Illustrasjonsbilde
English flag icon
English

Sikkerhet, beredskap og personvern ved UiT

UiT Norges arktiske universitet behandler store mengder informasjon innenfor forskning, utdanning, formidling og administrasjon. Det er avgjørende at vi klarer å ivareta sikkerhet, beredskap og personvern på en god måte, ikke minst for å ivareta den tilliten UiT er avhengig av som forsknings- og utdanningsinstitusjon. 

Ønsker du komme i kontakt med faggruppe for personvern og informasjonssikkerhet? Kontakt oss på e-post sikkerhet@uit.no

 

Her vil vi samle informasjon om enkelte, sentrale sikkerhetstiltak.

For å ivareta driften og informasjonssikkerheten i UiTs infrastruktur, systemer og tjenester er det behov for en rekke tiltak som innbefatter behandling av personopplysninger. Dette både for ansatte, studenter, gjester ved UiT og andre med tilknytning til universitetet. Et typisk eksempel er logging. 

Disse kan ikke alltid informeres om i detalj, blant annet fordi detaljer om sikkerhetstiltak kan være en sikkerhetsrisiko i seg selv. Men vi vil gi den informasjonen vi kan gi, og som vi er pliktig å gi.






Logging


 

(under utarbeidelse)

I følge IKT-reglementet kan enhver bruk av UiTs IKT-ressurser blir logget, og dette skjer. Imidlertid skal det skje under kontrollerte former og tilgang til logger er strengt regulert. Innhenting og bruk av logger (samt andre tiltak, om det er for ivaretagelse av drift, sikkerhet eller begge deler) skal foregå i overensstemmelse med kravene etter personvernlovgivningen (GDPR mv). 

Trusselbildet UiT står overfor krever en rekke sikkerhetstiltak, ikke minst logging. Hva som må logges (type opplysninger, aktivitet og omfang) blir mer omfattende, men det skal være forholdsmessighet mellom inngripet i personvernet til den enkelte, og nødvendigheten og det UiT søker å oppnå.

Informasjon om nye tiltak som påvirker alle brukerne, f.eks Cisco Umbrella og Microsoft Defender for Endpoint blir kunngjort via driftsmeldinger. Av andre mer omfattende tiltak på loggsiden som kan nevnes er at UiT er tilsluttet Varslingstjeneste for digital infrastruktur ("VDI"). VDI driftes av NSM og fungerer som en "digital innbruddsalarm". Endel av de nærmere detaljene om VDI er unntatt offentlighet, jf offl. § 21, og kan dermed ikke deles, men litt nærmere informasjon om tjenesten finnes her: Varslingssystem (VDI) - Nasjonal sikkerhetsmyndighet (nsm.no)



Tofaktor


Information in English, click here

Tofaktorautentisering er autentisering eller pålogging med mer enn en faktor. Det betyr at i tillegg til brukernavn/passord, kreves det en tilleggsfaktor for å godkjenne påloggingsforsøket. Dette brukes i stor utstrekning, og blir mer og mer vanlig da det er et effektiv og forholdsvis enkelt sikkerhetstiltak. Du bruker allerede en form av dette for pålogging til bla. nettbanken og Skatteetaten sine sider (BankID, MinID, Buypass). Ved UiT bruker vi tofaktor til flere av våre tjenester, og dette kommer til å bli mer og mer utbredt. Det er mange metoder for å finne ut hvilket passord en person benytter, så man på påregne at passordet kommer på avveie på ett eller annet tidspunkt. Da vil andre personer kunne logge seg rett inn på din konto, men dersom man har tofaktor blir dette betraktelig vanskeligere. 

Det er mange metoder som kan brukes, men de mest vanlige er en engangskode via sms eller via en app på telefonen. Vi vil også innføre usb-brikker ("hardware-tokens"), dersom man ikke vil eller kan bruke app eller sms.

En av tjenestene på UiT som krever tofaktor-pålogging er Office 365, og her kan du lese mer om det.


Studenter skal nå også over på 2-faktor autentisering. Fra 15 september 2021 vil dette blir obligatorisk. Som student kan du aktivere 2-faktor i dag ved å følge denne brukerveiledningen:

https://uit.topdesk.net/solutions/open-knowledge-items/item/KI%201649/no/



VPN


VPN, Virtuelt Privat Nettverk, er en sikkerhetsmekanisme som krypterer nettverkstrafikken mellom din PC og tjenestene du bruker. Denne krypteringen kommer i tillegg til sikkerheten man får med https når man går til nettsider.

For teknisk informasjon om UiTs VPN-løsning se brukerstøtteartikkel i TopDesk.

Når bør jeg bruke VPN?

VPN har to hovedbruksområder ved UiT:

  1. Sikre nettrafikken til og fra din PC på usikre nettverk.
  2. Gi tilgang til ressurser som ellers bare er tilgjengelig ved at man fysisk er til stede på UiTs lokasjoner.

Sikre nettrafikken til og fra din PC på usikre nettverk.

Her kan VPN anses som valgfritt. Dette fordi de fleste tjenester er i dag sikret med kryptering allerede. Dette gjelder for eksempel alle tjenester i UiTs bruk av Office365, dvs. epost, OneDrive og SharePoint.

Det er imidlertid tilfeller hvor bruk av VPN er anbefalt, f.eks. hvis man kobler seg opp på ukjente trådløsnett eller er på reise i land utenfor Europa hvor man må ta høyde for at statlig overvåkning og kriminell nettaktivitet er utbredt.

Merk: Ved reise til høyrisikoland som f.eks Kina, Russland og Iran skal man ikke ha med sin vanlige jobb-pc eller mobil. Kontakt Orakelet for mer informasjon.

Gi tilgang til ressurser som ellers bare er tilgjengelig ved at man fysisk er til stede på UiTs lokasjoner.

Det andre bruksområdet for VPN er hovedsakelig tilgang til UBs tidsskriftbaser. For å få direkte tilgang til vitenskapelige artikler gjennom UiTs avtaler må man logge inn fra adresser som UiT har oppgitt som sine adresseområder på internett. Dette er beskrevet i brukerstøtteartikkelen ovenfor. Hvis man går til tidsskriftene via UBs nettsider trenger man ikke VPN (der er det satt opp en redirigeringsløsning som omgår problemet).

Er det noen ulemper med bruk av VPN?

VPN-systemet på UiT er satt opp med god kapasitet og burde ikke være noen flaskehals i vanlig bruk for nettsurfing og epost. Det kan imidlertid gi forsinkelse i lyd og bilde på Teams og Zoom hvis man er på reise langt unna Norge. Dette er fordi at ved bruk av VPN sender all nettrafikk til Tromsø før den går videre ut på internett.


Informasjon om strukturen og organiseringen av arbeidet med informasjonssikkerhet og personvern finner du i kapittel 3 i ledelsessystemet.
På denne siden vil vi presentere enkelte deler av organisasjonen litt nærmere.






Faggruppe for informasjonssikkerhet og personvern


Faggruppen («FPI») er organisatorisk tilknyttet Avdeling for IT, og består av fem personer:


- Marte Karidatter Skadsem (sikkerhetssjef og faggruppeleder)
- Lars Slettjord (operativ sikkerhet og leder CSIRT)
- Christian Isaksen (sikkerhetsarkitekt)
- Elise Mengkrogen (juridisk seniorrådgiver)
- Ingvild Stock-Jørgensen (juridisk seniorrådgiver)

FPI arbeider med spørsmål om informasjonssikkerhet og personvern på et overordnet nivå, for hele universitetet og med spørsmål av både digital og ikke-digital art. Blant annet har faggruppen ansvaret for å revidere ledelsessystemet for informasjonssikkerhet, håndtere avvik, gjennomføre kontrollaktiviteter, skrive årsrapport som fremmes Universitetsstyret m.v. Nærmere info om oppgavene finner du her.



Forum for informasjonssikkerhet og personvern


Forumet ble opprettet i 2019 og var opprinnelig fokusert på informasjonssikkerhet. Våren 2022 ble imidlertid mandatet utvidet til å inkludere personvern.


Hver enhet på nivå 1 og 2 har én representant, og forumet er sammensatt av vitenskapelig og administrativt ansatte samt ledernivået. Personvernombudet har møte- og talerett.
Forumet har ikke beslutningsmyndighet, men skal fungere som et rådgivende organ for universitetet i spørsmål om informasjonssikkerhet og personvern. Typisk vil større endringer i retningslinjer fremmes forumet for innspill før de ferdigstilles. Planlagte opplæringsaktiviteter av en viss størrelse blir også tatt opp i forumet. Det er FPI som har hovedansvar for å utarbeide saker til forumet, men hver representant har anledning til å fremme saker. Forumet møter 2-3 ganger pr semester.


Per januar 2023 består forumet av følgende personer:

  • Ingvild Stock-Jørgensen, FPI, (leder)
  • Christian Isaksen, FPI (referent)
  • Anders Andersen, NT-fak
  • Christine Greger, IVT-fak
  • Frode Nilsen, UB
  • Arne Elvemo, UMAK
  • Magne Frostad, JurFak
  • Trine Kvidal-Røvik, HSL
  • Sølvi Brendeford Anderssen, FUF
  • Terje Aspen, BFE
  • Frank Mengkrogen, Helsefak
  • Eli Synnøve Skum Hanssen, ORGØK
  • Nils Johan Lysnes, ITA
  • Lise Giswold, BEA

I tillegg deltar sikkerhetssjef og personverombudet på møtene.



Personvernombud (PVO)


UiT har et eget personvernombud som skal informere og gi råd til UiT og de ansatte om forpliktelsene som følger av personvernforordningen (GDPR) og tilhørende lovverk. Videre skal ombudet kontrollere UiTs overholdelse av GDPR, interne retningslinjer mv. innenfor personvern, opplæringsaktiviteter mv.


Personvernombudet har en uavhengig stilling og kan ikke instrueres i utførelsen av sine oppgaver.
Nærmere informasjon om ombudets rolle og oppgaver finner du her.



Computer Security Incident Response Team - CSIRT


CSIRT ved UiT Norges arktiske universitet

Kontaktpunkter:

Lars Slettjord, leder CSIRT: 

  • +47 776 44115, normal kontortid (8-15:30) (CET/CST)
  • +47 984 02 001, kritiske sikkerhetshendelser utenfor kontortid

Ingeborg Ø. Hellemo, CSIRT: 

  • +47 776 44118, normal kontortid (8-15:30) (CET/CST)
  • +47 986 68 305, kritiske sikkerhetshendelser utenfor kontortid

Epost: csirt@uit.no

PGP: Du kan nå oss via kryptert epost. Last ned vår PGP nøkkel her

Vennligst rapporter sikkerhetsrelaterte hendelser som involverer datamaskiner eller nett-adresser tilhørende UiT til sikkerhet@uit.no eller ved personlig kontakt.

Hva er en sikkerhetshendelse?

Enhver hendelse som berører informasjonssikkerheten ved UiT. Hendelser som kompriomitterer konfidensialitet og integritet til data, samt uønskede hendelser som påvirker tilgjengeligheten til data.

Formål

Gruppens formål er å forbedre sikkerheten ved UiTs datanett, redusere antall sikkerhetshendelse og skadene etter slike, samt øke bevisstheten om sikkerhet blant IT-konsulenter og sluttbrukere.

CSIRT skal være det naturlige kontaktpunktet på UiT i forbindelse med spørsmål om datasikkerhet og eventuelle brudd på dette.

Hvem CSIRT er til for?

Gruppen er til for alle brukere tilknyttet UiTs nettverk (domenet uit.no samt alle tilhørende domener som er driftet eller eid av UiT).

Organisering

Gruppen består av personell fra IT-avdelingen ved UiT. Den er underlagt IT-direktøren og rapporterer til denne og seksjonlederne. Medlemmene i gruppen har kompetanse på sikkerhet, nettdrift og drift av ulike operativsystemer.



