Datasäkerhet och informationsklassning
Forskningsdata kan vara svåra att återskapa och innehåller ibland konfidentiell information. Att planera hur data ska lagras och skyddas är därför viktigt. Val av arbetssätt och tekniska lösningar ska säkerställa att data inte går förlorade, att praktiskt hantering och valda lagringslösningar uppfyller krav på informationssäkerhet samt att uppgifter som omfattas av sekretess inte röjs.
Informationsklassning
För att hitta rätt typ av lösningar för lagring och annan hantering av data är det viktigt att veta vilka legala och andra krav den typ av data du arbetar med ställer. Informationsklassning av projektets data bör därför göras innan projektstart eftersom utfallet påverkar tid och resurser som behövs för att etablera rutiner och få tillgång till tillräckligt säkra system. Höga krav innebär vanligtvis större kostnader för teknisk lösningar.
Informationsklassning görs genom att bedöma behov och data med avseende på tre faktorer: Konfidentialitet, Riktighet och Tillgänglighet (KRT), med riktlinjer från Myndigheten för samhällsskydd och beredskap (MSB).
- Med Konfidentialitet syftar man på om data innehåller information som inte ska göras tillgänglig eller avslöjas för obehöriga personer, system eller processer.
- Med Riktighet avses att informationen inte ska förändras eller förstöras, varken av obehöriga, av misstag eller på grund av funktionsstörningar.
- Med Tillgänglighet avses att informationen ska vara åtkomlig och användbar på förväntat sätt och inom önskad tid.
Klassificeringen görs med en skala på 0 till 3 för varje faktor och resultatet brukar benämnas KRT-värde. Du kan själv göra en klassning av dina data med hjälp av i Uppsala universitets instruktion för informationsklassificering – se Rutiner för riskhantering – informationssäkerhet, bilaga 2.
Läs mer om universitetets rekommendationer kring informationssäkerhet och ta gärna del av universitetets kurs i grundläggande informationssäkerhet.
Kontakta Säkerhetsavdelningen för rådgivning: security@uu.se
Konfidentiell information i forskningsdata
Vissa data som hanteras i forskning innehåller information som av etiska, juridiska, kommersiella eller andra skäl bör skyddas mot obehörig åtkomst. Det handlar ofta om uppgifter som enligt Offentlighets och sekretesslagen (2009:400) ska beläggas med sekretess och skyddas mot obehörig åtkomst. Det kan vara information:
- som direkt eller indirekt kan kopplas till enskilda individer
- som är upphovsrättsskyddad eller omfattas av immateriella rättigheter av någon part
- som berör rikets säkerhet eller produkter med dubbla användningsområden (dvs. både civilt och militärt bruk)
- om skyddade arter eller biologiskt känsliga lokaler
- som ligger till grund för patenterbara uppfinningar.
Om data med konfidentiell information kommer att hanteras av externa parter ska överenskommelser om ansvar samt säkerhetsåtgärder och rutiner säkerställas genom avtal. Tänk på att vid samarbeten med exempelvis företag omfattas personal i den verksamheten inte av tystnadsplikt på samma sätt som anställda i offentlig verksamhet. – Se även Tillstånd och avtal.
Rutiner för informationssäkerhet
Innan ett projekt påbörjas bör man planera och dokumentera vilka tekniska och administrativa rutiner som krävs för att upprätthålla en tillräcklig säkerhetsnivå vid hantering och lagring av data genom hela dess livscykel.
Alla medarbetare i ett projekt, både interna och externa parter, ska informeras om vilka data som är konfidentiella, samt vilka lösningar och rutiner som ska följas för att säkerställa att bara behöriga får åtkomst till materialet. Se även Rutiner för säker informationshantering.
Projektledare ansvarar för datahantering inom ett projekt, men särskilt vid större projekt rekommenderas att någon eller några medarbetare får ett ansvar för datahanteringen.
