fungert godt ved fakultetet. Ved NT-fak har gjennomførte tiltak for ivaretagelse av arbeidsmiljøet ved flytting til Teknologibygget gitt gode resultater. BFE-fak gjennomførte søppelinnsamling på strender i Tromsø kommune som et felles sosialt tiltak ved fakultetet. 2.8 Oppsummering av lokale utfordringer I forbindelse med årsrapportering av helse, miljø og sikkerhet er fakulteter og enhetene på samme nivå bedt om skissere enhetens viktigste HMS-utfordring i 2015. Enheter som er berørt av fusjoner, omorganisering eller flytting vil i 2015 ha fokus på arbeidsmiljø, kulturbygning, fjernledelse og rolleavklaring. Utfordringer knyttet til ivaretagelse og inkludering av nytilsatte nevnes også. Ved NT-fak har mangler ved Teknologibygget blitt en HMS-sak, både fysisk og psykososialt. Enhetene vil ha fokus på oppfølging av ARK og gjennomføring av systematiske medarbeidersamtaler med alle ansatte også i 2015. Det skal også arbeides med etablering av tilstrekkelig kontorarbeidsplasser for arbeidstakere og studenter. Samordningsavtaler skal etableres der enheter er samlokalisert med andre virksomheter. UiT Norges arktiske universitet N-9037 Tromsø Sentralbord: 77 54 40 00 Faks: 77 64 49 00 [email protected] www.uit.no Side266 19 Flere fakulteter/enheter vil i 2015 styrke arbeidet med å identifisere opplærings- og kompetanseutviklingsbehov innen HMS og beredskap samt dokumentasjon av gjennomført opplæring. Arbeidet med gjennomføring av risikoreduksjon og arbeidstakerregister er fortsatt en høyt prioritert oppgave ved fakulteter/enheter. 2.9 Utfyllingen av årsrapporten Også i 2014 er samtlige rapporter utfylt i samarbeid mellom leder og HVO. 3 3.1 Oppfølging av særskilte satsingsområder HMS-tiltak i henhold til Årsplan 2014 for Avdeling for personal og organisasjon Tiltak/aktivitet Dokumentstyring - Videreføre arbeidet med helhetlig opplegg for dokumentstyring - Underlegge UiTs dokumenter kontroll mht. den styringen som fastsettes IA-avtale - Sammen med tjenestemannsorganisasjonene utforme mål og tiltak for det lokale IA-arbeidet Sykefravær - Identifisere grupper med særlig høyt sykefravær og gjøre konkrete vurderinger på om det skal settes inn spesielle tiltak Sentral HMS-opplæring - Iverksette sentral modulbasert HMSopplæring for alle brukergruppene ved UiT - Kampanje i forbindelse med iverksetting Styringssystemet for HMS og beredskap - Revidere BHB og HMS-håndboka - Revidere retningslinjer HMS og BER - Etablere opplegg for interne HMSrevisjoner - Implementering - Samarbeide med enhetene med det siktemål å etablere enhetlig struktur/oppbygging av informasjonen på lokale nettsider - Gjennomføre sikkerhetstiltak i henhold til ROS analyser - Gjennomgang av samlet risikobilde for UiT - Vurdere innkjøp av krisestøtteverktøy CIM UiT Norges arktiske universitet N-9037 Tromsø Kommentarer Dokumentstyringen beskrevet og besluttet innført i 2014 Ny IA-avtale inngått november 2014 Det er tatt initiativ til å etablere et prosjekt for se nærmere på årsaker bak stipendiaters sykefravær. Igangsatt. HMS-opplæring må prioriteres i 2015. Disse punktene er i progresjon på ulike stadier KunnskapsCIM innkjøpt desember 2014. CIM implementeres i 2015 Sentralbord: 77 54 40 00 Faks: 77 64 49 00 [email protected] www.uit.no Side267 20 Tiltak/aktivitet Elektronisk stoffkartotek - Utforme anbudsdokument Kommentarer Det er besluttet å videreføre CHESS inntil videre. Avvikssystemet til CIM besluttet utprøvd ved UiT Avvikshåndtering - Innhente tilbud på system for elektronisk avvikshåndtering og implementere dette Miljøledelse - Implementere handlingsplan for miljøledelse Det er et mål å synliggjøre UiTs miljøledelse gjennom nettsider Områder med behov for oppfølging: Implementere dokumentstyring ved UiT Utprøve elektronisk system for håndtering av