UiTs behandlingsprotokoll


UiT fører protokoll over alle behandlingaktiviteter som involverer personopplysninger. Denne protokollen er todelt:

  • Forskningsprosjekter: protokoll føres av Sikt personverntjenester, på UiTs vegne (Institusjonsportalen, tidl. meldingsarkivet)
  • Alle andre aktiviteter: protokollen vedlikeholdes av hver enhet. Dersom du skal registrere en ny behandlingsaktivitet eller oppdatere en eksisterende, ta kontakt med kontaktpersonen på din enhet (se liste nedenfor. Denne oppdateres fortløpende etterhver som enhetene melder fra om hvem som er kontaktperson).
Enhet Kontaktperson
BFE-fakultetet Trine Lise Heimkjær og Morten Sætran
Helsefak Frank Mengkrogen
HSL-fakultetet Marit Nilsen
IVT-fakultetet Ingrid B. Storeng og Christine Greger
JurFak Øyvind Edvartsen
NT-fak Ikke oppgitt på fakultetsnivå
IMS: Trine Hågensen
UMAK Anne Aagaard
UB Lotte Dahl
BEA Fredrick Juul Walløe
FUF Sølvi Brendeford Anderssen
ITA Nils Johan Lysnes
ORGØK Anita Pettersen

Merk: Ledelsessystemet har nylig fått utvidet virkeområdet. Det pågår derfor et arbeid med å samle og samordne eksisterende regelverk innenfor de områdene som nå tas inn. Kapitlene vil derfor være under revisjon høsten 2023, og enkelte kapitler kan inntil videre fremstå tomme. Det betyr ikke at UiT mangler regelverk på disse områdene, men de er foreløpig ikke samlet her. I disse tilfellene henter dere retningslinjer, rutiner mv fra de stedene hvor de har vært lagret til nå (eksempelvis intranett for beredskapsinformasjon). 

Ledelsessystemet for informasjonssikkerhet og personvern ("ISMS") er vedtatt av Universitetsstyret. Første gang i 2015, og senere revidert flere ganger (sist 16.12.2020). I 2023 vedtok Universitetsstyret å utvide ledelsessystemet til å omfatte samfunnsikkerhet, beredskap, informasjonssikkerhet, nasjonal sikkerhet og personvern. Gjennom ledelsessystemet skal UiT ha en helhetlig tilnærming til sikkerhet, beredskap og personvern, slik universitetet har god styring og kontroll på disse feltene.

Ledelsessystemet består av styrende, gjennomførende og kontrollerende del. Endringer i den styrende delen (kap. 1-2) foretas av Universitetsstyret, mens endringer i gjennomførende del (kap. 3 - 12) og kontrollerende del (kap. 13 - 15) foretas av hhv. administrasjonsdirektør og rektor.






Kapittel 1: Innretning


[Vedtatt av Universitetsstyret den 22.6.23, sak S 21/23]


Bakgrunn


Som verdens nordligste universitet er UiT Norges arktiske universitet (UiT) strategisk plassert for å utvikle og formidle kunnskap om Arktis og nordområdene. UiT favner forskning og utdanning om natur, samfunn, teknologi, miljø, kultur, mennesket og samspillet mellom disse. Med faglig bredde og nærhet til natur og samfunn, har UiT forutsetninger til å bidra med kunnskap og kompetanse til omstilling, tilpasning og framtidsrettede løsninger på tvers av fagområder, nærings- og samfunnsliv. UiT har studenter og ansatte fra ulike land og steder, og samarbeider med forsknings- og utdanningsinstitusjoner i inn- og utland, samt med offentlige og private aktører.

UiT er et internasjonalt ledende breddeuniversitet som på grunn av beliggenhet og forskningsprofil kan være spesielt utsatt for trusler og angrep. Aktivister, kriminelle og statlig etterretning forsøker å oppnå økonomisk vinning, politiske mål eller andre fordeler gjennom manipulasjon, sabotasje og spionasje. UiTs forskningsdata kan være spesielt utsatt for fysiske eller digitale sikkerhetsbrudd ved eksempelvis sabotasje og/eller spionasje.

Formål og hensikt


Gjennom forebyggende sikkerhet skal UiT redusere sannsynligheten for at en uønsket hendelse inntreffer og redusere konsekvensene ved en slik hendelse. Dette arbeidet må ses i sammenheng med beredskap, som ikke forebygger at en uønsket hendelse finner sted, men omfatter planleggingen i forkant av en hendelse, selve håndteringen når denne enten inntreffer eller er nært forestående, samt den påfølgende gjenopprettingen. Gjennom godt beredskapsarbeid skal UiT på kort varsel kunne øke sikkerhetsnivået.

UiT har en omfattende mengde verdier, informasjon og infrastruktur som må beskyttes og bevares, og dette krever en systematisk og samordnet tilnærming til arbeidet. Dette inkluderer også forsvarlig ivaretagelse av skjermingsverdige verdier, gode rutiner innen eksportkontroll for å forhindre ulovlig kunnskapsoverføring, samt sikre at internasjonalt samarbeid foregår på forsvarlig måte.

Tiltak som er nødvendig for sikkerhetsarbeidet kan være inngripende overfor ansatte, studenter og andre tilknyttet UiT. I vurderingen av hvilke, og hvordan, sikkerhetstiltak skal gjennomføres er det essensielt å samtidig vurdere hvordan personvernet påvirkes og best ivaretas. Videre behandler UiT en stor mengde personopplysninger i alle deler av virksomheten, og god overholdelse av personvernlovverket er viktig for å opprettholde tilliten blant ansatte, studenter, forskningsdeltakere, samarbeidspartnere og gjester.

Hensiktsmessig og god håndtering av disse områdene krever at de ses i sammenheng fremfor hver for seg, og arbeidet organiseres og etableres som en sammenhengende tjeneste. Dette er en utfordrende øvelse, men samtidig nødvendig for at UIT skal oppnå et forsvarlig sikkerhetsnivå, og god ivaretakelse av personvern for alle som er tilknyttet UiT.

For å lykkes med dette har UiT etablert et felles ledelsessystem for sikkerhet, beredskap og personvern.

Ledelsessystemets omfang og innhold


Hovedområdene som skal ivaretas gjennom dette ledelsessystemet er informasjonssikkerhet, samfunnssikkerhet, beredskap, personvern, eksportkontroll og nasjonal sikkerhet. Samtlige av disse områdene griper inn i hverandre, og de omfatter det fysiske, menneskelige, organisatoriske og digitale domene. Alle disse domenene kan utgjøre en sårbarhet som kan utnyttes bevisst eller ubevisst, av eksterne eller interne aktører. For å oppnå et tilstrekkelig sikkerhetsnivå er UiT avhengig av å se disse i sammenheng med hverandre, og ta høyde for samspillet mellom disse ulike områdene og nevnte domener. Eksempelvis kan digitale systemer være godt sikret i seg selv, men hvis den fysiske sikringen er svak og en uærlig aktør kommer seg inn i en datahall, kan det gjøres mye skade.

Samfunnsutviklingen og et endret trussel- og risikobilde gjør skillet mellom samfunnssikkerhet og statssikkerhet mer utydelig. Arbeidet med å identifisere og ivareta verdier som er viktige for nasjonal sikkerhet er komplisert, blant annet fordi aktuelle tiltak for overholdelse av sikkerhetsloven og eksportkontrollregelverket kan gripe inn i kjernevirksomheten og potensielt UiTs mulighet for oppfyllelse av samfunnsoppdraget som forskningsinstitusjon.

I dagens høyere utdanning er det stort fokus på læringsfremmende teknologi og digitale eksamensformer, og det er vanskelig å balansere behovet for å hyppig ta i bruk nye tjenester og samtidig ivareta informasjonssikkerheten og personvernet. Både Kunnskapsdepartementet og UiT har ambisiøse digitaliseringsstrategier, og oppfyllelse av disse samtidig som informasjonssikkerhet og personvern ivaretas er en krevende oppgave.

Videre behandler UiT en stor mengde personopplysninger om ansatte, studenter, forskningsdeltakere og andre. Regelverket for lovlig håndtering av personopplysninger er omfattende og kompleks, og det kreves gode retningslinjer, rutiner, verktøy og kunnskap for å sikre at UiT overholder relevant regelverk i all behandling av personopplysninger.

I tillegg kan store ulykker inntreffe som følge av teknisk eller menneskelig svikt, pandemier, forsyningssvikt eller andre katastrofer utløst av utilsiktede hendelser som f.eks naturkatastrofer, eller tilsiktede handlinger fra de som ønsker ramme oss. Slike hendelser kan være i det fysiske eller det digitale rom, eller en kombinasjon. Hendelsene kan være såpass varierte i omfang og type at det er krevende å bygge god beredskap som lar UiT respondere hurtig og tilstrekkelig.

Etableringen av et felles ledelsessystem skal sørge for at UiT har en planmessig og god håndtering av dette komplekse feltet. Ivaretagelse av sikkerhet, beredskap og personvern er et lederansvar, og dette arbeidet skal være en integrert del av den helhetlige virksomhetsstyringen.

Ledelsessystemet for sikkerhet, beredskap og personvern ved UiT omfatter

  • alle1 som får tilgang UiTs informasjonsverdier
  • alle UiTs studiesteder/campuser
  • alle organisatoriske enheter
  • all teknologi2
  • alle informasjonsverdier3
  • alle skjermingsverdige verdier (informasjon, objekter og infrastruktur)

Dette ledelsessystemet er avgrenset mot UiTs arbeid innenfor Helse, miljø og sikkerhet (HMS), som er regulert gjennom eget internkontrollsystem. Det påhviler universitetsledelsen å sørge for et godt samspill mellom ledelsessystemet og HMS-systemet.

------------------------------------------------------------------------------

Studenter, ansatte, gjester, samarbeidspartnere etc.
IKT-systemer, datanettverk, databaser/-registre etc.
Informasjonsverdi er et samlebegrep som inkluderer både selve informasjonen samt tilhørende støtteverdier som IKT-system, digitale tjenester, datautstyr av ulike varianter mv.

Visjon og overordnet målbilde og prinsipper


UiT skal etablere og opprettholde en forsvarlig sikkerhetskultur, forvaltning, styring og sikring av sine verdier for å ivareta samfunnets tillit til universitetets utdanning, forskning og formidling.

UiT skal:

  • arbeide målrettet, systematisk og risikobasert med samfunnssikkerhet, informasjonssikkerhet, beredskap og personvern
  • ivareta arbeidet på en helhetlig og felles tilnærming internt på UiT
  • redusere sårbarhetene til UiTs informasjonsverdier
  • inkludere samfunnssikkerhet, beredskap, informasjonssikkerhet og personvern i universitetets beslutningsprosesser
  • forenkle og forbedre universitetets retningslinjer og prosesser for sikkerhet, beredskap og personvern
  • forbedre evnen til å oppdage og håndtere hendelser, avvik og brudd raskt slik at eventuelle konsekvenser for virksomheten blir minimale
  • sørge for opplæring og bevisstgjøring som gjør ledere, ansatte og studenter i stand til å hindre, oppdage og rapportere hendelser
  • Inkludere samfunnssikkerhet, beredskap, informasjonssikkerhet og personvern som faste tema i ledermøter og -opplæring

Risikostyring


Risikobildet til UiT er dynamisk og vil variere over tid. Derfor er det nødvendig å arbeide systematisk med risikostyring og akseptabel risiko. En effektiv risikostyring skal gi studenter og ansatte best mulig grunnlag til å forstå hvor stor risiko UiT er villig til å akseptere i prosessen med å skape verdier. UiT har en risikobasert tilnærming til ivaretagelsen av sikkerhet og beredskap.

Håndtering av risiko er sentralt for god ivaretagelse av informasjonssikkerhet, personvern, samfunnssikkerhet, fysisk- og personellsikkerhet, brann og beredskap, og nasjonal sikkerhet. Ofte kan risiko reduseres til et akseptabelt nivå gjennom tiltak, men i noen tilfeller er risikoen for høy til at man kan gjennomføre de aktuelle prosjektene, anskaffe de ønskede systemene mv. Dette kan være fordi det ikke finnes tiltak eller tiltakene blir for kostbare å gjennomføre.

Vurdering av risiko skal skje innenfor de rammene som er fastsatt i ledelsessystemet, og det er noen forskjeller i hvordan risiko vurderes innenfor de ulike områdene, se kap. 4. Gjennomføring av risikovurderinger vil være avhengig av at man vet hvilke verdier som behandles, herunder hvordan disse klassifiseres. Se kap. 3 for regulering og informasjon om verdivurdering og klassifisering.

Det er ikke mulig å eliminere enhver risiko, men UiT skal arbeide systematisk og målrettet for å ha et risikonivå som er akseptabelt, sett opp mot UiTs mål og risikobilde. UiT har fastsatt grenser for akseptabel risiko innenfor informasjonssikkerhet og samfunnssikkerhet.

Oppbygning av ledelsessystemet



Ledelsessystemet består av tre hovedelementer:

  • Styrende del – innretning, visjon og mål, risikostyring samt roller, oppgaver og ansvar
  • Gjennomførende del – konkrete retningslinjer og rutiner, herunder om klassifisering av informasjon, risiko- og personvernkonsekvensvurdering, grunnleggende sikring av det digitale og fysiske domenet, organisatoriske og menneskelige tiltak.
  • Kontrollerende del – internrevisjon og -kontroll, rapportering og håndtering av hendelser og avvik samt ledelsens gjennomgang/årsrapport.


