Norsk
Informasjonssikkerhet og personvern ved UiT
UiT Norges arktiske universitet behandler store mengder informasjon innenfor forskning, utdanning, formidling og administrasjon. Det er avgjørende at vi klarer å ivareta informasjonssikkerheten og personvern på en god måte, ikke minst for å ivareta den tilliten UiT er avhengig av som forsknings- og utdanningsinstitusjon. Dette skal skje uavhengig av om informasjonen behandles fysisk eller digitalt.
Ønsker du komme i kontakt med faggruppe for personvern og informasjonssikkerhet? Kontakt oss på e-post sikkerhet@uit.no.
Her vil vi samle informasjon om enkelte, sentrale sikkerhetstiltak.
For å ivareta driften og informasjonssikkerheten i UiTs infrastruktur, systemer og tjenester er det behov for en rekke tiltak som innbefatter behandling av personopplysninger. Dette både for ansatte, studenter, gjester ved UiT og andre med tilknytning til universitetet. Et typisk eksempel er logging.
Disse kan ikke alltid informeres om i detalj, blant annet fordi detaljer om sikkerhetstiltak kan være en sikkerhetsrisiko i seg selv. Men vi vil gi den informasjonen vi kan gi, og som vi er pliktig å gi.
Logging
(under utarbeidelse)
I følge IKT-reglementet kan enhver bruk av UiTs IKT-ressurser blir logget, og dette skjer. Imidlertid skal det skje under kontrollerte former og tilgang til logger er strengt regulert. Innhenting og bruk av logger (samt andre tiltak, om det er for ivaretagelse av drift, sikkerhet eller begge deler) skal foregå i overensstemmelse med kravene etter personvernlovgivningen (GDPR mv).
Trusselbildet UiT står overfor krever en rekke sikkerhetstiltak, ikke minst logging. Hva som må logges (type opplysninger, aktivitet og omfang) blir mer omfattende, men det skal være forholdsmessighet mellom inngripet i personvernet til den enkelte, og nødvendigheten og det UiT søker å oppnå.
Informasjon om nye tiltak som påvirker alle brukerne, f.eks Cisco Umbrella og Microsoft Defender for Endpoint blir kunngjort via driftsmeldinger. Av andre mer omfattende tiltak på loggsiden som kan nevnes er at UiT er tilsluttet Varslingstjeneste for digital infrastruktur ("VDI"). VDI driftes av NSM og fungerer som en "digital innbruddsalarm". Endel av de nærmere detaljene om VDI er unntatt offentlighet, jf offl. § 21, og kan dermed ikke deles, men litt nærmere informasjon om tjenesten finnes her: Varslingssystem (VDI) - Nasjonal sikkerhetsmyndighet (nsm.no)
Tofaktor
Information in English, click here
Tofaktorautentisering er autentisering eller pålogging med mer enn en faktor. Det betyr at i tillegg til brukernavn/passord, kreves det en tilleggsfaktor for å godkjenne påloggingsforsøket. Dette brukes i stor utstrekning, og blir mer og mer vanlig da det er et effektiv og forholdsvis enkelt sikkerhetstiltak. Du bruker allerede en form av dette for pålogging til bla. nettbanken og Skatteetaten sine sider (BankID, MinID, Buypass). Ved UiT bruker vi tofaktor til flere av våre tjenester, og dette kommer til å bli mer og mer utbredt. Det er mange metoder for å finne ut hvilket passord en person benytter, så man på påregne at passordet kommer på avveie på ett eller annet tidspunkt. Da vil andre personer kunne logge seg rett inn på din konto, men dersom man har tofaktor blir dette betraktelig vanskeligere.
Det er mange metoder som kan brukes, men de mest vanlige er en engangskode via sms eller via en app på telefonen. Vi vil også innføre usb-brikker ("hardware-tokens"), dersom man ikke vil eller kan bruke app eller sms.
En av tjenestene på UiT som krever tofaktor-pålogging er Office 365, og her kan du lese mer om det.
Studenter skal nå også over på 2-faktor autentisering. Fra 15 september 2021 vil dette blir obligatorisk. Som student kan du aktivere 2-faktor i dag ved å følge denne brukerveiledningen:
https://uit.topdesk.net/solutions/open-knowledge-items/item/KI%201649/no/
VPN
VPN, Virtuelt Privat Nettverk, er en sikkerhetsmekanisme som krypterer nettverkstrafikken mellom din PC og tjenestene du bruker. Denne krypteringen kommer i tillegg til sikkerheten man får med https når man går til nettsider.
For teknisk informasjon om UiTs VPN-løsning se brukerstøtteartikkel i TopDesk.
Når bør jeg bruke VPN?
VPN har to hovedbruksområder ved UiT:
- Sikre nettrafikken til og fra din PC på usikre nettverk.
- Gi tilgang til ressurser som ellers bare er tilgjengelig ved at man fysisk er til stede på UiTs lokasjoner.
Sikre nettrafikken til og fra din PC på usikre nettverk.
Her kan VPN anses som valgfritt. Dette fordi de fleste tjenester er i dag sikret med kryptering allerede. Dette gjelder for eksempel alle tjenester i UiTs bruk av Office365, dvs. epost, OneDrive og SharePoint.
Det er imidlertid tilfeller hvor bruk av VPN er anbefalt, f.eks. hvis man kobler seg opp på ukjente trådløsnett eller er på reise i land utenfor Europa hvor man må ta høyde for at statlig overvåkning og kriminell nettaktivitet er utbredt.
Merk: Ved reise til høyrisikoland som f.eks Kina, Russland og Iran skal man ikke ha med sin vanlige jobb-pc eller mobil. Kontakt Orakelet for mer informasjon.
Gi tilgang til ressurser som ellers bare er tilgjengelig ved at man fysisk er til stede på UiTs lokasjoner.
Det andre bruksområdet for VPN er hovedsakelig tilgang til UBs tidsskriftbaser. For å få direkte tilgang til vitenskapelige artikler gjennom UiTs avtaler må man logge inn fra adresser som UiT har oppgitt som sine adresseområder på internett. Dette er beskrevet i brukerstøtteartikkelen ovenfor. Hvis man går til tidsskriftene via UBs nettsider trenger man ikke VPN (der er det satt opp en redirigeringsløsning som omgår problemet).
Er det noen ulemper med bruk av VPN?
VPN-systemet på UiT er satt opp med god kapasitet og burde ikke være noen flaskehals i vanlig bruk for nettsurfing og epost. Det kan imidlertid gi forsinkelse i lyd og bilde på Teams og Zoom hvis man er på reise langt unna Norge. Dette er fordi at ved bruk av VPN sender all nettrafikk til Tromsø før den går videre ut på internett.
Informasjon om strukturen og organiseringen av arbeidet med informasjonssikkerhet og personvern finner du i kapittel 3 i ledelsessystemet.
På denne siden vil vi presentere enkelte deler av organisasjonen litt nærmere.
Faggruppe for informasjonssikkerhet og personvern
Faggruppen («FPI») er organisatorisk tilknyttet Avdeling for IT, og består av fem personer:
- Ørjan Dypvik Pettersen (sikkerhetssjef og faggruppeleder)
- Lars Slettjord (operativ sikkerhet og leder CSIRT)
- Christian Isaksen (sikkerhetsarkitekt)
- Elise Mengkrogen (juridisk seniorrådgiver)
- Ingvild Stock-Jørgensen (juridisk seniorrådgiver)
FPI arbeider med spørsmål om informasjonssikkerhet og personvern på et overordnet nivå, for hele universitetet og med spørsmål av både digital og ikke-digital art. Blant annet har faggruppen ansvaret for å revidere ledelsessystemet for informasjonssikkerhet, håndtere avvik, gjennomføre kontrollaktiviteter, skrive årsrapport som fremmes Universitetsstyret m.v. Nærmere info om oppgavene finner du her.
Forum for informasjonssikkerhet og personvern
Forumet ble opprettet i 2019 og var opprinnelig fokusert på informasjonssikkerhet. Våren 2022 ble imidlertid mandatet utvidet til å inkludere personvern.
Hver enhet på nivå 1 og 2 har én representant, og forumet er sammensatt av vitenskapelig og administrativt ansatte samt ledernivået. Personvernombudet har møte- og talerett.
Forumet har ikke beslutningsmyndighet, men skal fungere som et rådgivende organ for universitetet i spørsmål om informasjonssikkerhet og personvern. Typisk vil større endringer i retningslinjer fremmes forumet for innspill før de ferdigstilles. Planlagte opplæringsaktiviteter av en viss størrelse blir også tatt opp i forumet. Det er FPI som har hovedansvar for å utarbeide saker til forumet, men hver representant har anledning til å fremme saker. Forumet møter 2-3 ganger pr semester.
Per januar 2023 består forumet av følgende personer:
- Ingvild Stock-Jørgensen, FPI, (leder)
- Christian Isaksen, FPI (referent)
- Anders Andersen, NT-fak
- Christine Slettbakk Greger, IVT-fak
- Frode Nilsen, UB
- Jan Henriksen, UMAK
- Magne Frostad, JurFak
- Sissel Eriksen, HSL
- Sølvi Brendeford Anderssen, FUF
- Terje Aspen, BFE
- Frank Mengkrogen, Helsefak
- Eli Synnøve Skum Hanssen, ORGØK
- Nils Johan Lysnes, ITA
- Lise Giswold, BEA
I tillegg deltar sikkerhetssjef og personverombudet på møtene.
Personvernombud (PVO)
UiT har et eget personvernombud som skal informere og gi råd til UiT og de ansatte om forpliktelsene som følger av personvernforordningen (GDPR) og tilhørende lovverk. Videre skal ombudet kontrollere UiTs overholdelse av GDPR, interne retningslinjer mv. innenfor personvern, opplæringsaktiviteter mv.
Personvernombudet har en uavhengig stilling og kan ikke instrueres i utførelsen av sine oppgaver.
Nærmere informasjon om ombudets rolle og oppgaver finner du her.
Ledelsessystemet for informasjonssikkerhet og personvern ("ISMS") er vedtatt av Universitetsstyret. Første gang i 2015, og senere revidert flere ganger (sist 16.12.2020) Gjennom ledelsessystemet skal UiT ha en helhetlig tilnærming til informasjonssikkerhet og personvern, slik at vi kan ha styring og kontroll med dette på universitetet.
Ledelsessystemet består av styrende, gjennomførende og kontrollerende del. Endringer i den styrende delen (kap. 1-3) foretas av Universitetsstyret, mens endringer i gjennomførende og kontrollerende del (kap. 4-9 samt vedleggene) ligger til administrasjonsdirektør.
Kapittel 1: Innledning
Formål og hensikt
UiT – Norges arktiske universitet (UiT) er et nasjonalt og internasjonalt kraftsenter for kompetanse, vekst og nyskaping i nordområdene. Dette skal blant annet vises gjennom høy kvalitet på UiTs kunnskapsforvaltning og informasjonsverdier: forskningsdata, forskningsresultater og informasjon eller kunnskap som inngår i undervisning, forskning og formidling.
Informasjonssikkerhet
Et systematisk og planmessig arbeid for å sikre våre informasjonsverdier er en sentral del av UiTs kunnskapsforvaltning. Både interne og eksterne aktører – ledere, ansatte, studenter, samarbeidspartnere og offentligheten forøvrig – skal kunne stole på at UiT sikrer at informasjon i alle former
- ikke blir kjent for uvedkommende (konfidensialitet)
- ikke blir endret utilsiktet eller av uvedkommende (integritet)
- er tilgjengelig ved legitimt behov (tilgjengelighet)
UiT er underlagt en rekke lover og forskrifter som pålegger oss å ha tilfredsstillende informasjonssikkerhet. Dette gjelder blant annet forvaltningsloven med forskrift (e-forvaltningsforskriften), personopplysningsloven (2018) med forskrift, personvernforordningen (GDPR) og helseforskningsloven med forskrift. I tillegg inneholder andre lovverk, blant annet offentlighetsloven og arkivloven, bestemmelser som har betydning for arbeidet med sikring av informasjonen ved UiT. Ledelsessystemet for informasjonssikkerhet og personvern ved UiT skal ivareta de kravene som lovverket og Kunnskapsdepartementet (KD) stiller til arbeidet med informasjonssikkerhet i universitets- og høyskolesektoren.
Personvern
Ivaretagelse av informasjonssikkerheten ved behandling av personopplysninger er en sentral del av forpliktelsene etter personopplysningsloven, GDPR og øvrig, relevant lovverk. Imidlertid påhviler det en rekke øvrige forpliktelser utover informasjonssikkerhet for å sikre godt personvern og overholde de forpliktelsene UiT er underlagt etter regelverket, slik som lovlig grunnlag for å samle inn og behandle opplysninger, god og korrekt informasjon om behandlingene, ivaretagelse av rettigheter mv.
Et systematisk og planmessig arbeid for å sikre at UiT overholder disse forpliktelsene i alle ledd er derfor sentralt for å ivareta rettighetene og personvernet til de personene vi behandler opplysninger om, og ivareta den tillit som UiT er avhengig av for å kunne opprettholde og utvikle virksomheten innen forskning, utdanning og formidling.
Ledelsessystemet for informasjonssikkerhet og personvern ved UiT
Ledelsessystemet for informasjonssikkerhet og personvern skal sørge for at UiTs informasjonsverdier håndteres på en systematisk, planmessig og tilfredsstillende måte. Ledelsessystemet inneholder blant annet mål, strategi og organisering av arbeidet med informasjonssikkerhet og personvern, samt beskrivelse av roller og ansvar, oversikt over informasjonsverdier og retningslinjer.
Ledelsessystemet består av tre hovedelementer:
- Styrende del – overordnet policy, herunder målsetninger og strategi, akseptabel risiko roller og ansvar.
- Gjennomførende del – konkrete retningslinjer og rutiner, herunder om klassifisering av informasjon, risikovurderinger, opplæring mv.
- Kontrollerende del – internrevisjon, rapportering av avvik og ledelsens gjennomgang/årsrapport.
Informasjonssikkerhet og personvern er et topplederansvar. Det operative ansvaret og det praktiske arbeidet med å ivareta informasjonssikkerheten og personvernet kan delegeres til de enkelte enhetene ved UiT, jf. beskrivelsen av sikkerhetsorganisasjonen med roller og ansvar i kapittel 4.
Ledelsessystemet for informasjonssikkerhet og personvern ved UiT omfatter
• alle som får tilgang UiTs informasjonsverdier[1]
• alle UiTs studiesteder/campuser
• alle organisatoriske enheter
• all teknologi[2]
• alle informasjonsverdier
Informasjonsverdi er et samlebegrep som inkluderer både selve informasjonen samt tilhørende støtteverdier som IKT-system, digitale tjenester, datautstyr av ulike varianter mv. Hvordan man skal behandle og beskytte informasjonsverdiene avhenger av resultatene fra risikovurderinger. Informasjonssikkerhet skal ivaretas for alle informasjonsverdier, uavhengig av medietype, format, lagringsteknologi, om det er digitalt eller ikke-digitalt, behandles lokalt eller i skytjenester mv. Det kan være et IT-system, for eksempel personalsystem, læringsplattform og arkivsystem, eller en type informasjon, for eksempel studentinformasjon, pasientinformasjon eller data som inngår i et forskningsprosjekt. Videre er det ikke kun personopplysninger, men også øvrig informasjon som universitetet forvalter. Eksempelvis økonomisk informasjon om virksomheten, bygningsinformasjon, forskningsdata som ikke involverer mennesker mv.
[1] Studenter, ansatte, gjester, samarbeidspartnere etc.
[2] IT-systemer, datanettverk, databaser/-registre etc.
Kapittel 2: Visjon, mål og akseptabel risiko
UiT er et breddeuniversitet som på grunn av beliggenhet og forskningsprofil kan være spesielt utsatt for trusler og angrep knyttet til informasjonssikkerhet. Aktivister, kriminelle og statlig etterretning forsøker å oppnå økonomisk vinning, politiske mål eller andre fordeler gjennom manipulasjon, sabotasje og spionasje. UiTs forskningsdata kan være spesielt utsatt for informasjonssikkerhetsbrudd ved eksempelvis sabotasje og/eller spionasje.
