Sikkerhet, beredskap og personvern ved UiT

Bakgrunn

Som verdens nordligste universitet er UiT Norges arktiske universitet (UiT) strategisk plassert for å utvikle og formidle kunnskap om Arktis og nordområdene. UiT favner forskning og utdanning om natur, samfunn, teknologi, miljø, kultur, mennesket og samspillet mellom disse. Med faglig bredde og nærhet til natur og samfunn, har UiT forutsetninger til å bidra med kunnskap og kompetanse til omstilling, tilpasning og framtidsrettede løsninger på tvers av fagområder, nærings- og samfunnsliv. UiT har studenter og ansatte fra ulike land og steder, og samarbeider med forsknings- og utdanningsinstitusjoner i inn- og utland, samt med offentlige og private aktører.

UiT er et internasjonalt ledende breddeuniversitet som på grunn av beliggenhet og forskningsprofil kan være spesielt utsatt for trusler og angrep. Aktivister, kriminelle og statlig etterretning forsøker å oppnå økonomisk vinning, politiske mål eller andre fordeler gjennom manipulasjon, sabotasje og spionasje. UiTs forskningsdata kan være spesielt utsatt for fysiske eller digitale sikkerhetsbrudd ved eksempelvis sabotasje og/eller spionasje.

Formål og hensikt

Gjennom forebyggende sikkerhet skal UiT redusere sannsynligheten for at en uønsket hendelse inntreffer og redusere konsekvensene ved en slik hendelse. Dette arbeidet må ses i sammenheng med beredskap, som ikke forebygger at en uønsket hendelse finner sted, men omfatter planleggingen i forkant av en hendelse, selve håndteringen når denne enten inntreffer eller er nært forestående, samt den påfølgende gjenopprettingen. Gjennom godt beredskapsarbeid skal UiT på kort varsel kunne øke sikkerhetsnivået.

UiT har en omfattende mengde verdier, informasjon og infrastruktur som må beskyttes og bevares, og dette krever en systematisk og samordnet tilnærming til arbeidet. Dette inkluderer også forsvarlig ivaretagelse av skjermingsverdige verdier, gode rutiner innen eksportkontroll for å forhindre ulovlig kunnskapsoverføring, samt sikre at internasjonalt samarbeid foregår på forsvarlig måte.

Tiltak som er nødvendig for sikkerhetsarbeidet kan være inngripende overfor ansatte, studenter og andre tilknyttet UiT. I vurderingen av hvilke, og hvordan, sikkerhetstiltak skal gjennomføres er det essensielt å samtidig vurdere hvordan personvernet påvirkes og best ivaretas. Videre behandler UiT en stor mengde personopplysninger i alle deler av virksomheten, og god overholdelse av personvernlovverket er viktig for å opprettholde tilliten blant ansatte, studenter, forskningsdeltakere, samarbeidspartnere og gjester.

Hensiktsmessig og god håndtering av disse områdene krever at de ses i sammenheng fremfor hver for seg, og arbeidet organiseres og etableres som en sammenhengende tjeneste. Dette er en utfordrende øvelse, men samtidig nødvendig for at UIT skal oppnå et forsvarlig sikkerhetsnivå, og god ivaretakelse av personvern for alle som er tilknyttet UiT.

For å lykkes med dette har UiT etablert et felles ledelsessystem for sikkerhet, beredskap og personvern.

Ledelsessystemets omfang og innhold

Hovedområdene som skal ivaretas gjennom dette ledelsessystemet er informasjonssikkerhet, samfunnssikkerhet, beredskap, personvern, eksportkontroll og nasjonal sikkerhet. Samtlige av disse områdene griper inn i hverandre, og de omfatter det fysiske, menneskelige, organisatoriske og digitale domene. Alle disse domenene kan utgjøre en sårbarhet som kan utnyttes bevisst eller ubevisst, av eksterne eller interne aktører. For å oppnå et tilstrekkelig sikkerhetsnivå er UiT avhengig av å se disse i sammenheng med hverandre, og ta høyde for samspillet mellom disse ulike områdene og nevnte domener. Eksempelvis kan digitale systemer være godt sikret i seg selv, men hvis den fysiske sikringen er svak og en uærlig aktør kommer seg inn i en datahall, kan det gjøres mye skade.

Samfunnsutviklingen og et endret trussel- og risikobilde gjør skillet mellom samfunnssikkerhet og statssikkerhet mer utydelig. Arbeidet med å identifisere og ivareta verdier som er viktige for nasjonal sikkerhet er komplisert, blant annet fordi aktuelle tiltak for overholdelse av sikkerhetsloven og eksportkontrollregelverket kan gripe inn i kjernevirksomheten og potensielt UiTs mulighet for oppfyllelse av samfunnsoppdraget som forskningsinstitusjon.

I dagens høyere utdanning er det stort fokus på læringsfremmende teknologi og digitale eksamensformer, og det er vanskelig å balansere behovet for å hyppig ta i bruk nye tjenester og samtidig ivareta informasjonssikkerheten og personvernet. Både Kunnskapsdepartementet og UiT har ambisiøse digitaliseringsstrategier, og oppfyllelse av disse samtidig som informasjonssikkerhet og personvern ivaretas er en krevende oppgave.

Videre behandler UiT en stor mengde personopplysninger om ansatte, studenter, forskningsdeltakere og andre. Regelverket for lovlig håndtering av personopplysninger er omfattende og kompleks, og det kreves gode retningslinjer, rutiner, verktøy og kunnskap for å sikre at UiT overholder relevant regelverk i all behandling av personopplysninger.

I tillegg kan store ulykker inntreffe som følge av teknisk eller menneskelig svikt, pandemier, forsyningssvikt eller andre katastrofer utløst av utilsiktede hendelser som f.eks naturkatastrofer, eller tilsiktede handlinger fra de som ønsker ramme oss. Slike hendelser kan være i det fysiske eller det digitale rom, eller en kombinasjon. Hendelsene kan være såpass varierte i omfang og type at det er krevende å bygge god beredskap som lar UiT respondere hurtig og tilstrekkelig.

Etableringen av et felles ledelsessystem skal sørge for at UiT har en planmessig og god håndtering av dette komplekse feltet. Ivaretagelse av sikkerhet, beredskap og personvern er et lederansvar, og dette arbeidet skal være en integrert del av den helhetlige virksomhetsstyringen.

Ledelsessystemet for sikkerhet, beredskap og personvern ved UiT omfatter

• alle¹ som får tilgang UiTs informasjonsverdier
• alle UiTs studiesteder/campuser
• alle organisatoriske enheter
• all teknologi²
• alle informasjonsverdier³
• alle skjermingsverdige verdier (informasjon, objekter og infrastruktur)

Dette ledelsessystemet er avgrenset mot UiTs arbeid innenfor Helse, miljø og sikkerhet (HMS), som er regulert gjennom eget internkontrollsystem. Det påhviler universitetsledelsen å sørge for et godt samspill mellom ledelsessystemet og HMS-systemet.

------------------------------------------------------------------------------

¹ Studenter, ansatte, gjester, samarbeidspartnere etc.
² IKT-systemer, datanettverk, databaser/-registre etc.
³ Informasjonsverdi er et samlebegrep som inkluderer både selve informasjonen samt tilhørende støtteverdier som IKT-system, digitale tjenester, datautstyr av ulike varianter mv.

Visjon og overordnet målbilde og prinsipper

UiT skal etablere og opprettholde en forsvarlig sikkerhetskultur, forvaltning, styring og sikring av sine verdier for å ivareta samfunnets tillit til universitetets utdanning, forskning og formidling.

UiT skal:

• arbeide målrettet, systematisk og risikobasert med samfunnssikkerhet, informasjonssikkerhet, beredskap og personvern
• ivareta arbeidet på en helhetlig og felles tilnærming internt på UiT
• redusere sårbarhetene til UiTs informasjonsverdier
• inkludere samfunnssikkerhet, beredskap, informasjonssikkerhet og personvern i universitetets beslutningsprosesser
• forenkle og forbedre universitetets retningslinjer og prosesser for sikkerhet, beredskap og personvern
• forbedre evnen til å oppdage og håndtere hendelser, avvik og brudd raskt slik at eventuelle konsekvenser for virksomheten blir minimale
• sørge for opplæring og bevisstgjøring som gjør ledere, ansatte og studenter i stand til å hindre, oppdage og rapportere hendelser
• Inkludere samfunnssikkerhet, beredskap, informasjonssikkerhet og personvern som faste tema i ledermøter og -opplæring

Risikostyring

Risikobildet til UiT er dynamisk og vil variere over tid. Derfor er det nødvendig å arbeide systematisk med risikostyring og akseptabel risiko. En effektiv risikostyring skal gi studenter og ansatte best mulig grunnlag til å forstå hvor stor risiko UiT er villig til å akseptere i prosessen med å skape verdier. UiT har en risikobasert tilnærming til ivaretagelsen av sikkerhet og beredskap.