HMS-avvik Følge opp arbeidet med styringssystemet for HMS, herunder implementere KunnskapsCIM Iverksette gjenstående moduler i den sentrale HMS-opplæringen 3.2 Arbeidsmiljø- og klimaundersøkelse (ARK) Universitetsstyret vedtok i SAK 63-13 at UiT skulle gjennomføre arbeidsmiljø- og klimaundersøkelse i 2014 med bruk av verktøyet ARK. Undersøkelsen ble sendt ut til 2953 ansatte 15. september 2014. Svarprosenten var på 63,3 %. Universitetsdirektøren overleverte rapporter fra undersøkelsen til alle fakulteter, TMU, UB og Administrasjonen. Rapportene ble så formidlet videre til ledere for institutter, avdelinger og seksjoner. Ledere og ansatte har kun fått innsyn i rapporter der de selv inngår, f.eks. eget institutt, fakultet og UiT som helhet. Rapportene ble utformet som ferdige presentasjoner. Disse ble brukt på tilbakemeldingsmøter ved hver enhet. Møtene ble planlagt av de respektive lederne sammen med verneombud og prosessdrivere. Det var et mål at deltakelsen på tilbakemeldingsmøtene skulle være på minst 50 %. Rapportene viste hva ansatte har svart på en skala fra 1-5. Basert på alle spørsmålene i spørreskjemaet, ble det laget 28 indekser UiT har gjennomgående gode resultater. Noen gjennomgående funn i undersøkelsen: UiT skårer høyest på ressursområdene jobbengasjement og mening i jobben samt på felleskap mellom kolleger og romslighet/sosialt ansvar Det er positive vurderinger av jobbressurser i den enkeltes oppgaveutførelse og i den organisatoriske enheten Ledere blir vurdert ganske positivt, og de fleste vurderer nærmeste leder høyere enn overliggende ledelse Mange oppgir at krav til kompetanseutvikling ikke er tydelig Mange opplever tidspress og det er noen utfordringer i samspillet mellom arbeid og hjem samt at arbeidet kan påvirke helsa negativt Over 70 % har svart ja mht. gjennomførte medarbeidersamtaler, mot 50 % ved medarbeiderundersøkelsen i 2011. UiT Norges arktiske universitet N-9037 Tromsø Sentralbord: 77 54 40 00 Faks: 77 64 49 00 [email protected] www.uit.no Side268 21 Områder med behov for oppfølging: Tiltaksplaner skal utarbeides og integreres i øvrig planarbeid ved enhetene Faktaark II skal leveres Planlagte tiltak skal gjennomføres, og resultatene skal publiseres for alle ansatte ved enheten Det skal utarbeides overordnet tiltaksplan for UiT 3.3 Inkluderende arbeidsliv UiT har vært IA-virksomhet siden 1. september 2002. Avtalen mellom partene lokalt ved UiT har vært fornyet flere ganger, sist for perioden 2014-2018. Avtalen er delt inn i tiltak knyttet til de tre delmålene i avtalen. Ved en gjennomgang av avtalen viser det seg at UiT fortsatt har lavt sykefravær. Dersom sykefraværet overstiger fem prosent ved en av UiTs enheter, foretas det særskilt analyse med påfølgende tiltak. Oppfølging av sykemeldte arbeidstakere skjer etter fastsatte retningslinjer, og når det gjelder IA-plasser som stilles til disposisjon, er målet på ti plasser overoppfylt. UiT har fortsatt en høy avgangsalder. Områder med behov for oppfølging: Gjennomføring av årlig IA/HMS-møte for UiT Gjennomføring av årlige IA/HMS-møter ved fakulteter og enheter på samme nivå 3.4 Arbeidsmiljødag Arbeidsmiljødag 2014 ble arrangert torsdag 6. november 2014 ved Campus Tromsø og ved Campus Alta. Arrangementet besto av to deler: Én felles del hvor arrangementet ble overført med lyd/bilde fra Tromsø til Alta, Kirkenes og Hammerfest, og én separat del for Tromsø og Alta. Det var mellom 250300 deltakere på arrangementet i Tromsø og ca. 70 deltakere i Alta. Arbeidsmiljøprisen på 50 000 kroner ble tildelt Gunhild Guttvik ved Helsefak for hennes mange tiltak for godt arbeidsmiljø og medarbeiderskap. Områder med behov for oppfølging: Arrangere ny Arbeidsmiljødag til fastsatt tid 3.5 Ytre miljø og miljøledelse Universitetsstyret vedtok i styremøtet 