I dagens høyere utdanning er det stort fokus på læringsfremmende teknologi og digitale eksamensformer, og det er vanskelig å balansere behovet for å hyppig ta i bruk nye tjenester og samtidig ivareta informasjonssikkerheten og personvernet. Både Kunnskapsdepartementet og UiT har ambisiøse digitaliseringsstrategier, og oppfyllelse av disse samtidig som informasjonssikkerhet og personvern ivaretas er en krevende oppgave.
Videre behandler UiT en stor mengde personopplysninger om ansatte, studenter, forskningsdeltakere og andre. Regelverket for lovlig håndtering av personopplysninger er komplisert, og det kreves gode retningslinjer, rutiner, verktøy og kunnskap for å sikre at UiT overholder relevant regelverk i all behandling av personopplysninger.
Internt ved UiT har vi en sikkerhetskultur som ikke sammenfaller med risikonivået. Uten å gjennomføre tilstrekkelige tiltak for å sikre UiTs informasjonsverdier vil sannsynligheten for et større sikkerhetsbrudd være uakseptabelt høy. Slike brudd kan medføre at legitimiteten og omdømmet til UiT rammes. Det inkluderer å forbedre evnen til å oppdage og håndtere hendelser, avvik og brudd raskt slik at eventuelle konsekvenser for kjernevirksomheten blir minimale, og redusere sannsynligheten for at forskningens troverdighet eller legitimitet rammes.
For å sikre at arbeidet med informasjonssikkerhet og personvern ivaretas på en systematisk og hensiktsmessig måte har UiT identifisert et sett med overordnede, langsiktige mål og en visjon for informasjonssikkerhet og personvern. Tiltak for å oppfylle disse vil fastsettes gjennom Veikart for informasjonssikkerhet og personvern, som har en varighet på 12 måneder og fastsettes av Universitetsstyret. Veikartet behandles som hovedregel sammen med Årsrapport for informasjonssikkerhet og personvern.
(For kapittel to samlet i ett pdf-dokument, klikk her.)
Visjon
UiT skal etablere og opprettholde en forsvarlig forvaltning og sikring av sine informasjonsverdier for å ivareta samfunnets tillit til universitetets utdanning, forskning og formidling.
UiT skal:
- arbeide målrettet og risikobasert med informasjonssikkerhet og personvern
- ivareta informasjonssikkerhet og personvern på en helhetlig og systematisk måte, og sørge for en felles tilnærming internt på UiT
- redusere sårbarhetene til UiTs informasjonsverdier
- inkludere informasjonssikkerhet og personvern i universitetets beslutningsprosesser
- forenkle og forbedre universitetets retningslinjer og prosesser for informasjonssikkerhet og personvern
- forbedre evnen til å oppdage og håndtere hendelser, avvik og brudd raskt slik at eventuelle konsekvenser for virksomheten blir minimale
- sørge for opplæring og bevisstgjøring som gjør ansatte og studenter i stand til å hindre, oppdage og rapportere hendelser
Overordnet målbilde
A. Helhetlig, integrert og effektiv styring og kontroll
Bygge opp og opprettholde nødvendig organisasjon, styring av informasjonssikkerhet og personvern, prosesser og støtteverktøy. Sikkerhet- og personvernaktiviteter skal være integrert i UiTs prosesser.
B. Overvåkning og hendelsesstyring
Sikkerhetsarbeidet bør i størst mulig grad søke å forebygge uønskede hendelser. Dette kan vi oppnå ved å sørge for tiltak som gjør det mulig ikke bare å oppdage hendelser og brudd, men også håndtere og redusere konsekvensene av disse.
C. Ansvarsbevisst kultur
Etablere og vedlikeholde en kultur hvor ansatte og studenter er bevisst på sitt ansvar og oppgaver innenfor informasjonssikkerhet og personvern, og har vilje og evne til å ivareta UiTs informasjonsverdier.
Arbeidet med å oppnå det overordnede målbildet må bygges lagvis, over tid. Det har ingen sluttdato da det ikke bare må etableres, men også opprettholdes i en stor og kompleks organisasjon med et dynamisk risiko- og trusselbilde.
For å oppnå det overordnede målbildet er det fastsatt et sett med delmål i hver kategori, og årlig skal det vedtas tiltak for å oppnå disse delmålene gjennom et veikart. Også her vil det ofte være ulike tiltak over tid som innebærer at delmålet oppnås, og deretter må tiltak gjennomføres for å opprettholde og vedlikeholde dette. Delmålene og tilhørende tiltak fremgår av veikartet.
Akseptabel risiko
Det er ikke mulig å eliminere enhver risiko, men UiT skal arbeide systematisk og målrettet for å ha et risikonivå som er akseptabelt, sett opp mot UiTs mål og risikobilde.
UiT skal ha en risikobasert tilnærming til informasjonssikkerhet, og «akseptabel risiko» er det nivå av risiko UiT er villig til å godta for å skape verdier samt oppnå de mål og gevinster som søkes.
Risikovilje kan kategoriseres på ulike måter:
- Uvillig: Skal unngå risiko.
- Minimalistisk: Ekstremt konservativt.
- Forsiktig: Bør unngå unødvendig risiko.
- Fleksibel: Vil ta sterkt begrunnede risikoer.
- Åpen: Vil ta berettiget risiko.
For høy risikovilje fra UiTs side vil utsette ansatte, studenter og forskningsdeltakere for en uholdbar risiko for skade og negative konsekvenser, samt kunne skade UiTs omdømme og/eller få økonomiske konsekvenser. For lav risikovilje vil innebære at prosjekter, prosesser, aktiviteter mv. i liten grad er gjennomførbare enten fordi det ikke er mulig å få risikoen ned på et svært lavt nivå, eller det vil være uforholdsmessig tidkrevende og dyrt. Det vil kunne ha store negative virkninger for UiTs virksomhet.
Jo sterkere og bedre sikkerhetskultur, grunnsikring og systematikk rundt arbeidet med informasjonssikkerhet i hele virksomheten, desto større vil mulighetsrommet være for å kunne gjennomføre ambisiøse prosjekter og prosesser som i en organisasjon med svakere sikkerhetskultur og -arbeid vil innebære en uakseptabel risiko. Både UiTs risikobilde og totale grunnlag for å håndtere risiko på en ansvarlig og tillitvekkende måte vil være dynamisk, og må kontinuerlig vurderes, herunder måle sikkerhetskulturen blant ansatte og studenter.
Som hovedregel vil derfor «akseptabel risiko» befinne seg i tre midterste kategoriene («minimalistisk», «forsiktig» og «fleksibel»). Dette kan variere basert på eksempelvis type data som behandles, hvilke gevinster som søkes oppnådd og hvilken risiko det vil innebære å ikke igangsette en prosess, gjennomføre et forskningsprosjekt, ta i bruk et IT-system mv. Det er imidlertid ikke fritt opp til den enkeltes skjønn hvordan risiko skal vurderes, eller hvilke risikonivå som kan aksepteres. Nedenfor vil det derfor redegjøres for hvordan UiT vurderer risiko, samt grensene for akseptabel risiko.
Kapittel 3: Roller, ansvar og oppgaver
I det følgende gis en nærmere beskrivelse av hvilket ansvar og hvilke oppgaver som er lagt til de ulike rollene:
Universitetsstyret
- behandler og vedtar ledelsessystemet for informasjonssikkerhet og personvern ved UiT
- har det overordnede ansvaret for personvernet ved all behandling av personopplysninger ved UiT
- skal stille krav til det videre arbeidet med informasjonssikkerhet og personvern ved UiT
Administrasjonsdirektør
- utøver det overordnede ansvaret for all behandling av personopplysninger ved UiT
- har ansvar for informasjonssikkerhet på et overordnet nivå, herunder å sette av tilstrekkelige ressurser til arbeidet med informasjonssikkerhet, inkludert opplæring og kompetanseheving
- har ansvaret for at ledelsessystemet for informasjonssikkerhet og personvern blir implementert og vedlikeholdt, samt for organiseringen av sikkerhetsarbeidet
- skal påse at meldingspliktige brudd på personopplysningssikkerheten rettidig oversendes Datatilsynet
- skal årlig gjennomgå status for arbeidet med informasjonssikkerhet og personvern[1]
- skal oppnevne medlemmera av forum for informasjonssikkerhet og personvern
- skal oppnevne medlemmer av gruppe for overordnet vurdering av personvernkonsekvensvurderinger (DPIA)
- har myndighet til å avgjøre om behandlinger underlagt personvernkonsekvensvurdering (DPIA) skal anses for å ha redusert risikoen tilstrekkelig, eller om behandlingen må underlegges ytterligere tiltak alternativt avbrytes
[1] Jf. Kapittel 9 “ledelsens gjennomgang”
a Delegert til IT-direktør den 3.5.2022.
IT-direktør
- har forvaltningsansvaret for informasjonssikkerheten og personvern ved UiT
- har instruksjonsmyndighet overfor alle enheter ved UiT i saker som angår informasjonssikkerhet og personvern
- har det praktiske ansvaret for at det føres en protokoll over alle behandlingsaktiviteter som UiT har, både i rollen som behandlingsansvarlig og som databehandler.
- skal påse at holdningsskapende programmer gjennomføres
Faggruppe for informasjonssikkerhet og personvern
- v/faggruppeleder er sikkerhetssjef (CISO)
- skal utøve IT-direktørens myndighet i saker om informasjonssikkerhet og personvern
- skal være rådgiver for linjeorganisasjonen i spørsmål relatert til informasjonssikkerhet og personvern
- skal lede CSIRT-teamet[1] og Informasjonssikkerhetsforum
- skal utarbeide og vedlikeholde overordnet beredskapsplan for IKT
- skal følge opp avvik på overordnet nivå og sørge for at disse blir kanalisert til og fulgt opp av berørte enheter
- skal gis innsyn i alle opplysninger som er nødvendig for å følge opp hendelser og avvik innenfor informasjonssikkerhet og personvern
- skal drive opplysningsvirksomhet, rådgivning og opplæring innen informasjonssikkerhet og personvern
- skal vedlikeholde overordnet regelverk og rutiner for informasjonssikkerhet og personvern
- har myndighet til å igangsette internrevisjoner innenfor informasjonssikkerhet og/eller personvern, på alle enheter og innenfor alle virksomhetsområder
- skal utarbeide og vedlikeholde verktøy og veiledningsmateriell for gjennomføring av risikovurderinger
- skal utarbeide årlig rapport til ledelsens gjennomgang («årsrapport for informasjonssikkerhet og personvern»)
- skal holde oversikt over databehandleravtaler som inngås på UiT
[1] CSIRT står for Computer Security Incident Response Team
Personvernombudet
- rapporterer direkte til administrasjonsdirektør
- skal informere og gi råd til UiTs ansatte og studenter om gjeldende forpliktelser etter personvernlovgivningen
- skal kontrollere UiTs overholdelse av personvernlovgivningen
- skal involveres på rett tidspunkt og nivå i spørsmål som omhandler personvern
- skal gi råd i vurderingen av personvernkonsekvenser (DPIA) og kontrollere gjennomføringen av disse vurderingene
- skal involveres på passende nivå i håndteringen av avvik etter personvernlovgivningen, og som minimum orienteres om innhold og omfang av avvik
- skal utarbeide årlig rapport som kan tas inn som vedlegg til årsrapport for informasjonssikkerhet og personvern
- har observatørstatus i forum for informasjonssikkerhet og personvern
- kan kontaktes direkte av de registrerte med spørsmål om UiTs behandling av deres personopplysninger, og om utøvelsen av sine rettigheter etter personvernforordningen (GDPR)
- kan ikke instrueres om utførelsen av de oppgavene som ligger til personvernombudet etter personvernforordningen (GDPR) artikkel 39
Avdeling for IT
- skal bistå systemeier ved utforming av krav til informasjonssikkerhet ved anskaffelse av nye system
- har ansvar for drift av sentrale IT-systemer, og skal ivareta tilfredsstillende informasjonssikkerhet på IT-infrastruktur basert på risikovurderinger
- skal, på bakgrunn av risiko- og sårbarhetsanalyser, utarbeide en kontinuitets- og beredskapsplan (KBP) som dekker kritiske og viktige informasjonssystemer og infrastruktur
- skal dokumentere systemer/infrastruktur med tilhørende sikkerhetstiltak
- skal utarbeide og vedlikeholde sikkerhetspolicy, retningslinjer og prosedyrer for den tekniske infrastrukturen
- skal overvåke vesentlige endringer i trusler mot UiTs informasjonsverdier
Avdeling for bygg og eiendom
- skal sørge for at sikring av tilgang til bygninger, rom og områder er i tråd med kriterier for akseptabel risiko
- skal bistå enheter ved risikovurderinger av fysisk sikkerhet og ved gjennomføring av nødvendige fysiske sikringstiltak
Avdeling for forskning, utdanning og formidling
- skal ha kontaktpersonen for Norsk senter for forskningsdata (NSD)
- skal motta og ha internt ansvar for oppfølging av personvernkonsekvensvurderinger (DPIA) som NSD utarbeider på vegne av UiT
Enhetsledere
- er ansvarlige for å tilfredsstille krav til informasjonssikkerhet og personvern i egen enhet
- skal sørge for at risikovurderinger gjennomføres
- skal iverksette tiltak dersom det er nødvendig for å ivareta informasjonssikkerheten og personvernet i egen enhet
- har det overordnede ansvaret for at personvernkonsekvensvurderinger (DPIA) iverksettes der det er påkrevd etter personvernforordningen (GDPR) art. 35
- skal rapportere resultat fra risikovurderinger med handlingsplan og avvik til Faggruppe for informasjonssikkerhet og personvern
- skal følge opp avviksmeldinger i egen enhet og sørge for at disse blir lukket, i samarbeid med Faggruppe for informasjonssikkerhet og personvern
- skal informere ansatte i egen enhet om de rutiner og retningslinjer som gjelder til enhver tid og sørge for at kravene i ledelsessystemet til egen enhet blir fulgt
Systemeier
- skal etablere og vedlikeholde rutiner for å ivareta sikkerhetsmålene
- skal stille krav til informasjonssikkerhet i anskaffelse, utvikling og vedlikehold av informasjon og informasjonssystemet, i samråd med Avdeling for IT
- skal ha fokus på ivaretagelse av innebygd personvern og personvern som standardinnstilling
- skal sørge for at tilganger blir gitt etter tjenstlig behov, avsluttet når behovet opphører, samt at nødvendig opplæring blir gitt
- skal sørge for at databehandleravtaler inngås
- skal utføre risikovurdering av systemet i henhold til kapittel 5, og dokumentere at risikovurderinger er utført
- skal iverksette eventuelle tiltak på bakgrunn av risikovurderinger
Leder av forskningsprosjekt
- opptrer på vegne av UiT som behandlingsansvarlig for hva gjelder det konkrete forskningsprosjektet
- har det daglige ansvaret for at informasjonssikkerheten ivaretas i forskningsprosjektet
- har ansvaret for at det gjennomføres personvernkonsekvensvurderinger (DPIA) dersom det er påkrevd etter personvernforordningen (GDPR) art. 35.
- nærmere ansvar og forpliktelser følger av retningslinjer for personvern i forskings- og studentprosjekt
Studentveiledere
- opptrer på vegne av UiT som behandlingsansvarlig for hva gjelder det konkrete studentprosjektet (eksempelvis masteroppgave)
- har ansvaret for at det gjennomføres personvernkonsekvensvurderinger (DPIA) dersom det er påkrevd etter personvernforordningen (GDPR) art. 35.