Håndtering av risiko er sentralt for god ivaretagelse av informasjonssikkerhet, personvern, samfunnssikkerhet, fysisk- og personellsikkerhet, brann og beredskap, og nasjonal sikkerhet. Ofte kan risiko reduseres til et akseptabelt nivå gjennom tiltak, men i noen tilfeller er risikoen for høy til at man kan gjennomføre de aktuelle prosjektene, anskaffe de ønskede systemene mv. Dette kan være fordi det ikke finnes tiltak eller tiltakene blir for kostbare å gjennomføre.

Vurdering av risiko skal skje innenfor de rammene som er fastsatt i ledelsessystemet, og det er noen forskjeller i hvordan risiko vurderes innenfor de ulike områdene, se kap. 4. Gjennomføring av risikovurderinger vil være avhengig av at man vet hvilke verdier som behandles, herunder hvordan disse klassifiseres. Se kap. 3 for regulering og informasjon om verdivurdering og klassifisering.

Det er ikke mulig å eliminere enhver risiko, men UiT skal arbeide systematisk og målrettet for å ha et risikonivå som er akseptabelt, sett opp mot UiTs mål og risikobilde. UiT har fastsatt grenser for akseptabel risiko innenfor informasjonssikkerhet og samfunnssikkerhet.

Oppbygning av ledelsessystemet

Ledelsessystemet består av tre hovedelementer:

• Styrende del – innretning, visjon og mål, risikostyring samt roller, oppgaver og ansvar
• Gjennomførende del – konkrete retningslinjer og rutiner, herunder om klassifisering av informasjon, risiko- og personvernkonsekvensvurdering, grunnleggende sikring av det digitale og fysiske domenet, organisatoriske og menneskelige tiltak.
• Kontrollerende del – internrevisjon og -kontroll, rapportering og håndtering av hendelser og avvik samt ledelsens gjennomgang/årsrapport.

Kapitteloversikt

	Kapittelnummer	Kapittel
Styrende del	1	Innretning
	2	Roller, ansvar og oppgaver
Gjennomførende del	3	Klassifisering og verdivurdering
	4	Risiko- og personvernkonsekvensvurdering
	5	Fysisk sikkerhet
	6	Digital sikkerhet
	7	Personellsikkerhet
	8	Beredskap
	9	Anskaffelser/vedlikehold/utvikling
	10	Personvern
	11	IKT-ressurser og brukere
	12	Internasjonalt samarbeid og eksportkontroll
Kontrollerende del	13	Internkontroll og -revisjon
	14	Håndtering av hendelser og avvik
	15	Ledelsens gjennomgang/årsrapport

Universitetsstyret

• Behandler og vedtar ledelsessystemet for sikkerhet, beredskap og personvern ved UiT
• Fører tilsyn med UiTs arbeid innenfor sikkerhet, beredskap og personvern

Rektor

• Har det overordnede ansvaret for sikkerhet, beredskap og personvern ved UiT
• Har ansvaret for det forebyggende sikkerhetsarbeidet, og at dette arbeidet resulterer i et forsvarlig sikkerhetsnivå
• Har ansvaret for at det avsettes nødvendige ressurser for tilstrekkelig ivaretagelse av sikkerhet, beredskap og personvern

Administrasjonsdirektør

• Har forvaltningsansvar for ledelsessystemet for sikkerhet, beredskap og personvern, og skal sørge for at det blir implementert og vedlikeholdt
• Har ansvaret for organiseringen av UiTs arbeid med sikkerhet, beredskap og personvern, herunder den tilhørende sammenhengende tjeneste
• utøver det overordnede ansvaret for all behandling av personopplysninger ved UiT
• er strategisk leder ved kriser, og leder sentral beredskapsgruppe (SBG)
• skal sørge for at UiT har hensiktsmessig beredskap med tanke på håndtering av kriser og ulykker
• skal sørge for at rektor involveres i håndteringen av hendelser og avvik i den grad sakens karakter tilsier det
• har koordineringsansvar for de faste møtene mellom Politiets sikkerhetstjeneste (PST) og universitetsledelsen, samt er kontaktpunkt for PST dersom de ønsker møter med UiT utover disse
• har ansvaret for utarbeidelsen av årsrapport for sikkerhet, beredskap og personvern
• oppnevner medlemmer av gruppe for overordnet vurdering av personvernkonsekvensvurderinger (UiTs DPIA-gruppe)

Enhetsstyrene

• Med enhetsstyrene menes fakultetsstyrene, bibliotekstyret og styret for Norges arktiske universitetsmuseum og akademi for kunstfag
• Fører tilsyn med sin enhets arbeid innenfor sikkerhet, beredskap og personvern

Enhetsleder

• Med enhetsleder menes dekan, bibliotekdirektør, direktør for Norges arktiske universitetsmuseum og akademi for kunstfag, avdelingsdirektørene i fellesadministrasjonen
• Har ansvaret for at enheten
• overholder kravene stilt gjennom lov, forskrift og UiTs interne ledelsessystem for sikkerhet, beredskap og personvern, herunder utføring av tilhørende oppgaver
• utarbeider interne retningslinjer og rutiner dersom det er nødvendig for å oppfylle kravene og utføre oppgavene i ovennevnte punkt
• avsetter nødvendige ressurser for tilstrekkelig ivaretagelse av sikkerhet, beredskap og personvern ved sitt ansvars, -og beredskapsområde, herunder at enheten har riktig kompetanse tilgjengelig
• Gjennomfører og samordner arbeid med risiko- og sårbarhetsvurderinger (ROS) og beredskap med lokale beredskapsgrupper ved aktuell lokasjon
• Skal sørge for at hendelser og avvik følges opp og blir lukket, i tråd med UiTs interne retningslinjer.
• Skal sørge for at ansatte, studenter og tilknyttede gjester er informert om de rutiner og retningslinjer som til enhver tid gjelder
• Skal sørge for at ansatte og studenter gis nødvendig opplæring innenfor områdene sikkerhet, beredskap og personvern, og at disse temaene integreres i relevant omfang i all internopplæring enheten har ansvaret for
• Skal sørge for å ivareta krav i sentralt beredskapsplanverk knyttet til opplæring, ROS og beredskapsøvelser innenfor sitt beredskapsområde, og dersom enheten har lokal beredskapsgruppe skal enhetsleder enten lede denne eller være medlem.

Enheter og andre med særskilt ansvar og myndighet

Enkelte enheter og andre har at et særskilt ansvar for deler av UiTs arbeid innenfor sikkerhet, beredskap og personvern. Dette gjelder alle avdelinger i fellesadministrasjonen samt enkelte fakultet. 

Personvernombud

• rapporterer direkte til leder for rektors stab
• skal informere og gi råd til UiTs ansatte og studenter om gjeldende forpliktelser etter personvernlovgivningen
• skal kontrollere UiTs overholdelse av personvernlovgivningen
• skal involveres på rett tidspunkt og nivå i spørsmål som omhandler personvern
• skal gi råd i vurderingen av personvernkonsekvenser (DPIA) og kontrollere gjennomføringen av disse vurderingene
• skal involveres på passende nivå i håndteringen av avvik etter personvernlovgivningen, og som minimum orienteres om innhold og omfang av avvik
• skal utarbeide årlig rapport som skal fremmes for Universitetsstyret
• har møte- og talerett i forum for sikkerhet og personvern
• kan kontaktes direkte av de registrerte med spørsmål om UiTs behandling av deres personopplysninger, og om utøvelsen av sine rettigheter etter personvernforordningen (GDPR)
• kan ikke instrueres om utførelsen av de oppgavene som ligger til personvernombudet etter personvernforordningen (GDPR) artikkel 39

Særskilte roller og ansvar innen forskning

Interne forum for sikkerhet, beredskap og personvern

Ansatte og studenter

• Har plikt til å
  • gjøre seg kjent med og følge til enhver tid gjeldende lov, forskrift og UiTs interne regelverk innen sikkerhet, beredskap og personvern, herunder gjennomgå tilgjengelig informasjon og opplæring fra UiT
  • forhindre og rapportere avvik når disse oppstår, herunder hendelser som kan innebære avvik

Risikonivåer

Uønskede hendelser kan gi brudd på informasjonssikkerheten, og da menes brudd på informasjonens

• Konfidensialitet: informasjonen skal ikke bli kjent for uvedkommende
• Integritet: informasjonen skal ikke bli endret utilsiktet eller av uvedkommende
• Tilgjengelighet: informasjonen er tilgjengelig ved legitimt behov

Brudd på informasjonssikkerheten kan få følger for alle deler av UiTs virksomhet, eksempelvis:

Risikonivået er summen av sannsynlighet for at en uønsket hendelse inntreffer, og konsekvensen dersom den inntreffer. Dette kartlegges og vurderes gjennom risikovurderinger (se ledelsessystemets kap. 5).