Kapitteloversikt

  Kapittelnummer Kapittel
Styrende del 1 Innretning
2 Roller, ansvar og oppgaver
Gjennomførende del 3 Klassifisering og verdivurdering 
4 Risiko- og personvernkonsekvensvurdering
5 Fysisk sikkerhet
6 Digital sikkerhet
7 Personellsikkerhet
8 Beredskap
9 Anskaffelser/vedlikehold/utvikling
10 Personvern
11 IKT-ressurser og brukere
12 Internasjonalt samarbeid og eksportkontroll
Kontrollerende del 13 Internkontroll og -revisjon
14 Håndtering av hendelser og avvik
15 Ledelsens gjennomgang/årsrapport

Kapittel 2: Roller, ansvar og oppgaver


[Vedtatt av Universitetsstyret den 22.6.23, sak S 21/23]

Ivaretagelse av sikkerhet, beredskap og personvern er et lederansvar. Universitetsledelsen har ansvaret for å sette rammer og nærmere premisser og regulering av UiTs arbeid innenfor dette området. Enhetslederne har ansvaret for at dette følges opp i sin enhet, samt fastsette nærmere retningslinjer og rutiner innenfor sitt ansvarsområde dersom det er påkrevd, eksempelvis grunnet særskilt aktivitet.

I dette kapitlet beskrives hovedlinjene i UiTs organisering av arbeidet innenfor sikkerhet, beredskap og personvern. Det ligger også ansvar og oppgaver til andre roller, men disse er kontekstavhengige og det vil da fremkomme av relevant regelverk. Eksempelvis systemeiere etter Kvalitetssystemet for IT, se kap. 6 – Digital sikkerhet.


Universitetsstyret


  • Behandler og vedtar ledelsessystemet for sikkerhet, beredskap og personvern ved UiT
  • Fører tilsyn med UiTs arbeid innenfor sikkerhet, beredskap og personvern

Rektor


  • Har det overordnede ansvaret for sikkerhet, beredskap og personvern ved UiT
  • Har ansvaret for det forebyggende sikkerhetsarbeidet, og at dette arbeidet resulterer i et forsvarlig sikkerhetsnivå
  • Har ansvaret for at det avsettes nødvendige ressurser for tilstrekkelig ivaretagelse av sikkerhet, beredskap og personvern

Administrasjonsdirektør


  • Har forvaltningsansvar for ledelsessystemet for sikkerhet, beredskap og personvern, og skal sørge for at det blir implementert og vedlikeholdt
  • Har ansvaret for organiseringen av UiTs arbeid med sikkerhet, beredskap og personvern, herunder den tilhørende sammenhengende tjeneste
  • utøver det overordnede ansvaret for all behandling av personopplysninger ved UiT
  • er strategisk leder ved kriser, og leder sentral beredskapsgruppe (SBG)
  • skal sørge for at UiT har hensiktsmessig beredskap med tanke på håndtering av kriser og ulykker
  • skal sørge for at rektor involveres i håndteringen av hendelser og avvik i den grad sakens karakter tilsier det
  • har koordineringsansvar for de faste møtene mellom Politiets sikkerhetstjeneste (PST) og universitetsledelsen, samt er kontaktpunkt for PST dersom de ønsker møter med UiT utover disse
  • har ansvaret for utarbeidelsen av årsrapport for sikkerhet, beredskap og personvern
  • oppnevner medlemmer av gruppe for overordnet vurdering av personvernkonsekvensvurderinger (UiTs DPIA-gruppe)

Enhetsstyrene


  • Med enhetsstyrene menes fakultetsstyrene, bibliotekstyret og styret for Norges arktiske universitetsmuseum og akademi for kunstfag
  • Fører tilsyn med sin enhets arbeid innenfor sikkerhet, beredskap og personvern

Enhetsleder


  • Med enhetsleder menes dekan, bibliotekdirektør, direktør for Norges arktiske universitetsmuseum og akademi for kunstfag, avdelingsdirektørene i fellesadministrasjonen
  • Har ansvaret for at enheten
    • overholder kravene stilt gjennom lov, forskrift og UiTs interne ledelsessystem for sikkerhet, beredskap og personvern, herunder utføring av tilhørende oppgaver
    • utarbeider interne retningslinjer og rutiner dersom det er nødvendig for å oppfylle kravene og utføre oppgavene i ovennevnte punkt
    • avsetter nødvendige ressurser for tilstrekkelig ivaretagelse av sikkerhet, beredskap og personvern ved sitt ansvars, -og beredskapsområde, herunder at enheten har riktig kompetanse tilgjengelig
  • Gjennomfører og samordner arbeid med risiko- og sårbarhetsvurderinger (ROS) og beredskap med lokale beredskapsgrupper ved aktuell lokasjon
  • Skal sørge for at hendelser og avvik følges opp og blir lukket, i tråd med UiTs interne retningslinjer.
  • Skal sørge for at ansatte, studenter og tilknyttede gjester er informert om de rutiner og retningslinjer som til enhver tid gjelder
  • Skal sørge for at ansatte og studenter gis nødvendig opplæring innenfor områdene sikkerhet, beredskap og personvern, og at disse temaene integreres i relevant omfang i all internopplæring enheten har ansvaret for
  • Skal sørge for å ivareta krav i sentralt beredskapsplanverk knyttet til opplæring, ROS og beredskapsøvelser innenfor sitt beredskapsområde, og dersom enheten har lokal beredskapsgruppe skal enhetsleder enten lede denne eller være medlem.

Enheter og andre med særskilt ansvar og myndighet


Enkelte enheter og andre har at et særskilt ansvar for deler av UiTs arbeid innenfor sikkerhet, beredskap og personvern. Dette gjelder alle avdelinger i fellesadministrasjonen samt enkelte fakultet. 

Personvernombud


  • rapporterer direkte til leder for rektors stab
  • skal informere og gi råd til UiTs ansatte og studenter om gjeldende forpliktelser etter personvernlovgivningen
  • skal kontrollere UiTs overholdelse av personvernlovgivningen
  • skal involveres på rett tidspunkt og nivå i spørsmål som omhandler personvern
  • skal gi råd i vurderingen av personvernkonsekvenser (DPIA) og kontrollere gjennomføringen av disse vurderingene
  • skal involveres på passende nivå i håndteringen av avvik etter personvernlovgivningen, og som minimum orienteres om innhold og omfang av avvik
  • skal utarbeide årlig rapport som skal fremmes for Universitetsstyret
  • har møte- og talerett i forum for sikkerhet og personvern
  • kan kontaktes direkte av de registrerte med spørsmål om UiTs behandling av deres personopplysninger, og om utøvelsen av sine rettigheter etter personvernforordningen (GDPR)
  • kan ikke instrueres om utførelsen av de oppgavene som ligger til personvernombudet etter personvernforordningen (GDPR) artikkel 39

Særskilte roller og ansvar innen forskning


Interne forum for sikkerhet, beredskap og personvern


Ansatte og studenter


  • Har plikt til å
    • gjøre seg kjent med og følge til enhver tid gjeldende lov, forskrift og UiTs interne regelverk innen sikkerhet, beredskap og personvern, herunder gjennomgå tilgjengelig informasjon og opplæring fra UiT
    • forhindre og rapportere avvik når disse oppstår, herunder hendelser som kan innebære avvik

Kapittel 3: Klassifisering og verdivurdering


(I sak S 21/23 den 22. juni 2023 vedtok Universitetsstyret ny struktur for ledelsessystemet for sikkerhet, beredskap og personvern. Tidligere omfattet ledelsessystemet kun informasjonssikkerhet og personvern. Det innebærer også utvidelse av enkelte eksisterende kapitler, inkludert dette. Det vil derfor bli revidert i løpet av høsten 2023.)

En forutsetning for å kunne si noe om akseptabel bruk samt behovet for sikkerhetstiltak er at det er foretatt en klassifisering av informasjonen som behandles. Klassifiseringen ligger til grunn for vurderingen av hvilken grad av sikring (IT-teknisk, organisatorisk og fysisk) informasjonen skal underlegges. Videre vil klassifisering bidra til å oppnå en oversikt over hvilke informasjonsverdier UiT forvalter.

Klassifiseringen vil videre gi personer som skal behandle informasjonen en konkret indikasjon og veiledning på hvordan denne skal håndtere og beskyttes.

Retningslinjer for klassifisering av informasjon finner du her



Kapittel 4: Risiko- og personvernkonsekvensvurdering


(Revidert 12.4.24)

 

Innledning


UiTs verdier og virksomhet kan skades av både eksterne og interne aktører. Hendelser kan oppstå av flere forskjellige årsaker, for eksempel grunnet organisatorisk/menneskelig svikt, tilsiktede handlinger, naturhendelser, bortfall av infrastruktur, uhell og uaktsomhet. Risikovurderinger skal avdekke mulige uønskede hendelser som kan føre til skade på UiTs verdier. Det er viktig å gjennomføre gode vurderinger for å sikre en trygg og sikker behandling av verdiene. I tillegg til å avdekke hva som kan gå galt, skal vurderingene avdekke hva UiT har gjort og hva UiT ytterligere kan gjøre for å hindre at uønskede hendelser inntreffer.

Brudd på sikkerheten kan få følger for alle deler av UiTs virksomhet, eksempelvis:

Alle organisasjoner ønsker å unngå slike brudd på sikkerheten, men det kan være en varierende risikovilje. En organisasjons risikovilje kan kategoriseres på ulike måter, eksempelvis:

  • Uvillig: Skal unngå risiko.
  • Minimalistisk: Ekstremt konservativt.
  • Forsiktig: Bør unngå unødvendig risiko.
  • Fleksibel: Vil ta sterkt begrunnede risikoer.
  • Åpen: Vil ta berettiget risiko.

En for høy risikovilje fra UiTs side vil utsette ansatte, studenter og forskningsdeltakere for en uakseptabel risiko for skade og andre typer negative konsekvenser, eksempelvis vil det kunne skade UiTs omdømme og/eller få økonomiske konsekvenser. For lav risikovilje vil innebære at prosjekter, prosesser, aktiviteter mv. i liten grad er gjennomførbare enten fordi det ikke er mulig å få risikoen ned på et akseptabelt nivå, eller igangsetting av prosjekter, prosesser og aktiviteter være uforholdsmessig tidkrevende og dyrt grunnet omfattende mengde tiltak.


Jo sterkere og bedre sikkerhetskultur, grunnsikring og systematikk rundt arbeidet med sikkerhet i hele virksomheten, desto større vil mulighetsrommet være for å kunne gjennomføre ambisiøse prosjekter og prosesser som i en organisasjon med svakere sikkerhetskultur og -arbeid vil innebære en uakseptabel risiko. Både UiTs risikobilde og totale grunnlag for å håndtere risiko på en ansvarlig og tillitvekkende måte vil være dynamisk, og må kontinuerlig vurderes, herunder måle sikkerhetskulturen blant ansatte og studenter.


Risikonivået er summen av sannsynlighet for at en uønsket hendelse inntreffer, og konsekvensen dersom den inntreffer. Dette kartlegges og vurderes gjennom risikovurderinger. Dette kapitlet gir en oversikt over fem typer risikovurderinger som UiT skal ha på plass:

  • Risikovurderinger på et overordnet nivå
  • Risikovurderinger for fysisk sikkerhet
  • Personvernkonsekvensvurderinger (DPIA/PVK)
  • Risikovurderinger for informasjonssikkerhet
  • Risikovurderinger for skjermingsverdig informasjon, objekter og infrastruktur

Overordnet risiko- og sårbarhetsvurdering


UiT skal utarbeide en overordnet risiko- og sårbarhetsvurdering (ROS-vurdering) for å identifisere uønskede hendelser som kan inntreffe på et overordnet nivå, vurdere risiko og sårbarhet knyttet til disse og utarbeide tiltak som er nødvendige for å redusere sannsynlighet for at hendelsen inntreffer og eventuelt redusere konsekvensene av denne. Vurderingen skal også bidra til å styrke kunnskapen om risiko ved UiT. Dersom risikoen for at en eller flere uønskede hendelser skjer er større enn det som er definert som akseptabelt, må denne risikoen håndteres ved at forebyggende tiltak iverksettes. I noen tilfeller er det ikke mulig å redusere risikoen tilstrekkelig og da kan ikke aktiviteten igangsettes/fortsette. Det skal benyttes en risikobasert tilnærming i utviklingen av vurderingen1

ROS-vurdering skal omfatte følgende sikkerhetsområder: Samfunnssikkerhet og beredskap, personvern, informasjonssikkerhet, og nasjonal sikkerhet.  