13. februar 2014 ny handlingsplan for miljøledelse ved UiT. Nærmere informasjon om mål og tiltak innen satsingsområdene transport, innkjøp, energi og avfall finnes i Handlingsplan for miljøledelse 2014-2017. I henhold til handlingsplanen skal det være en årlig gjennomgang og analyse av arbeidet med miljøledelse ved UiT. Områder med behov for oppfølging: Iverksette den nye handlingsplanen for miljøledelse Utarbeide årlig rapport om miljøledelse ved UiT Enhetene må bidra med arbeid knyttet til satsingsområdene for miljøledelse UiT Norges arktiske universitet N-9037 Tromsø Sentralbord: 77 54 40 00 Faks: 77 64 49 00 [email protected] www.uit.no Side269 22 4 Utfordringer og områder som bør vies spesiell oppmerksomhet i 2015 Videreutvikling av beredskapen ved UiT Oppfølging av arbeidsmiljø- og klimaundersøkelsen i hele organisasjonen Sikre god HMS-kompetanse blant ledere, vernetjenesten og ansatte på alle nivå Gjennomføring av risiko- og eksponeringsvurderinger og føring av register over eksponerte Vedlegg: Årsrapport 2014 fra Arbeidsmiljøutvalget (AMU) ved UiT (2014/4221) Årsrapport 2014 om hovedverneombudenes fellesaktiviteter ved UiT (2014/402) Årsrapport 2014 fra Hemis (2013/5945) Rapporter om lokalt HMS-arbeid for 2014 (2014/5237) _ UiT Norges arktiske universitet N-9037 Tromsø Sentralbord: 77 54 40 00 Faks: 77 64 49 00 [email protected] www.uit.no Side270 23 Universitetsledelsen Arkivref: 2014/2952/ALO000 Dato: 09.02.2015 SAKSFRAMLEGG Til: Universitetsstyret Møtedato: 12.02.2015 Sak: 9/15 Fusjonssamtaler med Høgskolen i Narvik og Høgskolen i Harstad 2015 Innstilling til vedtak: 1) Rektor og universitetsdirektør gis fullmakt til å gå i fusjonssamtaler med Høgskolen i Narvik og Høgskolen i Harstad. 2) Styret får forelagt ny sak når en plan for det videre arbeidet er utarbeidet. Begrunnelse: I brev av 26.05.2014 – Oppdrag til statlige høyere utdanningsinstitusjoner: Innspill til arbeidet med framtidig struktur i universitets- og høgskolesektoren, dialogmøte i Bodø 5. september 2014 og brev av 8.10.2014 – Stortingsmelding om struktur i høyere utdanning – avklaringer og presiseringer i oppfølgingen av dialogmøtet, fremgår Kunnskapsdepartementets ønske om å styrke faglig kvalitet og robusthet i sektoren gjennom endringer i institusjonsstruktur. UiT kommer med tilsvar på oppdraget i brev av 29.10.2014 – Innspill til arbeidet med fremtidig strukturer i høyere utdanning, behandlet i styresak S 39/14. I svaret fremkommer UiTs perspektiv på fremtidig struktur og innfor hvilke områder man særlig ser for seg at det vil være faglige gevinster å hente på en tettere samhandling mellom utdanningsinstitusjonene i Nord-Norge. UiT skriver at man ser Kunnskapsdepartementets initiativ til å stryke faglig kvalitet og robusthet i sektoren som en god anledning til å styrke teknologifagene gjennom en faglig integrasjon mellom UiT og Høgskolen i Narvik (HiN), og åpner for en sammenslåing mellom de to lærestedene. Videre fremgår det at UiT også vil være positive til andre institusjoner som ønsker nærmere samtaler om fusjoner, under forutsetningen av at det skjer en faglig integrasjon hvor samfunnsoppdraget og kvalitet innen forskning og utdanning er i fokus. Kunnskapsdepartementet innkalte alle nordnorske institusjoner med unntak av Samisk høgskole til et felles møte i Oslo 9.januar. Statsråden gjorde på dette møtet det klart at den fremtidige strukturen i Nord-Norge vil bestå av to universiteter og Samisk høgskole. Alle institusjonene fikk innledningsvis presentere sine innspill til struktur og status, og deretter ble det diskusjons- og spørsmålsrunder. Statsråden understreket at han ville legge styrenes vedtak til grunn, men gav et sterkt signal til Høgskolen i Nesna om å revurdere sitt vedtak om fortsatt selvstendighet. Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side271 Struktur og Høgskolen i Narvik Høgskolestyret ved Høgskolen i Narvik vedtok i møte 10. 12. 2014 en prioritert rekkefølge for høgskolens fusjonsarbeid. Som et første alternativ satte høgskolestyret opp en videre prosess med NTNU, med tanke på å inngå i en flercampusmodell. En videre prosess med UiT, med tanke på en fusjon, var satt opp som prioritet nr. to. Høgskolestyret hadde som et tredje alternativ satt opp en videre prosess med Universitetet i Nordland.1 NTNU vedtok i styremøte 28.01.2015 å fusjonere med Høgskolen i Gjøvik, Høgskolen i Ålesund og høgskolen i Sør-Trøndelag, en løsning som dermed ikke inkluderte Høgskolen i Narvik.2 Høgskolen i Narviks første alternativ falt med dette bort. Høgskolen i Narvik gjennomførte 30.01.2015 et ekstraordinært styremøte, som opprettholdt prioriteringslisten fra styremøtet 10.12.2014. Struktur og Høgskolen i Harstad Høgskolestyret ved Høgskolen i Harstad (HiH) vedtok i møte 28.10.2014 oversendelse av Innspill til arbeidet med fremtidig struktur i universitets- høgskolesektoren.3 I Innspillet fremgår det: «Etter en samlet vurdering vurderer Høgskolestyret ved Høgskolen i Harstad at det største potensialet for å kunne realisere oppdraget fra Kunnskapsdepartementet er gjennom et tettere og mer formalisert samarbeid og på sikt, en fusjon med UiT Norges arktiske universitet». Direktørens anbefaling for videre arbeid UiT har gjennomført uforpliktende samtaler med begge institusjonene i løpet av de siste ukene. Siden fusjonene er tenkt å være gjeldene fra 1. januar 2016 vurderes det som avgjørende å starte opp arbeidet så raskt som mulig og utarbeide overordnede mål og klargjøre fremgangsmåte i det videre arbeidet. Det bør umiddelbart etableres et fusjonssekretariat med medlemmer fra UiT, HiN og HiH. Hovedoppgaven til sekretariatet vil være å legge en plan for implementering av fusjonen fra 1.1.2016 i samarbeid med ledelsen ved de tre institusjonene, samt å følge opp og drive fusjonsarbeidet i organisasjonen. Fusjonen må ta utgangspunkt i det opprinnelige oppdraget fra Kunnskapsdepartementet, og ønsket om mindre fragmenterte miljøer, styrket kvalitet og robusthet i organiseringen av UHsektoren. Framtidig organisering må avspeile dette. UiT har lagt faglig integrasjon til grunn for tidligere fusjoner, og det anbefales å følge dette prinsippet også i disse fusjonene (Jf styresak 39/14). UiT har de siste årene nedlagt betydelig arbeid for å sikre effektive og hensiktsmessige administrative systemer og rutiner i etterkant av to fusjoner. Det legges til grunn at dette feltet Vedtaksprotokollenertilgjengeligher: https://nuc.hin.no/sites/default/files/case_meetings/styresaker_hin/2014/10-12-2014_meeting.pdf (Hentet 4.februar2015) 2 Vedtaksprotokollenertilgjengeligher: http://www.ntnu.no/styret/saker_prot/28.01.15web/Protokoll%2028.01.2015.pdf (Hentet4. februar2015).Saksfremleggetertilgjengeligher: http://www.ntnu.no/styret/saker_prot/28.01.15web/S-1.15%20SAKS.pdf (Hentet4.februar2015) 3 Dokumentetertilgjengeligher: http://www.hih.no/neted/services/file/?hash=2d6fec6403ef3270cd26b2f93a4561a1 (Hentet4. februar2015) 1 UiT / Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side272 2 er tilstrekkelig utredet og at UiTs nåværende administrative systemer, regelverk og rutiner skal benyttes. Ledelsene ved de tre institusjonene har planlagt et felles møte 2-3. mars med tanke på de overordnede mål og en plan for det videre arbeidet. Universitetsdirektøren vil derfor på neste styremøte legge frem en sak hvordan prosessen videre kan organiseres etter at vi har fått samordnet oss med HiN og HiH. I UiTs tilsvar på statsrådens oppdrag til institusjonene har vi ikke nevnt fusjon med HiH spesifikt. For å kunne gå konkrete samtaler med HiH trenger rektor og