Sannsynligheten for at en uønsket hendelse inntreffer vurderes på en skala fra 1 – 4, etter et sett med kriterier som UiT har fastsatt.

Konsekvensen dersom en uønsket hendelse skulle inntreffe vurderes på en skala fra 1 – 4, etter et sett med kriterier som UiT har fastsatt.

Risikonivået for de uønskede hendelsene kategoriseres på fire nivåer:

• 7 – 8 Svært høy risiko
• 6       Høy risiko
• 4 – 5 Moderat risiko
• 2 – 3 Lav risiko

For å sikre at det på tvers av organisasjonen er en mest mulig lik og korrekt vurdering av hvilken risiko UiT er villig til å akseptere, er det nødvendig å sette noen overordnede krav til håndtering av identifiserte risikoer, se nedenfor under «krav til håndtering av identifiserte risikoer (uønskede hendelser»).

Videre er det nødvendig å sette noen mer absolutte yttergrenser som ikke skal passeres, uansett hvilken gevinst som kan oppnås. Sistnevnte fastsettes av Universitetsstyret, se nedenfor under «yttergrensen for akseptabel risiko».

Typen data, og tilhørende klassifisering etter UiTs retningslinjer for klassifisering av informasjon (kap. 3 i ledelsessystemet), vil være en sentral del av grunnlaget for vurderingen.

Krav til håndtering av identifiserte risikoer (uønskede hendelser)

7-8	Risikoreduserende tiltak skal gjennomføres. Hvis risikoen ikke kan reduseres ned fra rødt nivå gjennom tiltak gjelder følgende: Dersom risikoen er knyttet til den type data, aktiviteter og prosesser hvor Universitetsstyret har satt yttergrenser for akseptabel risiko (se kapittel 1), kan ikke prosjektet, prosessen, endringen, IT tjenesten/systemet mv. igangsettes. Dersom risikoen knytter seg til mulige konfidensialitetsbrudd for strengt fortrolige/svarte data, kan ikke prosjektet, prosessen, endringen mv. igangsettes, IT-tjenester/systemer godkjennes for bruk til denne typen data. Dersom risikoen knytter seg til mulige integritetsbrudd for data underlagt UiTs høyeste krav til integritet, kan ikke prosjektet, prosessen, endringen mv. igangsettes, IT-tjenester/systemer godkjennes for bruk til denne typen data. Dersom risikoen knytter seg til mulige tilgjengelighetsbrudd for data underlagt UiTs høyeste krav til tilgjengelighet, kan ikke prosjektet, prosessen, endringen mv. igangsettes, IT-tjenester/systemer godkjennes for bruk til denne typen data. For øvrige risikoer og/eller data må beslutningen om risikoen er akseptabel tas av enhetsleder*, sett ut fra type data, situasjon, lovkrav, mulige gevinster og eventuelle negative konsekvenser ved å unnlate gjennomføringen/innføringen.
6	Dersom risikoen ikke kan reduseres ned fra oransje nivå gjennom tiltak: Beslutningen om risikoen er akseptabel må tas av enhetsleder*, sett ut fra type data, situasjon, lovkrav, mulige gevinster og eventuelle negative konsekvenser ved å unnlate gjennomføringen/innføringen.
4-5	Risikonivå 5: Risikoreduserende tiltak skal gjennomføres. Risikonivå 4: Risikoreduserende tiltak skal vurderes, og som hovedregel gjennomføres.
2-3	Risikoreduserende tiltak kan vurderes

* Med enhetsleder menes dekan, direktør UMAK, direktør UB, avdelingsdirektør. Rektor og administrasjonsdirektør kan også fatte disse beslutningene.

Generelt

I menyene finner du nærmere informasjon om hva et behandlingsgrunnlag er, og hvilke som kan være aktuelle. Du finner også veiledning rundt hva du ellers må passe på når du bruker video (slik som å gi informasjon, hvilke tekniske løsninger som skal benyttes osv.)

Behandlingsgrunnlag

I perioden hvor undervisning på UiTs campus/fysiske lokaler er avlyst vil digital undervisning tas i bruk der det er mulig, se nærmere info på https://uit.no/korona#innhold_672724.

Dette krever alltid et behandlingsgrunnlag, dvs et lovlig grunnlag (etter GDPR) for å behandle personopplysninger. Se nærmere informasjon nedenfor.

Viktig: Det er sentralt at enheten/underviser alltid tar en vurdering av om det er nødvendig med f.eks video, og hvis det er nødvendig: holder det å strømme videoen eller må det tas opp? Kan man kombinere ulike undervisningsmetoder, slik at det f.eks legges ut en video fra foreleser og så har man en chat-diskusjon etterpå? Dette er bare eksempler, og dette er i stor grad en faglig (pedagogisk) beslutning – men det er sentralt at man tenker over dette. En slik nødvendighetsbetraktning må alltid tas for at behandling av personopplysningers skal være lovlig. Man kan altså ikke peke på et gitt behandlingsgrunnlag og så ta det som en «blankofullmakt». Det skal være en balansegang mellom hva man oppnår og hvor inngripende dette er overfor studenten og den ansatte, og om man kan ta i bruk virkemidler som reduserer denne påvirkningen på ansatte og studenter.

Generelt/innledende om behandlingsgrunnlag

Ofte tenker mange på GDPR som en "samtykkelov", dvs at skal du behandle personopplysninger så må du ha samtykke fra de opplysningene gjelder. Dette er ikke korrekt. Det finnes en rekke behandlingsgrunnlag, og samtykke er bare ett av disse. For undervisning og administrative formål vil samtykke ofte ikke være anvendbart, og andre grunnlag må brukes.

Behandlingsgrunnlag finner man i to ulike artikler i GDPR:

• For alminnelige personopplysninger (de fleste opplysningstyper): Artikkel 6
• For særlige kategorier personopplysninger (helse, religion, politikk mv): Artikkel 9 (i tillegg til art. 6)

I tillegg er det flere av behandlingsgrunnlagene i GDPR som krever en såkalt tilleggshjemmel («i unionsretten eller nasjonal lovgivning»)

• 6 nr 1, bokstav c): behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige
• Benyttes dette behandlingsgrunnlaget må man også kunne vise til en konkret rettslig forpliktelse som påhviler UiT (via lov eller forskrift).
• 6 nr 1, bokstav e) behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt
• Benyttes dette behandlingsgrunnlaget må man også kunne vise til at UiT er pålagt «en oppgave i allmennhetens interesse» eller «utøvelse av offentlig myndighet». Også her må man vise til konkrete bestemmelser.

Det samme gjelder flere av grunnlagene etter artikkel 9.

UiT har kategorisert en rekke ulike aktiviteter hvor video benyttes (i undervisning, eksamen, formidling og administrativt). Disse aktivitetene har såpass mange likhetstrekk at vi har tatt en vurdering av hva som vil være aktuelt behandlingsgrunnlag, både for ansatte og studenters personopplysninger.

Særlig om samtykke

Det «mest kjente» behandlingsgrunnlaget er nok samtykke. Dette grunnlaget finner man i både artikkel 6 (nr 1, bokstav a) og artikkel 9 (nr 2, bokstav a). Det er imidlertid en utbredt misforståelse om at samtykke er det eneste behandlingsgrunnlaget («skal man behandle personopplysninger så må man ha samtykke») eller at det samtykke er det foretrukne behandlingsgrunnlaget og rekkefølgen i artikkel 6 og 9 gir et uttrykk for en «rangordning». Dette stemmer ikke. Samtykke er ett av flere mulige behandlingsgrunnlag, og disse er likestilte. Det er heller ikke nødvendigvis noen motsetning mellom å benytte noen av de andre behandlingsgrunnlagene og at det er frivillig «å delta». 

Det vil være tilfeller hvor samtykke er korrekt å bruke, og kanskje det eneste aktuelle behandlingsgrunnlaget (f.eks er det ofte tilfelle i forskningsprosjekter).

Hvis man skal bruke samtykke så må man være helt sikker på at dette samtykket er gyldig etter GDPR. Det er en rekke vilkår som alle må være oppfylt for at et samtykke skal være gyldig. Hvis så lite som bare ett av disse vilkårene ikke er oppfylt vil ikke samtykket være gyldig. Konsekvensen er at det er en ulovlig behandling, og innsamlede eller genererte opplysninger på bakgrunn av det aktuelle samtykket må slettes. Det kan også avstedkomme reaksjoner fra tilsynsmyndighetene. Det «hjelper» altså ikke at man har innhentet samtykke fra alle i disse situasjonene. Dersom gyldighetsvilkårene ikke er oppfylt så er behandlingen ulovlig.