- nærmere ansvar og forpliktelse følger av retningslinjer for personvern i forskings- og studentprosjekt
DPIA-gruppe
- skal ledes av Avdeling for forskning, utdanning og formidling
- vurderer utarbeidede personvernkonsekvensvurderinger (DPIA) på vegne av UiT
- leverer en innstilling til administrasjonsdirektør med anbefaling om en behandling bør igangsettes eller ikke
- medlemmer skal minst inkludere personvernombudet, én representant fra Faggruppe for informasjonssikkerhet og personvern og én representant fra ett fakultet.
Ansatte og studenter
- har plikt til å gjøre seg kjent med og følge de sikkerhetsrutiner og retningslinjer som til enhver tid gjelder for sikker håndtering av informasjonsverdier og personopplysninger
- har plikt til å forhindre og rapportere hendelser som kan innebære avvik, samt rapportere avvik når disse oppstår, gjennom avviksmeldingssystemet
Computer Security Incident Response Team (CSIRT)
- skal iverksette, eller beordre iverksatt, ethvert tiltak som vurderes som tjenlig for å avverge skade på UiTs IT-systemer og data
- skal rapportere om sikkerhetshendelser, skadepotensial, skadeomfang og iverksatte tiltak til IT-direktøren
Forum for informasjonssikkerhet og personvern
Forum for informasjonssikkerhet og personvern består av én representant pr enhet1 og faggruppe for informasjonssikkerhet og personvern, som har leder og referent for forumet. Personvernombudet har møte- og talerett.
Forumet har en rådgivende funksjon i saker som har betydning for ivaretakelse av informasjonssikkerhet og personvern ved universitetet. Dette kan være regelverk, opplæringsaktiviteter, enkeltsaker mv.
Spesielt skal regelverksendringer av prinsipiell betydning legges frem for forumet før det fremmes beslutningstaker, med mindre særskilte forhold innebærer at dette ikke er mulig. I så fall skal forumet orienteres om disse endringene i påfølgende møte.
Faggruppe for informasjonssikkerhet og personvern har hovedansvar for å fremme og forberede saker til informasjonssikkehetsforumet, men samtlige av forumets medlemmer kan fremme egne saker til behandling.
Forumet skal orienteres om hendelser og saker av større betydning for informasjonssikkerhet eller personvern ved universitetet. Normalt sett vil slik orientering skje via de ordinære møtene.
Detaljene i slike saker vil ofte være unntatt offentlighet, og forumets medlemmer plikter å etterkomme dette.
Forumets medlemmer representerer sin enhet, og skal sørge for nødvendig orientering til ledelsen på egen enhet om diskusjoner og saker som behandles i forumet.
--------------------
1 Med «enhet» menes fakultetene, UB, UMAK og de administrative avdelinger i fellesadministrasjonen under universitetsledelsen.
Kapittel 4: Klassifisering av informasjon
En forutsetning for å kunne si noe om akseptabel bruk samt behovet for sikkerhetstiltak er at det er foretatt en klassifisering av informasjonen som behandles. Klassifiseringen ligger til grunn for vurderingen av hvilken grad av sikring (IT-teknisk, organisatorisk og fysisk) informasjonen skal underlegges. Videre vil klassifisering bidra til å oppnå en oversikt over hvilke informasjonsverdier UiT forvalter.
Klassifiseringen vil videre gi personer som skal behandle informasjonen en konkret indikasjon og veiledning på hvordan denne skal håndtere og beskyttes.
Retningslinjer for klassifisering av informasjon finner du her.
Kapittel 5: Risikovurdering
Risikovurderinger skal avdekke mulige uønskede hendelser/trusler som kan føre til brudd på informasjonssikkerheten ved UiT. Vurderingene er derfor sentral i arbeidet med å sikre trygg og sikker behandling av UiTs informasjonsverdier. I tillegg til å avdekke hva som kan gå galt, skal de avdekke hva vi har gjort og hva vi ytterligere kan gjøre for å hindre at uønskede hendelser inntreffer, samt redusere konsekvensene dersom de likevel skjer.
Risikovurderingen må videre sees i sammenheng med etablerte akseptkriterier for risiko (jf. punkt 2.3), og akseptabel risiko må fastsettes før risikovurderingen foretas. Dersom risikoen for at en eller flere uønskede hendelser skjer er større enn det som er definert som akseptabelt, må denne risikoen håndteres ved at forebyggende tiltak iverksettes.
Risikovurderinger skal foretas
- når trusselbildet endres
- før oppstart av behandling av personopplysninger
- ved oppstart av forskningsprosjekter
- ved etablering eller endring av IKT-systemer
- ved organisatoriske endringer som kan påvirke informasjonssikkerheten
Alle risikovurderinger skal dokumenteres. Dersom risikovurderinger avdekker tilfeller som skal følges opp, skal det navngis hvem som har ansvar for å fastsette relevante tiltak og plan for oppfølgning av disse. Risikovurderingen skal leveres til informasjonssikkerhetsrådgiver(ne) som skal benytte disse i ledelsens gjennomgang og sørge for at dokumentene lagres i UiTs arkivsystem.
Kapittel 6: Opplæring
Opplæring skal bidra til å bygge en god sikkerhetskultur ved UiT. Den skal bevisstgjøre ansatte og studenter om betydningen av informasjonssikkerhet og gjøre dem i stand til å etterleve UiTs sikkerhetspolicy i sitt daglige virke. Opplæring i informasjonssikkerhet må derfor tas inn som en naturlig del av opplæringen av studenter og ansatte på alle nivå i organisasjonen. Systemeiere er spesielt ansvarlig for opplæring i sine respektive systemer.
Ledere har et overordnet ansvar for at nødvendig informasjon blir gitt til de ansatte, og at det blir satt av tid og ressurser til opplæring. For å sikre at dette ansvaret blir ivaretatt skal informasjonssikkerhet inngå i UiTs lederopplæring. Videre skal administrasjonsdirektøren sørge for at informasjonssikkerhet tas opp som tema i egnede lederfora minst en gang i året.
Informasjon om informasjonssikkerhet ved UiT skal være lett tilgjengelig for alle via universitetets nettsider og andre relevante kanaler.
Alle som er tildelt sentrale roller og oppgaver i sikkerhetsarbeidet skal gis spesiell opplæring. Eksterne kurs, seminarer og deltakelse i relevante nettverk er viktig for å sikre utveksling av informasjon og øke kompetansen hos denne gruppen ansatte.
Kapittel 7: Internkontroll og -revisjon
Formålet med kontrollaktiviteter er å kunne vurdere i hvilken grad de etablerte tiltakene er tilstrekkelige og effektive for å sikre etterlevelse av relevant regelverk og overordnede føringer. Gjennom kontrollerende aktiviteter vil det kunne avdekkes forbedringsområder knyttet til eksisterende tiltak og identifiseres eventuelle ytterligere tiltak som bør iverksettes.
UiTs kontrollaktiviteter innenfor informasjonssikkerhet og personvern vil bestå av både faste aktiviteter som gjennomføres jevnlig, samt aktiviteter som gjennomføres ved behov. Eksempel på faste aktiviteter er den årlige statusrapporten samtlige enheter leverer med kartlegging av informasjonsverdier samt egenvurdering av tilstanden på enheten.
De nærmere kontrollaktivitetene reguleres av retningslinje for UiTs kontrollaktivitet innenfor informasjonssikkerhet og personvern, som fastsettes av IT-direktør. Denne skal både inneholde en oversikt over de faste kontrollaktivitetene, samt regulering av type aktivitet som gjennomføres ved behov, herunder hvem som kan beslutte iverksettelse. Videre vil også krav til dokumentasjon tilknyttet de ulike aktivitetene reguleres av retningslinjen og eventuelle tilhørende rutiner.
Internrevisjon
Internrevisjon av ledelsessystemet for informasjonssikkerhet og personvern skal gjennomføres ved behov, og som hovedregel ikke sjeldnere enn hvert femte år.
Kapittel 8: Håndtering av hendelser og avvik
Avvik er brudd på lover, forskrifter eller interne bestemmelser på UiT. Innmeldte avvik og håndteringen av disse er en sentral kilde for å både vurdere sikkerhetsnivået ved de enhetene der avvik inntreffer samt for UiT sett under ett, og gjennom dette avdekke behov for nye eller justere eksisterende sikringstiltak. Avvikshåndtering handler således om kvalitet og forbedring, i tillegg til skadebegrensning.
I denne sammenheng kan avvik og hendelser være av sikkerhetsmessig art, og/eller brudd på personvernlovgivningen.
Eksempler på hendelser og avvik:
- tyveri av datautstyr
- misbruk av IT-tjenester
- misbruk av passord
- fakturasvindel
- dataangrep
- datalekkasje
- løsepengevirus
- svakheter i IT-systemer
- brudd på eller manglende rutiner ved UiT
- fortrolig informasjon på avveie
- uautorisert tilgang til opplysninger
- bruk av databehandler uten tilstrekkelig avtale
- innsamling av personopplysninger utover det man hadde legitim bruk for (brudd på dataminimeringsprinsippet)
- behandling av personopplysninger uten lovlig grunnlag, herunder viderebehandling til nye formål uten at man har lovlig adgang til dette
Melding og håndtering av hendelser og avvik
Den som oppdager, eller blir gjort oppmerksom på, hendelser og avvik (heretter «avvik») skal rapportere dette til Faggruppe for informasjonssikkerhet og personvern (“faggruppen”) så snart som mulig. Praktisk fremgangsmåte for melding av avvik fastsettes av faggruppen, og beskrives på uit.no/sikkerhet.
Faggruppen undersøker årsakene til avviket og behov for korrigerende tiltak. Ansvaret for planlegging og gjennomføring av korrigerende tiltak vil normalt sett ligge til den enheten hvor avviket oppsto, men det ligger til faggruppen å beslutte hvordan avviket skal håndteres. Faggruppen har myndighet til å involvere de personellressurser som er nødvendig for å få fulgt opp og lukket et avvik.
Faggruppen skal føre en samlet oversikt over alle avvik som er meldt inn. Disse skal blant annet inngå i ledelsens gjennomgang, og benyttes for læring på tvers i organisasjonen for å hindre gjentakelse.
Ved større avvik og/eller avvik hvor det er aktuelt å melde hendelsen til Datatilsynet vil faggruppen rutinemessig orientere ledelsen ved aktuell enhet om saken.
Melding til Datatilsynet
Ved avvik som innebærer brudd på personopplysningssikkerheten skal UiT som behandlingsansvarlig melde fra til Datatilsynet uten ugrunnet opphold og, når det er mulig, senest 72 klokketimer etter å ha fått kjennskap til avviket, med mindre det er lite trolig at bruddet vil medføre en risiko for fysiske personers rettigheter og friheter. Det er derfor svært viktig at avvik meldes via avvikssystemet til UIT så raskt som mulig. Hvis man ikke har all informasjon så sendes det en foreløpig melding via avvikssystemet, som deretter kompletteres mens avvikshåndteringen pågår.
Melding til Datatilsynet skal gå via Faggruppe for informasjonssikkerhet og personvern (“faggruppen”); enhetene skal ikke sende inn slik melding selv.
Dersom faggruppen vurderer det dithen at meldeplikten er inntruffet har de myndighet til å sende meldingen til Datatilsynet på vegne av UiT. IT-direktør fastsetter om hele eller deler av faggruppen skal ha slik myndighet. Orientering om slike saker skal alltid oversendes universitetsledelsen ved administrasjonsdirektør. Dersom sakens karakter tilsier det skal administrasjonsdirektør aktivt involveres i håndteringen av saken, herunder utarbeidelse av meldingen, fra et så tidlig tidspunkt som mulig.
Personvernombudet skal alltid orienteres om meldinger til Datatilsynet. Så langt som det er mulig, skal personvernombudet bli orientert om saken og få tilgang til avviksmeldingen før den sendes. Hvis sakens art tilsier det skal personvernombudet involveres direkte i håndteringen av avviket fra et så tidlig tidspunkt som mulig. Personvernombudet har imidlertid alltid anledning til å aktivt involvert seg i håndteringen av alle avvik som innebærer brudd, eller potensielle brudd, på personopplysningssikkerheten. Faggruppen skal konferere med personvernombudet før beslutning fattes dersom vurderingen tilsier at meldeplikten ikke inntrer.
Kapittel 9: Ledelsens gjennomgang
Ivaretagelse av informasjonssikkerhet og personvern er et lederansvar. Det er universitetsledelsen som har det øverste ansvaret for å sikre at UiT ivaretar pålagte krav til informasjonssikkerhet og personvern, og som skal sikre at ansatte og studenter har tilstrekkelig kompetanse.
Som bistand til ledelsen skal det årlig utarbeides en rapport som gjennomgår arbeidet med informasjonssikkerhet og personvern. Denne inngår i årsrapport om informasjonssikkerhet og personvern ved UiT, og fremmes Universitetsstyret i løpet av første kvartal påfølgende år. Rapporten utarbeides av Faggruppe for informasjonssikkerhet og personvern. Personvernombudet utarbeider egen årsrapport som fremmes Universitetsstyret i separat sak. Så langt som mulig legges ombudets årsrapport frem for styret i samme møte som årsrapport for informasjonssikkerhet og personvern.
Ledelsens gjennomgang skal omhandle
- avvik og hendelser, herunder eventuelle trender som det bør rettes særskilt oppmerksomhet mot
- risikobildet for UiT
- resultater/oppfølging av kontrollaktiviteter
- resultater/oppfølging av internrevisjon, dersom aktuelt
- tilstand for risikohåndtering ved UiT
- status på vedtatte tiltak fra forrige gjennomgang
- behov for justeringer av ledelsessystemet
- ressurs- og kompetansebehov, herunder om det foreligger særlige behov for kommende år
I tillegg til denne faste, årlige rapporteringen skal det gjennomføres møter med ledelsen ved behov; eksempelvis dersom risikobildet endrer seg, kontrollaktiviteter eller hendelser avdekker problemstillinger og situasjoner som ledelsen aktivt må involveres i, og lignende.
Oppfølging av årsrapporten i de enkelte enhetene ved UiT
I tillegg til toppledelsen ved UiT har ledelsen ved de enkelte enhetene et betydelig ansvar i ivaretagelsen av informasjonssikkerhet og personvern.
Enheter med eget styre
Etter at rapporten har vært behandlet i Universitetsstyret skal den legges frem i styrene for de enkelte enhetene på UiT. Saken for enhetsstyrene skal i tillegg til årsrapporten også ta opp særskilte problemstillinger og forbedringsområder for egen enhet. Det er ledelsen på den aktuelle enheten som har ansvaret for utarbeidelsen og fremleggingen av saken for eget styre. Faggruppe for informasjonssikkerhet og personvern skal ha tilgang til styresaken.
Administrative avdelinger under universitetsledelsen
Etter at rapporten har vært behandlet i Universitetsstyret skal den oversendes alle avdelinger i fellesadministrasjonen («nivå 1»). Disse skal behandle den i sine interne ledermøter, hvor det også skal tas opp særskilte problemstillinger og forbedringsområdet for egen enhet. Avdelingsdirektør har ansvaret for utarbeidelsen og fremleggingen av saken for ledermøtet, og gjennomgangen skal dokumenteres. Faggruppe for informasjonssikkerhet og personvern skal ha tilgang til denne dokumentasjonen.
Såfremt mulig legges også personvernombudets årsrapport frem for enhetsstyrene og de administrative avdelingene, og behandles da i samme sak som årsrapport for informasjonssikkerhet og personvern.
En rekke retningslinjer og rutiner er inntatt som vedlegg til ledelsessystemet, og er således del av det:
- Reglement for brukere av IKT-ressurser
- Retningslinje for gjennomføring av innsyn i epost og filer
- Retningslinje for utlevering av digitalt materiale til politiet
- Retningslinje om forbud mot bruk av enkelte digitale tjenester
- Retningslinjer for behandling av studentopplysninger
- Retningslinje for behandling av personalopplysninger
- Retningslinjer for behandling av personopplysningar i forskings- og studentprosjekt (klikk på undermenyen "øvrig regelverk" på siden som åpner seg, så vil du komme til retningslinjen)
- Systemlandskap ved UIT
- Klassifikasjon av informasjonsaktiva ved UIT
- Rutiner for helseforskning
- Skal dere gjennomføre en risikovurdering? Meld inn via dette skjemaet, og så vil dere få opprettet et eget Teamsområde (kanal) for gjennomføring av risikovurderingen. Her vil dere få tilgang til maler, ressurser mv. Selve gjennomføringen av risikovurderingen må dere selv stå for, men hvis dere ikke har gjort det før vil vi så langt som mulig være behjelpelig med å gi en innføring. Det ligger også beskrivelser i det nevnte malverket.
