Sikre informasjon

Vit hva som er verdifull informasjon
– slik at du kan beskytte den

Student jobber på laptop. Foto: Thomas Ekström/sikresiden
Student jobber på laptop. Foto: Thomas Ekström/sikresiden
Ikon for sikre informasjon – dokument med hengelås

Sikre informasjon

Vit hva som er verdifull informasjon
– slik at du kan beskytte den

Student jobber på laptop. Foto: Thomas Ekström/sikresiden
Ikon for sikre informasjon – dokument med hengelås

Sikre informasjon

 

Verdifull informasjon skal beskyttes

Spør deg selv:

Hvor verdifull er informasjonen for meg, for studie- eller arbeidsstedet eller for andre? Hva har det kostet å skape informasjonen, og hvor vanskelig eller dyrt er det å gjenskape den? Hvor skadelig (tap av tillit, omdømme, penger) er det hvis den kommer på avveie, og hvordan kan informasjonen misbrukes?

 

Hvor viktig er det at informasjonen ikke endres av uvedkommende, eller ved et uhell? Integriteten er viktig for all informasjon. Vi trenger å kunne stole på at den er riktig. Eksempler er karakterer, opptak til studier, forskningsdata og søknadsfrister.

Hvor kritisk er det å miste tilgang til informasjonen i en periode, eller at den går tapt for alltid? Eksempler på informasjon hvor tilgjengeligheten er viktig, er fagsystemer i kritiske faser for studentopptak og eksamensavvikling, store student- eller forskningsarbeider, eksamensbesvarelser og forskningsdata.

Verdien av informasjon kan endre seg over tid. For eksempel skal eksamensoppgaver sikres godt før eksamen, mens de kan legges åpent ut etterpå.

Hvor viktig er det at informasjonen ikke blir kjent for uvedkommende?
Eksempler på informasjon hvor konfidensialitet er viktig, er helseopplysninger, eksamensoppgaver før de er gitt, og forskningsresultater før de er publisert.

 

Klassifisering av informasjon

De ulike studie- eller arbeidsstedene har ulike modeller for klassifisering av informasjon. Du må sette deg inn i hvordan dette gjøres der du studerer eller jobber. Beskrivelsen under er en klassifisering de fleste institusjonene har blitt enige om å bruke. Disse klassene gjelder eksempelvis forskningsdata og administrative data.

Ulike klasser av informasjon

Det er definert fire klasser for konfidensialitet. De tre laveste klassene Åpen, Intern og Fortrolig er de som oftest vil bli brukt. Klassene Fortrolig og Strengt fortrolig er harmonisert med den offisielle Beskyttelsesinstruksen.

Åpen (Grønn): Informasjon kan være tilgjengelig for alle uten særskilte tilgangsrettigheter.

Eksempler på slik informasjon kan være en webside som presenterer en avdeling eller enhet som legges åpent ut på internett eller studiemateriell for et emne eller kurs som ligger åpent, men som er merket med en gitt lisens eller opphavsrett.

Beskyttet (tidligere kalt Intern)(Gul): Informasjonen må ha en viss beskyttelse, og kan være tilgjengelig for både eksterne og interne, med kontrollerte tilgangsrettigheter. Benyttes dersom det vil kunne forårsake en viss skade for institusjonen, eller samarbeidspartner hvis informasjonen blir kjent for uvedkommende.

Eksempler på slik informasjon kan være enkelte arbeidsdokumenter, informasjon som er unntatt offentlighet, personopplysninger, karakterer, store studentarbeider, eksamensbesvarelser, forskningsdata og -arbeider.

Fortrolig (Rød): Benyttes hvis det vil forårsake skade for offentlige interesser, institusjonen, enkeltperson eller samarbeidspartner hvis informasjonen blir kjent for uvedkommende. Informasjonen skal ha strenge tilgangsrettigheter.

Eksempler på slik informasjon kan være enkelte strategidokumenter, sensitive personopplysninger, helseopplysninger, eksamensoppgaver før de er gitt, enkelte typer forskningsdata og -arbeider.

Hvis man har behov for et fjerde og høyere nivå for konfidensialitet kan man bruke klassen

Strengt fortrolig (Sort) og gjøre en avgrensning mellom den og Fortrolig. Strengt fortrolig benyttes dersom det vil kunne forårsake betydelig skade for offentlige interesser, institusjonen, enkeltperson eller samarbeidspartner at informasjonen blir kjent for uvedkommende. Informasjonen skal ha de strengeste tilgangsrettigheter.

Eksempler på slik informasjon er store mengder helseopplysninger brukt i forskning.

Hvordan kan jeg lagre ulike typer data?

Hvordan informasjon skal beskyttes (og derved lagres), kan være lovpålagt, avtalt med samarbeidspartnere eller utledet av en risikovurdering.