---------------------------------------------------

1En risikobasert tilnærming til risikovurderinger er en proaktiv tilnærming som fokuserer på å identifisere og analysere potensielle risikoer som kan oppstå i fremtiden, og deretter utvikle tiltak for å minimere eller eliminere risikoen. Dette kan inkludere å identifisere potensielle farer og sannsynligheten for at de vil oppstå, samt analysere konsekvensene av disse hendelsene.

Risikovurdering for fysisk sikkerhet


Tilstrekkelig fysisk sikkerhet ved bygninger og arealer er sentral for ivaretakelsen av UiTs verdier. Det skal benyttes en risikobasert tilnærming for ivaretakelse av fysisk sikkerhet basert på UiTs vedtatte risikoakseptansenivå4. En risikobasert tilnærming innebærer at det skal gjennomføres risikovurderinger i planlegging, oppføring og endring av UiTs bygninger, eiendommer og områder.

Risikovurderinger skal foretas ved

  • planlegging og oppføring av nye bygninger
  • omdisponering eller endring/ombygging av hele eller deler av eksisterende bygninger
  • inngåelse av leiekontrakter for bygg

Retningslinjer og rutiner som er påkrevd for håndtering av fysisk sikkerhet, eksempelvis adgangskontroll, fremkommer av ledelsessystemets kapittel 5 «fysisk sikkerhet». Ved utleie skal UiT være særlig oppmerksom på det utlånte området/bygget skal benyttes av leietaker til skjermingsverdige objekter/infrastruktur, og hvilke forpliktelser UiT i så fall påtar seg med tanke på sikring.

---------------------------------------------------

Se kapittel 1, del kapittel om Risikostyring for beskrivelse av risikoakseptansenivå i ledelsessystem for sikkerhet, beredskap og personvern

Personvernkonsekvensvurdering (DPIA/PVK)


Dersom en aktivitet (f.eks. et forskningsprosjekt, et IT-system, en utdanningsaktivitet mv.) innebærer behandling av personopplysninger må det i noen tilfeller gjennomføres en personvernkonsekvensvurdering (DPIA7). Denne vurderingen er påkrevd dersom behandlingen innebærer en høy risiko for enkeltpersoners rettigheter og friheter, må gjennomføres før man starter behandlingen av personopplysninger. Vurderingen skal dokumenteres. Dersom det ikke er mulig å gjennomføre tiltak som reduserer risikoen fra et høyt nivå må det gjennomføres forhåndsdrøftelse med Datatilsynet.

UiT har en egen gruppe for gjennomgang og vurdering av personvernkonsekvensvurderinger («DPIA-gruppe»). Denne ledes av Avdeling for forskning, utdanning og formidling8. Gruppa leverer innstilling til UiTs ledelse om en behandling bør igangsettes eller ikke, eventuelt om det bør gjennomføres forhåndsdrøftelse med Datatilsynet.

Personvernkonsekvensvurderingen erstatter ikke risikovurderingen som må gjennomføres for å sikre ivaretakelse av informasjonssikkerhet ved UiT.

---------------------------------------------------

Data Protection Impact Assessment er en vurdering av personvernkonsekvenser. En vurdering av personvernkonsekvenser er en prosess som skal beskrive behandling av personvernopplysninger, og vurdere om den er nødvendig og proporsjonal. Prosessen skal bidra til å håndtere de risikoene behandlingen medfører for enkeltpersoners rettigheter og friheter. Dette gjøres gjennom å kartlegge risikoer, vurdere dem og gjennomføre nødvendige risikoreduserende tiltak. 

8 Se kap. 2 «roller, ansvar og oppgaver» for gruppesammensetningen. Denne vil være den samme uansett om DPIAen knytter seg til et fakultet eller fellesadministrasjonen.

Risikovurdering tilknyttet informasjonssikkerhetsområdet


Målet med risikovurdering på informasjonssikkerhetsområdet er å avdekke relevante sårbarheter og trusler rettet mot UiTs informasjonssikkerhet; eksempelvis i IKT-systemer og -tjenester, forskningsprosjekter, undervisningsaktiviteter og administrative prosesser. Det skal benyttes en risikobasert tilnærming for ivaretakelse av informasjonssikkerheten basert på UiTs vedtatt risikoakseptnivå.
Risikovurderinger skal foretas

  • når trusselbildet endres
  • før oppstart av behandling av personopplysninger, samt ved større/betydelige endringer i disse.
  • før oppstart av forskningsprosjekter, samt ved større/betydelige endringer i prosjektet.
  • ved etablering eller endring av IKT-systemer og -tjenester, samt ved jevnlige intervaller
  • ved organisatoriske endringer som kan påvirke informasjonssikkerheten
  • for organisatoriske prosesser som kan påvirke informasjonssikkerheten

Ved langvarige behandlingsaktiviteter, IKT-systemer/-tjenester som er i bruk over tid mv., skal risikovurderingen tas opp med jevne intervaller for å vurdere om det har oppstått endringer i risikobildet og om UiTs verdier fortsatt er ivaretatt.

Risikovurderingen må videre sees i sammenheng med etablerte akseptkriterier for risiko13.

---------------------------------------------------

13 Se vedlegg 1 til dette kapitlet.

Risikovurderinger tilknyttet skjermingsverdig informasjon, objekter og infrastruktur 


Skjermingsverdige verdier (skjermingsverdig informasjon, skjermingsverdige informasjonssystemer, skjermingsverdig infrastruktur og skjermingsverdige objekter) skal håndteres og beskyttes etter bestemmelsene i sikkerhetsloven med forskrift. 17 18 Loven skal bidra til å forebygge, avdekke og motvirke tilsiktede handlinger som direkte eller indirekte kan skade nasjonale sikkerhetsinteresser.

---------------------------------------------------

17 Informasjon er skjermingsverdig dersom det kan skade nasjonale sikkerhetsinteresser at informasjonen blir kjent for uvedkommende, går tapt, blir endret eller blir utilgjengelig
18 Objekter og infrastruktur er skjermingsverdige dersom det enten kan skade grunnleggende nasjonale funksjoner om de får redusert funksjonalitet eller blir utsatt for skadeverk, ødeleggelse eller rettsstridig overtakelse, eller kan skade nasjonale sikkerhetsinteresser på annen måte.

Vedlegg 1 - Vurdering og aksept av risiko knyttet til informasjonssikkerhet


Dette er de metodiske elementene for vurdering og aksept av risiko spesifikt tilknyttet informasjonssikkerhet.

Sannsynligheten for at en uønsket hendelse inntreffer vurderes på en skala fra 1 – 4, etter et sett med kriterier som UiT har fastsatt.

Konsekvensen for at en uønsket hendelse skulle inntreffe vurderes på en skala fra 1 – 4, etter et sett med kriterier som UiT har fastsatt.

Risikonivået for de uønskede hendelsene kategoriseres på fire nivåer:

  • 7 – 8 Svært høy risiko
  • 6       Høy risiko
  • 4 – 5 Moderat risiko
  • 2 – 3 Lav risiko

For å sikre at det på tvers av organisasjonen er en mest mulig lik og korrekt vurdering av hvilken risiko UiT er villig til å akseptere, er det nødvendig å sette noen overordnede krav til håndtering av identifiserte risikoer, se nedenfor under «krav til håndtering av identifiserte risikoer (uønskede hendelser»).

Videre er det nødvendig å sette noen mer absolutte yttergrenser som ikke skal passeres, uansett hvilken gevinst som kan oppnås. Sistnevnte fastsettes av Universitetsstyret, se kap. 1 under «yttergrensen for akseptabel risiko».

Typen data, og tilhørende klassifisering etter UiTs retningslinjer for klassifisering av informasjon, vil være en sentral del av grunnlaget for vurderingen.

Krav til håndtering av identifiserte risikoer (uønskede hendelser)

7-8

Risikoreduserende tiltak skal gjennomføres.

Hvis risikoen ikke kan reduseres ned fra rødt nivå gjennom tiltak gjelder følgende:
  • Dersom risikoen er knyttet til den type data, aktiviteter og prosesser hvor Universitetsstyret har satt yttergrenser for akseptabel risiko (se kapittel 1), kan ikke prosjektet, prosessen, endringen, IT tjenesten/systemet mv. igangsettes.

  • Dersom risikoen knytter seg til mulige konfidensialitetsbrudd for strengt fortrolige/svarte data, kan ikke
    • prosjektet, prosessen, endringen mv. igangsettes,
    • IT-tjenester/systemer godkjennes for bruk til denne typen data.
  • Dersom risikoen knytter seg til mulige integritetsbrudd for data underlagt UiTs høyeste krav til integritet, kan ikke
    • prosjektet, prosessen, endringen mv. igangsettes,
    • IT-tjenester/systemer godkjennes for bruk til denne typen data.
  • Dersom risikoen knytter seg til mulige tilgjengelighetsbrudd for data underlagt UiTs høyeste krav til tilgjengelighet, kan ikke
    • prosjektet, prosessen, endringen mv. igangsettes,
    • IT-tjenester/systemer godkjennes for bruk til denne typen data.

  • For øvrige risikoer og/eller data må beslutningen om risikoen er akseptabel tas av enhetsleder*, sett ut fra type data, situasjon, lovkrav, mulige gevinster og eventuelle negative konsekvenser ved å unnlate gjennomføringen/innføringen.
6  Dersom risikoen ikke kan reduseres ned fra oransje nivå gjennom tiltak:
  • Beslutningen om risikoen er akseptabel må tas av enhetsleder19, sett ut fra type data, situasjon, lovkrav, mulige gevinster og eventuelle negative konsekvenser ved å unnlate gjennomføringen/innføringen.
4-5
  • Risikonivå 5: Risikoreduserende tiltak skal gjennomføres.
  • Risikonivå 4: Risikoreduserende tiltak skal vurderes, og som hovedregel gjennomføres.
2-3  Risikoreduserende tiltak kan vurderes

---------------------------------------------------

19 Med enhetsleder menes dekan, direktør UMAK, direktør UB, avdelingsdirektør. Rektor og administrasjonsdirektør kan også fatte disse beslutningene.

Vedlegg 2 - Retniningslinjer, rutiner, verktøy og malverk


Her vil relevante retningslinjer og støttemateriell samles.

  • Informasjonssikkerhet
    • Du får tilgang til maler for risikovurdering av informasjonssikkerhet når du har levert skjema om innmelding av risikovurdering (dvs at du skal gjennomføre en risikovurdering av f.eks et IT-system, et forskningsprosjekt, en prosess mv.).
  • Personellsikkerhet
    • Hvis du skal gjennomføre risikovurdering av mottak av gjester, send e-post til sikkerhet@uit.no for å få tilsendt maler. Se ellers kapittel 7 i ledelsessystemet.

Kapittel 5: Fysisk sikkerhet


I sak S 21/23 den 22. juni 2023 vedtok Universitetsstyret ny struktur for ledelsessystemet for sikkerhet, beredskap og personvern. Tidligere omfattet ledelsessystemet kun informasjonssikkerhet og personvern.

I løpet av høsten 2023 vil relevant internt regelverk og rutiner som omhandler fysisk sikkerhet samles her, men inntil videre finner du dette på de sidene hvor de tidligere har vært.



Kapittel 6: Digital sikkerhet


Gjennom ledelsessystemet generelt og dette kapitlet spesielt skal UiT sørge for at sikkerheten ivaretas i alle IKT-systemer, -tjenester og infrastruktur. Dette kapitlets målgruppe er de på UiT som skal kjøpe inn, administrere, drifte og/eller forvalte IKT-systemer, -tjenester, -enheter og -infrastruktur, og inneholder prinsipper, retningslinjer og rutiner mv som skal følges.

Reglement, retningslinjer og rutiner rettet mot brukere av UiTs IKT-ressurser, systemer og tjenester finnes i kapittel 11 (IKT-ressurser og brukere).

UiTs tiltak for digital sikkerhet er i stor grad forankret i NSMs grunnprinsipper for IKT-sikkerhet og UiTs IKT-reglement. Det arbeides kontinuerlig med å forbedre sikkerheten i systemer og tjenester.

Det er primært tre hovedgrupper med tiltak:

1. Systemsikkerhet

Som hovedprinsipp gjelder det at alle systemer, tjenester, tjenere og klienter skal følge beste praksis for sikkerhet. Dette betyr at

a. Alle systemer skal kjøre oppdatert programvare og sikkerhetsoppdateringer som blir publisert skal installeres innen gitt tidsfrist.
b. Funksjonalitet som ikke benyttes skal skrus av.
c. Data skal krypteres og sikre protokoller benyttes
d. Alle tjenester som er tilgjengelig på internett skal ha sikkerhetsklassifisering basert på hvilken informasjon de inneholder og er godkjent for.

