TRE är en tjänst som säkerställer en kontrollerad och skyddad IT-miljö, tillhandahållen av IT-enheten på Göteborgs universitet. Denna tjänst är avsedd för universitetets anställda, för att kunna lagra och behandla forskningsdata enligt säkerhetskrav för information av säkerhetsklass 3.

Tjänsten är uppbyggd så att en valvägare som är anställd vid Göteborgs universitet, får ansvar för en avgränsad och dedikerad digital yta, kallat valv, som denne kan administrera och tilldela behörigheter inom. Inom detta valv kan även superanvändare och användare utföra arbete.

När du arbetar i TRE kan du komma att ta del av information som omfattas av sekretess och som innebär att du omfattas av tystnadsplikt enligt offentlighets- och sekretesslagen (2009:400), OSL. Tystnadsplikt innebär ett förbud att röja eller utnyttja uppgifter som omfattas av sekretess, vare sig det sker muntligen eller på annat sätt. Brott mot tystnadsplikten är straffsanktionerat enligt 20 kap. 3 § brottsbalken (1962:700).

Som anställd bär du ansvaret för att både du själv och de personer du tilldelar behörighet till är väl informerade om de policyer, riktlinjer och regler som GU har utarbetat, i linje med universitetets övergripande ansvar. Detta inkluderar specifika dokument relaterade till informations- och IT-säkerhet, såsom Policy för informationssäkerhet vid Göteborgs universitet (dnr GU 2024/15) och Regler för IT-säkerhet vid Göteborgs universitet (dnr V2013/414) samt den ansvarsförbindelse för användning av Göteborgs universitets IT-resurser (dnr V2013/414) samtliga anställda godkänner innan användning av en IT-resurs. Avseende licensierad programvara som tillhandahålls inne i miljön får den endast nyttjas av vissa grupper av användare, typiskt anställda och studenter vid Göteborgs universitet, se Datorer, programvara och licenser för mer information om styrdokument och regler. Bristande efterlevnad och eller överträdelser av regler kan medföra ett arbetsrättsligt ansvar i enlighet med dessa bestämmelser.

Universitetet ansvarar för att föreskrifterna om informationssäkerhet från Myndigheten för samhällsskydd och beredskap, (MSB) efterlevs. TRE och dess organisation, drift, förvaltning och incidenthantering bedrivs enligt MSB:s krav i föreskrifterna MSBFS 2020:7–8. Detta innebär att personuppgifter om dig som användare och vilka åtgärder du vidtar i miljön kommer att loggas. Här kan du läsa mer om hur dina personuppgifter behandlas.

Grundläggande krav - alla som arbetar i TRE ska säkerställa:

• Att du alltid agerar i enlighet med Göteborgs universitets policyer, riktlinjer och regler.
• Att information (data) som finns i TRE inte sprids vidare till obehöriga.
• Att misstanke om eventuellt eller konstaterat dataläckage snarast rapporteras till säkerhetsfunktionen vid Göteborgs universitet incident.response@gu.se
• Att enheter (IT-utrustning såsom dator, telefon eller motsvarande) som ger åtkomst till TRE förvaras på betryggande sätt. Förlust av enheter ska rapporteras direkt till support@gu.se eller anknytning 2020.
• Att enheter som ger åtkomst till TRE inte lånas ut eller ändras samt att lösenord (kod) till enheterna inte delas till någon annan.
• Att starka lösenord eller koder används för enheterna som ger åtkomst till TRE i enlighet med Göteborgs universitets anvisningar.
• Att all information (data) som finns i valvet hanteras korrekt i enlighet med Göteborgs universitets gällande styrdokument för informationshantering.
• Att de anvisningar som i övrigt kan komma att utfärdas efterlevs.

Särskilda krav

Inom TRE specificeras sex distinkta roller, var och en med unika ansvarsområden och krav:

Valvägare: Denna roll är ansvarig för att all data som finns i valvet hanteras korrekt och är också den som tilldelar eller initialt godkänner behörigheter inom sitt valv.

