Sikre informasjon

Vit hva som er verdifull informasjon
– slik at du kan beskytte den

Student jobber på laptop. Foto: Thomas Ekström/sikresiden
Student jobber på laptop. Foto: Thomas Ekström/sikresiden
Ikon for sikre informasjon – dokument med hengelås

Sikre informasjon

Vit hva som er verdifull informasjon
– slik at du kan beskytte den

Student jobber på laptop. Foto: Thomas Ekström/sikresiden
Ikon for sikre informasjon – dokument med hengelås

Sikre informasjon

 

Verdifull informasjon skal beskyttes

God informasjonssikkerhet er viktig både for vårt eget personvern, og for en virksomhets omdømme, troverdighet og økonomi.

Spør deg selv:

Hvor verdifull er informasjonen for meg, for studie- eller arbeidsstedet eller for andre? Hvordan kan informasjonen misbrukes? Hva har det kostet å skape informasjonen, og hvor vanskelig eller dyrt er det å gjenskape den? Hvor skadelig er det hvis den kommer på avveier?
 

Hvor viktig er det at informasjonen ikke blir kjent for uvedkommende?
Eksempler på informasjon hvor konfidensialitet er viktig, er helseopplysninger, eksamensoppgaver før de er gitt, og forskningsresultater før de er publisert.

Hvor viktig er det at informasjonen ikke endres av uvedkommende, eller ved et uhell?
Integriteten er viktig for all informasjon. Vi trenger å kunne stole på at den er riktig. Eksempler er karakterer, opptak til studier, forskningsdata og søknadsfrister.

Hvor kritisk er det å miste tilgang til informasjonen i en periode, eller at den går tapt for alltid?
Eksempler på informasjon hvor tilgjengeligheten er viktig, er fagsystemer i kritiske faser for studentopptak og eksamensavvikling, store student- eller forskningsarbeider, eksamensbesvarelser og forskningsdata.

Verdien av informasjon kan endre seg over tid. For eksempel skal eksamensoppgaver sikres godt før eksamen, mens de kan legges åpent ut etterpå.

Klassifisering av informasjon

De ulike studie- eller arbeidsstedene har ulike modeller for klassifisering av informasjon. Du må sette deg inn i hvordan dette gjøres der du studerer eller jobber. Beskrivelsen under er en klassifisering de fleste institusjonene har blitt enige om å bruke. Disse klassene gjelder eksempelvis forskningsdata og administrative data.

Ulike klasser av informasjon

Norske høyskoler og universitet har blitt enige om å definere følgende fire klasser for konfidensialitet. De tre laveste klassene Åpen, Beskyttet og Fortrolig er de som oftest vil bli brukt. Klassene Fortrolig og Strengt fortrolig er harmonisert med den offisielle Beskyttelsesinstruksen.

Åpen (Grønn): Informasjon kan være tilgjengelig for alle uten særskilte tilgangsrettigheter.

Et eksempel på slik informasjon kan være studiemateriell for et emne eller kurs som ligger åpent på nett. Husk likevel at åpen informasjon kan være beskyttet av opphavsrett

Beskyttet (tidligere kalt Intern)(Gul): Informasjonen må ha en viss beskyttelse, og kan være tilgjengelig for både eksterne og interne, med kontrollerte tilgangsrettigheter. Benyttes dersom det vil kunne forårsake en viss skade for institusjonen, eller samarbeidspartner hvis informasjonen blir kjent for uvedkommende. Den store mengden av informasjon vi jobber med til daglig havner ofte under denne klassen. 

Eksempler på slik informasjon kan være dokumenter eller studentoppgaver som er under utarbeidelse, interne arbeidsdokumenter, personopplysninger, eksamensbesvarelser, forskningsdata eller karakterer. 

Fortrolig (Rød): Informasjonen skal ha høy beskyttelse. Benyttes hvis det vil forårsake skade for offentlige interesser, institusjonen, enkeltperson eller samarbeidspartner hvis informasjonen blir kjent for uvedkommende. Informasjonen skal ha strenge tilgangsrettigheter.

Eksempler på slik informasjon kan være enkelte strategidokumenter, sensitive personopplysninger, helseopplysninger, eksamensoppgaver før de er gitt, enkelte typer forskningsdata og -arbeider.

Hvis man har behov for et fjerde og høyere nivå for konfidensialitet kan man bruke klassen

Strengt fortrolig (Sort) og gjøre en avgrensning mellom den og Fortrolig. Strengt fortrolig benyttes dersom det vil kunne forårsake betydelig skade for offentlige interesser, institusjonen, enkeltperson eller samarbeidspartner at informasjonen blir kjent for uvedkommende. Informasjonen skal ha de strengeste tilgangsrettigheter.

Eksempler på slik informasjon er store mengder helseopplysninger brukt i forskning.

Hvordan kan jeg lagre ulike typer data?

Hvordan informasjon skal beskyttes (og derved lagres), kan være lovpålagt, avtalt med samarbeidspartnere eller utledet av en risikovurdering.