2. Autentisering og krav om multifaktor

Anonym tilgang til systemer, nettverk og tjenester er som hovedprinsipp ikke tillatt.
All autentisering skal som hovedregel skje via UiTs brukerhåndteringssystemer. Multifaktor er et grunnleggende sikkerhetstiltak, og skal benyttes såfremt mulig. Dersom det ikke er mulig vil dette enten kreve ytterligere tiltak, eller sette sterke begrensninger for hvilke data systemet/tjenesten kan godkjennes for. Autentisering og bruk av multifaktor reguleres nærmere av egen retningslinje tilhørende dette kapitlet.

3. Sikring av data

Som hovedprinsipp skal UiTs data sikres gjennom adekvate rutiner for sikkerhetskopiering, og nærmere krav (omfang/bevaringstid) fastsettes som hovedregel gjennom risikovurderinger (se kapittel 4), sett i lys av hvilke krav som stilles til dataenes integritet og tilgjengelighet (se kapittel 3 om klassifisering og verdivurdering). Imidlertid skal all data som behandles i sentrale systemer underlegges sikkerhetskopiering som sikrer mot uønsket endring og sletting.


Operativ sikkerhet og systemforvaltning


Systemendringer med konsekvenser for sårbarhet og tilgangsstyring, og tekniske sikkerhetstiltak knyttet til grunnleggende og/eller viktig infrastruktur, enheter, systemer og tjenester ved UiT skal rapporteres til Operativt sikkerhetsteam (OST). Dette inkluderer tidsplan for tiltak, samt status på implementeringen. Slike tiltak vil typisk bli identifisert av systemeier gjennom risikovurderinger eller hendelser, men det kan også dreie seg om tiltak som OST identifiserer og beslutter at skal gjennomføres.

OST har også ansvaret for å utarbeide og vedlikeholde oversikt over planlagte, sentrale tekniske sikkerhetstiltak, og følge opp progresjonen av disse tiltakene gjennom året. Dette inkluderer tiltak som gruppen selv identifiserer som nødvendige. Gruppen kan legge ansvaret for tiltakene til de ulike enhetene på UiT, avhengig av tematikk. Se for øvrig kapittel 2 for beskrivelse av Operativt sikkerhetsteam.


Kapittel 7: Personellsikkerhet



Med et skjerpet sikkerhetsbilde forutsettes det at UiT holder seg oppdatert om trusselvurderinger fra nasjonale fagmyndigheter. Vi må ta i betraktning at ulike trusler og uønskede hendelser kan påvirke UiTs verdier. Alle enheter ved UiT skal prioritere risikoreduserende arbeid, og tiltak må iverksettes ut fra den enkeltes enhets aktivitet og verdier. 

Retningslinjen for personellsikkerhet og rutiner vil bli evaluert og revidert når UiT får erfaring med bruken av disse. Regelverket vil også måtte tilpasses og endres ut fra nasjonale krav og føringer. 

Fakulteter kan be om møter for gjennomgang og råd/veiledning ift. bruk av regelverket, i tillegg til råd i enkeltsaker.



Kapittel 8: Beredskap


I sak S 21/23 den 22. juni 2023 vedtok Universitetsstyret ny struktur for ledelsessystemet for sikkerhet, beredskap og personvern. Tidligere omfattet ledelsessystemet kun informasjonssikkerhet og personvern.

I løpet av høsten 2023 vil relevant internt regelverk og rutiner som omhandler beredskap samles her, men inntil videre finner du dette på de sidene hvor de tidligere har vært (krever innlogging).


Varsling til nødnummer ved ulykker eller kriser 


  1. Ring aktuelt nødnummer:
    • Brannvesen: 110
    • Politi: 112
    • Ambulanse: 113
  2. Varsle UiT internt via døgnkontinuerlig varslingsnummer:
    • 776 44444. UiT har døgnkontinuerlig beredskapsvakt som kan nås direkte på 480 32 524
    • Vaktselskap: 924 49 277

Nødnummer for hørselshemmede: Nød-SMS til 112. Da kommer du i kontakt med politiet, og får svar fra nærmeste operasjonssentral. Mobilnummeret ditt må være registrert hos nødetatene før du kan sende SMS til nødnumrene 112, (politi), 110 (brann) og 113 (ambulanse).

Beredskap ved UiT


UiT som beredskapsorganisasjon styres administrativt gjennom sentral beredskapsgruppe som ledes av universitetsdirektøren sammen med avdelingsdirektører. Ressurser hentes inn internt eller eksternt etter hendelse og krisens art. Ved større kriser blir ansatte og studenter informert via ulike kanaler som SMS, e-post og/eller digitale plattformer ved UiT.

Beredskapsorganiseringen ved UiT 

Egenberedskap


Øving er et sentralt element i all beredskap. Personlig beredskap er intet unntak. Tenker du igjennom hvordan du ville ha reagert om du havnet i en truende og/eller farlig situasjon, kan det hjelpe deg til å ta riktige valg under en reell hendelse. Aktuell informasjonen og e-læringer. 

Det kan være vanskelig å forberede seg på alle tenkelige situasjoner. Hver situasjon er unik, og det som fungerer ett sted, fungerer kanskje ikke et annet. Likevel er det noen generelle råd som kan være nyttige i planleggingen. Gjør deg kjent i lokalene og rømningsveier på ditt arbeids,-/studiested. Oppdater deg på forebyggende råd, veiledninger og opplæring ved ulike hendelser gjennom de ulike knappene på sikresiden.no Hensikten med sikresiden.no er å gi studenter og ansatte handlingskompetanse slik at vi vet:

  • hva vi selv kan gjøre i uønskede situasjoner
  • hvor vi kan få hjelp
  • hvordan vi kan bidra til å forebygge uønskede hendelser

Sikresiden.no lages av og for norske universiteter, høgskoler og forskningsvirksomheter. Mer enn 30 virksomheter i Norge er deltakere i sikresiden-samarbeidet, som er en sosial innovasjon. Websiden operasjonaliserer styrende dokumenter, slik at de skal "virke" ut i organisasjonen, ved at studenter og ansatte vet hva de bør gjøre når noe skjer, og hvordan de kan bidra forebyggende.

Se og Sikker hverdag - din beredskap Her finner du tips fra Direktoratet for samfunnssikkerhet og beredskap (DSB) om hvordan du kan bli bedre rustet til å takle litt større kriser og hendelser. Sammen er vi bedre forberedt.

 


Kapittel 9: Anskaffelser/vedlikehold/utvikling


I sak S 21/23 den 22. juni 2023 vedtok Universitetsstyret ny struktur for ledelsessystemet for sikkerhet, beredskap og personvern. Tidligere omfattet ledelsessystemet kun informasjonssikkerhet og personvern.

I løpet av høsten 2023 vil relevant internt regelverk og rutiner som omhandler <områdene> samles her, men inntil videre finner du dette på de sidene hvor de tidligere har vært.



Kapittel 10: Personvern


Personvern er en viktig menneskerettighet som blant annet skal sikre hensynet til den enkeltes personlige integritet og privatliv. Begrepet omfatter ikke kun vernet av privatlivets fred og personlig integritet, men også enkeltpersoners rett til å ha innflytelse på hvordan egne opplysninger brukes og spres. Det finnes flere ulike regelverk som skal ivareta dette, men de mest omfattende og grunnleggende er personopplysningsloven og personvernforordningen («GDPR») som regulerer bruken av personopplysninger. Eksempler på andre aktuelle lovverk er helseforskningsloven og helseregisterloven med forskrift, arbeidsmiljøloven med forskrift og en rekke annen særlovgivning. Ofte gjelder disse i tillegg til GDPR.

UiT behandler en omfattende mengde personopplysninger, i alle deler av virksomheten. Se nedenfor under «begreper» for en forklaring på hva en personopplysning er.

Ivaretagelsen av informasjonssikkerheten for personopplysningene er sentralt, men det følger også en rekke andre forpliktelser. Eksempelvis må man ha et lovlig grunnlag (behandlingsgrunnlag) for å behandle opplysningene (f.eks samtykke, rettslig forpliktelse, oppfyllelse av avtale mv), det er særskilte vurderinger knyttet til gjenbruk av opplysninger til nye formål samt at enkeltpersoners rettigheter skal ivaretas (slik som informasjonsplikt, rett til innsyn, sletting etc).

UiT behandler også personopplysninger om sårbare registrerte, og da stilles det skjerpede krav til vurderingen av hva som trengs for å gjøre dette på lovlig vis.

Dersom behandlingen innebærer en høy risiko for enkeltpersoner må det gjennomføres en personvernkonsekvensvurdering (DPIA) i tillegg til en risikovurdering, se ledelsessystemets kap. 4.

Gjennom ledelsessystemet generelt og dette kapitlet spesielt skal UiT sørge for at all behandling av personopplysninger oppfyller regulatoriske krav, og skjer på en forsvarlig og tillitsvekkende måte.


Sentrale begreper


Personvernforordningen (GDPR) benytter en rekke begreper, og de mest sentrale beskrives her.

Bruk av databehandlere


Det er en rekke forpliktelser som må oppfylles ved bruk av databehandlere:

  • Dersom UiT er behandlingsansvarlig, og skal bruke en databehandler:
    • Det skal foreligge enten en signert databehandleravtale eller et annet rettslig dokument som er bindende for databehandleren overfor UiT, som oppfyller kravene etter personvernforordningen
    • Ingen personopplysninger kan sendes eller gjøres tilgjengelig for databehandleren før avtalen eller tilsvarende er på plass
    • Risikovurdering skal være gjennomført i den grad det er påkrevd, se kap. 4.
    • Databehandleren må følges opp for å sikre at forpliktelsene etter avtalen overholdes.
  • Dersom UiT er databehandler for andre:
    • Det skal foreligge en signert databehandleravtale som oppfyller kravene etter personvernforordningen
    • Det er den behandlingsansvarliges plikt at slik avtale er på plass, men UiT skal ikke ta imot eller på annen måte behandle personopplysninger før denne avtalen er undertegnet
    • Sørge for at informasjon/data fra de ulike behandlingsansvarlige holdes tilstrekkelig adskilt (separert) fra hverandre og fra UiTs egne data, med mindre det foreligger saklige grunner til at dette ikke er påkrevd og GDPR fremdeles overholdes
    • Sørge for tilstrekkelig informasjonssikkerhet for data/informasjon som behandles på vegne av oppdragsgiver (behandlingsansvarlig), i tråd med det som er avtalt i databehandleravtalen.

Protokoll over behandlingsaktiviteter


UiT skal føre protokoll over alle behandlingsaktiviteter som involverer personopplysninger.

For aktiviteter hvor UiT er behandlingsansvarlig er denne protokollen todelt:

  • Forskningsprosjekter: protokoll føres av Sikt personverntjenester på UiTs vegne (Institusjonsportalen, tidl. meldingsarkivet)
  • Alle andre aktiviteter: En samlet protokoll, og hver enhet vedlikeholder sin del av protokollen. Enhetene skal oppnevne en kontaktperson som synliggjøres via uit.no/sikkerhet.

I tillegg skal det føres en protokoll over aktiviteter hvor UiT er databehandler. Disse meldes inn til enhetenes kontaktperson.

Overføring til eksterne og til utlandet


Overføring av personopplysninger ut av UiT omfatter mer enn at kopier sendes til en ekstern eller at data lagres i et datasenter hos en databehandler. Også fjerntilgang (eksempelvis gjennom support) regnes som en overføring, og dette er spesielt viktig å ha i mente dersom den som skal ha tilgang er utenfor EU/EØS. Dersom det er tale om opplysninger som kan være underlagt eksportrestriksjoner må dette tas særskilt hensyn til, og vurderes spesifikt.

  • Utlevering til eksterne

Dersom det skal overføres personopplysninger til eksterne (personer eller virksomheter) som ikke er databehandlere, må det foreligge et lovlig grunnlag for dette.

I mange tilfeller er utleveringen lovpålagt (f.eks til Lånekassen, Skatteetaten, innsynsbegjæringer etter deler av offentlighetsloven mv.). For tilfeller hvor utlevering ikke er lovpålagt skal UiT forsikre seg om at mottaker har tilstrekkelig behandlingsgrunnlag for sin behandling av personopplysningene.

Hvis utleveringen innebærer at personopplysningene behandles for nye formål, må UiT også vurdere om dette er tillatt gjenbruk etter GPDR.

