Sensitive data og informasjonssikkerheit

Digitale løysingar gjer det enklare å handtere og dele data, men aukar også risikoen for at data hamnar på avvege. Sensitive eller konfidensielle data er informasjon og opplysingar som har behov for beskyttelse eller skjerming, og som må sikrast mot urettmessig innsyn og tilgang. Personopplysningar er eit eksempel på data som kan vere sensitive, men det kan også dreie seg om bedriftshemmelegheiter, sikkerheitsinformasjon, kommersielle rettar, patent eller andre juridiske eller etiske omsyn.

Alle typar informasjon, inkludert forskingsdata, som skal samlast inn og behandlast, bør vurderast med tanke på behov for sikkerheit og skjerming for å forvalte verdiane dei utgjer på ein forsvarleg måte. Ei klassifisering basert på konfidensialitet er eit viktig steg for å kunne velje riktig løysing for lagring og arkivering av forskingsdata, sidan sensitive og konfidensielle data ofte krev ekstra tiltak og varsemd frå databehandlaren si side for å ivareta datasikkerheita. Merk at uttrykket «sensitive data» ofte har vorte brukt i konteksten «sensitive personopplysningar» (etter innføring av GDPR kalla «særlege kategoriar»), men her brukast omgrepet sensitive data om alle typar data som krev ei viss skjerming eller tilgangsavgrensing.

Avhengig av type forskingsdata, prosjekt og samarbeidspartnarar, kan det vere ulike lovverk, retningslinjer og andre omsyn ved vurdering av konfidensialitet og informasjonssikkerheit. For prosjekt som inkluderer personopplysningar er kjennskap til personvernforordringa relevant, sjå meir om dette i artikkelen om personopplysningar og GDPR. Andre lovverk som kan vere aktuelle for enkelte fagfelt er eksportkontrollregelverket med retningslinjer for kontroll med kunnskapsoverføring eller Sikkerhetslova. Også etiske omsyn kan vere ein grunn til at forskingsdata bør vere konfidensielle. Eit konkret eksempel på dette kan vere å ikkje offentleggjere eksakt lokasjon til observasjonar av artar på Raudlista, for å hindre at desse potensielt blir oppsøkt og utsett for auka risiko. Juridiske og økonomiske vurderingar kan også vere relevante. Særleg i prosjekt med samarbeid frå industrien eller kommersielle firma, kan det vere føringar knytt til eigarskap, industrihemmelegheiter og immaterielle rettar, som legger avgrensingar på kven som kan ha tilgang til dataa. Også ved høve for kommersialisering og patentering er det viktig å syte for konfidensialitet før planlagt offentleggjering og publisering.

Konfidensialitetsklasser

I UH-sektoren nyttast ei felles anbefaling for klassifisering av informasjon, og Sikt har utarbeidd ein sektorstandard. Grad av konfidensialitet klassifiserast i fire klasser i ein såkalla «trafikklysprotokoll», som beskriv kva for grad av beskyttelse som krevjast. Ei slik klassifisering brukast som utgangspunkt for blant annet å velje verktøy for innsamling og analyse av data, kor data skal lagrast og arkiverast, og er eit viktig element i for eksempel ein risikoanalyse.

Åpen (Grøn)

Data og informasjon kan vere opent tilgjengeleg for alle utan nokon form for tilgangsavgrensing. Eksempel på denne typen informasjon kan vere opne nettsider med informasjon om eit forskingsprosjekt og offentleg publiserte forskingsartiklar og datasett.

Intern (Gul)

Data som skal vere tilgjengeleg for utvalde brukarar, for eksempel internt på institusjonen eller i eit forskingsprosjekt, og som vil kunne forårsake ein viss skade viss det blir kjent for uvedkommande. Forskingsdata utan spesielle omsyn knytt til konfidensialitet vil ofte hamne i denne kategorien i den aktive prosjektperioden, før dei er gjort klare for publisering og offentleggjering.

Fortruleg (Raud)

Data som kan forårsake skade viss dei kjem på avvege, anten for offentlege interesser, institusjonen, enkeltpersonar eller samarbeidspartnarar. Denne type data skal ha strenge tilgangsrettar. Eksempel på denne type data kan vere helseopplysingar eller forretningshemmelegheiter.

Strengt fortruleg (Svart)

Denne kategorien vil unntaksvis kunne vere nødvendig for forskingsdata. Dette er data som krev særs streng tilgangsstyring, og som vil kunne forårsake betydeleg skade for offentlege interesser, institusjonen, enkeltpersonar eller samarbeidspartner viss dei kjem på avvege. Eksempel på denne type data er informasjon knytt til nasjonal sikkerheit, opplysningar om personar som har særleg behov for beskyttelse eller store mengder av særlege kategoriar personopplysningar.

Tekst: Open Science Toolbox/Unit