Omfatter risikovurderingen tjenester, prosesser mv hvor det kreves teknisk kompetanse for å kunne tia stilling til spørsmål, risiko mv? Ta kontakt med Virksomhetsnære tjenester på Avdeling for IT (via e-post til orakelet@hjelp.uit.no) for å komme i kontakt med rett faggruppe som kan bistå.
- Har dere ferdigstilt en risikovurdering? Meld ferdigstillelsen inn via dette skjemaet.
Om risikovurderinger
- når trusselbildet endres
- før oppstart av behandling av personopplysninger
- ved oppstart av forskningsprosjekter
- ved etablering eller endring av IKT-systemer
- ved organisatoriske endringer som kan påvirke informasjonssikkerheten
Gjennom risikovurderingene ser vi på mulige, uønskede hendelser (trusler) og sannsynligheten for at disse kan inntreffe, samt konsekvensen hvis så skjer. Summen av sannsynlighet og konsekvens gir risikonivået for den aktuelle trusselen. Hvis dette nivået er tilstrekkelig høyt, må man iverksette tiltak for å senke risikonivået (enten senke sannsynligheten, konsekvensen eller begge), før behandlingen, systemet, tjenesten mv settes i gang/tas i bruk. Det vil alltid være en viss risiko forbundet med behandling av informasjon, bruker av tjenester mv. Målet er at denne skal reduseres så mye som mulig. Den "restrisiko" man står igjen med må enten aksepteres, eller så må man konkludere med at risikoen forblir for høy og den planlagte behandlingen kan ikke iverksettes, tjenesten kan ikke tas i bruk etc. Det er viktig at denne beslutningen tas på rett nivå (se nedenfor).
Vurdering av sannsynlighet og konsekvens foretas på en skala fra 1 - 4 (hvor 1 er lavest), og kriteriene for disse vurderingene fremgår av de ulike skalaene for risiko (krever pålogging).
UiT har laget et malverk for gjennomføring av risikovurdering, og dette bygger på de maler og veiledninger som er utarbeidet av Sikt (tidl. Unit - direktoratet for IKT og fellestjenester i høyere utdanning og forskning), som bygger på anerkjente standarder.
I følge ledelsessystemet er det enhetsledere og systemeiere som har ansvaret for at risikovurderinger gjennomføres. Dette innebærer ikke at de personlig må gjennomføre vurderingene, men de har ansvaret for at risikovurderingene gjennomføres. Det er også disse som må akseptere risikovurderingene, hvilke tiltak som er nødvendige/skal gjennomføres samt akseptere ev. restrisiko.
Hvis det er tale om behandlinger som innebærer høy risiko, tjenester som behandler store mengder informasjon om mange personer (i sær hvis det er tale om konfidensiell informasjon) bør risikovurderingen løftes opp i linja. Først til IT-direktør, og i noen tilfeller til administrasjonsdirektør (som har et overordnet ansvar for informasjonssikkerhet og utøver myndigheten som behandlingsansvarlig etter personopplysningsloven).
Risikovurderinger kan ikke bare gjennomføres en gang, og så er det gjort. Man må jevnlig ta disse opp igjen og se om tiltakene fungerte etter planen, om trusselbildet har endret seg mv. Har noen av premissene for vurderingene endret seg (ny teknologi etc)?
Det er svært viktig at avvik meldes så raskt som mulig.
Hvordan avvik meldes kommer an på om du har brukerkonto på UiT eller ikke.
For deg som har brukerkonto på UiT
Meld inn avviket ved å fylle inn følgende skjema (krever innlogging).
Selv om du ikke har tilgjengelig informasjon for alle feltene i skjemaet er det viktig at du sender inn meldingen, og så vil vi etterspørre/undersøke det som eventuelt mangler.
Merk: Det er ikke alltid at alle feltene i skjemaet vil passe, eksempelvis dersom du skal melde inn et avvik som er brudd på andre deler av GDPR/personvern enn informasjonssikkerhet (eksempelvis at en databehandler benyttes uten at avtale er på plass, en behandling mangler lovlig grunnlag, informasjon er ikke gitt til de registrerte osv.). Da fyller du bare inn beskrivelsen av avviket, og hopper over de feltene som ikke passer (slik som om informasjon har blitt kjent for uvedkommende, endret uten tillatelse osv).
For deg som ikke har brukerkonto ved UiT
Dersom du ikke har brukerkonto ved UiT og ønsker melde et avvik så gjør du dette ved å sende meldingen til sikkerhet@uit.no.
I meldingen skal følgende beskrives, i den grad som er mulig:
– hva har skjedd, hvor skjedde det og hvordan oppsto det?
– dato eller tidsrom for avviket
– når ble det oppdaget
– har informasjon blitt kjent (ev. potensielt blitt kjent) for uvedkommende?
– hvis ja, kan du si noe mer rundt dette? F.eks antall personer; beskriv situasjonen (lagt ut på internett, feilsendt til en person etc)
– har informasjon gått tapt eller vært utilgjengelig en periode (og det fikk store eller små konsekvenser)?
– har informasjon blitt endret, enten av uvedkommende eller ved et uhell?
– hvor mange personer er berørt av avviket (anslagsvis hvis det ikke kan besvares helt konkret)
– hvem vi kan kontakte for å få mer informasjon hvis nødvendig
Dersom du ikke har full oversikt med en gang, så send oss en helt kort orientering og følg opp med mer informasjon etterpå. Det er viktig at vi får hurtig beskjed. Vi vil etterspørre mer informasjon hvis vi behøver det.
UiT benytter en rekke tjenester, og det er viktig at de brukes til det formålet de er tiltenkt. Ikke bare for å sikre at data holdes tilstrekkelig "hemmelig", men også vi må ivareta tilgjengeligheten (hva skjer hvis dine data blir borte, og de var lagret i en tjeneste uten tilstrekkelig backup? Eller eksamen avholdes digitalt og tjenesten "går ned" midtveis?) og integriteten (hva hvis noen kan endre på dine forskningsdata uten at du vet det? Eller eksamenskarakteren sin?) på en god nok måte.
Videre er vi underlagt en rekke lover som stiller krav til kvaliteten og vilkårene til de tjenestene vi tar i bruk, ikke minst GDPR. Her vil vi legge ut informasjon om hva sentrale tjenester er godkjent for (i første omgang knyttet til konfidensialitetskrav) samt info om i hvilken grad du kan bruke andre tjenester enn de UiT sentralt har anskaffet.
Hvilke tjenester kan du bruke til hvilket innhold?
UiT har en rekke systemer og tjenester som kan og skal benyttes. Imidlertid er det ikke alle som er godkjent for alle typer data. Etter styringssystemet klassifiseres all informasjon ved UiT enten som åpen/grønn, intern/gul, fortrolig/rød eller strengt fortrolig/svart. Gjennom risikovurderingene besluttes det hvilke typer data de ulike tjenestene og systemene er godkjente for, og hva som skal til for at denne godkjenningen er gyldig.
I tabellen nedenfor vil vi bygge opp en oversikt over hvilke data som kan behandles hvor.
Dere vil se at enkelte har en fotnote ved seg, og dette peker til listen nedenfor tabellen med sentrale forutsetninger for at godkjenningen gjelder. Det vil alltid være en forutsetning at dere bruker tjenesten eller systemet som angitt i veiledninger, opplæring mv. Det er viktig at veiledninger, rutiner mv følges, da UiT gjennom (eksempelvis) rutiner iverksetter tiltak som er påkrevd for at en gitt type informasjon skal kunne behandles i systemet eller tjenesten.
Dersom man bruker systemet eller tjenesten på en annen måte enn beskrevet / angitt, så gjelder ikke informasjonen i tabellen og man må ta direkte kontakt med systemeier for å få en avklaring om bruken er tillatt.
Lurer du på hva de ulike kategoriene betyr? Se retningslinjene i ledelsessystemets kapittel fire.
- Under fanen "opplæring og veiledning" er det laget en oppsummering av denne retningslinjen.
| System / tjeneste | Åpen/Grønn | Intern/Gul | Fortrolig/Rød | Strengt fortrolig/Svart | Databehandler (hvis aktuelt) |
|---|---|---|---|---|---|
| Canvas | OK | OK | ikke godkjent | ikke godkjent | Instructure |
| Ephorte | OK | OK | OK | OK | Egen drift |
| E-post (office 365) | OK | OK | ikke godkjent | ikke godkjent | Microsoft |
| EUTRO | OK | OK | OK | OK | Egen drift |
| Fellesområder | OK | OK | ikke godkjent | ikke godkjent | Egen drift |
| Felles Studentsystem (FS) | OK | OK | ikke godkjent | ikke godkjent | Unit |
| Forms (office 365) | OK | OK | ikke godkjent | ikke godkjent | Microsoft |
| Hjemmeområdet (H:\) | OK | OK | ikke godkjent | ikke godkjent | Egen drift |
| Mediasite | OK | OK | ikke godkjent | ikke godkjent | Unit |
| Nettskjema / Sikkert nettskjema | OK | OK | OK 1 | ikke godkjent | UiO |
| OneDrive for Business (office 365) | OK | OK | OK 2 | ikke godkjent | Microsoft |
| Panopto | OK | ikke godkjent | ikke godkjent | ikke godkjent | Panopto |
| Request Tracker (RT) | OK | OK | ikke godkjent | ikke godkjent | Egen drift |
| Sharepoint (office 365) | OK | OK | OK 2 | ikke godkjent | Microsoft |
| Stream (office 365) | OK | OK | ikke godkjent | ikke godkjent | Microsoft |
| Sway5 (office 365) | OK | ikke godkjent | ikke godkjent | ikke godkjent | Microsoft |
| Teams (office 365) - filer | OK | OK | OK 2 | ikke godkjent | Microsoft |
| Teams (office 365) - møter | OK | OK | OK 3 | ikke godkjent | Microsoft |
| TOPdesk | OK | OK | OK 6 | ikke godkjent | TOPdesk |
| Tjeneste for sensitive data (TSD) | OK | OK | OK | OK | UiO |
| WiseFlow | OK | OK | OK 4 | ikke godkjent | UNIwise |
| Yammer (office365) | OK | ikke godkjent | ikke godkjent | ikke godkjent | Microsoft |
| Zoom | OK | OK | ikke godkjent | ikke godkjent | Uninett |
1 = For fortrolig informasjon skal "sikkert nettskjema" benyttes, ta kontakt med Seksjon for digitale forskningstjenester (SDF). "Nettskjema" er kun for åpen og intern informasjon.
2 = Dette er betinget av at følgende sikkerhetstiltak følges: klassifisering av informasjon ved hjelp av innebygd informasjonsbeskyttelse ("AIP"), totrinns-autentisering aktivert. Informasjon som er underlagt begrensninger for utføring fra Norge (f.eks. etter Sikkerhetsloven) kan heller ikke behandles her.
Merk: Direktemeldingsfunksjonen (chat) i Teams er ikke kryptert, og kan ikke benyttes til røde data.
3 = Ved Teamsmøter med fortrolig innhold anbefales det å aktivere «lobbyfunksjonen» slik at møteleder aktivt må slippe inn de personer som forsøker å koble seg opp til møtet. Deltakerne må bruke kamera. Spør etter ID hvis det er noen møtedeltakere du ikke kjenner. Gjør ikke opptak av møtet. Bruk ikke direktemeldingsfunksjonen (chat) til røde data.
4 = Sensitive personopplysninger (f.eks legeerklæringer) skal ikke behandles i WiseFlow. Men fortrolig informasjon som f.eks. eksamensoppgaver før eksamen er avholdt, kan behandles i denne tjenesten.
5 = Sway er godkjent kun for åpne data. Vi gjør oppmerksom på at Sway lagrer all brukerdata i USA.
6 = Dersom TopDesk skal benyttes til fortrolige data må dette godkjennes på forhånd (før operatørkøen opprettes).
Andre samhandlingsløsninger enn UiT sine. Tillatt?
Andre samhandlingsløsninger
- Det er ikke tillatt å benytte andre samhandlingsløsninger enn de UiT tilbyr via Avdeling for IT.
- Vi er underlagt en rekke lovkrav, og dette innebærer blant annet at det må foreligge databehandleravtale (som er gjennomgått for kvalitetssikring, se sjekkliste på https://uit.no/personvern) og risikovurdering, jf ledelsessystemet for informasjonssikkerhet kap. 1 jf kap. 5 (https://uit.no/sikkerhet).
- Det vil ofte være større forskjeller mellom de avtalene UiT inngår f.eks gjennom sektorsamarbeid og de som f.eks et institutt inngår, som gjerne blir direkte med leverandør. Dette kan gi seg utslag i eksempelvis vilkår for behandling av data, hvor lagring skjer (USA fremfor EU/EØS) mv.
- Oppfyller ikke de eksisterende samhandlingsløsningene enhetens behov? Ta kontakt med Seksjon for virksomhetsnære tjenester (VITE) ved Avdeling for IT.
- Merk: dette gjelder ikke eksterne møter man har fått innkalling til. Skal du i et møte med f.eks UiO og får tilsendt lenke til det digitale (virtuelle) møterommet i en løsning UiO benytter så kan du selvsagt delta.
Private lisenser
- Private lisenser er ikke tillatt brukt i jobbsammenheng; også med tanke på hva lisensen i seg selv tillater, men primært fordi man da behandler UiT-data (inkludert om studenter og kollegaer) i privat regi. UiT mister per definisjon kontroll på dataene, og kan ikke oppfylle lovkrav etter bl.a GDPR.
Lisenser via andre UH-institusjoner
- Har du et arbeidsforhold til en annen institusjon som har en tjeneste du ønsker benytte i undervisningssammenheng, dvs gjennomføre undervisningsaktiviteter i UiT-regi med UiTs studenter?
- Dette vil kreve avtaler mellom UiT og den aktuelle institusjonen, f.eks en databehandleravtale hvis det involverer personopplysninger. Dette fordi den andre institusjonen da rent faktisk behandler data på UiTs vegne. Det må også gjennomføres risikovurdering for å sikre at dataen kan håndteres forsvarlig i den aktuelle tjenesten.
- Bruk derfor de tjenestene du har tilgang til via UiT direkte
Særlig om bruk av video
Dersom du ønsker informasjon og veiledning i hvordan bruke video i undervisning, se https://uit.no/digitalundervisning.
På denne siden vil vi samle ressurser og retningslinjer knyttet til når du kan bruke video, hva du må passe på, hvilke vurderinger du må ta etc. Og ikke bare i undervisningssammenheng, men også i øvrig aktivitet ved UiT.
Hvis det er personer involvert i videoen så vil den som hovedregel behandle personopplysninger. Da må GDPR følges, og her stilles det en del krav.
1) Det må foreligge et gyldig behandlingsgrunnlag, dvs et lovlig grunnlag (i GDPR) for å behandle personopplysninger.
2) De som er med på videoen (enten direkte eller indirekte) må informeres om dette. Og det gjelder uavhengig av om det er tale om kun strømming eller også opptak.
3) Informasjonssikkerheten må ivaretas, og du må tenke på hvor lenge videoene skal være tilgjengelig. Når formålet med opptaket er oppfylt (f.eks etter endt semester/kontinuasjonseksamen) så skal det slettes (ikke bare deaktiveres).
Du kan lese mer om dette og mer i undermenyene nedenfor. Disse sidene er under utarbeidelse.