  • Overføring til utlandet

Dersom personopplysninger skal overføres ut av Norge, enten til en databehandler eller andre behandlingsansvarlige, er det forskjellige regler som gjelder alt etter hvilket land/region det er tale om.

Det skilles mellom overføringer innenfor EU/EØS, og til land utenfor EU/EØS samt til internasjonale organisasjoner. Innenfor EU/EØS kreves ikke eget overføringsgrunnlag, mens de to sistnevnte tilfellene krever slikt grunnlag.

Det er her viktig å være oppmerksom på at

  • det er her kun tale om kravet til lovlig grunnlag for selve overføringen av opplysningene ut av Norge og til et annet land/internasjonal organisasjon. I tillegg må man alltid ha lovlig grunnlag for å overføre til den aktuelle mottakeren (eksempelvis en databehandleravtale), uansett om mottaker er i Norge, innenfor/utenfor EU/EØS eller er en internasjonal organisasjon.
  • også fjerntilgang fra utlandet (eksempelvis fra brukerstøtte) regnes som en overføring i denne sammenheng

Kapittel 11: IKT-ressurser og brukere


Gjennom ledelsessystemet generelt og dette kapitlet spesielt skal UiT sørge for at sikkerhet og personvern ivaretas når UiTs IKT-ressurser benyttes. Ivaretagelsen av sikkerhet er ikke mulig uten god sikkerhetskultur, og denne bygges ved at alle er kjent med og bevisst på sitt ansvar.

Dette kapitlets målgruppe er alle brukerne av UiTs IKT-ressurser (ansatte, studenter, gjester og andre). Gjennom reglement, retningslinjer og rutiner forankret i dette kapitlet reguleres det hvordan IKT-ressursene skal benyttes, og hvilke forpliktelser og sikkerhetstiltak brukerne må følge, se nedenfor. UiTs IKT-ressurser skal styrke og understøtte UiTs virksomhet, og bruken skal være i overensstemmelse med dette. Systemer og tjenester skal kun benyttes til den type data de er godkjent for, se tabell nedenfor.

Reglement, retningslinjer og rutiner rettet mot de som skal kjøpe inn, utvikle eller forvalte IKT-ressursene finnes i kapittel 6 (digital sikkerhet).

Bruk godkjente systemer og tjenester
UiT har en rekke systemer og tjenester som kan og skal benyttes til behandling av UiTs data. Det er ikke tillatt å behandle UiTs data i private tjenester (slik som f.eks brukerens private/personlige abonnement på OneDrive, iCloud, Google Drive, DropBox osv).

Imidlertid er det ikke slik at alt av UiTs systemer og tjenester er godkjent for alle typer data. I tråd med ledelsessystemet kapittel 3 skal all informasjon klassifiseres i henhold til krav til konfidensialitet, integritet og tilgjengelighet. Gjennom risikovurderinger besluttes det hvilket nivå de ulike tjenestene og systemene er godkjente for, samt eventuelle forutsetninger for godkjenningen.

Faggruppe for informasjonssikkerhet og personvern skal vedlikeholde en tabell på uit.no/sikkerhet over tjenester/systemer som har fått fastsatt godkjenning i henhold til kapittel 3. Denne oppdateres fortløpende etter hvert som systemeier rapporter inn enten nye systemer/tjenester med tilhørende godkjenningsnivå, eller endringer i godkjenninger eller forutsetninger.



Kapittel 12: Internasjonalt samarbeid og eksportkontroll


I sak S 21/23 den 22. juni 2023 vedtok Universitetsstyret ny struktur for ledelsessystemet for sikkerhet, beredskap og personvern. Tidligere omfattet ledelsessystemet kun informasjonssikkerhet og personvern.

I løpet av høsten 2023 vil relevant internt regelverk og rutiner som omhandler internasjonalt samarbeid og eksportkontroll samles her, men inntil videre finner du dette på de sidene hvor de tidligere har vært.



Kapittel 13: Internkontroll og -revisjon


(I sak S 21/23 den 22. juni 2023 vedtok Universitetsstyret ny struktur for ledelsessystemet for sikkerhet, beredskap og personvern. Tidligere omfattet ledelsessystemet kun informasjonssikkerhet og personvern. Det innebærer også utvidelse av enkelte eksisterende kapitler, inkludert dette. Det vil derfor bli revidert i løpet av høsten 2023.)

Formålet med kontrollaktiviteter er å kunne vurdere i hvilken grad de etablerte tiltakene er tilstrekkelige og effektive for å sikre etterlevelse av relevant regelverk og overordnede føringer. Gjennom kontrollerende aktiviteter vil det kunne avdekkes forbedringsområder knyttet til eksisterende tiltak og identifiseres eventuelle ytterligere tiltak som bør iverksettes.

UiTs kontrollaktiviteter innenfor informasjonssikkerhet og personvern vil bestå av både faste aktiviteter som gjennomføres jevnlig, samt aktiviteter som gjennomføres ved behov. Eksempel på faste aktiviteter er den årlige statusrapporten samtlige enheter leverer med kartlegging av informasjonsverdier samt egenvurdering av tilstanden på enheten.

De nærmere kontrollaktivitetene reguleres av retningslinje for UiTs kontrollaktivitet innenfor informasjonssikkerhet og personvern, som fastsettes av IT-direktør. Denne skal både inneholde en oversikt over de faste kontrollaktivitetene, samt regulering av type aktivitet som gjennomføres ved behov, herunder hvem som kan beslutte iverksettelse. Videre vil også krav til dokumentasjon tilknyttet de ulike aktivitetene reguleres av retningslinjen og eventuelle tilhørende rutiner.

 

Internrevisjon

Internrevisjon av ledelsessystemet for informasjonssikkerhet og personvern skal gjennomføres ved behov, og som hovedregel ikke sjeldnere enn hvert femte år.



Kapittel 14: Håndtering av hendelser og avvik


(I sak S 21/23 den 22. juni 2023 vedtok Universitetsstyret ny struktur for ledelsessystemet for sikkerhet, beredskap og personvern. Tidligere omfattet ledelsessystemet kun informasjonssikkerhet og personvern. Det innebærer også utvidelse av enkelte eksisterende kapitler, inkludert dette. Det vil derfor bli revidert i løpet av høsten 2023.)

Avvik er brudd på lover, forskrifter eller interne bestemmelser på UiT. Innmeldte avvik og håndteringen av disse er en sentral kilde for å både vurdere sikkerhetsnivået ved de enhetene der avvik inntreffer samt for UiT sett under ett, og gjennom dette avdekke behov for nye eller justere eksisterende sikringstiltak. Avvikshåndtering handler således om kvalitet og forbedring, i tillegg til skadebegrensning.

I denne sammenheng kan avvik og hendelser være av sikkerhetsmessig art, og/eller brudd på personvernlovgivningen.


Eksempler på hendelser og avvik:

  • tyveri av datautstyr
  • misbruk av IT-tjenester
  • misbruk av passord
  • fakturasvindel
  • dataangrep
  • datalekkasje
  • løsepengevirus
  • svakheter i IT-systemer
  • brudd på eller manglende rutiner ved UiT
  • fortrolig informasjon på avveie
  • uautorisert tilgang til opplysninger
  • bruk av databehandler uten tilstrekkelig avtale
  • innsamling av personopplysninger utover det man hadde legitim bruk for (brudd på dataminimeringsprinsippet)
  • behandling av personopplysninger uten lovlig grunnlag, herunder viderebehandling til nye formål uten at man har lovlig adgang til dette


Melding og håndtering av hendelser og avvik

Den som oppdager, eller blir gjort oppmerksom på, hendelser og avvik (heretter «avvik») skal rapportere dette til Faggruppe for informasjonssikkerhet og personvern (“faggruppen”) så snart som mulig. Praktisk fremgangsmåte for melding av avvik fastsettes av faggruppen, og beskrives på uit.no/sikkerhet.

Faggruppen undersøker årsakene til avviket og behov for korrigerende tiltak. Ansvaret for planlegging og gjennomføring av korrigerende tiltak vil normalt sett ligge til den enheten hvor avviket oppsto, men det ligger til faggruppen å beslutte hvordan avviket skal håndteres. Faggruppen har myndighet til å involvere de personellressurser som er nødvendig for å få fulgt opp og lukket et avvik.

Faggruppen skal føre en samlet oversikt over alle avvik som er meldt inn. Disse skal blant annet inngå i ledelsens gjennomgang, og benyttes for læring på tvers i organisasjonen for å hindre gjentakelse.

Ved større avvik og/eller avvik hvor det er aktuelt å melde hendelsen til Datatilsynet vil faggruppen rutinemessig orientere ledelsen ved aktuell enhet om saken.

 

Melding til Datatilsynet

Ved avvik som innebærer brudd på personopplysningssikkerheten skal UiT som behandlingsansvarlig melde fra til Datatilsynet uten ugrunnet opphold og, når det er mulig, senest 72 klokketimer etter å ha fått kjennskap til avviket, med mindre det er lite trolig at bruddet vil medføre en risiko for fysiske personers rettigheter og friheter. Det er derfor svært viktig at avvik meldes via avvikssystemet til UIT så raskt som mulig. Hvis man ikke har all informasjon så sendes det en foreløpig melding via avvikssystemet, som deretter kompletteres mens avvikshåndteringen pågår.

Melding til Datatilsynet skal gå via Faggruppe for informasjonssikkerhet og personvern (“faggruppen”); enhetene skal ikke sende inn slik melding selv.

Dersom faggruppen vurderer det dithen at meldeplikten er inntruffet har de myndighet til å sende meldingen til Datatilsynet på vegne av UiT. IT-direktør fastsetter om hele eller deler av faggruppen skal ha slik myndighet. Orientering om slike saker skal alltid oversendes universitetsledelsen ved administrasjonsdirektør. Dersom sakens karakter tilsier det skal administrasjonsdirektør aktivt involveres i håndteringen av saken, herunder utarbeidelse av meldingen, fra et så tidlig tidspunkt som mulig.

Personvernombudet skal alltid orienteres om meldinger til Datatilsynet. Så langt som det er mulig, skal personvernombudet bli orientert om saken og få tilgang til avviksmeldingen før den sendes. Hvis sakens art tilsier det skal personvernombudet involveres direkte i håndteringen av avviket fra et så tidlig tidspunkt som mulig. Personvernombudet har imidlertid alltid anledning til å aktivt involvert seg i håndteringen av alle avvik som innebærer brudd, eller potensielle brudd, på personopplysningssikkerheten. Faggruppen skal konferere med personvernombudet før beslutning fattes dersom vurderingen tilsier at meldeplikten ikke inntrer.

Les mer om innmelding av avvik her


Kapittel 15: Ledelsens gjennomgang


(I sak S 21/23 den 22. juni 2023 vedtok Universitetsstyret ny struktur for ledelsessystemet for sikkerhet, beredskap og personvern. Tidligere omfattet ledelsessystemet kun informasjonssikkerhet og personvern. Det innebærer også utvidelse av enkelte eksisterende kapitler, inkludert dette. Det vil derfor bli revidert i løpet av høsten 2023.)

Ivaretagelse av informasjonssikkerhet og personvern er et lederansvar. Det er universitetsledelsen som har det øverste ansvaret for å sikre at UiT ivaretar pålagte krav til informasjonssikkerhet og personvern, og som skal sikre at ansatte og studenter har tilstrekkelig kompetanse.

Som bistand til ledelsen skal det årlig utarbeides en rapport som gjennomgår arbeidet med informasjonssikkerhet og personvern. Denne inngår i årsrapport om informasjonssikkerhet og personvern ved UiT, og fremmes Universitetsstyret i løpet av første kvartal påfølgende år. Rapporten utarbeides av Faggruppe for informasjonssikkerhet og personvern. Personvernombudet utarbeider egen årsrapport som fremmes Universitetsstyret i separat sak. Så langt som mulig legges ombudets årsrapport frem for styret i samme møte som årsrapport for informasjonssikkerhet og personvern.


Ledelsens gjennomgang skal omhandle

  • avvik og hendelser, herunder eventuelle trender som det bør rettes særskilt oppmerksomhet mot
  • risikobildet for UiT
  • resultater/oppfølging av kontrollaktiviteter
  • resultater/oppfølging av internrevisjon, dersom aktuelt
  • tilstand for risikohåndtering ved UiT
  • status på vedtatte tiltak fra forrige gjennomgang
  • behov for justeringer av ledelsessystemet
  • ressurs- og kompetansebehov, herunder om det foreligger særlige behov for kommende år

 

I tillegg til denne faste, årlige rapporteringen skal det gjennomføres møter med ledelsen ved behov; eksempelvis dersom risikobildet endrer seg, kontrollaktiviteter eller hendelser avdekker problemstillinger og situasjoner som ledelsen aktivt må involveres i, og lignende.