For UiT er det en rekke situasjoner hvor vi er avskåret fra å benytte samtykke som behandlingsgrunnlag, og det er viktig å være oppmerksom på dette. Vi vil derfor ta en kort gjennomgang av vilkårene for samtykke, og i særlig ett som ofte er problematisk å oppfylle for UiT. Vilkårene for samtykke følger av GDPR art. 4 nr 11 jf art. 7.

Det er imidlertid viktig å understreke at det er visse grenser for hva det kan samtykkes til. Et samtykke etter GDPR er kun et behandlingsgrunnlag. Det innebærer at en person ikke kan samtykke til at f.eks andre krav i GDPR kan fravikes (eksempelvis krav til informasjonssikkerhet mv).

Et samtykke må være frivillig, spesifikt, informert og utvetydig. Det må gis ved en erklæring eller tydelig bekreftelse fra personen hvis personopplysninger det gjelder. Det må videre være mulig å påvise at samtykke er gitt for den aktuelle behandlingen av personopplysninger om personen. Hvis samtykket gis i forbindelse med en skriftlig erklæring som også gjelder andre forhold skal anmodningen om samtykke utarbeides på en måte som gjør at den tydelig kan skilles fra de andre forholdene i erklæringen, og må gis i en forståelig og lett tilgjengelig form og på et klart og enkelt språk. Dersom behandlinger kan skilles fra hverandre så må man passe på at samtykke ikke innhentes i en «alt eller ingenting»-form, her må personen ha et valg mellom de enkelte behandlingsaktivitetene. Samtykket skal kunne trekkes tilbake til enhver tid, og personen skal være informert om dette før samtykket gis. Behandlingen av personopplysningene om denne personen skal da opphøre, og som oftest vil dette innebære sletting av opplysningene. Videre skal det være like enkelt å trekke tilbake samtykket som å gi det. Dvs at hvis samtykket kan gis ved hjelp av «et klikk», så skal de kunne trekkes tilbake ved «et klikk». Til sist er det viktig å være oppmerksom på at passivt samtykke ikke er gyldig. Det kreves en aktiv handling (eksempelvis å huke av en avkryssingsboks. «Preutfylte» akseptbokser medfører at samtykket er ugyldig).

Det er altså mange krav som skal være oppfylt for at et samtykke skal være gyldig. Man må også klare å holde styr på hvem som har samtykket, og være klare til å agere hvis samtykket trekkes tilbake.

For UiTs del må vi imidlertid være særlig oppmerksomme på vilkåret om frivillighet.

Det skal være en reell frivillighet, og dette innebærer at der det foreligger en maktubalanse mellom behandlingsansvarlig og den aktuelle personen så er dette svært vanskelig å oppnå. I fortalepkt 43 i GDPR omtales dette på følgende vis (vår utheving): «For å sikre at et samtykke gis frivillig bør det ikke utgjøre et gyldig rettslig grunnlag for behandling av personopplysninger i et bestemt tilfelle dersom det er en klar skjevhet mellom den registrerte og den behandlingsansvarlige (…)».

I arbeidsforhold vil det være vanskelig å oppfylle kravet om frivillighet, grunnet det skjeve styrkeforholdet mellom arbeidsgiver og arbeidstaker. Det er ikke fullstendig utenkelig, men for de aller fleste tilfellene bør man unngå å forsøke å bygge på samtykke som behandlingsgrunnlag. Merk at dette ikke betyr at noe likevel kan være «frivillig» for en arbeidstaker å f.eks utføre eller levere fra seg. Dagligtalens forståelse av frivillighet har en langt lavere terskel enn GDPR. WP29 (rådgivende gruppe i EU) uttalte følgende om dette spørsmålet[1] (vår utheving):

«There may be situations when it is possible for the employer to demonstrate that consent actually is freely given. Given the imbalance of power between an employer and its staff members, employees can only give free consent in exceptional circumstances, when it will have no adverse consequences at all whether or not they give consent. [Example 5:] A film crew is going to be filming in a certain part of an office. The employer asks all the employees who sit in that area for their const to be filmed, as they may appear in the background of the video. Those who do not want to be filmed are not penalize in any way but instead are given equivalent desks elsewhere in the building for the duration of the filming”.

Det behøver ikke være eksplisitte «trusler» om reaksjoner hvis man ikke samtykker, eller mer åpenlyst press, for at frivillighetskravet ikke skal være oppfylt. Mer underforstått eller uformelt press eller forventninger («dette er ønskelig for UiT å oppnå», «alle må dra sammen» etc) vil også medføre at frivillighetskravet ikke er oppfylt. I sum bør derfor UiT som arbeidsgiver unngå å benytte samtykke som behandlingsgrunnlag, og velger man likevel benytte det må det begrunnes og drøftes godt – særlig med henblikk på frivillighetskravet.

For behandling av studenters personopplysninger gjør mange av de samme betraktninger som ovenfor seg gjeldende. Det er en klar skjevhet i maktbalansen mellom UiT og studentene. Dette i alt fra UiT som overordnet institusjon til foreleserne. UiT må derfor være svært tilbakeholden med å bygge på samtykke som behandlingsgrunnlag overfor studentene, særlig i undervisningssituasjonen. Det betyr ikke at det ikke finnes tilfeller hvor samtykke er både aktuelt og korrekt å benytte, men da må man sørge for å ha gjennomført grundige og dokumenterte vurderinger. Som hovedregel bør andre behandlingsgrunnlag benyttes.

For den situasjonen UiT er i nå med tanke på koronatiltakene og at all undervisning kun skal gis digitalt i en ukjent periode så fremstår det som lite tvilsom at samtykke som hovedregel ikke kan benyttes om behandlingsgrunnlag. Den underviser som nekter får i praksis ikke utført jobben sin, og den student som nekter delta i f.eks videoundervisning (strømming og/eller opptak med studentdeltakelse, enten direkte i video eller via chat) mister i realiteten deler av undervisningstilbudet eller vil være "årsak" til at seminarer ikke kan gjennomføres. Dette gjør at valget i realiteten ikke er så fritt som GDPR krever. Andre behandlingsgrunnlag må derfor brukes.

Vi arbeider med å legge ut en samlet oversikt over behandlingsgrunnlagene for de mest brukte situasjonen innen undervisning, eksamen og administrasjon hvor video er et hjelpemiddel. Dette vil bli lagt ut på denne siden. 

 

[1] Se Personopplysningsloven og personvernforordningen (GDPR) med kommentarer, Jarbekk (red.), Gyldendal 2019, s. 151

Du må gi informasjon

Den klare hovedregel i GDPR er at det skal gis informasjon før man henter inn personopplysninger. Vi vil kommer tilbake til mer detaljer, men i korte trekk for opptak av video: 

Før du slår på "record/opptak" så må du informere de som skal være med i opptaket at 

1) det skjer et opptak

2) hva det skal brukes til

3) hvem som vil få tilgang (dette kan være på gruppenivå, f.eks emnestudentene)

4) når opptaket blir slettet (om ikke en konkret dato, så kriterier for sletting. F.eks når kontinuasjonseksamenen i emnet dette semesteret er avholdt). 

Du kan kun bruke godkjente tjenester

Det finnes et utall videotjenester. Noen for strømming, noen for opptak og noen for begge deler. Mange har sin personlige preferanse, og ser klare fordeler med å bruke akkurat den tjenesten de personlig foretrekker.

Det kan vi forstå, men det hjelper dessverre ikke. Årsaken er at når UiT benytter video så behandles det personopplysninger i denne videoen. Dette kan være om ansatte, om studenter eller sågar om eksterne. I en videotjeneste behandles både opplysninger i selve videoen og i tilknytning til den (pålogging, aktivitetslogger, chat mv). 

Vi er underlagt strenge krav for behandling av personopplysninger, og som minimum må vi ha en databehandleravtale med leverandøren. Det må også gjennomføres en risikovurdering. Dette er ikke noe vi gjør utelukkende av motivasjon for å overholde lovkrav, men fordi disse kravene er der av en grunn. Det gjelder å ivareta personvernet til våre ansatte, studenter, gjester mv. Brukes "private" videotjenester i undervisningssammenheng så har ikke UiT mulighet til å ivareta de forpliktelsene vi har. Hva skjer dersom en slik leverandør velger å bruke personopplysningene til noe helt annet? F.eks til reklameformål? Dersom de korrekte avtalene mangler er det realistisk at de faktisk har denne adgangen. 