All behandling av personopplysninger må ha et behandlingsgrunnlag etter GDPR. Dette er ufravikelig. Det er den behandlingsansvarlige (den som tar sentrale avgjørelser knyttet til behandlingen, slik som formål og hvilke midler som skal benyttes) som må ha dette grunnlaget på plass. For denne veiledningen tar vi utgangspunkt i at UiT er behandlingsansvarlig. Dersom UiT opptrer som "databehandler" så er det oppdragsgiver som må ha behandlingsgrunnlaget, mens UiT må passe på at vi har en dekkende databehandleravtale før vi tar i mot opplysningene.
Generelt
I menyene finner du nærmere informasjon om hva et behandlingsgrunnlag er, og hvilke som kan være aktuelle. Du finner også veiledning rundt hva du ellers må passe på når du bruker video (slik som å gi informasjon, hvilke tekniske løsninger som skal benyttes osv.)
Behandlingsgrunnlag
I perioden hvor undervisning på UiTs campus/fysiske lokaler er avlyst vil digital undervisning tas i bruk der det er mulig, se nærmere info på https://uit.no/korona#innhold_672724.
Dette krever alltid et behandlingsgrunnlag, dvs et lovlig grunnlag (etter GDPR) for å behandle personopplysninger. Se nærmere informasjon nedenfor.
Viktig: Det er sentralt at enheten/underviser alltid tar en vurdering av om det er nødvendig med f.eks video, og hvis det er nødvendig: holder det å strømme videoen eller må det tas opp? Kan man kombinere ulike undervisningsmetoder, slik at det f.eks legges ut en video fra foreleser og så har man en chat-diskusjon etterpå? Dette er bare eksempler, og dette er i stor grad en faglig (pedagogisk) beslutning – men det er sentralt at man tenker over dette. En slik nødvendighetsbetraktning må alltid tas for at behandling av personopplysningers skal være lovlig. Man kan altså ikke peke på et gitt behandlingsgrunnlag og så ta det som en «blankofullmakt». Det skal være en balansegang mellom hva man oppnår og hvor inngripende dette er overfor studenten og den ansatte, og om man kan ta i bruk virkemidler som reduserer denne påvirkningen på ansatte og studenter.
Generelt/innledende om behandlingsgrunnlag
Ofte tenker mange på GDPR som en "samtykkelov", dvs at skal du behandle personopplysninger så må du ha samtykke fra de opplysningene gjelder. Dette er ikke korrekt. Det finnes en rekke behandlingsgrunnlag, og samtykke er bare ett av disse. For undervisning og administrative formål vil samtykke ofte ikke være anvendbart, og andre grunnlag må brukes.
Behandlingsgrunnlag finner man i to ulike artikler i GDPR:
- For alminnelige personopplysninger (de fleste opplysningstyper): Artikkel 6
- For særlige kategorier personopplysninger (helse, religion, politikk mv): Artikkel 9 (i tillegg til art. 6)
I tillegg er det flere av behandlingsgrunnlagene i GDPR som krever en såkalt tilleggshjemmel («i unionsretten eller nasjonal lovgivning»)
- 6 nr 1, bokstav c): behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige
- Benyttes dette behandlingsgrunnlaget må man også kunne vise til en konkret rettslig forpliktelse som påhviler UiT (via lov eller forskrift).
- 6 nr 1, bokstav e) behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt
- Benyttes dette behandlingsgrunnlaget må man også kunne vise til at UiT er pålagt «en oppgave i allmennhetens interesse» eller «utøvelse av offentlig myndighet». Også her må man vise til konkrete bestemmelser.
Det samme gjelder flere av grunnlagene etter artikkel 9.
UiT har kategorisert en rekke ulike aktiviteter hvor video benyttes (i undervisning, eksamen, formidling og administrativt). Disse aktivitetene har såpass mange likhetstrekk at vi har tatt en vurdering av hva som vil være aktuelt behandlingsgrunnlag, både for ansatte og studenters personopplysninger.
Særlig om samtykke
Det «mest kjente» behandlingsgrunnlaget er nok samtykke. Dette grunnlaget finner man i både artikkel 6 (nr 1, bokstav a) og artikkel 9 (nr 2, bokstav a). Det er imidlertid en utbredt misforståelse om at samtykke er det eneste behandlingsgrunnlaget («skal man behandle personopplysninger så må man ha samtykke») eller at det samtykke er det foretrukne behandlingsgrunnlaget og rekkefølgen i artikkel 6 og 9 gir et uttrykk for en «rangordning». Dette stemmer ikke. Samtykke er ett av flere mulige behandlingsgrunnlag, og disse er likestilte. Det er heller ikke nødvendigvis noen motsetning mellom å benytte noen av de andre behandlingsgrunnlagene og at det er frivillig «å delta».
Det vil være tilfeller hvor samtykke er korrekt å bruke, og kanskje det eneste aktuelle behandlingsgrunnlaget (f.eks er det ofte tilfelle i forskningsprosjekter).
Hvis man skal bruke samtykke så må man være helt sikker på at dette samtykket er gyldig etter GDPR. Det er en rekke vilkår som alle må være oppfylt for at et samtykke skal være gyldig. Hvis så lite som bare ett av disse vilkårene ikke er oppfylt vil ikke samtykket være gyldig. Konsekvensen er at det er en ulovlig behandling, og innsamlede eller genererte opplysninger på bakgrunn av det aktuelle samtykket må slettes. Det kan også avstedkomme reaksjoner fra tilsynsmyndighetene. Det «hjelper» altså ikke at man har innhentet samtykke fra alle i disse situasjonene. Dersom gyldighetsvilkårene ikke er oppfylt så er behandlingen ulovlig.
For UiT er det en rekke situasjoner hvor vi er avskåret fra å benytte samtykke som behandlingsgrunnlag, og det er viktig å være oppmerksom på dette. Vi vil derfor ta en kort gjennomgang av vilkårene for samtykke, og i særlig ett som ofte er problematisk å oppfylle for UiT. Vilkårene for samtykke følger av GDPR art. 4 nr 11 jf art. 7.
Det er imidlertid viktig å understreke at det er visse grenser for hva det kan samtykkes til. Et samtykke etter GDPR er kun et behandlingsgrunnlag. Det innebærer at en person ikke kan samtykke til at f.eks andre krav i GDPR kan fravikes (eksempelvis krav til informasjonssikkerhet mv).
Et samtykke må være frivillig, spesifikt, informert og utvetydig. Det må gis ved en erklæring eller tydelig bekreftelse fra personen hvis personopplysninger det gjelder. Det må videre være mulig å påvise at samtykke er gitt for den aktuelle behandlingen av personopplysninger om personen. Hvis samtykket gis i forbindelse med en skriftlig erklæring som også gjelder andre forhold skal anmodningen om samtykke utarbeides på en måte som gjør at den tydelig kan skilles fra de andre forholdene i erklæringen, og må gis i en forståelig og lett tilgjengelig form og på et klart og enkelt språk. Dersom behandlinger kan skilles fra hverandre så må man passe på at samtykke ikke innhentes i en «alt eller ingenting»-form, her må personen ha et valg mellom de enkelte behandlingsaktivitetene. Samtykket skal kunne trekkes tilbake til enhver tid, og personen skal være informert om dette før samtykket gis. Behandlingen av personopplysningene om denne personen skal da opphøre, og som oftest vil dette innebære sletting av opplysningene. Videre skal det være like enkelt å trekke tilbake samtykket som å gi det. Dvs at hvis samtykket kan gis ved hjelp av «et klikk», så skal de kunne trekkes tilbake ved «et klikk». Til sist er det viktig å være oppmerksom på at passivt samtykke ikke er gyldig. Det kreves en aktiv handling (eksempelvis å huke av en avkryssingsboks. «Preutfylte» akseptbokser medfører at samtykket er ugyldig).
Det er altså mange krav som skal være oppfylt for at et samtykke skal være gyldig. Man må også klare å holde styr på hvem som har samtykket, og være klare til å agere hvis samtykket trekkes tilbake.
For UiTs del må vi imidlertid være særlig oppmerksomme på vilkåret om frivillighet.
Det skal være en reell frivillighet, og dette innebærer at der det foreligger en maktubalanse mellom behandlingsansvarlig og den aktuelle personen så er dette svært vanskelig å oppnå. I fortalepkt 43 i GDPR omtales dette på følgende vis (vår utheving): «For å sikre at et samtykke gis frivillig bør det ikke utgjøre et gyldig rettslig grunnlag for behandling av personopplysninger i et bestemt tilfelle dersom det er en klar skjevhet mellom den registrerte og den behandlingsansvarlige (…)».
I arbeidsforhold vil det være vanskelig å oppfylle kravet om frivillighet, grunnet det skjeve styrkeforholdet mellom arbeidsgiver og arbeidstaker. Det er ikke fullstendig utenkelig, men for de aller fleste tilfellene bør man unngå å forsøke å bygge på samtykke som behandlingsgrunnlag. Merk at dette ikke betyr at noe likevel kan være «frivillig» for en arbeidstaker å f.eks utføre eller levere fra seg. Dagligtalens forståelse av frivillighet har en langt lavere terskel enn GDPR. WP29 (rådgivende gruppe i EU) uttalte følgende om dette spørsmålet[1] (vår utheving):
«There may be situations when it is possible for the employer to demonstrate that consent actually is freely given. Given the imbalance of power between an employer and its staff members, employees can only give free consent in exceptional circumstances, when it will have no adverse consequences at all whether or not they give consent. [Example 5:] A film crew is going to be filming in a certain part of an office. The employer asks all the employees who sit in that area for their const to be filmed, as they may appear in the background of the video. Those who do not want to be filmed are not penalize in any way but instead are given equivalent desks elsewhere in the building for the duration of the filming”.
Det behøver ikke være eksplisitte «trusler» om reaksjoner hvis man ikke samtykker, eller mer åpenlyst press, for at frivillighetskravet ikke skal være oppfylt. Mer underforstått eller uformelt press eller forventninger («dette er ønskelig for UiT å oppnå», «alle må dra sammen» etc) vil også medføre at frivillighetskravet ikke er oppfylt. I sum bør derfor UiT som arbeidsgiver unngå å benytte samtykke som behandlingsgrunnlag, og velger man likevel benytte det må det begrunnes og drøftes godt – særlig med henblikk på frivillighetskravet.
For behandling av studenters personopplysninger gjør mange av de samme betraktninger som ovenfor seg gjeldende. Det er en klar skjevhet i maktbalansen mellom UiT og studentene. Dette i alt fra UiT som overordnet institusjon til foreleserne. UiT må derfor være svært tilbakeholden med å bygge på samtykke som behandlingsgrunnlag overfor studentene, særlig i undervisningssituasjonen. Det betyr ikke at det ikke finnes tilfeller hvor samtykke er både aktuelt og korrekt å benytte, men da må man sørge for å ha gjennomført grundige og dokumenterte vurderinger. Som hovedregel bør andre behandlingsgrunnlag benyttes.
For den situasjonen UiT er i nå med tanke på koronatiltakene og at all undervisning kun skal gis digitalt i en ukjent periode så fremstår det som lite tvilsom at samtykke som hovedregel ikke kan benyttes om behandlingsgrunnlag. Den underviser som nekter får i praksis ikke utført jobben sin, og den student som nekter delta i f.eks videoundervisning (strømming og/eller opptak med studentdeltakelse, enten direkte i video eller via chat) mister i realiteten deler av undervisningstilbudet eller vil være "årsak" til at seminarer ikke kan gjennomføres. Dette gjør at valget i realiteten ikke er så fritt som GDPR krever. Andre behandlingsgrunnlag må derfor brukes.
Vi arbeider med å legge ut en samlet oversikt over behandlingsgrunnlagene for de mest brukte situasjonen innen undervisning, eksamen og administrasjon hvor video er et hjelpemiddel. Dette vil bli lagt ut på denne siden.
[1] Se Personopplysningsloven og personvernforordningen (GDPR) med kommentarer, Jarbekk (red.), Gyldendal 2019, s. 151
Du må gi informasjon
Den klare hovedregel i GDPR er at det skal gis informasjon før man henter inn personopplysninger. Vi vil kommer tilbake til mer detaljer, men i korte trekk for opptak av video:
Før du slår på "record/opptak" så må du informere de som skal være med i opptaket at
1) det skjer et opptak
2) hva det skal brukes til
3) hvem som vil få tilgang (dette kan være på gruppenivå, f.eks emnestudentene)
4) når opptaket blir slettet (om ikke en konkret dato, så kriterier for sletting. F.eks når kontinuasjonseksamenen i emnet dette semesteret er avholdt).
Du kan kun bruke godkjente tjenester
Det finnes et utall videotjenester. Noen for strømming, noen for opptak og noen for begge deler. Mange har sin personlige preferanse, og ser klare fordeler med å bruke akkurat den tjenesten de personlig foretrekker.
Det kan vi forstå, men det hjelper dessverre ikke. Årsaken er at når UiT benytter video så behandles det personopplysninger i denne videoen. Dette kan være om ansatte, om studenter eller sågar om eksterne. I en videotjeneste behandles både opplysninger i selve videoen og i tilknytning til den (pålogging, aktivitetslogger, chat mv).
Vi er underlagt strenge krav for behandling av personopplysninger, og som minimum må vi ha en databehandleravtale med leverandøren. Det må også gjennomføres en risikovurdering. Dette er ikke noe vi gjør utelukkende av motivasjon for å overholde lovkrav, men fordi disse kravene er der av en grunn. Det gjelder å ivareta personvernet til våre ansatte, studenter, gjester mv. Brukes "private" videotjenester i undervisningssammenheng så har ikke UiT mulighet til å ivareta de forpliktelsene vi har. Hva skjer dersom en slik leverandør velger å bruke personopplysningene til noe helt annet? F.eks til reklameformål? Dersom de korrekte avtalene mangler er det realistisk at de faktisk har denne adgangen.
Videre er det slik at UiT ofte kjøper inn tjenester på andre vilkår enn hva du får som privatperson, eller sågar som forskningsgruppe eller enhet. Det finnes flere tjenester hvor UiTs innkjøp har vilkår om at data plasseres innad i EU, men hvis du går direkte til leverandør og kjøper tjenesten så er du underlagt de rene kommersielle vilkårene og data legges i f.eks USA. Har du risikovurdert dette, og foreligger det nødvendige overføringsgrunnlaget (som er påkrevd etter loven)?
Og selv om du går helt klar av personopplysningene (det er vanskelig i en digital tjeneste), dataene du legger inn eller genererer har vel en viss verdi for deg og for UiT? Vet du hva leverandøren har lov til å bruke disse til, jf vilkårene du har godtatt da du kjøpte eller registrerte deg i tjenesten?
Det er derfor viktig at du bruker de tjenestene UiT v/IT-avdelingen har kjøpt inn, og bruker dem som tiltenkt. Vi viser her til informasjon under "IT-tjenester og systemer - hva har du lov til å bruke?".
Spørsmål om eierskap og deling av video
På denne siden er det samlet spørsmål og svar ang. eierskap og deling av video. Svar er utarbeidet i tråd med Prinsipper og retningslinjer for produksjon og bruk av digitalt undervisningsmateriale. For mer informasjon se Sentrale regelverk ved UiT | UiT.
Spørsmål og svar er delt inn i tre kategorier som speiler ulike roller:
Opphaver: Skaper av video. Denne rollen har eierskap til videoen. En video kan ha flere opphavere fra dem som har produsert, er med på video eller redigert innholdet.
UiT Ansatt: Rollen er ansatt på UiT og ønsker av ulike grunner tilgang til video. Dette kan for eksempel være en foreleser som har tatt over et emne, studiekonsulent, osv.
Tredjepart: Rolle som verken er opphaver eller er ansatt på UiT. Dette kan være eksterne eller studenter.
Informasjonssikkerhet og personvern skal være en naturlig del av all internopplæring, i det omfang som er nødvendig for tematikken man læres opp i. I tillegg finner du mye informasjon på denne siden, og vi forsøker oppdatere denne jevnlig med aktuelle tema. I forbindelse med nasjonal sikkerhetsmåned lager UiT egne kurs for informasjonssikkerhet.