Ulike klasser av informasjon krever ulike typer lagring. Røde data (fortrolig) har strengere krav til teknisk sikring av lagringsløsningen. Grønne data kan lagres på flere typer utstyr og lagringstjenester. Noen løsninger tilbyr f. eks. to-faktor-autentisering, noe som gjør det sikrere å lagre data der.

De ulike institusjonene har egne regler for dette. Det er ditt ansvar som student, forsker eller ansatt å sette deg inn i hvilke konkrete regler som gjelder for deg og dine data ved din institusjon. Dette avhenger f. eks. av hvilke data du har og hvilken rolle du har.

Du kan f. eks. ikke sende røde data ukryptert i e-post, eller lagre dem i vilkårlige skytjenester uten videre.

Les mer om kryptering.

Deling på sosiale medier

Det du deler på nettet mister du kontrollen med for alltid

Spør deg selv:

  • Hvilken rolle har jeg? Representerer jeg andre enn meg selv?
  • Kan informasjonen jeg deler om meg selv misbrukes av noen?
  • Har jeg fått samtykke til å legge ut bilder eller informasjon om andre?
  • Er informasjonen taushetsbelagt?
  • Er det kritikk eller påstander som kan oppfattes som ærekrenkelser?
  • Har jeg tillatelse til å publisere dette, eller er det beskyttet av opphavsrett?

Les mer om sosiale medier på nettvett.no

Hvordan bruke kryptering

Kryptering brukes for å beskytte informasjon som lagres eller overføres. 

  • Datamaskinens harddisk kan krypteres med ulike typer programvare, for eksempel Microsofts BitLocker og Apples FileVault. 
  • Lagringsmedier kan krypteres på tilsvarende måte som punktet over. 
  • Dokumenter fra Word, Excel og PowerPoint kan krypteres med passord. Gå til filmenyen. Velg "Informasjon", "Beskytt dokument/arbeidsbok/presentasjon" og "Krypter med passord". Vær oppmerksom på at et åpnet dokument, er tilgjengelig for uvedkommende hvis enheten din (mobil, PC, nettbrett) er blitt hacket slik at uvedkommende har tilgang til den.
  • E-post-vedlegg kan krypteres med for eksempel 7-ZIP 
  • E-post-meldinger i Outlook kan krypteres via S/MIME.
  • E-post-meldinger og vedlegg kan krypteres med OpenPGP.
  • Nettforbindelsen mellom egen PC og studie- eller arbeidssted kan krypteres ved hjelp av VPN - virtual private network

Sjekk med brukerstøtte om ditt studie- eller arbeidssted har egne løsninger for kryptering. 

Papirdokumenter

Dokumenter med krav til høy konfidensialitet skal:

  • være forsvarlig låst i skap når de ikke er i bruk
  • sendes i lukket konvolutt og sikres ut i fra informasjonens verdi
  • ikke kastes i søpla, men makuleres eller kastes i låste bokser for sikker makulering
  • kun skrives ut hvis nødvendig, hent utskriften med en gang

Lagring, arkivering og sletting

Informasjon som er arkivverdig, skal arkiveres. Dette kan være vitnemål, karakterer, masteroppgaver og andre dokumenter med juridisk, historisk eller virksomhetskritisk verdi. Eksempel på slik informasjon er prosjektarkiver eller forskningsdata som skal lagres på grunn av etterprøvbarhet. Du må alltid forholde deg til det lovverket som regulerer den informasjonen du ønsker eller er pålagt å arkivere eller slette.

Arbeidsdokumenter og informasjon som ikke har bevaringsverdi, kan etter en vurdering slettes.

Informasjon som ikke må bli tilgjengelig for uvedkommende, skal slettes med spesiell sletteprogramvare slik at den ikke kan gjenopprettes. Vanlig sletting er ikke godt nok. Sjekk hva som brukes på ditt studie- eller arbeidssted.

Taushetsplikt

Taushetsplikt betyr at du plikter å hindre at andre får adgang eller kjennskap til taushetsbelagt informasjon.

Ulike typer informasjon kan være taushetsbelagt som følge av lov eller avtale, for eksempel personopplysninger og informasjon av teknisk, kommersiell eller strategisk art.

Når du skriver under på en taushetserklæring forplikter du deg til å sette deg inn i hva det innebærer. Informasjon som er taushetsbelagt skal behandles varsomt både muntlig, digitalt og på papir.

Taushetsplikten gjelder også etter at du har avsluttet studiene eller sluttet i jobben.

Merk at du kan være underlagt taushetsplikt i kraft av din stilling, selv om du ikke nødvendigvis har skrevet under en erklæring.

 

Lær mer

Lær mer