Videre er det slik at UiT ofte kjøper inn tjenester på andre vilkår enn hva du får som privatperson, eller sågar som forskningsgruppe eller enhet. Det finnes flere tjenester hvor UiTs innkjøp har vilkår om at data plasseres innad i EU, men hvis du går direkte til leverandør og kjøper tjenesten så er du underlagt de rene kommersielle vilkårene og data legges i f.eks USA. Har du risikovurdert dette, og foreligger det nødvendige overføringsgrunnlaget (som er påkrevd etter loven)?

Og selv om du går helt klar av personopplysningene (det er vanskelig i en digital tjeneste), dataene du legger inn eller genererer har vel en viss verdi for deg og for UiT? Vet du hva leverandøren har lov til å bruke disse til, jf vilkårene du har godtatt da du kjøpte eller registrerte deg i tjenesten?

Det er derfor viktig at du bruker de tjenestene UiT v/IT-avdelingen har kjøpt inn, og bruker dem som tiltenkt. Vi viser her til informasjon under "IT-tjenester og systemer - hva har du lov til å bruke?".

Spørsmål om eierskap og deling av video

På denne siden er det samlet spørsmål og svar ang. eierskap og deling av video. Svar er utarbeidet i tråd med Prinsipper og retningslinjer for produksjon og bruk av digitalt undervisningsmateriale. For mer informasjon se Sentrale regelverk ved UiT | UiT.

Spørsmål og svar er delt inn i tre kategorier som speiler ulike roller:

Opphaver: Skaper av video. Denne rollen har eierskap til videoen. En video kan ha flere opphavere fra dem som har produsert, er med på video eller redigert innholdet. 

UiT Ansatt: Rollen er ansatt på UiT og ønsker av ulike grunner tilgang til video. Dette kan for eksempel være en foreleser som har tatt over et emne, studiekonsulent, osv. 

Tredjepart: Rolle som verken er opphaver eller er ansatt på UiT. Dette kan være eksterne eller studenter. 

Jobbe hjemmefra

Det er flere som jobber hjemmefra nå enn før. Det er svært viktig at personvernet og informasjonssikkerheten fremdeles ivaretas, og her har du et viktig ansvar.

UiT forvalter store mengder forskningsdata samt personopplysninger om ansatte, studenter, forskningsdeltakere, gjester, samarbeidspartnere og andre i tillegg til øvrig informasjon som er av stor betydning for virksomheten. Svikt her kan føre til stor skade både for UiT og for enkeltpersoner. Ivaretagelsen av informasjonssikkerhet og personvern er ditt ansvar, og oppfylles ved at du utviser aktsomhet, følger lover, retningslinjer og rutiner samt sier ifra dersom du oppdager eller opplever uønskede hendelser.

Hvis det er flere i husstanden må du huske på at taushetsplikten din også gjelder overfor dem. Dette kan lett glippe dersom papirer ligger fremme, PC-en står ulåst eller lånes bort til barna, videomøter (f.eks Teams) gjennomføres med andre til stede i rommet mv.

Vi minner derfor om noen kjøreregler som alle må være oppmerksomme på (disse gjelder forøvrig alltid når du jobber hjemmefra, ikke bare i vår):

Grunnregler

• Arbeid med røde/fortrolige og svarte/strengt fortrolige data skal kun skje på UiT-eid utstyr.
• Du skal alltid bruke multifaktorautentisering (MFA) hvor dette er mulig. Dette øker sikkerheten og minsker risikoen for at andre kan få tilgang til innholdet ditt. 
• Husk at du må sørge for at utstyret du har holdes oppdatert. Sikkerhetsoppdateringer er et viktig ledd i informasjonssikkerhetsarbeidet.
• Vær særlig oppmerksom når du benyttes trådløse hjemmenettverk. Husk å sikre det, og bruk VPN.
• Papirer og notater skal oppbevares slik at andre i husstanden ikke kan lese dem.
• UiT-eid utstyr slik som datamaskiner og nettbrett skal ikke lånes bort til andre i husstanden, inkludert barn.
• Dette er ikke bare fordi de kan få innsyn i fortrolig informasjon, men de kan også ved et uhell slette eller dele informasjon.
• Videre ønsker vi å minimere risikoen for at din maskin får skadevare på seg (som kan stjele eller ødelegge informasjon, f.eks via kryptovirus), og ett av tiltakene for dette er at kun du bruker jobbmaskinen og da kun i jobbsammenheng.
• Private skytjenester (slik som f.eks Dropbox) skal ikke benyttes
• Skjermen skal låses når du forlater den, selv om det er for en kort periode, hvis det er andre hjemme.
• Lær deg hurtigtast «Win+L» for kjapt og lett kunne låse skjermen:
• På UiTs PCer kan du aktivere PIN-kode slik at du slipper taste inn passordet hver gang du skal låse opp skjermen. Har du en nyere PC kan det også tenkes at ansiktsgjenkjenning kan benyttes.
• https://www.microsoft.com/nb-no/windows/windows-hello

 

Videomøter

Kommunikasjonsløsninger som Teams, Zoom mv blir benyttet i utstrakt grad til møter, undervisning mv. Ofte diskuteres det fortrolige tema (spesielt i møter), og det er da viktig at du er oppmerksom på dine omgivelser. Dette gjelder også i undervisningssituasjonen, f.eks når seminarer og veiledningssamtaler avholdes. Studenter forventer å stille spørsmål og dele sine synspunkter med deg, og ikke deg pluss din nærmeste familie. Vær derfor oppmerksom på følgende:

 

• Dersom det er andre til stede i rommet skal hodetelefoner benyttes
• Vi anbefaler dette uansett da det gir langt bedre lydkvalitet og reduserer bakgrunnsstøy
• Vær oppmerksom på hva du sier dersom det er andre til stede i rommet
• Vi minner om taushetsplikten

 

VPN

Med mindre du skal nå tjenester som krever at du er på UiTs nett (slik som Ephorte, PAGA, hjemmeområdet mv) så behøver du ikke være tilkoblet VPN.

 

Kommunikasjon med Office 365 (e-post, onedrive, sharepoint, teams mv) er kryptert og det er derfor ikke nødvendig med VPN.

 

• Grunnet det store antallet som nå jobber utenfor campus ber vi om at du ikke er tilkoblet VPN dersom det ikke er nødvendig.

• Det kan tenkes at VPN kreves for å få visse oppdateringer til datamaskinen din. Vi vil legge ut ny beskjed både på denne siden og gjennom driftsmelding dersom du må foreta deg noe, og isåfall hvordan du gjør det.
• Dette gjelder ikke alt av oppdateringer, f.eks vil oppdateringer fra Microsoft (Windows/Office) gå som normalt.  

Hvordan unngå svindel og angrepsforsøk

Erfaringer fra Norge og verden for øvrig viser at kriminelle aktører allerede forsøker å utnytte de omveltninger som koronautbruddet har medført. Det er et massivt behov for informasjon, ansatte arbeider på andre lokasjoner enn vanlig (slik som f.eks hjemme), etter andre rutiner og det er en hurtig utvikling og informasjonsutveksling om hvordan dette skal gjøres. Uærlige aktører forsøker derfor å utnytte dette for å bryte seg inn i IT-systemer, stjele personlig informasjon, begå økonomisk kriminalitet mv.

Det er derfor særlig viktig å være aktsom i denne perioden da vi vet at UiT kan bli utsatt for målrettede angrep. Dette behøver ikke være «IT-angrep» hvor noen prøver å bryte seg inn i systemer gjennom hacking, men kan vel så gjerne være såkalt «sosial manipulasjon» hvor noen utgir seg for å være en person, bedrift eller organisasjon for å skape tillit og få deg til å gi fra deg eller endre informasjon eller tilganger. De kan også forsøke å få deg til å installere ondsinnede programmer («skadevare»), som igjen gjør at de får direktetilgang til maskinen din og muligens videre inn i de systemene, lagringstjenestene etc som du har tilgang til på UiT.

Vi vil derfor gjennomgå noen av de tingene du må være særlig oppmerksom på. Disse rådene skiller seg i bunn og grunn ikke fra de som gjelder ellers også, men som nevnt så kan vi forvente at det blir ekstra aktivitet i denne tidsperioden. Mange av eksemplene går derfor direkte på COVID-19/Korona.

E-post

• Vi kan forvente at phishingangrep vil øke i omfang.
  • Lurer du på hva phishing er og hvordan oppdage det? Se denne leksjonen UiT lagde i forbindelse med nasjonal sikkerhetsmåned.