Det er viktig at alle enhetene har nærmere rutiner for hvordan informasjonssikkerhet håndteres på sin enhet. F.eks håndtering av utskrifter av fortrolig informasjon, prosedyrer for gjennomføring og godkjenning av risikovurderinger mv. – tilpasset deres enhet.
På denne siden vil vi legge ut endel veiledninger og infofrmasjon om hva du må være oppmerksom på.
Sikker digital arbeidshverdag
Her vil det bli samlet endel informasjon du trenger for å kunne jobbe så sikkert som nødvendig i din jobb på UiT.
Jobbe hjemmefra
Det er flere som jobber hjemmefra nå enn før. Det er svært viktig at personvernet og informasjonssikkerheten fremdeles ivaretas, og her har du et viktig ansvar.
UiT forvalter store mengder forskningsdata samt personopplysninger om ansatte, studenter, forskningsdeltakere, gjester, samarbeidspartnere og andre i tillegg til øvrig informasjon som er av stor betydning for virksomheten. Svikt her kan føre til stor skade både for UiT og for enkeltpersoner. Ivaretagelsen av informasjonssikkerhet og personvern er ditt ansvar, og oppfylles ved at du utviser aktsomhet, følger lover, retningslinjer og rutiner samt sier ifra dersom du oppdager eller opplever uønskede hendelser.
Hvis det er flere i husstanden må du huske på at taushetsplikten din også gjelder overfor dem. Dette kan lett glippe dersom papirer ligger fremme, PC-en står ulåst eller lånes bort til barna, videomøter (f.eks Teams) gjennomføres med andre til stede i rommet mv.
Vi minner derfor om noen kjøreregler som alle må være oppmerksomme på (disse gjelder forøvrig alltid når du jobber hjemmefra, ikke bare i vår):
Grunnregler
- Arbeid med røde/fortrolige og svarte/strengt fortrolige data skal kun skje på UiT-eid utstyr.
- Du skal alltid bruke multifaktorautentisering (MFA) hvor dette er mulig. Dette øker sikkerheten og minsker risikoen for at andre kan få tilgang til innholdet ditt.
- Husk at du må sørge for at utstyret du har holdes oppdatert. Sikkerhetsoppdateringer er et viktig ledd i informasjonssikkerhetsarbeidet.
- Vær særlig oppmerksom når du benyttes trådløse hjemmenettverk. Husk å sikre det, og bruk VPN.
- Papirer og notater skal oppbevares slik at andre i husstanden ikke kan lese dem.
- UiT-eid utstyr slik som datamaskiner og nettbrett skal ikke lånes bort til andre i husstanden, inkludert barn.
- Dette er ikke bare fordi de kan få innsyn i fortrolig informasjon, men de kan også ved et uhell slette eller dele informasjon.
- Videre ønsker vi å minimere risikoen for at din maskin får skadevare på seg (som kan stjele eller ødelegge informasjon, f.eks via kryptovirus), og ett av tiltakene for dette er at kun du bruker jobbmaskinen og da kun i jobbsammenheng.
- Private skytjenester (slik som f.eks Dropbox) skal ikke benyttes
- Skjermen skal låses når du forlater den, selv om det er for en kort periode, hvis det er andre hjemme.
- Lær deg hurtigtast «Win+L» for kjapt og lett kunne låse skjermen:
- På UiTs PCer kan du aktivere PIN-kode slik at du slipper taste inn passordet hver gang du skal låse opp skjermen. Har du en nyere PC kan det også tenkes at ansiktsgjenkjenning kan benyttes.
Videomøter
Kommunikasjonsløsninger som Teams, Zoom mv blir benyttet i utstrakt grad til møter, undervisning mv. Ofte diskuteres det fortrolige tema (spesielt i møter), og det er da viktig at du er oppmerksom på dine omgivelser. Dette gjelder også i undervisningssituasjonen, f.eks når seminarer og veiledningssamtaler avholdes. Studenter forventer å stille spørsmål og dele sine synspunkter med deg, og ikke deg pluss din nærmeste familie. Vær derfor oppmerksom på følgende:
VPN
Med mindre du skal nå tjenester som krever at du er på UiTs nett (slik som Ephorte, PAGA, hjemmeområdet mv) så behøver du ikke være tilkoblet VPN.Kommunikasjon med Office 365 (e-post, onedrive, sharepoint, teams mv) er kryptert og det er derfor ikke nødvendig med VPN.
Hvordan unngå svindel og angrepsforsøk
Erfaringer fra Norge og verden for øvrig viser at kriminelle aktører allerede forsøker å utnytte de omveltninger som koronautbruddet har medført. Det er et massivt behov for informasjon, ansatte arbeider på andre lokasjoner enn vanlig (slik som f.eks hjemme), etter andre rutiner og det er en hurtig utvikling og informasjonsutveksling om hvordan dette skal gjøres. Uærlige aktører forsøker derfor å utnytte dette for å bryte seg inn i IT-systemer, stjele personlig informasjon, begå økonomisk kriminalitet mv.
Det er derfor særlig viktig å være aktsom i denne perioden da vi vet at UiT kan bli utsatt for målrettede angrep. Dette behøver ikke være «IT-angrep» hvor noen prøver å bryte seg inn i systemer gjennom hacking, men kan vel så gjerne være såkalt «sosial manipulasjon» hvor noen utgir seg for å være en person, bedrift eller organisasjon for å skape tillit og få deg til å gi fra deg eller endre informasjon eller tilganger. De kan også forsøke å få deg til å installere ondsinnede programmer («skadevare»), som igjen gjør at de får direktetilgang til maskinen din og muligens videre inn i de systemene, lagringstjenestene etc som du har tilgang til på UiT.
Vi vil derfor gjennomgå noen av de tingene du må være særlig oppmerksom på. Disse rådene skiller seg i bunn og grunn ikke fra de som gjelder ellers også, men som nevnt så kan vi forvente at det blir ekstra aktivitet i denne tidsperioden. Mange av eksemplene går derfor direkte på COVID-19/Korona.
E-post
- Vi kan forvente at phishingangrep vil øke i omfang.
- Lurer du på hva phishing er og hvordan oppdage det? Se denne leksjonen UiT lagde i forbindelse med nasjonal sikkerhetsmåned.
- Vær ekstra årvåken hvis du mottar eposter relatert til korona fremover.
- Det vil selvsagt også komme legitime eposter knyttet til korona, men se nøye an innhold, kontekst og avsender. For info om hvordan du sjekker om eposten er legitim, se linken i punktet ovenfor.
- Dette er vaner og kunnskap som er nyttig og viktig også ellers, både i jobbsammenheng og privat.
- «Uekte» eposter vil ofte forsøke å
- spille på frykt,
- rette seg mot økonomiske interesser (slik som "oppdatert leveringsinfo", "endret betalingsinformasjon"),
- forsøke å skape hastverk hos mottaker
- "viktig!", "responder umiddelbart", "hurtig avklaring behøvd" etc.
- utgi seg for å være en offisiell- eller myndighetsorganisasjon (slik som WHO, FHI etc) eller arbeidsgiver, og oppfordrer til å iverksette umiddelbare tiltak
- UiT vil gi beskjeder om tiltak via uit.no/korona. Det kan bli sendt oppdateringseposter, men informasjonen i disse vil gjenspeiles på uit.no/korona eller i de offisielle driftsmeldingene. Finner du det ikke der og e-posten ber deg logge inn et sted, åpne et vedlegg, installere et program? Gå en ekstra runde for sjekk av innholdet før du foretar deg noe.
- Spør leder eller kollega om dette er reelt hvis du er i tvil
- WHO sender ikke ut eposter som ber deg logge inn for tilgang til informasjon, vedlegg som du ikke har bedt om eller informasjon på sider utenfor domenet www.who.int.
- få deg til å klikke på/åpne ondsinnede lenker eller vedlegg
- Forventer du ikke å motta den eposten? Sjekk om den er reell, se punktet om phishingangrep ovenfor
Fremdeles usikker? Send spørsmål om eposten til sikkerhet@uit.no.
Mer informasjon:
SMS
Det har vært tilfeller i Norge hvor ansatte har mottatt en SMS som utgir seg for å være fra ledelsen. Her blir de bedt om å installere et gitt verktøy for å forenkle kommunikasjon mens de har hjemmekontor. Dette var svindelforsøk, og «verktøyet» var skadevare.
- UiT vil ikke gi denne typen informasjon via SMS.
Eksempel:
Telefon
Det kan også være at du blir oppringt av svindlere.
- Eksempelvis vil «Microsoft» gjerne bli ekstra aktiv i disse dager, hvor svindlere ringer og utgir seg for å være fra Microsoft (av og til sier de at de ringer fra Windows) og har oppdaget at du har et problem med maskinen som de skal hjelpe til med. Microsoft vil ikke ringe deg med slikt så legg på hvis du får slike telefoner.
- Telefonnummeret de ringer fra kan være et norsk nummer, et utenlandsk ett eller et som er verken eller (bare en samling tall). Dette fordi de skjuler sitt reelle nummer og utgir seg for å være noen andre. De som eier ev. reelle nummer som benyttes har ingenting med saken å gjøre, de er ikke hacket e.l. (svindlerne har bare valgt et nummer og så utgir de seg for å være det).
- Dersom du har gjort som de ba om, enten helt eller delvis, si ifra via sikkerhet@uit.no med en gang og så hjelper vi deg.
Nettsider
Det opprettes en rekke falske nettsider rettet mot den situasjonen samfunnet er i
- Det har blant annet forekommet tilfeller hvor det er laget falske «coronavirus map» som gir seg ut for å ha «live» informasjon om spredningen. I realiteten var det skadevare.
- Disse sidene bygger gjerne på informasjon og utseende til reelle sider og kan være krevende å avsløre
- «Fake news» er en tilbakevendende problemstilling, også i denne situasjonen. Vær årvåken og utøv kildekritikk.
Eksempel:
- https://nrkbeta.no/2020/03/11/slik-spres-falske-nyheter-om-koronaviruset/
- https://www.forbes.com/sites/thomasbrewster/2020/03/12/coronavirus-scam-alert-watch-out-for-these-risky-covid-19-websites-and-emails/#880fff71099f
- https://www.digi.no/artikler/slik-bruker-hackere-koronavirus-frykten-til-a-spre-skadevare/487347
Mer informasjon/kilder
Her er noen linker til mer informasjon. Vær oppmerksom på at rådene til arbeidstaker/bruker som står i disse er generelle. I jobbsammenheng skal du forholde deg til rådene gitt av UiT.Synes du noe skurrer? Ta kontakt på sikkerhet@uit.no så tar vi en prat om det.
- https://www.nrk.no/osloogviken/fikk-sms-fra-_sjefen_-_-viste-seg-a-vaere-korona-svindel-1.14942801
- https://www.digi.no/artikler/slik-bruker-hackere-koronavirus-frykten-til-a-spre-skadevare/487347
- https://nrkbeta.no/2020/03/11/slik-spres-falske-nyheter-om-koronaviruset/
- https://www.forbes.com/sites/thomasbrewster/2020/03/12/coronavirus-scam-alert-watch-out-for-these-risky-covid-19-websites-and-emails/#880fff71099f
Private data og tjenester
Med "private data" menes ikke-arbeidsrelaterte data. Det vil si dine egne, private data som ikke har noen tilknytning til UiT. Eksempelvis familiebilder.
Fra og med 15. oktober 2022 er det ikke tillatt å
- bruke UiTs tjenester til å lagre private data, eksempelvis OneDrive eller Box.
- Lurer du på hvordan du flytter dine private filer ut av f.eks OneDrive? Se denne videoen for en gjennomgang.
- UiT har tidligere laget en veiledning for hvordan flytte ut private data fra OneDrive hvis man slutter på UiT. Den praktiske fremgangsmåten vil være den samme i denne situasjonen så denne veiledningen kan derfor også være til nytte.
- bruke UiT e-post til private formål, eksempelvis som kontaktadresse mot private foreninger, offentlige myndigheter (dvs kontakt som ikke er jobbrelatert) eller annen privat kommunikasjon
Det er selvsagt tillatt (og påkrevd) å bruke UiTs tjenester, inkludert e-post, til all korrespondanse og filer som har tilknytning til din jobb på UiT.
- Slik som kontakt med NAV på vegne av UiT som arbeidsgiver, håndtering av dine forskningsdata mv. Alt dette skal skje via UiTs systemer og tjenester (som før).
UiT kan dessverre ikke gi noen konkrete anbefalinger av leverandører av enten e-post eller lagringsløsninger. Dette fordi avtalene ikke går gjennom universitetet, og UiT kan ikke ta det ansvaret.
Det finnes mange artikler fra ulike nettsteder og nettaviser som tar en gjennomgang av de mest brukte e-postleverandørene og lagringsløsningene. Her er noen eksempler:
- E-post: 10 Best Free Email Accounts for 2022 (lifewire.com)
- Skylagring: 6 Best Cloud Storage Services (2022): Apple, Google, and More | WIRED
Det UiT kan anbefale er at uansett hvilken leverandør du velger så bør du ikke gjenbruke passord, samt at du bør aktivere tofaktor også på dine private tjenester. Dette fordi passordlekkasjer er hyppige (dvs at f.eks en nettjeneste blir angrepet og de får tak i ditt passord) eller at passordet ikke er tilstrekkelig sterkt (så de kan finne ut av det). Tofaktor vil gjøre det mye vanskeligere for uærlige aktører å faktisk få tilgang til dine private data.
- Særlig om e-post og automatisk videresending
Fra samme dato som ovenfor (15.10.22) vil muligheten for automatisk videresending av e-post fra din UiT-konto til eksterne kontoer (slik som andre virksomheter, leverandører som f.eks gmail osv) bli stengt.
Dette er av sikkerhets- og personvernmessige årsaker. Når e-post videresendes automatisk foretas det ingen sjekk av innholdet, og UiT har da ikke den nødvendige kontrollen med hvor dataene befinner seg.
Merk: det er selvsagt lov å videresende enkelt-eposter når andre har behov for dem, akkurat som man gjør i dag. Det er automatisk videresending (av all e-post) som stenges.
Dette gjelder både for ansatte og studenter.
- Særlig om private tjenester og UiTs data
UiTs data skal kun behandles på tjenester som UiT har avtale med. Det innebærer at det ikke er tillatt for deg å behandle UiTs data gjennom dine private tjenester (slik som lagring i ditt private iCloud-abonnement, din egen DropBox-konto osv.). Mange av disse tjenestene som man ofte har privat har også UiT avtale med, og da kan og skal du selvsagt bruke dem til UiTs data -- men husk at du må bruke din UiT-konto og ikke din private.
På reise
Her vil UiTs informasjon om sikkerhetstiltak på reiser bli samlet, inkludert de særlige ordningene for når man reiser til såkalte "høyrisikoland".
Klassifisering av informasjon
Klassifisering av informasjon er sentral for å kunne vite hvordan man skal behandle denne, f.eks hvilke IT-tjenester som kan brukes og om det må særskilte sikkerhetstiltak til.
På UiT er klassifisering av informasjon regulert gjennom ledelsessystemet for informasjonssikkerhet og personvern (kapittel 4). Vi anbefaler alle å lese denne, men har også laget et kortere utdrag for å gi en rask oversikt og innføring i hva klassifisering innebærer.
Lurer du på hvilke IT-systemer/tjenester du kan bruke til hvilke data? Se tabellen på denne siden.
I menyene nedenfor finner du informasjon om eierskap og vurderinger, samt informasjon om de tre aspektene som må håndteres for å ivareta informasjonens sikkerhet:
- Konfidensialitet (informasjonen skal ikke bli kjent for uvedkommende)
- Integritet (informasjonen skal ikke kunne endres ved et uhell eller av uvedkommende)
- Tilgjengelighet (informasjonen skal være tilgjengelig når det er behov for den)
Eierskap og vurderinger
All informasjon og data ved UiT skal ha en eier. Dette skal være en organisatorisk enhet (f.eks et fakultet), en rolle (f.eks prosjektleder, instituttleder, avdelingsdirektør, faggruppeleder mv.) eller arbeidsprosess (f.eks anskaffelsesprosessen, eksamen, opptak mv.).