Tänk på att:
- hålla mjukvara uppdaterad på de enheter som genererar, överför eller har åtkomst till data med konfidentiella uppgifter
- inte skicka konfidentiella data via e-post och undvika att hantera konfidentiella data på offentliga platser eller över publika nätverk
- vid behov säkerställa att projektmedarbetare även har en säker IT-miljö hemma
- medarbetare ska ha kännedom om anvisningar om informationssäkerhet
Kontroll över åtkomst till data
Dokumentera vilka medarbetare som har tillgång till data och vilken behörighetsnivå de ska ha - redigerings- och/eller läsrättigheter. Ge tillgång på lägsta lämpliga nivå och se till att bara behöriga har åtkomst till de enheter och system där data genereras, lagras eller processas. Det är ofta en bättre lösning att ge åtkomst på fil- eller mapp-nivå på en lagringsyta än att skicka konfidentiella data som bilagor till e-post. Om e-post används för att skicka data så bör kryptering tillämpas.
Ingen kedja är säkrare än sin svagaste länk. Det är därför viktigt att alla system där data hanteras eller överförs har en adekvat säkerhetsnivå – från egen dator och e-posthantering till plattformar som används vid analys och lösningar för lagring av data efter avslutat projekt. Undvik onödig överföring av datamängder med konfidentiell information och kryptera vid behov data som flyttas mellan olika system. Se till att data raderas om de inte längre används för fortsatt analys på en plattform.
Data som innehåller personuppgifter är konfidentiell information som enligt Dataskyddsförordningen endast får behandlas om tekniska och organisatoriska åtgärder säkerställer skydd mot obehörig åtkomst och förlust av data. Vid hantering av känsliga personuppgifter ställs högre säkerhetskrav och vald lagringslösning bör om möjligt ha stöd för inloggning med multifaktorsautentisering. Data med personuppgifter kan även krypteras eller kodas för att öka säkerhetsnivån.
Se även Lagra data och samarbeta.
Öppen vetenskap och konfidentiell information
Övergången till öppen vetenskap och krav på transparens och reproducerbarhet inom forskning ökar förväntningarna på att forskningsdata görs öppet tillgängliga. Men om data innehåller information som av någon anledning är konfidentiell kan dock möjligheterna att publicera dessa data vara mycket begränsade.
Data som inte kan delas öppet kan ändå beskrivas, exempelvis i ett datarepositorium. Där kan kontaktuppgifter anges och vilka förutsättningar som finns för andra att få tillgång till data. Men för data med hög konfidentialitet och högt skyddsvärde kan det i vissa fall vara motiverat att även avstå från att beskriva data publikt, eftersom kännedom om att viss information existerar ökar risken för försök till dataintrång.
Data med personuppgifter är normalt konfidentiella och kan i de flesta fall bara publiceras i anonymiserad form. Se Att dela och publicera data med personuppgifter.
Allmän handling och sekretess
Forskningsdata räknas som allmän handling vid myndigheten och även data med konfidentiell information kan begäras utlämnade. Universitetet kan dock efter sekretessprövning neka att lämna ut handlingar, om det finns stöd för detta i Offentlighets- och sekretesslagen. Observera dock att universitetet inte kan avtala med annan part om att absolut sekretess ska gälla för viss information. Vid begäran om utlämning av handlingar tas beslut om sekretess i varje enskilt fall.
Konfidentialitet och långsiktigt bevarande
Behovet att skydda viss information från obehörig åtkomst är ofta långsiktigt och kvarstår även när ett forskningsprojekt är avslutat. Tänk därför på att även långsiktigt välja lagringslösningar och skyddsåtgärder som erbjuder tillräckligt hög säkerhetsnivå. Sträva också efter att uppgifter om sekretess och konfidentialitet hos data inte blir personberoende eftersom ansvariga forskare kan lämna lärosätet. Konfidentialitet hos data och andra forskningshandlingar måste därför dokumenteras för att säkerställa att man vid en framtida sekretessprövning kan få en korrekt bild av eventuellt skyddsvärde hos materialet.