• Vær ekstra årvåken hvis du mottar eposter relatert til korona fremover.
  • Det vil selvsagt også komme legitime eposter knyttet til korona, men se nøye an innhold, kontekst og avsender. For info om hvordan du sjekker om eposten er legitim, se linken i punktet ovenfor.
  • Dette er vaner og kunnskap som er nyttig og viktig også ellers, både i jobbsammenheng og privat.
  • «Uekte» eposter vil ofte forsøke å
  • spille på frykt,
  • rette seg mot økonomiske interesser (slik som "oppdatert leveringsinfo", "endret betalingsinformasjon"),
  • forsøke å skape hastverk hos mottaker
    • "viktig!", "responder umiddelbart", "hurtig avklaring behøvd" etc.
  • utgi seg for å være en offisiell- eller myndighetsorganisasjon (slik som WHO, FHI etc) eller arbeidsgiver, og oppfordrer til å iverksette umiddelbare tiltak
    • UiT vil gi beskjeder om tiltak via uit.no/korona. Det kan bli sendt oppdateringseposter, men informasjonen i disse vil gjenspeiles på uit.no/korona eller i de offisielle driftsmeldingene. Finner du det ikke der og e-posten ber deg logge inn et sted, åpne et vedlegg, installere et program? Gå en ekstra runde for sjekk av innholdet før du foretar deg noe. 
    • Spør leder eller kollega om dette er reelt hvis du er i tvil
    • WHO sender ikke ut eposter som ber deg logge inn for tilgang til informasjon, vedlegg som du ikke har bedt om eller informasjon på sider utenfor domenet www.who.int.
  • få deg til å klikke på/åpne ondsinnede lenker eller vedlegg
  • Forventer du ikke å motta den eposten? Sjekk om den er reell, se punktet om phishingangrep ovenfor

Fremdeles usikker? Send spørsmål om eposten til sikkerhet@uit.no.

Mer informasjon:

• https://nettvett.no/falske-e-poster/
• https://nettvett.no/hvorfor-far-jeg-svindel-e-post/

 

SMS

Det har vært tilfeller i Norge hvor ansatte har mottatt en SMS som utgir seg for å være fra ledelsen. Her blir de bedt om å installere et gitt verktøy for å forenkle kommunikasjon mens de har hjemmekontor. Dette var svindelforsøk, og «verktøyet» var skadevare.

• UiT vil ikke gi denne typen informasjon via SMS.

Eksempel:

• https://www.nrk.no/osloogviken/fikk-sms-fra-_sjefen_-_-viste-seg-a-vaere-korona-svindel-1.14942801

 

Telefon

Det kan også være at du blir oppringt av svindlere.

• Eksempelvis vil «Microsoft» gjerne bli ekstra aktiv i disse dager, hvor svindlere ringer og utgir seg for å være fra Microsoft (av og til sier de at de ringer fra Windows) og har oppdaget at du har et problem med maskinen som de skal hjelpe til med. Microsoft vil ikke ringe deg med slikt så legg på hvis du får slike telefoner.
• Telefonnummeret de ringer fra kan være et norsk nummer, et utenlandsk ett eller et som er verken eller (bare en samling tall). Dette fordi de skjuler sitt reelle nummer og utgir seg for å være noen andre. De som eier ev. reelle nummer som benyttes har ingenting med saken å gjøre, de er ikke hacket e.l. (svindlerne har bare valgt et nummer og så utgir de seg for å være det). 
• Dersom du har gjort som de ba om, enten helt eller delvis, si ifra via sikkerhet@uit.no med en gang og så hjelper vi deg.

 

Nettsider

Det opprettes en rekke falske nettsider rettet mot den situasjonen samfunnet er i

• Det har blant annet forekommet tilfeller hvor det er laget falske «coronavirus map» som gir seg ut for å ha «live» informasjon om spredningen. I realiteten var det skadevare.
  • Disse sidene bygger gjerne på informasjon og utseende til reelle sider og kan være krevende å avsløre
• «Fake news» er en tilbakevendende problemstilling, også i denne situasjonen. Vær årvåken og utøv kildekritikk.

Eksempel:

• https://nrkbeta.no/2020/03/11/slik-spres-falske-nyheter-om-koronaviruset/
• https://www.forbes.com/sites/thomasbrewster/2020/03/12/coronavirus-scam-alert-watch-out-for-these-risky-covid-19-websites-and-emails/#880fff71099f
• https://www.digi.no/artikler/slik-bruker-hackere-koronavirus-frykten-til-a-spre-skadevare/487347

 

Mer informasjon/kilder

Her er noen linker til mer informasjon. Vær oppmerksom på at rådene til arbeidstaker/bruker som står i disse er generelle. I jobbsammenheng skal du forholde deg til rådene gitt av UiT.

 

Synes du noe skurrer? Ta kontakt på sikkerhet@uit.no så tar vi en prat om det.

 

• https://www.nrk.no/osloogviken/fikk-sms-fra-_sjefen_-_-viste-seg-a-vaere-korona-svindel-1.14942801
• https://www.digi.no/artikler/slik-bruker-hackere-koronavirus-frykten-til-a-spre-skadevare/487347
• https://nrkbeta.no/2020/03/11/slik-spres-falske-nyheter-om-koronaviruset/
• https://www.forbes.com/sites/thomasbrewster/2020/03/12/coronavirus-scam-alert-watch-out-for-these-risky-covid-19-websites-and-emails/#880fff71099f

Private data og tjenester

Med "private data" menes ikke-arbeidsrelaterte data. Det vil si dine egne, private data som ikke har noen tilknytning til UiT. Eksempelvis familiebilder.

Fra og med 15. oktober 2022 er det ikke tillatt å

• bruke UiTs tjenester til å lagre private data, eksempelvis OneDrive eller Box. 
• Lurer du på hvordan du flytter dine private filer ut av f.eks OneDrive? Se denne videoen for en gjennomgang.
• UiT har tidligere laget en veiledning for hvordan flytte ut private data fra OneDrive hvis man slutter på UiT. Den praktiske fremgangsmåten vil være den samme i denne situasjonen så denne veiledningen kan derfor også være til nytte.
• bruke UiT e-post til private formål, eksempelvis som kontaktadresse mot private foreninger, offentlige myndigheter (dvs kontakt som ikke er jobbrelatert) eller annen privat kommunikasjon

Det er selvsagt tillatt (og påkrevd) å bruke UiTs tjenester, inkludert e-post, til all korrespondanse og filer som har tilknytning til din jobb på UiT.

• Slik som kontakt med NAV på vegne av UiT som arbeidsgiver, håndtering av dine forskningsdata mv. Alt dette skal skje via UiTs systemer og tjenester (som før).

UiT kan dessverre ikke gi noen konkrete anbefalinger av leverandører av enten e-post eller lagringsløsninger. Dette fordi avtalene ikke går gjennom universitetet, og UiT kan ikke ta det ansvaret. 

Det finnes mange artikler fra ulike nettsteder og nettaviser som tar en gjennomgang av de mest brukte e-postleverandørene og lagringsløsningene. Her er noen eksempler:

• E-post: 10 Best Free Email Accounts for 2022 (lifewire.com)
• Skylagring: 6 Best Cloud Storage Services (2022): Apple, Google, and More | WIRED

Det UiT kan anbefale er at uansett hvilken leverandør du velger så bør du ikke gjenbruke passord, samt at du bør aktivere tofaktor også på dine private tjenester. Dette fordi passordlekkasjer er hyppige (dvs at f.eks en nettjeneste blir angrepet og de får tak i ditt passord) eller at passordet ikke er tilstrekkelig sterkt (så de kan finne ut av det). Tofaktor vil gjøre det mye vanskeligere for uærlige aktører å faktisk få tilgang til dine private data.

• Særlig om e-post og automatisk videresending

Fra samme dato som ovenfor (15.10.22) vil muligheten for automatisk videresending av e-post fra din UiT-konto til eksterne kontoer (slik som andre virksomheter, leverandører som f.eks gmail osv) bli stengt.

Dette er av sikkerhets- og personvernmessige årsaker. Når e-post videresendes automatisk foretas det ingen sjekk av innholdet, og UiT har da ikke den nødvendige kontrollen med hvor dataene befinner seg.

Merk: det er selvsagt lov å videresende enkelt-eposter når andre har behov for dem, akkurat som man gjør i dag. Det er automatisk videresending (av all e-post) som stenges.

Dette gjelder både for ansatte og studenter.

• Særlig om private tjenester og UiTs data

UiTs data skal kun behandles på tjenester som UiT har avtale med. Det innebærer at det ikke er tillatt for deg å behandle UiTs data gjennom dine private tjenester (slik som lagring i ditt private iCloud-abonnement, din egen DropBox-konto osv.). Mange av disse tjenestene som man ofte har privat har også UiT avtale med, og da kan og skal du selvsagt bruke dem til UiTs data -- men husk at du må bruke din UiT-konto og ikke din private.

På reise

Her vil UiTs informasjon om sikkerhetstiltak på reiser bli samlet, inkludert de særlige ordningene for når man reiser til såkalte "høyrisikoland". 