universitetsdirektør de nødvendige fullmaktene fra styret. Lasse Lønnum universitetsdirektør Dokumentet er elektronisk godkjent og krever ikke signatur Saksbehandlere: André Løvik og Bjarte Toftaker UiT / Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side273 3 Orienteringssaker Side274 Orienteringssaker Side275 Universitetsledelsen Arkivref: 2015/180/SJO063 Dato: 26.01.2015 ORIENTERINGSSAK Til: Universitetsstyret Møtedato: 12.02.2015 Sak: 1/15 Forslag til nytt finansieringssystem for UH-sektoren - rapport fra ekspertgruppen Regjeringens ekspertgruppe som har utredet finansiering av universiteter og høyskoler overleverte sin rapport "Finansiering for kvalitet, mangfold og samspill" til kunnskapsminister Torbjørn Røe Isaksen 7. januar 2014. Kunnskapsdepartementet holder 2. februar en høringskonferanse der institusjonene og andre aktører kan gi innspill til ekspertgruppens vurderinger og forslag. Høringskonferansen er et ledd i KDs videre arbeid med å vurdere ekspertgruppens forslag. Fristen for skriftlige innspill fra institusjonene til departementet er satt til 9. februar. Ekspertgruppens oppgave var å gjennomgå finansieringen av universiteter og høyskoler, med mandat til å komme med forslag til endringer; - vurdere hvordan dagens finansiering påvirker institusjonenes prioriteringer og sektorens samlede resultater. - komme med konkrete anbefalinger om hvordan universiteter og høyskoler bør finansieres i fremtiden. I den framlagte rapporten foreslår gruppen å videreføre hovedtrekkene i dagens finansieringssystem. I gruppens forslag er en like stor andel (30 prosent) av institusjonenes bevilgning avhengig av resultater som i dag, resterende del går inn som grunnfinansiering/basisfinansiering. I resultatfinansieringen foreslås det noen endringer i indikatorer som det gis økonomisk uttelling for. Blant annet foreslås det å gi uttelling for ferdig utdannede kandidater, og det foreslås en styrking av insentivene for satsing på kvalitet i forskning. Hovedkonklusjonen i gruppens rapport er: - Ekspertgruppen fremhever institusjonenes eget strategiske ansvar for å fremme kvalitet og løse sitt samfunnsoppdrag innen utdanning, forskning og formidling. Med bakgrunn i dette anbefaler gruppen at Kunnskapsdepartementet ikke bør redusere institusjonenes strategiske handlingsrom ved å øremerke ulike deler av bevilgningen. - Et nytt grep fra ekspertgruppen er forslaget om at det innføres flerårige utviklings-, kvalitetsog profilavtaler mellom departementet og den enkelte institusjon. Hensikten er å gi hver institusjon rom for å utvikle sin profil og kvalitet i utdanning og forskning. - Ekspertgruppen mener det er nødvendig å stimulere institusjonene til å forbedre seg på disse områdene, men at det ikke finnes gode indikatorer som kan benyttes til å gi direkte finansiell Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side276 uttelling i et system som er felles for alle institusjoner. Ved å benytte flerårige avtaler kan dette gi mulighet for å premiere egen profil og kvalitetsforbedring basert på helhetlige vurderinger. Det foreslås at deler av institusjonenes budsjettramme knyttes til måloppnåelse i avtalene. - I rapporten understreker gruppen at de ikke har gjort en vurdering av bevilgningsnivå for den enkelte institusjon, men at forslaget er en nasjonal budsjettfordelingsmodell for universiteter og høyskoler. Forholdet mellom basis- og resultatuttelling. Rammebevilgningen omfatter både langsiktige og strategiske midler (tidligere kalt basis), og den resultatbaserte uttellingen for utdannings- og forskningsresultater. Den langsiktige og strategiske bevilgningen bygger på særskilte prioriteringer (historiske og politiske) over tid for de ulike institusjonene, og utgjør på sektornivå om lag 70 pst. av samlet rammebevilgning