Sist endret: 30.10.2020

Sensitive data og informasjonssikkerhet

Digitale løsninger gjør det enklere å håndtere og dele data, men øker også risikoen for at data havner på avveie. Sensitive eller konfidensielle data er informasjon og opplysninger som har behov for beskyttelse eller skjerming, og som må sikres mot urettmessig innsyn og tilgang. Personopplysninger er et eksempel på data som kan være sensitive, men det kan også dreie seg om bedriftshemmeligheter, sikkerhetsinformasjon, kommersielle rettigheter, patenter eller andre juridiske eller etiske hensyn.

Alle typer informasjon, inkludert forskningsdata, som skal samles inn og behandles, bør vurderes med tanke på behov for sikkerhet og skjerming for å forvalte verdiene de utgjør på en forsvarlig måte. En klassifisering baser på konfidensialitet er et viktig steg for å kunne velge riktig løsning for lagring og arkivering av forskningsdata, da sensitive og konfidensielle data ofte krever ekstra tiltak og varsomhet fra databehandlerens side for å ivareta datasikkerheten. Merk at uttrykket «sensitive data» ofte har blitt brukt i konteksten «sensitive personopplysninger» (etter innføring av GDPR kalt «særlige kategorier»), men her brukes begrepet sensitive data om alle typer data som krever en viss skjerming eller tilgangsbegrensning.

Avhengig av type forskningsdata, prosjekt og samarbeidspartnere, kan det være ulike lovverk, retningslinjer og andre hensyn ved vurdering av konfidensialitet og informasjonssikkerhet. For prosjekter som inkluderer personopplysninger er kjennskap til personvernforordringen relevant, se mer om dette i artikkelen om personopplysninger og GDPR. Andre lovverk som kan være aktuelle for enkelte fagfelt er eksportkontrollregelverket med retningslinjer for kontroll med kunnskapsoverføring eller Sikkerhetsloven. Også etiske hensyn kan være en grunn til at forskningsdata bør være konfidensielle. Et konkret eksempel på dette kan være å ikke offentligjøre eksakt lokasjon til observasjoner av arter på Rødlista, for å hindre at disse potensielt blir oppsøkt og utsatt for økt risiko. Juridiske og økonomiske vurderinger kan også være relevante. Særlig i prosjekter med samarbeid fra industrien eller kommersielle firma, kan det være føringer knyttet til eierskap, industrihemmeligheter og immaterielle rettigheter, som legger begrensninger på hvem som kan ha tilgang til dataene. Også ved mulighet for kommersialisering og patentering er det viktig å sørge for konfidensialitet før planlagt offentliggjøring og publisering.

Konfidensialitetsklasser

I UH-sektoren benyttes en felles anbefaling for klassifisering av informasjon, og UNINETT har utarbeidet en veileder. Grad av konfidensialitet klassifiseres i fire klasser i en såkalt «trafikklysprotokoll», som beskriver hvilken grad av beskyttelse som kreves. En slik klassifisering brukes som utgangspunkt for blant annet å velge verktøy for innsamling og analyse av data, hvor data skal lagres og arkiveres, og er et viktig element i for eksempel en risikoanalyse.

Åpen (Grønn)

Data og informasjon kan være åpent tilgjengelig for alle uten noen form for tilgangsbegrensning. Eksempler på denne type informasjon kan være åpne nettsider med informasjon om et forskningsprosjekt og offentlig publiserte forskningsartikler og datasett.

Intern (Gul)

Data som skal være tilgjengelig for utvalgte brukere, for eksempel internt på institusjonen eller i et forskningsprosjekt, og som vil kunne forårsake en viss skade hvis det blir kjent for uvedkommende. Forskningsdata uten spesielle hensyn knyttet til konfidensialitet vil ofte havne i denne kategorien i den aktive prosjektperioden, før de er klargjort for publisering og offentliggjøring.

Fortrolig (Rød)

Data som kan forårsake skade hvis de kommer på avveie, enten for offentlige interesser, institusjonen, enkeltpersoner eller samarbeidspartnere. Denne type data skal ha strenge tilgangsrettigheter. Eksempler på denne type data kan være helseopplysninger eller forretningshemmeligheter.

Strengt fortrolig (Svart)

Denne kategorien vil unntaksvis kunne være nødvendig for forskningsdata. Dette er data som krever meget streng tilgangsstyring, og som vil kunne forårsake betydelig skade for offentlige interesser, institusjonen, enkeltpersoner eller samarbeidspartner hvis de kommer på avveie. Eksempler på denne type data er informasjon knyttet til nasjonal sikkerhet, opplysninger om personer som har særlig behov for beskyttelse eller store mengder av særlige kategorier personopplysninger.