home *** CD-ROM | disk | FTP | other *** search
/ Forum of Incident Response & Security Teams / Forum_of_Incident_Response_and_Security_Teams_FIRST_October_1994.iso / ethics / iuaccess.txt < prev    next >
Text File  |  1994-07-08  |  9KB  |  209 lines
  1. To give you some background on the history of this document: It
  2. was initially developed with input from a Data Administration
  3. Subcommittee of our Administrative Computing Advisory Committee,
  4. and was subsequently reviewed and revised by two groups
  5. specifically designated to deal with issues of institutional data
  6. and data access: the Committee of Data Stewards and the Committee
  7. on Institutional Data.  In October 1991 it was approved by the
  8. IU's University Operations Cabinet and in December 1991 it was
  9. distributed by the Office of the President.
  10.  
  11. *****************************************************************
  12. Gerry Bernbom
  13. Assistant Director, Data Administration and Access
  14. University Computing Services
  15. Indiana University
  16. 1000 E. 17th Street
  17. Bloomington, IN  47405
  18.  
  19. Phone:      (812) 855-4624
  20. FAX:        (812) 855-7868
  21. Internet:   bernbom@ucs.indiana.edu
  22. Bitnet:     bernbom@iubacs
  23. *****************************************************************
  24.  
  25. =================================================================
  26.  
  27.                        INDIANA UNIVERSITY
  28.              POLICY ON ACCESS TO INSTITUTIONAL DATA
  29.  
  30. (Approved by the University Operations Cabinet, October 30, 1991)
  31.  
  32.  
  33. STATEMENT OF PHILOSOPHY
  34.  
  35. The value of data as an institutional resource is increased
  36. through its widespread and appropriate use; its value is
  37. diminished through misuse, misinterpretation, or unnecessary
  38. restrictions to its access.
  39.  
  40. SCOPE OF POLICY
  41.  
  42. This policy applies to institutional data (as defined in Appendix
  43. A) and is intended to improve university-wide access to these
  44. data.  The policy does not apply to notes and records that are
  45. the personal property of individuals in the university community,
  46. and is not directed to data whose primary purpose is scholarly
  47. (instructional material, research notes, etc.).  In all cases
  48. applicable statutes and regulations that guarantee either
  49. protection or accessibility of institutional records will take
  50. precedence over this policy.
  51.       (Note: Definitions of terms used in this policy are supplied
  52.       in Appendix A.)
  53.  
  54. STATEMENT OF POLICY
  55.  
  56. Access to institutional data -- the permission to view or query
  57. institutional data -- should be granted to all eligible employees
  58. of Indiana University (as defined in Appendix A) for all
  59. legitimate university purposes.
  60.  
  61. University data stewards will be responsible for assigning each
  62. item of institutional data and each standard view of that data to
  63. one of three categories:  public, university-internal, or
  64. limited-access.
  65.  
  66. Except as noted below, all institutional data will be designated
  67. as university-internal data for use within the university.  All
  68. eligible employees of the university will have access to these
  69. data, without restriction or prior authorization, for use in the
  70. conduct of university business.  These data, while freely
  71. available within the university, are not open to the general
  72. public.
  73.  
  74. As appropriate, data stewards may identify data elements or views
  75. that have no access restriction whatsoever and that may be
  76. released to the general public.  These will be designated public
  77. data.
  78.  
  79. As necessary, data stewards may designate some data elements
  80. limited-access data. Such designation will include: specific
  81. reference to the legal, ethical, or other constraint that
  82. requires this restriction and description of the categories of
  83. data users that are typically given access to the data, the
  84. conditions under which access is given, or the limitations that
  85. apply to such access.
  86.  
  87. Data stewards will work together to define a single set of
  88. procedures by which users may request permission to access
  89. limited-access institutional data, and will be jointly
  90. responsible for documenting these procedures.  Each data steward
  91. will be individually responsible for documenting data access
  92. procedures that are unique to a specific information resource or
  93. set of data elements.
  94.  
  95. Any data user may request that a data steward or the committee of
  96. data stewards as a group review the restrictions placed on a data
  97. element or data view, or review a decision to deny access to
  98. limited-access data.  When necessary, the Committee on
  99. Institutional Data will make the final determination on data
  100. restrictions and requests for access rights to institutional
  101. data.
  102.  
