Klassifisering av data og informasjon

Informasjon som behandles på Universitetet i ̽��ѡ har forskjellig beskyttelsesbehov. For at brukere skal kunne vite hvordan man skal håndtere informasjonen, gis det i dette dokumentet en beskrivelse av hvordan informasjon skal klassifiseres og sorteres etter beskyttelsesbehov.

Felter som viser godkjent for grønn - gule - røde - svarte data

Om eierskap - hvordan vurdere hvilken klasse du skal bruke

All informasjon skal ha en entydig og identifiserbar eier. Det skal være mulig å finne ut hvem som er ansvarlig for at informasjonen er vedlikeholdt, oppdatert og riktig merket. Eier av informasjonen skal klassifisere informasjonen. Eier er også ansvarlig for vurderingene som ligger bak klassifiseringen. Der det ikke kan identifiseres en eier, er universitetsdirektøren ansvarlig for informasjonen.

Eieren av informasjonen er ansvarlig for å

sikre at informasjonen er plassert i riktig klasse ut ifra disse reglene.
gjøre en vurdering når informasjonen bytter klasse.
påse at all lagring, behandling, deling og bearbeiding av informasjon foregår på tekniske løsninger som er godkjent for dette – se Lagringsguiden og Delingsguiden.
regelmessig sjekke at man oppfyller eventuelle endringer i kravene.

Informasjonen skal alltid plasseres i en tilstrekkelig sikker klasse. Dersom du er i tvil om du skal velge f. eks. rød eller gul, skal du velge rød. Merk ̽��ѡ har klare regler for plassering av noen typer informasjon, for eksempel medisinsk forskning og personalmapper.

Åpen eller fritt tilgjengelig (�Ұ�ø�Բ�):

«Åpen» benyttes dersom det ikke forårsaker noen skade for offentlige interesser, universitetet, enkeltperson eller samarbeidspartner at informasjonen blir kjent for uvedkommende eller endres utilsiktet.

Informasjon som kan eller skal være tilgjengelig for alle uten særskilte tilgangsrettigheter.

Det aller meste av informasjonen universitetet forvalter er åpen, enten som konsekvens av mål og hensikt med universitetets virksomhet eller som resultat av pålegg om åpenhet i lov, forskrift og annet regelverk som regulerer offentlig forvaltning og virksomhet. Andre deler av informasjonen har ingen krav om beskyttelse selv om den ikke ligger åpent tilgjengelig.

Eksempler på slik informasjon kan være

en web-side som presenterer en avdeling, et kurs eller en enhet som legges åpent ut på internett
studiemateriell som ligger åpent, men som er merket med en gitt lisens og/eller opphavsrett
forskningsdata som ikke trenger noen beskyttelse (forskeren står ansvarlig for denne vurderingen)
undervisningsmateriell som ikke trenger noen beskyttelse (underviseren står ansvarlig for denne vurderingen)

Merk at selv om noe av denne informasjonen skal være tilgjengelig for alle, skal likevel informasjonens integritet sikres ved at kun personer og brukere med riktige rettigheter har tilgang til å endre informasjonen. Merk også at selv om informasjonen kan være åpen, er det ikke fritt frem å velge hva du gjør med den.

Begrenset (Gul):

«Begrenset» benyttes dersom det vil kunne forårsake en viss skade for offentlige interesser, universitetet, enkeltperson eller samarbeidspartner at informasjonen blir kjent for uvedkommende eller endres utilsiktet.

Dette er i utgangspunktet informasjon som ikke er åpen for alle. I lover eller annet regelverk er det ingen krav om at informasjonen skal være åpen. Dette er altså all informasjon som ikke er klassifisert som åpen, fortrolig, eller strengt fortrolig.

Informasjonen må ha en viss beskyttelse og kan være tilgjengelig for både eksterne og interne, med kontrollerte tilgangsrettigheter. Informasjonen har kun relevans for eller er innrettet mot en begrenset brukergruppe enten ved universitetet eller ved institusjoner og organisasjoner universitetet har samarbeid med.

Eksempler på slik informasjon kan være

enkelte arbeidsdokumenter
informasjon som er unntatt offentlighet
mange typer av personopplysninger
karakterer
studentarbeider
eksamensbesvarelser
upubliserte forskningsdata og -arbeider

Fortrolig (��ø��):

«Fortrolig» benyttes hvis det vil kunne forårsake skade for offentlige interesser, universitetet, enkeltperson eller samarbeidspartner hvis informasjonen blir kjent for uvedkommende eller endres utilsiktet.

Dette er informasjon som universitetet er pålagt å begrense tilgangen til i lov, forskrift, avtaler, reglementer og annet regelverk. Dette tilsvarer graden fortrolig i den offentlige Beskyttelsesinstruksen.

Eksempler på slik informasjon kan være

særskilte kategorier av personopplysninger (tidligere kalt «sensitive personopplysninger»)
data underlagt
personalmapper
endel informasjon om f. eks. sikring av bygninger og IT-systemer
helseopplysninger

Strengt fortrolig (Svart):

«Strengt fortrolig» benyttes dersom det vil kunne forårsake betydelig skade for offentlige interesser, universitetet, enkeltperson eller samarbeidspartner at informasjonen blir kjent for uvedkommende eller endres utilsiktet.

Denne kategorien omfatter samme type informasjon som Fortrolig (rød), men der spesielle hensyn gjør at man ønsker å beskytte dataene ytterligere. Pålegg om beskyttelse og sikring utover de lovbestemte skal være nedfelt i avtaler eller skriftlig dokumentert på annen måte.

Dette tilsvarer graden strengt fortrolig i den offentlige Beskyttelsesinstruksen.

Plassering av data og informasjon i denne kategorien gjøres i samarbeid med IT-avdelingens jurister og IT-sikkerhetssjefen.

Eksempler på slik informasjon kan være

store mengder sensitive personopplysninger
store mengder helseopplysninger
direkte identifiserbare helseopplysninger i medisinsk og helsefaglig forskning
forskningsdata og datasett av stor økonomisk verdi

Godkjent av IT-direktøren juni 2018

Publisert 20. juni 2018 19:02 - Sist endret 10. okt. 2024 10:32

̽����ѡ