Eier er ansvarlig for å sikre at
- informasjonen er plassert i riktig klasse
- informasjonen er vedlikeholdt, oppdatert og korrekt merket
- vurdere om forutsetningene endrer seg og man må bytte klasse
- dette kan være at beskyttelsesbehovet endrer seg (f.eks eksamener avholdt og eksamensoppgaven er ikke lenger fortrolig), eller at de formelle kravene endrer seg
- sikre at informasjonen behandles i systemer og tjenster og er godkjent for dette (se egen oversikt over godkjente systemer/tjenester)
- Dette kan eksempelvis gjøres gjennom retningslinjer, rutiner eller instrukser
Informasjonen skal alltid plasseres i tilstrekkelig sikker klasse. Hvis du er i tvil om hvilken klasse informasjonen tilhører så velger du den strengest av de to klassene du vurderer. For enkelte typer informasjon har UiT satt krav til minimumsklasser (eksempelvis er taushetsbelagt informasjon alltid minimum røde/fortrolige data).
Konfidensialitet
Ivaretagelse av konfidensialitet innebærer at uvedkommende ikke skal bli kjent med informasjonen.
Hvor strenge krav som stilles til ivaretagelsen av konfidensialiteten beror på type informasjon. Klassifiseringen er derfor avgjørende for å både kunne ta beslutninger rundt hvordan informasjonen skal behandles (f.eks hvilke IT-tjenester som er tillatt brukt) samt informere andre enn eier om hvordan de skal behandle informasjonen.
Ved UiT har vi, i likhet med de fleste institusjonene i universitets- og høyskolesektoren, fire klasser for konfidensialitet.
Når du merker informasjon med disse klassene skal det gjøres på en av to måter:
- kun fargekoden, eller
- fargekode i kombinasjon med benevnelsen (f.eks grønn/åpen, gul/intern osv).
Det aller meste av UiTs informasjon er grønn, gul eller rød.
Vær særlig oppmerksom på følgende:
- UiT kan ha bestemt at enkelte typer informasjon skal plasseres i konkrete klasser, og dette vil overstyre den enkelte informasjonseiers vurderinger. Eksempelvis skal taushetsbelagt informasjon alltid plasseres i minimum rød kategori.
- Hvis f.eks et dokument inneholder informasjon med ulik klassifisering, skal hele dokumentet vurderes som den strengeste, aktuelle klassen
- Det kan være slik at informasjon skal vurderes til en gitt klasse i en bestemt tidsperiode, for deretter å bli nedjustert.
- Eksempelvis vil eksamensoppgaver typisk være vurdert som røde data inntil eksamen er gitt, og deretter som grønne data
- Sammenstilling av informasjon kan medføre at resultatet må vurderes strengere enn de enkelte delene.
- Eksempelvis har du innhentet informasjon som hver for seg er f.eks vurdert som gule data, men når du setter dem sammen så må de vurderes som røde data.
Eier av IT-system/-tjenester må vurdere hvilke av konfidensialitetsklassen det aktuelle systemet oppfyller, og må synliggjøre dette overfor brukerne på UiT via tabellen over "godkjente systemer og tjenester".
Her finner du mer informasjon om hver av disse fire klassene, og hvordan du vurderer hvilken klasse din informasjon tilhører.
Integritet
Ivaretagelse av informasjonens integritet innebærer at den skal beskyttes mot uautoriserte endringer. Dette kan f.eks være endringer som skjer ved et uhell eller av uvedkommende.
Selv om det aldri er ønskelig at informasjon skal endres utilsiktet eller av uvedkommende, vil det være store forskjeller på hvor skadelig slike endringer kan være. Det er derfor viktig å ta stilling til skadepotensialet, hvilke risikoer UiT løper hvis slike endringer skjer, og dermed også sette rammene for hvordan informasjonen skal beskyttes.
Informasjonseier må vurdere hvilke krav som stilles til sin informasjon.
Eier av IT-system/-tjenester må vurdere hvilke av integritetsklassene det aktuelle systemet oppfyller, og må synliggjøre dette overfor brukerne på UiT.
Ved UiT har vi tre klasser for ivaretagelse av informasjonens integritet:
Tilgjengelighet
Tilgjengelighet innebærer at de som skal ha informasjonen faktisk har tilgang til den, når de behøver den.
Brudd på tilgjengelighet kan eksempelvis innebære at
- informasjonen er utilgjengelig i en periode eller
- informasjonen går tapt eller
- informasjonen kan ikke registreres inn
- F.eks at digital eksamen-systemet er nede under eksamensavviklingen og studenten ikke får arbeidet med besvarelsen sin,
- tjenester som skal ta imot forskningsdata går ned under innsamlingsperioden etc.
Informasjonen kan ha ulike krav til tilgjengelighet avhengig av kontekst og tidsperiode (f.eks vil det være høye krav til tilgjengelighet til digital eksamen-plattformen under selve eksamensavviklingen, men utenom vil kravene til tilgjengelighet være lavere).
Eier av IT-system/-tjenester må vurdere hvilke av tilgjengelighetsklassene det aktuelle systemet oppfyller, og må synliggjøre dette overfor brukerne på UiT.
Ved UiT har vi tre klasser for å vurdere krav til informasjonens tilgjengelighet:
Office 365
For forskningsdata anbefales det å benytte Sharepoint. OneDrive er personlig lagring og vil slettes automatisk hvis brukeren forlater institusjonen.
Fortrolig informasjon og data som inneholder personopplysninger kan kun lagres på windows-maskiner administrert av UiT. Privat utstyr (laptop/pc/mobile enheter), mac eller linux er foreløpig ikke godkjent. For nærmere informasjon om hvilke typer data de ulike tjenestene i Office 365 er godkjent for, se informasjon i menyen "Hvilke tjenester kan du bruke til hvilket innhold".
Sikkerhetsmåned 2022
Hva vet du om informasjonssikkerhet?
Oktober er nasjonal sikkerhetsmåned, noe som vil bli markert også ved UiT Norges arktiske universitet.
Kurs i informasjonssikkerhet
Alle ansatte tilbys et kurs i informasjonssikkerhet i løpet av oktober måned. Kurset består av 8 moduler med 2-3 minutters varighet som vil bli tilsendt på e-post tirsdager og torsdager, over en periode på fire uker.
Første utsending er i begynnelsen av oktober. Avsender vil være "noreply@uit.no".
Vær oppmerksom på
- Epostene vil inneholde ei klikkbar lenke som fører deg til e-lærlingsleksjonen. (Du må aldri klikke på ukjente lenker du ikke forventer tilsendt, så dette er et varsel om at en godkjent e-postserie med klikkbar lenke vil bli sendt til deg fra vår samarbeidspartner)
- Sjekk at avsender faktisk er noreply@uit.no, og at adressen på siden du kommer til starter med https://go.nanolearning.com/.
- Du skal ikke bli bedt om innloggingsinformasjon.
Statistikk
Vi vil hente ut og presentere statistikk på aggregert nivå for kurset, eksempelvis prosentmessig andel på en gitt enhet, lokasjon e.l. som har gjennomført kurset. Vi vil ikke benytte eller dele informasjon om individuell gjennomføring.
IT-sikkerhet
Gjennom hele oktober vil det være relevant informasjon på UiT inforskjermer. Her får du nyttige tips til hvordan DU kan bidra til bedre informasjonssikkerhet.
Det kan hende selv den beste
I 2015 lot professor Trygve Johnsen, leder for Institutt for matematikk og statistikk, seg intervjue om da alle filene hans blei "kidnappet" og kryptert. Datavirus kan ramme hvem som helst!
Dine valg om hvilke nettsider du besøker og hvilke epostlenker du åpner kan ha store konsekvenser for deg og UiT. Det er derfor svært viktig at du, arbeidskollegene dine og lederne dine har gode rutiner for digital adferd og informasjonssikkerhet.
Lokalt sikkerhetsarbeid
Informasjonssikkerhet er mer enn IT-sikkerhet, men også IT-sikkerhet er viktig. Mer om UiTs lokale IT-sikkerhetsteam CSIRT finnes her.
UiT behandler en stor mengde personopplysninger, i mange forskjellige sammenhenger, innenfor forskning, utdanning og formidling.
Skal du bruke personopplysninger i forskning? Les mer på denne siden.
Det er svært viktig å ha klart for seg hvilke roller ulike aktører har i behandlingen av personopplysninger.
Dette for å vite hvem som har ansvaret for at personopplysninger behandles lovlig, hvem som skal ta avgjørelser om behandlingen, hvem de registrerte kan henvende seg til for å utøve sine rettigheter mv.
- Hvem er behandlingsansvarlig? Har UiT dette ansvaret alene eller er det felles med andre?
- Benytter UiT databehandler? Hva kreves for at dette skal skje på lovlig vis?
- Er UiT databehandler for andre? Hva innebærer denne rollen?
- Overføres opplysninger til utlandet, hva må være på plass for at dette er lovlig?
- Har UiT eksterne aktører som utfører oppdrag for oss, hvor det kan tenkes at de får befatning med personopplysninger, men likevel ikke er databehandler?
UiT har et personvernombud, som kan kontaktes på personvernombud@uit.no.
Begreper
Personopplysninger
Enhver opplysning som kan knyttes til en identifisert eller identifiserbar fysisk person, enten direkte eller indirekte, se personvernforordningen artikkel 4 nr 1.
Dette kan f.eks være navn, telefonnummer, e-postadresse, alder, vurderinger, lokasjonsdata, eksamensbesvarelser, helseopplysninger, video, bilder, lydopptak, adferdsmønster m.m.
Det er irrelevant om opplysningene er objektivt verifiserbare, subjektive, betydningsfulle, trivielle, offentlig tilgjengelige, sanne eller usanne. Hvis de kan knyttes til en person (direkte eller indirekte) er det personopplysninger.
Særlig kategorier personopplysninger
I personvernforordningen er det enkelte kategorier personopplysninger som er skilt ut, jf artikkel 9.
Disse kalles "særlige kategorier personopplysninger" og det som omfattes er behandling av personopplysninger om
- rasemessig eller etnisk opprinnelse,
- politisk oppfatning,
- religion,
- filosofisk overbevisning eller
- fagforeningsmedlemskap,
samt behandling av
- genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person,
- helseopplysninger eller
- opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering
Vær også oppmerksom på at behandling av personopplysninger om straffedommer og lovovertredelser er særskilt regulert, jf artikkel 10.
Behandling
Enhver operasjon (enkeltstående eller sammensatt) som gjøres med personopplysningene, se personvernforordningen artikkel 4 nr 2.
Dette kan f.eks være innsamling, lagring, bruk, organisering, utlevering, strukturering, sammenstilling, registrering, sletting mv.
Rett og slett alt som gjøres eller skjer med opplysningene.
Om ulike operasjoner med de samme opplysningene (f.eks innsamling, lagring, sammenstilling mv) regnes til én og samme behandling, eller flere, kommer an på formålet. Hvis alle operasjonene er for å oppnå ett og samme formål (eksempelvis opptak til et emne) så regnes det som én behandling.
Behandlingsgrunnlag
For å kunne lovlig behandle personopplysninger er det en rekke vilkår som må oppfylles. Ett av disse er at det må foreligge et behandlingsgrunnag. Dette kan være f.eks samtykke, oppfyllelse av en avtale med personen(e) det gjelder, utøvelse av offentlig myndighet, berettiget interesse mv.
Behandlingsgrunnlag fremkommer av artikkel 6. For særlige kategorier personopplysninger må man også oppfylle vilkårene om behandlingsgrunnlag etter artikkel 9.
Vær oppmerksom på at flere av behandlingsgrunnlagene etter artikkel 6 og 9 krever supplerende rettsgrunnlag i annen lovgivning. Dette kan f.eks være etter personopplysningsloven, universitets- og høyskoleloven, arbeidsmiljøloven, helseforskningsloven mm. For disse tilfellene må man kunne angi presist hvilken tilleggshjemmel som benyttes.
De registrerte
Den/de enkeltperson(ene) opplysningene omhandler.
Personvernforordningen
"GDPR". Denne forordningen er gjennomført i norsk rett gjennom personopplysningsloven.
Hvem er ansvarlig?
Det er alltid noen som står ansvarlig for behandling av personopplysninger, en såkalt "behandlingsansvarlig". Dette ansvaret kan også innehas i fellesskap med andre, "felles behandlingsansvar". Se menyen nedenfor for nærmere informasjon,
Behandlingsansvarlig
Den behandlingsansvarlige er den som fastsetter formålet med behandlingen, samt hvilke midler som skal benyttes, jf personvernforordningen artikkel 4 nr 7. Dette kan være "en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ". Den behandlingsansvarlige er ansvarlig for at personopplyningsloven og personvernforordningen overholdes.
I vurderingen av hvem som er behandlingsansvarlig er det de faktiske forhold som er avgjørende (hvem foretar reellt sett vurderingene og fatter beslutninger). Enkelte vurderinger kan overlates til eksterne (f.eks databehandler), mens andre må foretas av den behandlingsansvarlige selv.
- Formål: Fastsettelsen av formål er svært sentralt i behandlingen av personopplysningene, og må fastsettes av den behandlingsansvarlige selv - før man i det hele tatt samler inn opplysningene. Formålet skal beskrive hvorfor det er nødvendig å behandle de aktuelle opplysningene, f.eks gjennomføre opptak til et studium, målet med et forskningsprosjekt, ansettelse av ny medarbeider mv.
Det er viktig å ha et bevisst forhold til hva formålet er, slik at de registrerte (personene opplysningene omhandler) skjønner hva opplysningene blir brukt til, samt fordi eventuell senere gjenbruk av opplysningene er underlagt restriksjoner. Det er bl.a. ikke anledning til å gjenbruke opplysninger på en måte som er uforenelig med det/de opprinnelige formålet/-ene, jf artikkel 5 nr 1, bokstav b).
Formålet/-ene skal være spesifikke, uttrykkelig angitt og berettiget (saklig).
- Midler: I "midler" ligger mer enn bare hvilke tekniske hjelpemidler som skal benyttes. Også sentrale vurderinger og beslutninger rundt håndteringen av personopplysningene er omfattet, slik som:
- Hvilke opplysninger skal behandles?
- Hvilke tredjeparter skal ha tilgang?
- Hvilke opplysninger skal slettes (og når)?
- Valg av tekniske løsninger kan overlates til databehandler, under visse forutsetninger. Imidlertid må behandlingsansvarlig bl.a forsikre seg om at informasjonssikkerheten er ivaretatt. Risikourderinger kan ikke foretas av databehandler alene (men de kan bistå).
- Vurderinger som nevnt i kulepunktene ovenfor kan ikke delegeres fra behandlingsansvarlig til databehandler.
For UiT har administrasjonsdirektøren det overordnede ansvaret som for behandling av personopplysninger. I det daglige er utøvelsen av dette ansvaret delegert for en rekke områder, og disse delegasjonene fremkommer typisk av reglement og retningslinjer fastsatt av administrasjonsdirektør. Eksempelvis er prosjektleder ansvarlig for at lovens krav er fullt ut oppfylt for det aktuelle forskningsprosjektet, herunder at informasjonssikkerheten er ivaretatt (se retningslinjer for behandling av personopplysninger i forskningsprosjekt).