 

Oppfølging av årsrapporten i de enkelte enhetene ved UiT

I tillegg til toppledelsen ved UiT har ledelsen ved de enkelte enhetene et betydelig ansvar i ivaretagelsen av informasjonssikkerhet og personvern.

 

Enheter med eget styre

Etter at rapporten har vært behandlet i Universitetsstyret skal den legges frem i styrene for de enkelte enhetene på UiT. Saken for enhetsstyrene skal i tillegg til årsrapporten også ta opp særskilte problemstillinger og forbedringsområder for egen enhet. Det er ledelsen på den aktuelle enheten som har ansvaret for utarbeidelsen og fremleggingen av saken for eget styre. Faggruppe for informasjonssikkerhet og personvern skal ha tilgang til styresaken.

 

Administrative avdelinger under universitetsledelsen

Etter at rapporten har vært behandlet i Universitetsstyret skal den oversendes alle avdelinger i fellesadministrasjonen («nivå 1»). Disse skal behandle den i sine interne ledermøter, hvor det også skal tas opp særskilte problemstillinger og forbedringsområdet for egen enhet. Avdelingsdirektør har ansvaret for utarbeidelsen og fremleggingen av saken for ledermøtet, og gjennomgangen skal dokumenteres. Faggruppe for informasjonssikkerhet og personvern skal ha tilgang til denne dokumentasjonen.

Såfremt mulig legges også personvernombudets årsrapport frem for enhetsstyrene og de administrative avdelingene, og behandles da i samme sak som årsrapport for informasjonssikkerhet og personvern.


Opplæring skal bidra til å bygge en god sikkerhetskultur ved UiT. Den skal bevisstgjøre ansatte og studenter om betydningen av informasjonssikkerhet og gjøre dem i stand til å etterleve UiTs sikkerhetspolicy i sitt daglige virke. Opplæring i informasjonssikkerhet må derfor tas inn som en naturlig del av opplæringen av studenter og ansatte på alle nivå i organisasjonen. Systemeiere er spesielt ansvarlig for opplæring i sine respektive systemer.

Ledere har et overordnet ansvar for at nødvendig informasjon blir gitt til de ansatte, og at det blir satt av tid og ressurser til opplæring. For å sikre at dette ansvaret blir ivaretatt skal informasjonssikkerhet inngå i UiTs lederopplæring. Videre skal administrasjonsdirektøren sørge for at informasjonssikkerhet tas opp som tema i egnede lederfora minst en gang i året.

Informasjon om informasjonssikkerhet ved UiT skal være lett tilgjengelig for alle via universitetets nettsider og andre relevante kanaler.

Alle som er tildelt sentrale roller og oppgaver i sikkerhetsarbeidet skal gis spesiell opplæring. Eksterne kurs, seminarer og deltakelse i relevante nettverk er viktig for å sikre utveksling av informasjon og øke kompetansen hos denne gruppen ansatte.

Informasjonssikkerhet og personvern skal være en naturlig del av all internopplæring, i det omfang som er nødvendig for tematikken man læres opp i. I tillegg finner du mye informasjon på denne siden, og vi forsøker oppdatere denne jevnlig med aktuelle tema. I forbindelse med nasjonal sikkerhetsmåned lager UiT egne kurs for informasjonssikkerhet. 

Det er viktig at alle enhetene har nærmere rutiner for hvordan informasjonssikkerhet håndteres på sin enhet. F.eks håndtering av utskrifter av fortrolig informasjon, prosedyrer for gjennomføring og godkjenning av risikovurderinger mv. – tilpasset deres enhet.

På denne siden vil vi legge ut endel veiledninger og infofrmasjon om hva du må være oppmerksom på. 






Sikker digital arbeidshverdag


Her vil det bli samlet endel informasjon du trenger for å kunne jobbe så sikkert som nødvendig i din jobb på UiT.


Jobbe hjemmefra


Det er flere som jobber hjemmefra nå enn før. Det er svært viktig at personvernet og informasjonssikkerheten fremdeles ivaretas, og her har du et viktig ansvar.

UiT forvalter store mengder forskningsdata samt personopplysninger om ansatte, studenter, forskningsdeltakere, gjester, samarbeidspartnere og andre i tillegg til øvrig informasjon som er av stor betydning for virksomheten. Svikt her kan føre til stor skade både for UiT og for enkeltpersoner. Ivaretagelsen av informasjonssikkerhet og personvern er ditt ansvar, og oppfylles ved at du utviser aktsomhet, følger lover, retningslinjer og rutiner samt sier ifra dersom du oppdager eller opplever uønskede hendelser.

Hvis det er flere i husstanden må du huske på at taushetsplikten din også gjelder overfor dem. Dette kan lett glippe dersom papirer ligger fremme, PC-en står ulåst eller lånes bort til barna, videomøter (f.eks Teams) gjennomføres med andre til stede i rommet mv.

Vi minner derfor om noen kjøreregler som alle må være oppmerksomme på (disse gjelder forøvrig alltid når du jobber hjemmefra, ikke bare i vår):

Grunnregler

  • Arbeid med røde/fortrolige og svarte/strengt fortrolige data skal kun skje på UiT-eid utstyr.
  • Du skal alltid bruke multifaktorautentisering (MFA) hvor dette er mulig. Dette øker sikkerheten og minsker risikoen for at andre kan få tilgang til innholdet ditt. 
  • Husk at du må sørge for at utstyret du har holdes oppdatert. Sikkerhetsoppdateringer er et viktig ledd i informasjonssikkerhetsarbeidet.
  • Vær særlig oppmerksom når du benyttes trådløse hjemmenettverk. Husk å sikre det, og bruk VPN.
  • Papirer og notater skal oppbevares slik at andre i husstanden ikke kan lese dem.
  • UiT-eid utstyr slik som datamaskiner og nettbrett skal ikke lånes bort til andre i husstanden, inkludert barn.
    • Dette er ikke bare fordi de kan få innsyn i fortrolig informasjon, men de kan også ved et uhell slette eller dele informasjon.
    • Videre ønsker vi å minimere risikoen for at din maskin får skadevare på seg (som kan stjele eller ødelegge informasjon, f.eks via kryptovirus), og ett av tiltakene for dette er at kun du bruker jobbmaskinen og da kun i jobbsammenheng.
  • Private skytjenester (slik som f.eks Dropbox) skal ikke benyttes
  • Skjermen skal låses når du forlater den, selv om det er for en kort periode, hvis det er andre hjemme.
    • Lær deg hurtigtast «Win+L» for kjapt og lett kunne låse skjermen:
    • På UiTs PCer kan du aktivere PIN-kode slik at du slipper taste inn passordet hver gang du skal låse opp skjermen. Har du en nyere PC kan det også tenkes at ansiktsgjenkjenning kan benyttes.

 

Videomøter

Kommunikasjonsløsninger som Teams, Zoom mv blir benyttet i utstrakt grad til møter, undervisning mv. Ofte diskuteres det fortrolige tema (spesielt i møter), og det er da viktig at du er oppmerksom på dine omgivelser. Dette gjelder også i undervisningssituasjonen, f.eks når seminarer og veiledningssamtaler avholdes. Studenter forventer å stille spørsmål og dele sine synspunkter med deg, og ikke deg pluss din nærmeste familie. Vær derfor oppmerksom på følgende:
 
  • Dersom det er andre til stede i rommet skal hodetelefoner benyttes
    • Vi anbefaler dette uansett da det gir langt bedre lydkvalitet og reduserer bakgrunnsstøy
  • Vær oppmerksom på hva du sier dersom det er andre til stede i rommet
    • Vi minner om taushetsplikten

 

VPN

Med mindre du skal nå tjenester som krever at du er på UiTs nett (slik som Ephorte, PAGA, hjemmeområdet mv) så behøver du ikke være tilkoblet VPN.
 
Kommunikasjon med Office 365 (e-post, onedrive, sharepoint, teams mv) er kryptert og det er derfor ikke nødvendig med VPN.
 
  • Grunnet det store antallet som nå jobber utenfor campus ber vi om at du ikke er tilkoblet VPN dersom det ikke er nødvendig.
  • Det kan tenkes at VPN kreves for å få visse oppdateringer til datamaskinen din. Vi vil legge ut ny beskjed både på denne siden og gjennom driftsmelding dersom du må foreta deg noe, og isåfall hvordan du gjør det.
    • Dette gjelder ikke alt av oppdateringer, f.eks vil oppdateringer fra Microsoft (Windows/Office) gå som normalt.  

Hvordan unngå svindel og angrepsforsøk


Erfaringer fra Norge og verden for øvrig viser at kriminelle aktører allerede forsøker å utnytte de omveltninger som koronautbruddet har medført. Det er et massivt behov for informasjon, ansatte arbeider på andre lokasjoner enn vanlig (slik som f.eks hjemme), etter andre rutiner og det er en hurtig utvikling og informasjonsutveksling om hvordan dette skal gjøres. Uærlige aktører forsøker derfor å utnytte dette for å bryte seg inn i IT-systemer, stjele personlig informasjon, begå økonomisk kriminalitet mv.

Det er derfor særlig viktig å være aktsom i denne perioden da vi vet at UiT kan bli utsatt for målrettede angrep. Dette behøver ikke være «IT-angrep» hvor noen prøver å bryte seg inn i systemer gjennom hacking, men kan vel så gjerne være såkalt «sosial manipulasjon» hvor noen utgir seg for å være en person, bedrift eller organisasjon for å skape tillit og få deg til å gi fra deg eller endre informasjon eller tilganger. De kan også forsøke å få deg til å installere ondsinnede programmer («skadevare»), som igjen gjør at de får direktetilgang til maskinen din og muligens videre inn i de systemene, lagringstjenestene etc som du har tilgang til på UiT.

Vi vil derfor gjennomgå noen av de tingene du må være særlig oppmerksom på. Disse rådene skiller seg i bunn og grunn ikke fra de som gjelder ellers også, men som nevnt så kan vi forvente at det blir ekstra aktivitet i denne tidsperioden. Mange av eksemplene går derfor direkte på COVID-19/Korona.

E-post

  • Vi kan forvente at phishingangrep vil øke i omfang.
    • Lurer du på hva phishing er og hvordan oppdage det? Se denne leksjonen UiT lagde i forbindelse med nasjonal sikkerhetsmåned.
  • Vær ekstra årvåken hvis du mottar eposter relatert til korona fremover.
    • Det vil selvsagt også komme legitime eposter knyttet til korona, men se nøye an innhold, kontekst og avsender. For info om hvordan du sjekker om eposten er legitim, se linken i punktet ovenfor.
      • Dette er vaner og kunnskap som er nyttig og viktig også ellers, både i jobbsammenheng og privat.
    • «Uekte» eposter vil ofte forsøke å
      • spille på frykt,
      • rette seg mot økonomiske interesser (slik som "oppdatert leveringsinfo", "endret betalingsinformasjon"),
      • forsøke å skape hastverk hos mottaker
        • "viktig!", "responder umiddelbart", "hurtig avklaring behøvd" etc.
      • utgi seg for å være en offisiell- eller myndighetsorganisasjon (slik som WHO, FHI etc) eller arbeidsgiver, og oppfordrer til å iverksette umiddelbare tiltak
        • UiT vil gi beskjeder om tiltak via uit.no/korona. Det kan bli sendt oppdateringseposter, men informasjonen i disse vil gjenspeiles på uit.no/korona eller i de offisielle driftsmeldingene. Finner du det ikke der og e-posten ber deg logge inn et sted, åpne et vedlegg, installere et program? Gå en ekstra runde for sjekk av innholdet før du foretar deg noe. 
          • Spør leder eller kollega om dette er reelt hvis du er i tvil
        • WHO sender ikke ut eposter som ber deg logge inn for tilgang til informasjon, vedlegg som du ikke har bedt om eller informasjon på sider utenfor domenet www.who.int.
      • få deg til å klikke på/åpne ondsinnede lenker eller vedlegg
        • Forventer du ikke å motta den eposten? Sjekk om den er reell, se punktet om phishingangrep ovenfor

Fremdeles usikker? Send spørsmål om eposten til sikkerhet@uit.no.

Mer informasjon:

 

SMS

Det har vært tilfeller i Norge hvor ansatte har mottatt en SMS som utgir seg for å være fra ledelsen. Her blir de bedt om å installere et gitt verktøy for å forenkle kommunikasjon mens de har hjemmekontor. Dette var svindelforsøk, og «verktøyet» var skadevare.
  • UiT vil ikke gi denne typen informasjon via SMS.