Ulike klasser av informasjon krever ulike typer lagring. Røde data (fortrolig) har strengere krav til teknisk sikring av lagringsløsningen. Grønne data kan lagres på flere typer utstyr og lagringstjenester. Noen løsninger tilbyr f. eks. to-faktor-autentisering, noe som gjør det sikrere å lagre data der.

De ulike institusjonene har egne regler for dette. Det er ditt ansvar som student, forsker eller ansatt å sette deg inn i hvilke konkrete regler som gjelder for deg og dine data ved din institusjon. Dette avhenger f. eks. av hvilke data du har og hvilken rolle du har.

Du kan f. eks. ikke sende røde data ukryptert i e-post, eller lagre dem i vilkårlige skytjenester uten videre.

Les mer om kryptering.

Deling på sosiale medier

Tenk over hva du deler og kommenterer på nett. Tenk også over hvem som har tilgang til å se det du deler. 

Spør deg selv:

  • Hvilken rolle har jeg? Representerer jeg andre enn meg selv?
  • Kan informasjonen jeg deler om meg selv misbrukes av noen?
  • Har jeg fått samtykke til å legge ut bilder eller informasjon om andre?
  • Er informasjonen taushetsbelagt?
  • Er det kritikk eller påstander som kan oppfattes som ærekrenkelser?
  • Har jeg tillatelse til å publisere dette, eller er det beskyttet av opphavsrett?

Les mer om sosiale medier på nettvett.no

Hvordan bruke kryptering

Når informasjon krypteres gjøres den uleselig. Kryptering brukes for å beskytte informasjon som lagres eller overføres. For å gjøre den lesbar igjen, må den låses opp med et passord. 

  • Datamaskinens harddisk kan krypteres med ulike typer programvare, for eksempel Microsofts BitLocker og Apples FileVault. 
  • Lagringsmedier kan krypteres på tilsvarende måte som punktet over. 
  • Dokumenter fra Word, Excel og PowerPoint kan krypteres med passord. Gå til filmenyen. Velg "Informasjon", "Beskytt dokument/arbeidsbok/presentasjon" og "Krypter med passord". Vær oppmerksom på at et åpnet dokument, er tilgjengelig for uvedkommende hvis enheten din (mobil, PC, nettbrett) er blitt hacket slik at uvedkommende har tilgang til den.
  • E-post-vedlegg kan krypteres med for eksempel 7-ZIP 
  • E-post-meldinger i Outlook kan krypteres via S/MIME.
  • E-post-meldinger og vedlegg kan krypteres med OpenPGP.
  • Nettforbindelsen mellom egen PC og studie- eller arbeidssted kan krypteres ved hjelp av VPN - virtual private network

Sjekk med brukerstøtte om ditt studie- eller arbeidssted har egne løsninger for kryptering. 

Papirdokumenter

Fysiske dokumenter med krav til høy konfidensialitet skal:

  • Være forsvarlig låst i skap når de ikke er i bruk
  • Sendes i lukket konvolutt og sikres ut i fra informasjonens verdi
  • Ikke kastes i søpla, men makuleres eller kastes i låste bokser for sikker makulering
  • Kun skrives ut hvis nødvendig, hent utskriften med en gang
  • Slett utskriftsjobben fra printerkøen dersom det er noe galt med printeren

Lagring, arkivering og sletting

Informasjon som er arkivverdig, skal arkiveres. Dette kan være vitnemål, karakterer, masteroppgaver og andre dokumenter med juridisk, historisk eller virksomhetskritisk verdi.

  • Prosjektarkiver eller forskningsdata skal lagres på grunn av etterprøvbarhet 
  • Du må alltid forholde deg til det lovverket som regulerer den informasjonen du ønsker eller er pålagt å arkivere eller slette
  • Personopplysningsloven regulerer innsamling, lagring og sletting av personopplysninger 
  • Informasjon med strenge krav til konfidensialitet, skal slettes med spesiell sletteprogramvare slik at den ikke kan gjenopprettes. Vanlig sletting er ikke godt nok. Sjekk hva som brukes på ditt studie- eller arbeidssted
Taushetsplikt

Taushetsplikt betyr at du plikter å hindre at andre får adgang eller kjennskap til taushetsbelagt informasjon.

  • Ulike typer informasjon kan være taushetsbelagt som følge av lov eller avtale, for eksempel personopplysninger og informasjon av teknisk, kommersiell eller strategisk art
  • Når du skriver under på en taushetserklæring forplikter du deg til å sette deg inn i hva det innebærer
  • Informasjon som er taushetsbelagt skal ikke deles med uvedkommende, hverken muntlig, digitalt eller på papir
  • Taushetsplikten gjelder også etter at du har avsluttet studiene eller sluttet i jobben
  • Merk at du kan være underlagt taushetsplikt i kraft av din stilling, selv om du ikke nødvendigvis har skrevet under en erklæring

 

Lær mer

Lær mer