Valvadministratör: Denna roll innebär ansvar för att hantera behörigheter inom ett tilldelat valv. Valvadministratören kan lägga till superanvändare och användare, hantera ansökningar samt medlemskap i åtkomstgrupper. Valvadministratören är även behörig att tilldela rollerna importör och exportör.

Superanvändare: Denna roll har möjlighet att installera program eller verktyg (skapa nya resurser) inom valvet och använda dessa resurser för arbete. Detta ger en utökad funktionalitet jämfört med rollen användare.

Användare: Denna roll begränsas till att arbeta med (använda resurserna) och hantera information (data) som finns tillgänglig i valvet. Användare har inte rättigheter att installera nya program eller hantera åtkomst för andra användare.

Importör: Denna roll begränsas till att kunna godkänna import samt importera data till valvet.

Exportör: Denna roll begränsas till att kunna exportera data från valvet.

Rollernas olika kravspektra understryker vikten av att noggrant förstå och efterleva de specifika befogenheterna och begränsningarna som följer med varje position för att säkerställa en effektiv och säker hantering av TRE-miljön.

Nedan följer de särskilda förutsättningar/krav som gäller för respektive roll, utöver att följa de grundläggande kraven för Alla som arbetar i TRE (se ovan).

Användare

För att vara användare förutsätts att du är anställd vid Göteborgs universitet, är affilierad till Göteborgs universitet eller verkar under ett samarbetsavtal mellan Göteborgs universitet och hemorganisationen.
Om du är student på grund- eller avancerad nivå vid Göteborgs universitet förutsätts att du verkar under ett tydligt formulerat uppdrag samt att du har erhållit och godkänt en sekretesserinran från Göteborgs universitet.

Superanvändare

För att vara superanvändare förutsätts att du är anställd vid Göteborgs universitet, är affilierad till Göteborgs universitet eller verkar under ett samarbetsavtal mellan Göteborgs universitet och hemorganisationen.

Superanvändaren har ett ytterligare ansvar att säkerställa att:

• Vid tillgängliggörande samt installation av programvara i valvet säkerställa att detta sker i enlighet med Göteborgs universitets regelverk.
• De program/verktyg (nya resurser) som installeras inte skapar säkerhetsbrister eller luckor i valvet som inte är på förhand identifierade och bedömda.

Valvadministratör

Som valvadministratör, en position som förutsätter anställning vid Göteborgs universitet, innebär rollen ett ansvar att säkerställa att:

• Administration av behörigheter till valvet sker i enlighet med Regler för IT-säkerhet vid Göteborgs universitet (avsnitt 4.2), dnr V2013/414.
• Revidering av behörigheter sker minst var 6:e månad.

Valvägare

Som valvägare, en position som förutsätter anställning vid Göteborgs universitet, innebär rollen ett ansvar att:

• Administration av behörigheter till valvet sker i enlighet med Regler för IT-säkerhet vid Göteborgs universitet (avsnitt 4.2), dnr V2013/414.
• Revidering av behörigheter ska ske minst var 6:e månad.
• Personer som tilldelats behörighet i valvet har informerats om användarvillkor för TRE och även annan nödvändig information för projektets genomförande.
• Licensrättigheter efterlevs enligt Göteborgs universitets styrdokument för licensverksamheten samt enligt gällande licensvillkor för respektive programvara.

Importör

För att vara importör förutsätts att du är anställd vid Göteborgs universitet, är affilierad till Göteborgs universitet eller verkar under ett samarbetsavtal mellan Göteborgs universitet och hemorganisationen.

Exportör

Som exportör, en position som förutsätter anställning vid Göteborgs universitet, innebär rollen ett ansvar att:

• Inte exportera eller tillåta export av känslig information (data) till obehöriga.
• Inte exportera eller tillåta export av känslig information (data) för att sedan bearbeta eller lagra informationen på andra lagringsplatser, enheter eller andra ytor som inte motsvarar den säkerhetsnivå som gäller i TRE.