- Retningslinje for bruk av UiTs IT-utstyr og -tjenester ved reiser til risikoland

Eierskap og vurderinger

All informasjon og data ved UiT skal ha en eier. Dette skal være en organisatorisk enhet (f.eks et fakultet), en rolle (f.eks prosjektleder, instituttleder, avdelingsdirektør, faggruppeleder mv.) eller arbeidsprosess (f.eks anskaffelsesprosessen, eksamen, opptak mv.). 

Eier er ansvarlig for å sikre at

• informasjonen er plassert i riktig klasse
• informasjonen er vedlikeholdt, oppdatert og korrekt merket
• vurdere om forutsetningene endrer seg og man må bytte klasse
• dette kan være at beskyttelsesbehovet endrer seg (f.eks eksamener avholdt og eksamensoppgaven er ikke lenger fortrolig), eller at de formelle kravene endrer seg
• sikre at informasjonen behandles i systemer og tjenster og er godkjent for dette (se egen oversikt over godkjente systemer/tjenester)
• Dette kan eksempelvis gjøres gjennom retningslinjer, rutiner eller instrukser

Informasjonen skal alltid plasseres i tilstrekkelig sikker klasse. Hvis du er i tvil om hvilken klasse informasjonen tilhører så velger du den strengest av de to klassene du vurderer. For enkelte typer informasjon har UiT satt krav til minimumsklasser (eksempelvis er taushetsbelagt informasjon alltid minimum røde/fortrolige data). 

Konfidensialitet

Ivaretagelse av konfidensialitet innebærer at uvedkommende ikke skal bli kjent med informasjonen.

Hvor strenge krav som stilles til ivaretagelsen av konfidensialiteten beror på type informasjon. Klassifiseringen er derfor avgjørende for å både kunne ta beslutninger rundt hvordan informasjonen skal behandles (f.eks hvilke IT-tjenester som er tillatt brukt) samt informere andre enn eier om hvordan de skal behandle informasjonen. 

Ved UiT har vi, i likhet med de fleste institusjonene i universitets- og høyskolesektoren, fire klasser for konfidensialitet. 

Når du merker informasjon med disse klassene skal det gjøres på en av to måter:

• kun fargekoden, eller
• fargekode i kombinasjon med benevnelsen (f.eks grønn/åpen, gul/intern osv). 

Det aller meste av UiTs informasjon er grønn, gul eller rød. 

Vær særlig oppmerksom på følgende:

• UiT kan ha bestemt at enkelte typer informasjon skal plasseres i konkrete klasser, og dette vil overstyre den enkelte informasjonseiers vurderinger. Eksempelvis skal taushetsbelagt informasjon alltid plasseres i minimum rød kategori. 
• Hvis f.eks et dokument inneholder informasjon med ulik klassifisering, skal hele dokumentet vurderes som den strengeste, aktuelle klassen
• Det kan være slik at informasjon skal vurderes til en gitt klasse i en bestemt tidsperiode, for deretter å bli nedjustert.
• Eksempelvis vil eksamensoppgaver typisk være vurdert som røde data inntil eksamen er gitt, og deretter som grønne data
• Sammenstilling av informasjon kan medføre at resultatet må vurderes strengere enn de enkelte delene. 
• Eksempelvis har du innhentet informasjon som hver for seg er f.eks vurdert som gule data, men når du setter dem sammen så må de vurderes som røde data.

Eier av IT-system/-tjenester må vurdere hvilke av konfidensialitetsklassen det aktuelle systemet oppfyller, og må synliggjøre dette overfor brukerne på UiT via tabellen over "godkjente systemer og tjenester".

Her finner du mer informasjon om hver av disse fire klassene, og hvordan du vurderer hvilken klasse din informasjon tilhører.

Integritet

Ivaretagelse av informasjonens integritet innebærer at den skal beskyttes mot uautoriserte endringer. Dette kan f.eks være endringer som skjer ved et uhell eller av uvedkommende.

Selv om det aldri er ønskelig at informasjon skal endres utilsiktet eller av uvedkommende, vil det være store forskjeller på hvor skadelig slike endringer kan være. Det er derfor viktig å ta stilling til skadepotensialet, hvilke risikoer UiT løper hvis slike endringer skjer, og dermed også sette rammene for hvordan informasjonen skal beskyttes.

Informasjonseier må vurdere hvilke krav som stilles til sin informasjon.

Eier av IT-system/-tjenester må vurdere hvilke av integritetsklassene det aktuelle systemet oppfyller, og må synliggjøre dette overfor brukerne på UiT. 

Ved UiT har vi tre klasser for ivaretagelse av informasjonens integritet:

Tilgjengelighet

Tilgjengelighet innebærer at de som skal ha informasjonen faktisk har tilgang til den, når de behøver den.

Brudd på tilgjengelighet kan eksempelvis innebære at

• informasjonen er utilgjengelig i en periode eller
• informasjonen går tapt eller
• informasjonen kan ikke registreres inn
• F.eks at digital eksamen-systemet er nede under eksamensavviklingen og studenten ikke får arbeidet med besvarelsen sin,
• tjenester som skal ta imot forskningsdata går ned under innsamlingsperioden etc.

Informasjonen kan ha ulike krav til tilgjengelighet avhengig av kontekst og tidsperiode (f.eks vil det være høye krav til tilgjengelighet til digital eksamen-plattformen under selve eksamensavviklingen, men utenom vil kravene til tilgjengelighet være lavere).

Eier av IT-system/-tjenester må vurdere hvilke av tilgjengelighetsklassene det aktuelle systemet oppfyller, og må synliggjøre dette overfor brukerne på UiT.

Ved UiT har vi tre klasser for å vurdere krav til informasjonens tilgjengelighet:

Behandlingsansvarlig

Den behandlingsansvarlige er den som fastsetter formålet med behandlingen, samt hvilke midler som skal benyttes, jf personvernforordningen artikkel 4 nr 7. Dette kan være "en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ". Den behandlingsansvarlige er ansvarlig for at personopplyningsloven og personvernforordningen overholdes. 

I vurderingen av hvem som er behandlingsansvarlig er det de faktiske forhold som er avgjørende (hvem foretar reellt sett vurderingene og fatter beslutninger). Enkelte vurderinger kan overlates til eksterne (f.eks databehandler), mens andre må foretas av den behandlingsansvarlige selv. 

• Formål: Fastsettelsen av formål er svært sentralt i behandlingen av personopplysningene, og må fastsettes av den behandlingsansvarlige selv - før man i det hele tatt samler inn opplysningene. Formålet skal beskrive hvorfor det er nødvendig å behandle de aktuelle opplysningene, f.eks gjennomføre opptak til et studium, målet med et forskningsprosjekt, ansettelse av ny medarbeider mv.
  
  Det er viktig å ha et bevisst forhold til hva formålet er, slik at de registrerte (personene opplysningene omhandler) skjønner hva opplysningene blir brukt til, samt fordi eventuell senere gjenbruk av opplysningene er underlagt restriksjoner. Det er bl.a. ikke anledning til å gjenbruke opplysninger på en måte som er uforenelig med det/de opprinnelige formålet/-ene, jf artikkel 5 nr 1, bokstav b). 
  
  Formålet/-ene skal være spesifikke, uttrykkelig angitt og berettiget (saklig).

 

• Midler: I "midler" ligger mer enn bare hvilke tekniske hjelpemidler som skal benyttes. Også sentrale vurderinger og beslutninger rundt håndteringen av personopplysningene er omfattet, slik som: 
  • Hvilke opplysninger skal behandles?
  • Hvilke tredjeparter skal ha tilgang?
  • Hvilke opplysninger skal slettes (og når)?

 

• Valg av tekniske løsninger kan overlates til databehandler, under visse forutsetninger. Imidlertid må behandlingsansvarlig bl.a forsikre seg om at informasjonssikkerheten er ivaretatt. Risikourderinger kan ikke foretas av databehandler alene (men de kan bistå).
• Vurderinger som nevnt i kulepunktene ovenfor kan ikke delegeres fra behandlingsansvarlig til databehandler.
  
  

For UiT har administrasjonsdirektøren det overordnede ansvaret som for behandling av personopplysninger. I det daglige er utøvelsen av dette ansvaret delegert for en rekke områder, og disse delegasjonene fremkommer typisk av reglement og retningslinjer fastsatt av administrasjonsdirektør. Eksempelvis er prosjektleder ansvarlig for at lovens krav er fullt ut oppfylt for det aktuelle forskningsprosjektet, herunder at informasjonssikkerheten er ivaretatt (se retningslinjer for behandling av personopplysninger i forskningsprosjekt).