i budsjettet for 2014. Resultatbasert uttelling tar utgangspunkt i resultater innen utdanning og forskning fra to år tidligere, og utgjør på sektornivå om lag 24 pst. (utdanning) og 6 pst. (forskning) av samlet rammebevilgning i budsjettet for 2014. Forholdet mellom langsiktig og strategisk bevilgning, utdanningsinsentiver og forskningsinsentiver varierer mellom institusjonene. I forslaget til ny finansieringsmodell vil forholdet mellom forsknings- og utdanningsinsentivene beholdes uforandret på sektornivå ift dagens modell. Prosentfordelingen vil derimot variere mellom institusjoner ut i fra hvor godt de scorer på resultatsiden. Innføring av den nye modellen skal gjøres budsjettnøytral, som innebærer at i innføringsåret (2016) vil institusjonene motta samme totale ramme som de ville gjort med dagens modell. Dette gjøres ved å kalibrere resultatbevilgningen mot basisbevilgningen. Et av temaene for ekspertgruppens diskusjoner har vært om det er grunnlag for å re-komponere basisbevilgningen, og eventuelt omfordele basisbevilgning mellom institusjoner. Basisbevilgningen er historisk bestemt gjennom politiske prioriteringer, f.eks. gjennom økt bevilgning til nye studieplasser og rekrutteringsstillinger, og over lang tid. Ekspertgruppens konklusjon er at det ikke finnes grunnlag for å si at dagens basisbevilgning er skjevfordelt mellom UiT / Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side277 2 institusjoner. Den historiske rammen er i prinsippet korrekt, da den gjenspeiler summen av vedtatte bevilgninger over tid. Utdanningsinsentivene Ekspertgruppen foreslår som i dag å gi utdanningsinsentivene gjennom en åpen ramme, dvs. at det er et lineært forhold mellom bevilgning og produksjon. Dagens seks satser for belønning av studiepoengproduksjon endres til fire, og går fra å skille mellom fagmiljø og studienivå (bachelor og master) til å kun skille mellom fagmiljø. Hovedeffekten av de nye satsene er at teori-, medisinog kunstfag vektes lavere enn i dag, mens utstyrsintensive fag vektes høyere. På sektornivå legges det mindre midler i studiepoenginsentivet enn i dag. Differansen brukes til å opprette et insentiv for kandidatproduksjon. Kandidatproduksjonen belønnes gjennom stykkpriser, 10 000 kr for en bachelorgrad og 30 000 kr for mastergrad, også dette gjennom en åpen ramme. Forskningsinsentivene Forskningsinsentivene, i dagens modell kjent som RBO (resultatbasert omfordeling av forskningsinsentivene oppnådd via avlagte doktorgrader, publikasjonspoeng, EU- og NFRinntekter), endres til tre indikatorer; EU-inntekter, avlagte doktorgrader og publiseringspoeng. Dette utgjør på sektornivå 6 pst, som er på samme nivå som dagens RBO. EU-indikatoren endres til å inneholde alle EU-inntekter (før bare forskningsprogrammet). Denne indikatorens styrke settes til 1 kr per krone inntekt fra EU, og gis som en åpen ramme. I tillegg foreslås det å gi 2 kr per krone inntekt fra ERC. Avlagte doktorgrader foreslås å belønnes med en stykkpris på 340 000 kr, og åpen ramme. Indikatoren for publikasjonspoeng foreslås endret slik at publikasjoner på nivå 2 vektes høyere enn i dag i tillegg til at medforfatterskap belønnes høyere enn i dag. Publikasjonspoeng belønnes fortsatt innenfor en lukket ramme, men rammen økes. I tillegg settes det av en pott på 30 mill. kr for å belønne publikasjoner i særlig anerkjente kanaler. Utvikling- kvalitet- og profilavtaler Ekspertgruppen foreslår et nytt element inn i finansieringsmodellen kalt utvikling- kvalitet- og profilavtaler. Avtaledelen utgjør 5 pst av grunnbevilgningen og ligger innenfor basis-delen av bevilgningen. Avtalen skal inneholde målsettinger for institusjonen, og knyttes til finansieringsmodellen gjennom at institusjonens måloppnåelse skal ha en finansiell konsekvens etter avtaletidens