TRE är en tjänst som säkerställer en kontrollerad och skyddad IT-miljö, tillhandahållen av IT-enheten på Göteborgs universitet. Denna tjänst är avsedd för universitetets anställda, för att kunna lagra och behandla forskningsdata enligt säkerhetskrav för information av säkerhetsklass 3.

Tjänsten är uppbyggd så att en administratör som är anställd vid Göteborgs universitet, får ansvar för en avgränsad och dedikerad digital yta, kallat valv, som denne kan administrera och tilldela behörigheter inom. Inom detta valv kan även superanvändare och användare utföra arbete.

När du arbetar i TRE kan du komma att ta del av information som omfattas av sekretess och som innebär att du omfattas av tystnadsplikt enligt offentlighets- och sekretesslagen (2009:400), OSL. Tystnadsplikt innebär ett förbud att röja eller utnyttja uppgifter som omfattas av sekretess, vare sig det sker muntligen eller på annat sätt. Brott mot tystnadsplikten är straffsanktionerat enligt 20 kap. 3 § brottsbalken (1962:700).

Som anställd bär du ansvaret för att både du själv och de personer du tilldelar behörighet till är väl informerade om de policyer, riktlinjer och regler som GU har utarbetat, i linje med universitetets övergripande ansvar. Detta inkluderar specifika dokument relaterade till informations- och IT-säkerhet, såsom Policy för informationssäkerhet vid Göteborgs universitet (dnr GU 2024/15) och Regler för IT-säkerhet vid Göteborgs universitet (dnr V2013/414) samt den ansvarsförbindelse för användning av Göteborgs universitets IT-resurser (dnr V2013/414) samtliga anställda godkänner innan användning av en IT-resurs. Avseende licensierad programvara som tillhandahålls inne i miljön får den endast nyttjas av vissa grupper av användare, typiskt anställda och studenter vid Göteborgs universitet, se Datorer, programvara och licenser för mer information om styrdokument och regler. Bristande efterlevnad och eller överträdelser av regler kan medföra ett arbetsrättsligt ansvar i enlighet med dessa bestämmelser.

Universitetet ansvarar för att föreskrifterna om informationssäkerhet från Myndigheten för samhällsskydd och beredskap, (MSB) efterlevs. TRE och dess organisation, drift, förvaltning och incidenthantering bedrivs enligt MSB:s krav i föreskrifterna MSBFS 2020:7–8. Detta innebär att personuppgifter om dig som användare och vilka åtgärder du vidtar i miljön kommer att loggas. Du kan läsa mer om hur dina personuppgifter behandlas i universitets integritetspolicy.

Grundläggande krav - alla som arbetar i TRE ska säkerställa:

• Att du alltid agerar i enlighet med Göteborgs universitets policyer, riktlinjer och regler.
• Att information (data) som finns i TRE inte sprids vidare till obehöriga.
• Att misstanke om eventuellt eller konstaterat dataläckage snarast rapporteras till säkerhetsfunktionen vid Göteborgs universitet incident.response@gu.se
• Att enheter (IT-utrustning såsom dator, telefon eller motsvarande) som ger åtkomst till TRE förvaras på betryggande sätt. Förlust av enheter ska rapporteras direkt till support@gu.se eller anknytning 2020.
• Att enheter som ger åtkomst till TRE inte lånas ut eller ändras samt att lösenord (kod) till enheterna inte delas till någon annan.
• Att starka lösenord eller koder används för enheterna som ger åtkomst till TRE i enlighet med Göteborgs universitets anvisningar.
• Att all information (data) som finns i valvet hanteras korrekt i enlighet med Göteborgs universitets gällande styrdokument för informationshantering.
• Att de anvisningar som i övrigt kan komma att utfärdas efterlevs.

Särskilda krav

Inom TRE specificeras fem distinkta roller, var och en med unika ansvarsområden och krav:

Administratör (valvägare): Denna roll innebär ansvar för att hantera behörigheter inom ett tilldelat (sitt) valv. Administratören kan lägga till superanvändare och användare, hantera ansökningar samt medlemskap i åtkomstgrupper. Administratören är även behörig att tilldela rollerna importör och exportör.

Superanvändare: Som superanvändare har man möjlighet att installera program eller verktyg (skapa nya resurser) inom valvet och använda dessa resurser för arbete. Detta ger en utökad funktionalitet jämfört med rollen användare.

Användare: Denna roll begränsas till att arbeta med (använda resurserna) och hantera information (data) som finns tillgänglig i valvet. Användare har inte rättigheter att installera nya program eller hantera åtkomst för andra användare.

Importör: Denna roll begränsas till att kunna godkänna import samt importera data till valvet.

Exportör: Denna roll begränsas till att kunna exportera data från valvet.

Rollernas olika kravspektra understryker vikten av att noggrant förstå och efterleva de specifika befogenheterna och begränsningarna som följer med varje position för att säkerställa en effektiv och säker hantering av TRE-miljön.

Nedan följer de särskilda förutsättningar/krav som gäller för respektive roll, utöver att följa de grundläggande kraven för Alla som arbetar i TRE (se ovan).

Användare

För att vara användare förutsätts att du är anställd vid Göteborgs universitet, affilierad till Göteborgs universitet eller verkar under ett samarbetsavtal mellan Göteborgs universitet och hemorganisationen.

Superanvändare

För att vara superanvändare förutsätts att du är anställd vid Göteborgs universitet, affilierad till Göteborgs universitet eller verkar under ett samarbetsavtal mellan Göteborgs universitet och hemorganisationen.

Superanvändaren har ett ytterligare ansvar att säkerställa att:

• Vid tillgängliggörande samt installation av programvara i valvet ansvara för att licensrättigheter efterlevs enligt Göteborgs Universitets styrdokument för licensverksamheten samt enligt gällande licensvillkor för respektive programvara.
• De program/verktyg (nya resurser) som installeras inte skapar säkerhetsbrister eller luckor i valvet som inte är på förhand identifierade och bedömda.

Administratör (valvägare)

Som administratör, en position som förutsätter anställning vid Göteborgs universitet, innebär rollen ett ansvar att:

• Administration av behörigheter till valvet sker i enlighet med Regler för IT-säkerhet vid Göteborgs universitet (avsnitt 4.2), dnr V2013/414.
• Revidering av behörigheter ska ske minst var 6:e månad.
• Personer som tilldelats behörighet i valvet har informerats om användarvillkor för TRE och även annan nödvändig information för projektets genomförande.

Importör

För att vara importör förutsätts att du är anställd vid Göteborgs universitet, affilierad till Göteborgs universitet eller verkar under ett samarbetsavtal mellan Göteborgs universitet och hemorganisationen.

Exportör

Som exportör, en position som förutsätter anställning vid Göteborgs universitet, innebär rollen ett ansvar att:

• Inte exportera eller tillåta export av känslig information (data) till obehöriga.
• Inte exportera eller tillåta export av känslig information (data) för att sedan bearbeta eller lagra informationen på andra lagringsplatser, enheter eller andra ytor som inte motsvarar den säkerhetsnivå som gäller i TRE.