Felles behandlingsansvar
Det er ikke alltid man har behandlingsansvaret alene, men derimot felles med andre. Eksempelvis i et forskningsprosjekt som er samarbeidsprosjekt mellom flere institusjoner. Hvis man er to eller flere behandlingsansvarlige som fastsetter "formålet med og midlene for behandlingen" i fellesskap, er det tale om felles behandlingsansvar, jf artikkel 26 nr 1
Dette er tillatt, under forutsetning av at enkelte krav er oppfylt, jf personvernforordningen artikkel 26:
På en åpen måte skal hver aktør (behandlingsansvarlig) fastsette sitt respektive ansvar for overholdelse av kravene etter forordningen, ved hjelp av en ordning dem imellom (dette gjelder særlig med tanke på overholdelse av de registrertes rettigheter):
- I denne ordningen kan det utpekes et kontaktpunkt for de registrerte
- De respektive rollene til de behandlingsansvarlige, og hvilket forholde de har til de registrerte, skal fremkomme av ordningen
- Det vesentligste i ordningen skal gjøres tilgjengelig for den registrerte
- Merk: uavhengig av hvilken fordeling de ulike behandlingsansvarlige har fastsatt seg imellom, kan den registrerte velge å utøve sine rettigheter overfor hver av de behandlingsansvarlige. F.eks har en av aktørene det interne ansvaret for å håndtere innsynskrav. Den registrerte kan velge å sende kravet til en av de andre behandlingsansvarlige, som da må håndtere den interne kommunikasjonen for å behandle kravet. Man kan ikke avvise den registrerte under henvisning til at de har henvendt seg til "feil" behandlingsansvarlig.
Det er ikke nødvendig med lik fordeling av ansvar og beslutningsmyndighet mellom de ulike behandlingsansvarlige. Det kan være forskjellige nivåer av "fellesskap", og ulike behandlingsansvarlige kan være involvert i forskjellige aktiviteter/operasjoner og på forskjellige staider av (den samme) behandlinger. Dette må som nevnt klargjøres i den ordningen man er ansvarlig for å fastsette etter artikkel 26. Videre er det viktig å være klar over at etablering av felles behandlingsansvar ikke gir noen av partene en "større" rett til å behandle personopplysninger enn hva de ville hatt alene. Eksempelvis må hver av partene ha lovlig behandlingsgrunnlag, en part kan ikke "bygge" på behandlingsgrunnlaget til en av de andre.
Vær oppmerksom på at det er den faktiske behandlingen som står i fokus, og er gjenstand for vurderingen av om det er et felles behandlingsansvar eller ikke.
- Eksempelvis: Hvis det er de samme personopplysninger som er gjenstand for behandling, men hver av de behandlingsansvarlige fastsetter sine egne formål alene, er det mer nærliggende at det er tale om utlevering av personopplysninger fra den opprinnelige behandlingsansvarlige fremfor felles behandlingsansvar.
Utlevering til annen aktør (f.eks UH-institusjon)
I mange tilfeller er overføring av personopplysninger til eksterne (virksomheter, organisasjoner institusjoner, fysiske personer) rett og slett en utlevering til en ny behandlingsansvarlig.
Når UiT har utlevert personopplysningene til den nye behandlingsansvarlige, er denne selv fullt ut ansvarlig for behandlingen av personopplysningene hos seg. Vi har da ingen påvirkningskraft eller ansvar for hvordan opplysningene behandles hos den eksterne. Merk: hvis UiT fremdeles har kopi av personopplysningene er vi naturligvis fremdeles behandlingsansvarlig for vår behandling av disse opplysningene.
For at vi lovlig skal kunne utlevere opplysningene må vi ha et behandlingsgrunnlag for denne utleveringen. Behandlingsgrunnlag følger av personvernforordningen artikkel 6. Hvis det er tale om særlige kategorier personopplysninger må behandlingsgrunnlag også følge av artikkel 9. Vær oppmerksom på at utlevering kan innebære et gjenbruk av eksisterende data, til et nytt formål. Da må det foretas en vurdering av om det opprinnelige og det nye formålet er forenelige. Man kan ikke bare peke på et nytt behandlingsgrunnlag (isolert sett) og så er utleveringen lovlig.
For tilfeller hvor utleveringen ikke er lovpålagt, skal vi forsikre oss om at mottaker har behandlingsgrunnlag for sin behandling av opplysningene (før disse utleveres).
Databehandler
En databehandler er noen som behandler personopplysninger på vegne av den behandlingsansvarlige, jf artikkel 4 nr 8. En databehandler kan være "en fysisk eller jurisk person, offentlig myndighet, institusjon eller ethvert annet organ", jf artikkel 4 nr 8. Særlige krav til databehandlere fremkommer av artikkel 28 og 29.
Databehandleren må være et selvstendig rettssubjekt fra den behandlingsansvarlige. F.eks vil ikke ansatte hos den behandlingsansvarlige være databehandler.
En databehandler kan være alt fra en stor, internasjonal leverandør av en skytjeneste (eksempelvis er Microsoft UiTs databehandler for vår bruk av Office 365) til en enkeltperson (som f.eks leverer transkriberingstjenester).
Det kan være tilfeller hvor det ikke er umulig at en ekstern får befatning med personopplysninger når de utfører et oppdrag for oss, men hvor de likevel ikke regnes som databehandler. Se nærmere om dette nedenfor.
Dersom UiT er databehandler
- Vi må passe på at vi har inngått databehandleravtale, og overholder de forpliktelser som fremkommer av avtalen og artikkel 28 jf 29.
- Det er den behandlingsansvarliges plikt at databehandleravtale er på plass, men vi skal ikke ta i mot eller på annen måte behandle personopplysninger som databehandler før slik avtale er undertegnet.
- Som del av sikkerhetstiltakene, sørg for at informasjon/data fra de ulike behandlingsansvarlige holdes adskilt (separert) fra hverandre og fra UiTs egne data
Krav før databehandler kan benyttes
Krav til databehandleravtalen.
Før man tar i bruk databehandler er det noen krav som må være oppfylt:
- Skriftlig databehandleravtale må foreligge, jf artikkel 28.
- Det finnes noen spesifikke krav til hva denne må inneholde, se nedenfor.
- Mal for databehandleravtale (to dokumenter; hoveddokument og bilag) finner du her (fra Digitaliseringsdirektoratet).
- Risikovurdering må være gjennomført slik at informasjonssikkerheten ivaretas (jf artikkel 32)
- Denne kan være helt enkel eller svært komplisert og omfattende, alt etter oppdragets eller tjenestens natur.
- Sørg for å gjennomføre denne på et tidlig nok stadium, for å unngå risikoen ved å ha inngått en bindende avtale om f.eks en tjeneste, som man deretter ikke kan benytte fordi risikovurderingen avdekket ukjente risikoer av en slik art at de ikke var akseptable
- alternativt ta med forbehold om godkjent risikovurdering
UiT har utarbeidet en sjekkliste som kan brukes for hjelp til gjennomgang av databehandleravtaler, samt visse andre vurderinger som må være på plass før databehandleren kan benyttes. Den finnes med og uten hjelpetekster.
Databehandleravtalen skal fastsette
- gjenstanden for og varigheten av behandlingen
- behandlingens art og formål
- typen personopplysninger som behandles
- kategorier av registrerte
- den behandlingsansvarliges rettigheter og plikter
Videre skal det særlig angis i avtalen at databehandler
- kun behandler personopplysninger på dokumenterte instrukser fra den behandlingsansvarlige, jf artikkel 28 nr 3, bokstav a)
- herunder om opplysninger kan overføres til tredjestater eller internasjonale organisasjoner
- sikrer at personer som skal behandle personopplysningene er underlagt taushetsplikt, artikkel 28 nr 3, bokstav b)
- treffer alle tiltak nødvendig for å ivareta informasjonssikkerheten (overholder artikkel 32), jf artikkel 28 nr 3, bokstav c).
- kun kan engasjere nye databehandlere (underleverandører) under følgende forutsetninger, jf artikkel 28 nr 3, bokstav d):
- godkjenning fra behandlingsansvarlig er innhentet. Dette kan skje på to ulike måter, og hvilken må avklares i avtalen
- Databehandler må innhente særlig godkjenning fra behandlingsansvarlig for hver underleverandør, eller
- Databehandler gis en generell godkjenning, men må da underrette behandlingsansvarlig i tide slik at denne kan motsette seg nye/endrede underleverandører, jf artikkel 28 nr 2
- databehandler må pålegge underleverandøren de samme bindende forpliktelser som de selv er underlagt, særlig med tanke på informasjonssikkerhet, jf. artikkel 28 nr 4
- dersom underleverandøren ikke overholder sine plikter skal den databehandler som hyret denne inn, være fullt ut ansvarlig overfor behandlingsansvarlig
- etter den behandlingsansvarliges valg, sletter eller tilbakefører alle personopplysninger når tjenesten er levert (avtalen avsluttet) og sletter alle kopier hos seg, jf artikkel 28 nr 3, bokstav g)
- gjør tilgjengelig all informasjon som er nødvendig for å påvise at databehandlers forpliktelser etter forordningen er oppfylt, jf artikkel 28 nr 3, bokstav h)
- muliggjør og bidrar til revisjoner, jf. artikkel 28 nr 3, bokstav h)
- herunder inspeksjoner, som enten gjennomføres av den behandlingsansvarlig eller på fullmakt fra denne
- idet det tas hensyn til behandlingens art og den grad det er mulig
- bistår den behandlingsansvarlige med plikten til å svare på anmodninger inngitt av de registrerte, jf artikkel 28 nr 3, bokstav e)
- bistår den behandlingsansvarlige med å sikre overholdelse av forordningens artikkel 32-36, jf artikkel 28 nr 3, bokstav f)
Databehandleravtalemalen til UiT tar inn alle disse punktene, men den må tilpasses til hver enkelt avtale. Den kan ikke signeres slik den er, da inneholder den ikke alle opplysninger/detaljer som er påkrevd.
Det skjer at leverandør insisterer på å benytte sin egen avtalemal. Dette er greit, under forutsetning av at den gjennomgås nøye og man fastslår at kravene til databehandler og databehandleravtale er oppfylt. Vær oppmersom på at dette er ikke alltid tilfelle, selv for store leverandører. I slike tilfeller må man forhandle om endringer av avtalen.
Når er eksterne ikke databehandler?
- Det inngås avtale om reparasjon av kopimaskiner. Det kan tenkes at reparatøren kan komme til å se personopplysninger i forbindelse med utførelsen av oppdraget (f.eks på et gjenglemt dokument i maskinen), men dette er ikke del av formålet med avtalen - som er å reparerer kopimaskinen. Reparatøren er ikke en databehandler selv om vedkommende skulle komme til å se personopplysninger.
- Det inngså avtale med et konsulentfirma for hjelp til utvikling av en tjeneste. De skal utføre arbeidet sitt på UiTs systemer, lokalt hos UiT. Det er ikke tale om noen overføring av informasjon til deres egne systemer. De deler av tjenesten de skal arbeide på vil normalt sett ikke innebære at personopplysninger fremgår. De vil derfor ikke regnes som databehandler
- Vi benytter en ekstern posttjeneste til å levere brev som inneholder personopplysninger. Oppdraget er å levere brev fra A-B, ikke å behandle personopplysningene, og de er ikke databehandler.
- For flere eksempler, se denne veiledningen fra det danske datatilsynet (hvor enkelte av de ovenstående eksemplene er hentet fra).
Merk: Man kan ikke bli enige om at noen er behandlingsansvarlige og noen er databehandler, fordi det fremstår som mest praktisk med tanke på det formelle. Det avgjørende er realitetene, hvem gjør faktisk hva? Hvem har innflytelse? Det kan være tale om "felles behandlingsansvar" eller "utlevering til ny behandlingsansvarlig".
Overføring til utlandet
- krav til databehandleravtale og risikovurdering (hvis mottaker er databehandler)
- krav til utleveringsgrunnlag (hvis mottaker er ny behandlingsansvarlig)
- Merk: dette gjelder som nevnt kun spørsmålet knyttet til selve landet. Skal man f.eks ta i bruk en databehandler så må fremdeles krav knyttet til f.eks informasjonssikkerhet være oppfylt. Hvis så ikke er tilfelle, kan man ikke benytte denne databehandleren - det hjelper ikke at den er lokalisert i f.eks Frankrike.
- Det man ikke kan si er at en databehandler ikke skal benyttes fordi den er lokalisert i Frankrike.
- Godkjente tredjestater
- EU har godkjent flere tredjestater som å ha tilsvarende beskyttelsesnivå som landene i EU/EØS. Overføring til disse landene er likestilt med overføring til land innad i EU/EØS. Oppdatert liste over de godkjente landene finnes på EUs hjemmesider.
- EUs standardkontrakt/standard personvernbestemmelser ("Standard contractual clauses")
- EU har utarbeidet en standardkontrakt som kan benyttes for overføring av personopplysninger tredjeland. Denne finnes i to utgaver:
- Overføring fra behandlingsansvarlig til databehandler (erstatter ikke databehandleravtale, som må inngås i tillegg)
- Overføring fra behandlingsansvarlig til behandlingsansvarlig
- Les mer om dette på Datatilsynets hjemmeside. Pass på at rett kontrakt velges!
- Privacy Shield
- Privacy Shield (avtale mellom EU og USA) ble kjent ugyldig av EU-domstolen 16. juli 2020, og kan derfor ikke benyttes som overføringsgrunnlag. Eventuelle eksisterende overføringer som bygger på Privacy Shield må enten etablere et nytt, gyldig grunnlag eller opphøre.
Ressurser (maler mv)
- Mal databehandleravtale
- Mal felles behandlingsansvar:
- UiT har ikke utarbeidet en egen mal for avtale om felles behandlingsansvar, men se hen til NTNUs mal for hvordan en slik avtale kan se ut. Den finner dere på denne siden.
- Dataoverføring (behandlingsansvarlig til behandlingsansvarlig).
- Ved overføring av personopplysninger fra UiT til ny behandlingsansvarlig må overføringsavtale inngås. Se gjerne hen til NTNUs mal for hvordan slik avtale og prosess kan gjennomføres. Den finner dere på denne siden
- Sjekkliste databehandleravtale mm.
- Med hjelpetekster (krever innlogging)
- Uten hjelpetekster (krever innlogging)
- Innmeldingsskjema, UiT (ferdige, undertegnede databehandleravtaler)
- Datatilsynets veiledere
Personvernkonsekvensvurdering (DPIA)
Dersom en behandling av personopplysninger kan medføre høy risiko for de registrerte (dvs de personene opplysningene omhandler/kan knyttes til) så må det gjennomføres en såkalt "personvernkonsekvensvurdering". Denne er ofte kalt en "DPIA" etter det engelske navnet på vurderingen (Data Protection Impact Assessment).
For forskningsprosjekter så bistår Personverntjenester i Sikt med utarbeidelsen av disse vurderingene.
Men også andre behandlinger enn forskningsprosjekter kan innebære høy risiko. Datatilsynet har laget en veiledning om DPIAer, inkludert når de må gjennomføres. Blant annet har de et sett med kriterier, og dersom tilstrekkelig mange av disse er oppfylt må det alltid gjennomføres en DPIA (se kapitlet "når er det høy risiko" i veilederen). Men også i andre tilfeller kan det være nødvendig.
Det vil være den internt ansvarlige for den aktuelle behandlingen (f.eks et prosjekt eller en prosess) som må sørge for at DPIA blir gjennomført dersom påkrevd. Personvernombudet kan konsulteres ved behov.
Intern saksgang
Når forslag til DPIA er utarbeidet sendes det til Avdeling for forskning, utdanning og formidling (FUF).
UiT har en egen DPIA-gruppe, hvor også personvernombudet inngår. FUF leder denne. Gruppen tar en vurdering av DPIAen og kommer med en anbefaling til administrasjonsdirektør om DPIAen skal godkjennes eller ikke, alternativt med forbehold. Gruppa kan også sende spørsmål eller sågar hele DPIAen tilbake til f.eks prosjektet dersom det er mangler som gjør at en anbefaling ikke kan gis på nåværende tidspunkt.
Gruppa har ikke faste møtetidspunkt, men møtes ved behov. Sørg imidlertid for at det er satt av tilstrekkelig med tid til denne prosessen. Dersom det er spørsmål som må avklares eller DPIAen må arbeides mer med før gruppa kan nå sin anbefaling vil det gå noe tid. Deretter skal den godkjennes av administrasjonsdirektør.
Hvis en DPIA er påkrevd kan ikke behandlingen av personopplysninger starte før denne er godkjent.