utløp (3-4 år). Avtaledelen utgjør som sagt 5 pst av grunnbevilgningen, som også er grensen for hvor mye midler som enten kan inndras eller økes som belønning etter evaluering. Ekspertgruppen påpeker at det er meget usannsynlig at noen vil kunne tape hele beløpet som legges i denne delen. Nyskaping og innovasjon Ekspertutvalget konstaterer at det ikke finnes indikatorer som fanger opp bredden i nyskaping- og innovasjonsvirksomheten, og foreslår derfor ikke en egen indikator for dette. Effekten av ny modell for UiT. Slik forslaget ligger fra ekspertgruppen ville effekten for UiT av den nye modellen på 2015budsjettet være redusert resultatuttelling med 28 mill kroner. I innføringsåret kompenseres dette ved at samme beløp flyttes over til basisfinansieringen. Merk at dette er kun effektene for innføringsåret. På sikt vil balansen mellom utdannings- og forskningsinsentiver kunne endres ettersom de fleste insentivene for både utdanning og forskning er foreslått gitt gjennom en åpen ramme. Dette betyr at vekst i produksjon vil få direkte positiv budsjetteffekt, noe som ikke nødvendigvis er tilfelle i en lukket ramme. Estimert effekt for UIT for 2015, følger i tabellen under. UiT / Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side278 3 UiT - 2015 Resultatbevilgning Utdanning Basis Forskning Sum bevilgning Sum resultat Dagens modell – 1.000 kroner 458 775 129 541 588 316 1 858 039 2 446 355 Ny modell – 1.000 kroner 437 898 122 318 560 215 1 886 140 2 446 355 Endring – 1.000 kroner -20 877 -7 223 -28 101 28 101 - Dagens andel - UiT 18,8 % 5,3 % 24,0 % 76,0 % 100,00 % Ny modell - andel UiT 17,9 % 5,0 % 22,9 % 77,1 % 100,00 % Ny modell - snitt statlige institusjoner 23,90 % 5,40 % 29,30 % 70,70 % 100,00 % Foreløpige vurderinger av forslag til ny finansieringsmodell Ekspertgruppens forslag synes å være godt gjennomarbeidet og begrunnet. Nivået på basiskomponenten styrkes. Det sikrer langsiktighet og god planleggingshorisont samtidig som det sikrer strategiske muligheter til prioritering. Resultatkomponenten får i all hovedsak en åpen ramme. Det sikrer riktig innretning og ansporer til økt resultatoppnåelse. I tillegg beholder man et enkelt finansieringssystem med tydelige insentiver. Det er også positivt at basiskomponenten kan inneholde en avtaledel som gir mulighet til å belønne resultater som tydeliggjør institusjonens egenart, profil samt kvalitet. Det videre arbeidet Ved UiT er rapporten distribuert til alle enhetene med anmodning om å komme med synspunkter og innspill til høringsbrevet til KD. Universitetsdirektøren vil samle innkomne innspill og utarbeide høringsuttalelse til KD innen 9.februar 2015. Ny fordelingsmodell i sektoren fordrer en revisjon av UITs interne fordelingsfordelingsmodell. Universitetsdirektøren foreslår at det settes sammen en intern arbeidsgruppe som får i oppdrag å utarbeide ny fordelingsmodell for UIT. Det er et mål at denne vedtas av universitetsstyret på høsten 2015 slik at det kan legges frem en revidert budsjettfordeling av 2016-budsjettet på ny modell ved årsskiftet 2015/2016. Sak om prinsipper i ny fordelingsmodell legges frem for styret gjennom 2015 og slik at dette blir førende for det interne arbeidet med modellen. Direktøren foreslår at foreløpig fordeling av UITs budsjett for 2016 foretas i styremøtet i juni 2015 på eksisterende struktur, og at denne justeres på ny modell etter at statsbudsjettet og tildelingsbrevet for 2016 foreligger. Med vennlig hilsen Lasse Lønnum universitetsdirektør Eli M Pedersen økonomidirektør UiT / Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side279 4 Dokumentet er elektronisk godkjent og krever ikke signatur Saksbehandler: Steinar L. Johansen UiT / Postboks 6050 Langnes, N-9037 Tromsø / 77 64 40 00 / [email protected] / uit.no Side280 5