  103. Data users will be expected to access institutional data only in
  104. their conduct of university business, to respect the
  105. confidentiality and privacy of individuals whose records they may
  106. access, to observe any ethical restrictions that apply to data to
  107. which they have access, and to abide by applicable laws or
  108. policies with respect to access, use, or disclosure of
  109. information.  Expressly forbidden is the disclosure of limited-
  110. access or university-internal institutional data or the
  111. distribution of such data in any medium, except as required by an
  112. employee's job responsibilities.  Also forbidden is the access or
  113. use of any institutional data for one's own personal gain or
  114. profit, for the personal gain or profit of others, or to satisfy
  115. one's own personal curiosity.  Violation of this policy will be
  116. dealt with seriously.  Violators will be subject to the normal
  117. disciplinary procedures of the university and, in addition, the
  118. loss of data access privileges may result.
  119.  
  120.  
  121.                     APPENDIX A: DEFINITIONS
  122.  
  123. COMMITTEE ON INSTITUTIONAL DATA (CID).  Chaired by the Associate
  124. Vice President for Information Resources, this committee
  125. establishes overall policy and guidelines for management and
  126. access to the institutional data of the university.
  127.  
  128. DATA, INSTITUTIONAL.  A data element is considered institutional
  129. data if it satisfies one or more of the following criteria: it is
  130. relevant to planning, managing, operating, or auditing a major
  131. administrative function of the university; it is referenced or
  132. required for use by more than one organizational unit; it is
  133. included in an official university administrative report; or it
  134. is used to derive an element that meets the criteria above.  The
  135. data stewards, under the oversight of the CID, will apply these
  136. criteria to determine which data are institutional in nature.
  137. Any data steward, data manager, user group, or data user may
  138. identify and suggest data elements for consideration by the
  139. committee of data stewards.
  140.  
  141. DATA, LIMITED-ACCESS.  These are data elements that, because of
  142. legal, ethical, or other constraints may not be accessed without
  143. specific authorization or to which only selective access may be
  144. granted.
  145.  
  146. DATA, PUBLIC.  These are data elements to which the general
  147. public may be granted access.
  148.  
  149. DATA, UNIVERSITY-INTERNAL.  These data elements may be accessed
  150. by all eligible employees of the university, without restriction,
  151. for the conduct of university business.
  152.  
  153. DATA ACCESS, INSTITUTIONAL.  Access to institutional data refers
  154. to the permission to view or query data.
  155.  
  156. DATA MANAGERS.  University officials and their staff who have
  157. operational-level responsibility for data capture, data
  158. maintenance, and data dissemination.
  159.  
  160. DATA STEWARDS.  University officials who have policy-level
  161. responsibility for managing a segment of the university's
  162. information resource.
  163.  
  164. DATA USERS. Employees of Indiana University who access
  165. institutional data in performance of their assigned duties.
  166.  
  167. DATA VIEW.  A logical collection of data elements, possibly from
  168. multiple physical databases, that are assembled and presented
  169. according to a defined set of rules.
  170.  
  171. ELIGIBLE EMPLOYEES.  Faculty, staff and administrators holding
  172. full-time appointment at Indiana University or other employees
  173. specifically designated as eligible by the head of their
  174. department, division, school, or campus.
  175.  
  176.  
  177.                  APPENDIX B: IMPLEMENTATION
  178.  
  179. Enactment of this policy will not result in the immediate
  180. accessibility of all institutional data.  A timetable for
  181. implementation will be the joint responsibility of the data
  182. stewards and UCS/Data Administration.  Key implementation tasks
  183. will include: identification of data elements that are
  184. institutional in nature; identification of current storage
  185. locations and storage media for these data elements; assignment
  186. of data elements to the appropriate data steward; designation of
  187. data elements as limited-access or public, as necessary (all
  188. other data being categorized as university-internal, as defined
  189. in this policy); identification of standard data views;
  190. prioritization of data elements and data views to be made
  191. accessible as university-internal or public; definition and
  192. documentation of access request procedures; and revisions to the
  193. information access environment or applicable security systems to
  194. enable access as defined in this policy.  In establishing an
  195. implementation plan for this policy the data stewards will give
  196. priority to data stored in electronic form.  Data stewards and
  197. UCS Data Administration will promote a culture of responsible use
  198. of institutional data by providing data users with information
  199. and guidelines about the appropriate use of data, and by making
  200. available data definitions and documentation to assist data users
  201. in making reasonable and accurate interpretations of the data
  202. they access.
  203.  
  204. The Committee on Institutional Data will provide the University
  205. Operations Cabinet with regular reports regarding the status of
  206. this policy and its implementation.
  207. =================================================================
  208.  
  209.