Felles behandlingsansvar

Det er ikke alltid man har behandlingsansvaret alene, men derimot felles med andre. Eksempelvis i et forskningsprosjekt som er samarbeidsprosjekt mellom flere institusjoner. Hvis man er to eller flere behandlingsansvarlige som fastsetter "formålet med og midlene for behandlingen" i fellesskap, er det tale om felles behandlingsansvar, jf artikkel 26 nr 1

Dette er tillatt, under forutsetning av at enkelte krav er oppfylt, jf personvernforordningen artikkel 26:

På en åpen måte skal hver aktør (behandlingsansvarlig) fastsette sitt respektive ansvar for overholdelse av kravene etter forordningen, ved hjelp av en ordning dem imellom (dette gjelder særlig med tanke på overholdelse av de registrertes rettigheter):

• I denne ordningen kan det utpekes et kontaktpunkt for de registrerte
• De respektive rollene til de behandlingsansvarlige, og hvilket forholde de har til de registrerte, skal fremkomme av ordningen
• Det vesentligste i ordningen skal gjøres tilgjengelig for den registrerte
• Merk: uavhengig av hvilken fordeling de ulike behandlingsansvarlige har fastsatt seg imellom, kan den registrerte velge å utøve sine rettigheter overfor hver av de behandlingsansvarlige. F.eks har en av aktørene det interne ansvaret for å håndtere innsynskrav. Den registrerte kan velge å sende kravet til en av de andre behandlingsansvarlige, som da må håndtere den interne kommunikasjonen for å behandle kravet. Man kan ikke avvise den registrerte under henvisning til at de har henvendt seg til "feil" behandlingsansvarlig.
  
  

Det er ikke nødvendig med lik fordeling av ansvar og beslutningsmyndighet mellom de ulike behandlingsansvarlige. Det kan være forskjellige nivåer av "fellesskap", og ulike behandlingsansvarlige kan være involvert i forskjellige aktiviteter/operasjoner og på forskjellige staider av (den samme) behandlinger. Dette må som nevnt klargjøres i den ordningen man er ansvarlig for å fastsette etter artikkel 26. Videre er det viktig å være klar over at etablering av felles behandlingsansvar ikke gir noen av partene en "større" rett til å behandle personopplysninger enn hva de ville hatt alene. Eksempelvis må hver av partene ha lovlig behandlingsgrunnlag, en part kan ikke "bygge" på behandlingsgrunnlaget til en av de andre.

 

Vær oppmerksom på at det er den faktiske behandlingen som står i fokus, og er gjenstand for vurderingen av om det er et felles behandlingsansvar eller ikke.  

• Eksempelvis: Hvis det er de samme personopplysninger som er gjenstand for behandling, men hver av de behandlingsansvarlige fastsetter sine egne formål alene, er det mer nærliggende at det er tale om utlevering av personopplysninger fra den opprinnelige behandlingsansvarlige fremfor felles behandlingsansvar. 

Utlevering til annen aktør (f.eks UH-institusjon)

I mange tilfeller er overføring av personopplysninger til eksterne (virksomheter, organisasjoner institusjoner, fysiske personer) rett og slett en utlevering til en ny behandlingsansvarlig. 

Når UiT har utlevert personopplysningene til den nye behandlingsansvarlige, er denne selv fullt ut ansvarlig for behandlingen av personopplysningene hos seg. Vi har da ingen påvirkningskraft eller ansvar for hvordan opplysningene behandles hos den eksterne. Merk: hvis UiT fremdeles har kopi av personopplysningene er vi naturligvis fremdeles behandlingsansvarlig for vår behandling av disse opplysningene. 

For at vi lovlig skal kunne utlevere opplysningene må vi ha et behandlingsgrunnlag for denne utleveringen. Behandlingsgrunnlag følger av personvernforordningen artikkel 6. Hvis det er tale om særlige kategorier personopplysninger må behandlingsgrunnlag også følge av artikkel 9. Vær oppmerksom på at utlevering kan innebære et gjenbruk av eksisterende data, til et nytt formål. Da må det foretas en vurdering av om det opprinnelige og det nye formålet er forenelige. Man kan ikke bare peke på et nytt behandlingsgrunnlag (isolert sett) og så er utleveringen lovlig.

For tilfeller hvor utleveringen ikke er lovpålagt, skal vi forsikre oss om at mottaker har behandlingsgrunnlag for sin behandling av opplysningene (før disse utleveres). 

Krav før databehandler kan benyttes

Krav til databehandleravtalen.

Før man tar i bruk databehandler er det noen krav som må være oppfylt:

• Skriftlig databehandleravtale må foreligge, jf artikkel 28. 
• Det finnes noen spesifikke krav til hva denne må inneholde, se nedenfor.
• Mal for databehandleravtale (to dokumenter; hoveddokument og bilag) finner du her (fra Digitaliseringsdirektoratet).
• Risikovurdering må være gjennomført slik at informasjonssikkerheten ivaretas (jf artikkel 32)
• Denne kan være helt enkel eller svært komplisert og omfattende, alt etter oppdragets eller tjenestens natur. 
• Sørg for å gjennomføre denne på et tidlig nok stadium, for å unngå risikoen ved å ha inngått en bindende avtale om f.eks en tjeneste, som man deretter ikke kan benytte fordi risikovurderingen avdekket ukjente risikoer av en slik art at de ikke var akseptable
• alternativt ta med forbehold om godkjent risikovurdering 

 

UiT har utarbeidet en sjekkliste som kan brukes for hjelp til gjennomgang av databehandleravtaler, samt visse andre vurderinger som må være på plass før databehandleren kan benyttes. Den finnes med og uten hjelpetekster.

Databehandleravtalen skal fastsette

• gjenstanden for og varigheten av behandlingen
• behandlingens art og formål
• typen personopplysninger som behandles
• kategorier av registrerte
• den behandlingsansvarliges rettigheter og plikter

 

Videre skal det særlig angis i avtalen at databehandler

• kun behandler personopplysninger på dokumenterte instrukser fra den behandlingsansvarlige, jf artikkel 28 nr 3, bokstav a)
• herunder om opplysninger kan overføres til tredjestater eller internasjonale organisasjoner
• sikrer at personer som skal behandle personopplysningene er underlagt taushetsplikt, artikkel 28 nr 3, bokstav b)
• treffer alle tiltak nødvendig for å ivareta informasjonssikkerheten (overholder artikkel 32), jf artikkel 28 nr 3, bokstav c).
• kun kan engasjere nye databehandlere (underleverandører) under følgende forutsetninger, jf artikkel 28 nr 3, bokstav d):
• godkjenning fra behandlingsansvarlig er innhentet. Dette kan skje på to ulike måter, og hvilken må avklares i avtalen
• Databehandler må innhente særlig godkjenning fra behandlingsansvarlig for hver underleverandør, eller
• Databehandler gis en generell godkjenning, men må da underrette behandlingsansvarlig i tide slik at denne kan motsette seg nye/endrede underleverandører, jf artikkel 28 nr 2
• databehandler må pålegge underleverandøren de samme bindende forpliktelser som de selv er underlagt, særlig med tanke på informasjonssikkerhet, jf. artikkel 28 nr 4
• dersom underleverandøren ikke overholder sine plikter skal den databehandler som hyret denne inn, være fullt ut ansvarlig overfor behandlingsansvarlig
• etter den behandlingsansvarliges valg, sletter eller tilbakefører alle personopplysninger når tjenesten er levert (avtalen avsluttet) og sletter alle kopier hos seg, jf artikkel 28 nr 3, bokstav g)
• gjør tilgjengelig all informasjon som er nødvendig for å påvise at databehandlers forpliktelser etter forordningen er oppfylt, jf artikkel 28 nr 3, bokstav h)
• muliggjør og bidrar til revisjoner, jf. artikkel 28 nr 3, bokstav h)
• herunder inspeksjoner, som enten gjennomføres av den behandlingsansvarlig eller på fullmakt fra denne
• idet det tas hensyn til behandlingens art og den grad det er mulig
• bistår den behandlingsansvarlige med plikten til å svare på anmodninger inngitt av de registrerte, jf artikkel 28 nr 3, bokstav e)
• bistår den behandlingsansvarlige med å sikre overholdelse av forordningens artikkel 32-36, jf artikkel 28 nr 3, bokstav f)

 

Databehandleravtalemalen til UiT tar inn alle disse punktene, men den må tilpasses til hver enkelt avtale. Den kan ikke signeres slik den er, da inneholder den ikke alle opplysninger/detaljer som er påkrevd.

Det skjer at leverandør insisterer på å benytte sin egen avtalemal. Dette er greit, under forutsetning av at den gjennomgås nøye og man fastslår at kravene til databehandler og databehandleravtale er oppfylt. Vær oppmersom på at dette er ikke alltid tilfelle, selv for store leverandører. I slike tilfeller må man forhandle om endringer av avtalen.

Når er eksterne ikke databehandler?