Eksempel:

 

Telefon

Det kan også være at du blir oppringt av svindlere.
  • Eksempelvis vil «Microsoft» gjerne bli ekstra aktiv i disse dager, hvor svindlere ringer og utgir seg for å være fra Microsoft (av og til sier de at de ringer fra Windows) og har oppdaget at du har et problem med maskinen som de skal hjelpe til med. Microsoft vil ikke ringe deg med slikt så legg på hvis du får slike telefoner.
    • Telefonnummeret de ringer fra kan være et norsk nummer, et utenlandsk ett eller et som er verken eller (bare en samling tall). Dette fordi de skjuler sitt reelle nummer og utgir seg for å være noen andre. De som eier ev. reelle nummer som benyttes har ingenting med saken å gjøre, de er ikke hacket e.l. (svindlerne har bare valgt et nummer og så utgir de seg for å være det). 
    • Dersom du har gjort som de ba om, enten helt eller delvis, si ifra via sikkerhet@uit.no med en gang og så hjelper vi deg.

 

Nettsider

Det opprettes en rekke falske nettsider rettet mot den situasjonen samfunnet er i
  • Det har blant annet forekommet tilfeller hvor det er laget falske «coronavirus map» som gir seg ut for å ha «live» informasjon om spredningen. I realiteten var det skadevare.
    • Disse sidene bygger gjerne på informasjon og utseende til reelle sider og kan være krevende å avsløre
  • «Fake news» er en tilbakevendende problemstilling, også i denne situasjonen. Vær årvåken og utøv kildekritikk.

Eksempel:

 

Mer informasjon/kilder

Her er noen linker til mer informasjon. Vær oppmerksom på at rådene til arbeidstaker/bruker som står i disse er generelle. I jobbsammenheng skal du forholde deg til rådene gitt av UiT.
 
Synes du noe skurrer? Ta kontakt på sikkerhet@uit.no så tar vi en prat om det.
 

Private data og tjenester


Med "private data" menes ikke-arbeidsrelaterte data. Det vil si dine egne, private data som ikke har noen tilknytning til UiT. Eksempelvis familiebilder.

Fra og med 15. oktober 2022 er det ikke tillatt å

  • bruke UiTs tjenester til å lagre private data, eksempelvis OneDrive eller Box. 
    • Lurer du på hvordan du flytter dine private filer ut av f.eks OneDrive? Se denne videoen for en gjennomgang.
      • UiT har tidligere laget en veiledning for hvordan flytte ut private data fra OneDrive hvis man slutter på UiT. Den praktiske fremgangsmåten vil være den samme i denne situasjonen så denne veiledningen kan derfor også være til nytte.
  • bruke UiT e-post til private formål, eksempelvis som kontaktadresse mot private foreninger, offentlige myndigheter (dvs kontakt som ikke er jobbrelatert) eller annen privat kommunikasjon

Det er selvsagt tillatt (og påkrevd) å bruke UiTs tjenester, inkludert e-post, til all korrespondanse og filer som har tilknytning til din jobb på UiT.

  • Slik som kontakt med NAV på vegne av UiT som arbeidsgiver, håndtering av dine forskningsdata mv. Alt dette skal skje via UiTs systemer og tjenester (som før).

UiT kan dessverre ikke gi noen konkrete anbefalinger av leverandører av enten e-post eller lagringsløsninger. Dette fordi avtalene ikke går gjennom universitetet, og UiT kan ikke ta det ansvaret. 

Det finnes mange artikler fra ulike nettsteder og nettaviser som tar en gjennomgang av de mest brukte e-postleverandørene og lagringsløsningene. Her er noen eksempler:

Det UiT kan anbefale er at uansett hvilken leverandør du velger så bør du ikke gjenbruke passord, samt at du bør aktivere tofaktor også på dine private tjenester. Dette fordi passordlekkasjer er hyppige (dvs at f.eks en nettjeneste blir angrepet og de får tak i ditt passord) eller at passordet ikke er tilstrekkelig sterkt (så de kan finne ut av det). Tofaktor vil gjøre det mye vanskeligere for uærlige aktører å faktisk få tilgang til dine private data.

  • Særlig om e-post og automatisk videresending

Fra samme dato som ovenfor (15.10.22) vil muligheten for automatisk videresending av e-post fra din UiT-konto til eksterne kontoer (slik som andre virksomheter, leverandører som f.eks gmail osv) bli stengt.

Dette er av sikkerhets- og personvernmessige årsaker. Når e-post videresendes automatisk foretas det ingen sjekk av innholdet, og UiT har da ikke den nødvendige kontrollen med hvor dataene befinner seg.

Merk: det er selvsagt lov å videresende enkelt-eposter når andre har behov for dem, akkurat som man gjør i dag. Det er automatisk videresending (av all e-post) som stenges.

Dette gjelder både for ansatte og studenter.

  • Særlig om private tjenester og UiTs data

UiTs data skal kun behandles på tjenester som UiT har avtale med. Det innebærer at det ikke er tillatt for deg å behandle UiTs data gjennom dine private tjenester (slik som lagring i ditt private iCloud-abonnement, din egen DropBox-konto osv.). Mange av disse tjenestene som man ofte har privat har også UiT avtale med, og da kan og skal du selvsagt bruke dem til UiTs data -- men husk at du må bruke din UiT-konto og ikke din private.

På reise


Sommerhilsen fra ITA - sikkerhet på ferie og reiser

Mange av oss reiser nå på ferie i inn- og utland, og tar med oss mobil- og datautstyr med UiTs tjenester som epost, Teams og lignende. Tjenesten Digital arbeidshverdag ved UiT vil minne deg på noen regler og gi deg noen tips for en trygg og sikker digital ferie, både for din egen og UiTs sikkerhet:

  • Hvis du reiser på ferie/privatreise til land som anses å ha forhøyet sikkerhetsrisiko kan du ikke være pålogget UiTs tjenester fra privat utstyr, eller ta med ditt vanlige UiT-utstyr.
  • Ha en sterk pin-kode eller passord på mobiltelefonen og nettbrett.
    • Husk at mobiltelefonen er nøkkelen til det meste av informasjon og tilganger, både privat og på jobb.
    • Skjul pin-kode/mønster fra de som står rundt.
  • Ha alltid kontroll på mobiltelefon og annet verdifullt utstyr. Hotellrommet, inkludert hotellsafen er ikke tilstrekkelig trygg.
  • Unngå å bruke åpne WiFi-nettverk på flyplasser, hoteller, kafeer, og lignende. Bruk heller mobildata.
  • Ha sikkerhetskopi/skykopi av informasjon på mobil/nettbrett slik at denne ikke går tapt om enheten blir stjålet eller ender i vannet.
  • Husker du alle passord som må til dersom du må kjøpe deg en ny enhet?
    • Sett opp tofaktor (MFA) på alle kontoer knyttet til skylagring og sosiale nettverk.Pass på at du enten har backup av tofaktor-løsningen eller alternative koder. Det blir vanskelig å få tilbake epost, instagram, facebook, amazon osv dersom tofaktor-kodene kun finnes på mobilen som nå ligger på bunnen av ei elv.
    • Les mer om tofaktorautentisering på ITAs hjelpesider.
  • Ikke ta imot USB-minnepinner fra andre.

Vi ønsker deg en trygg digital ferie og en riktig god sommer med påfyll av gode opplevelser!


Klassifisering av informasjon


Klassifisering av informasjon er sentral for å kunne vite hvordan man skal behandle denne, f.eks hvilke IT-tjenester som kan brukes og om det må særskilte sikkerhetstiltak til. 

På UiT er klassifisering av informasjon regulert gjennom ledelsessystemet for informasjonssikkerhet og personvern (kapittel 3). Vi anbefaler alle å lese denne, men har også laget et kortere utdrag for å gi en rask oversikt og innføring i hva klassifisering innebærer.

Lurer du på hvilke IT-systemer/tjenester du kan bruke til hvilke data? Se tabellen på denne siden

I menyene nedenfor finner du informasjon om eierskap og vurderinger, samt informasjon om de tre aspektene som må håndteres for å ivareta informasjonens sikkerhet:

  • Konfidensialitet (informasjonen skal ikke bli kjent for uvedkommende)
  • Integritet (informasjonen skal ikke kunne endres ved et uhell eller av uvedkommende)
  • Tilgjengelighet (informasjonen skal være tilgjengelig når det er behov for den)

Eierskap og vurderinger


All informasjon og data ved UiT skal ha en eier. Dette skal være en organisatorisk enhet (f.eks et fakultet), en rolle (f.eks prosjektleder, instituttleder, avdelingsdirektør, faggruppeleder mv.) eller arbeidsprosess (f.eks anskaffelsesprosessen, eksamen, opptak mv.). 

Eier er ansvarlig for å sikre at

  • informasjonen er plassert i riktig klasse
  • informasjonen er vedlikeholdt, oppdatert og korrekt merket
  • vurdere om forutsetningene endrer seg og man må bytte klasse
    • dette kan være at beskyttelsesbehovet endrer seg (f.eks eksamener avholdt og eksamensoppgaven er ikke lenger fortrolig), eller at de formelle kravene endrer seg
  • sikre at informasjonen behandles i systemer og tjenster og er godkjent for dette (se egen oversikt over godkjente systemer/tjenester)
    • Dette kan eksempelvis gjøres gjennom retningslinjer, rutiner eller instrukser

Informasjonen skal alltid plasseres i tilstrekkelig sikker klasse. Hvis du er i tvil om hvilken klasse informasjonen tilhører så velger du den strengest av de to klassene du vurderer. For enkelte typer informasjon har UiT satt krav til minimumsklasser (eksempelvis er taushetsbelagt informasjon alltid minimum røde/fortrolige data). 

Konfidensialitet


Ivaretagelse av konfidensialitet innebærer at uvedkommende ikke skal bli kjent med informasjonen.

Hvor strenge krav som stilles til ivaretagelsen av konfidensialiteten beror på type informasjon. Klassifiseringen er derfor avgjørende for å både kunne ta beslutninger rundt hvordan informasjonen skal behandles (f.eks hvilke IT-tjenester som er tillatt brukt) samt informere andre enn eier om hvordan de skal behandle informasjonen. 

Ved UiT har vi, i likhet med de fleste institusjonene i universitets- og høyskolesektoren, fire klasser for konfidensialitet. 

Når du merker informasjon med disse klassene skal det gjøres på en av to måter:

  • kun fargekoden, eller
  • fargekode i kombinasjon med benevnelsen (f.eks grønn/åpen, gul/intern osv). 

Det aller meste av UiTs informasjon er grønn, gul eller rød. 

Vær særlig oppmerksom på følgende:

  • UiT kan ha bestemt at enkelte typer informasjon skal plasseres i konkrete klasser, og dette vil overstyre den enkelte informasjonseiers vurderinger. Eksempelvis skal taushetsbelagt informasjon alltid plasseres i minimum rød kategori. 
  • Hvis f.eks et dokument inneholder informasjon med ulik klassifisering, skal hele dokumentet vurderes som den strengeste, aktuelle klassen
  • Det kan være slik at informasjon skal vurderes til en gitt klasse i en bestemt tidsperiode, for deretter å bli nedjustert.
    • Eksempelvis vil eksamensoppgaver typisk være vurdert som røde data inntil eksamen er gitt, og deretter som grønne data
  • Sammenstilling av informasjon kan medføre at resultatet må vurderes strengere enn de enkelte delene. 
    • Eksempelvis har du innhentet informasjon som hver for seg er f.eks vurdert som gule data, men når du setter dem sammen så må de vurderes som røde data.

Eier av IT-system/-tjenester må vurdere hvilke av konfidensialitetsklassen det aktuelle systemet oppfyller, og må synliggjøre dette overfor brukerne på UiT via tabellen over "godkjente systemer og tjenester".

Her finner du mer informasjon om hver av disse fire klassene, og hvordan du vurderer hvilken klasse din informasjon tilhører.

Integritet


Ivaretagelse av informasjonens integritet innebærer at den skal beskyttes mot uautoriserte endringer. Dette kan f.eks være endringer som skjer ved et uhell eller av uvedkommende.

Selv om det aldri er ønskelig at informasjon skal endres utilsiktet eller av uvedkommende, vil det være store forskjeller på hvor skadelig slike endringer kan være. Det er derfor viktig å ta stilling til skadepotensialet, hvilke risikoer UiT løper hvis slike endringer skjer, og dermed også sette rammene for hvordan informasjonen skal beskyttes.

Informasjonseier må vurdere hvilke krav som stilles til sin informasjon.

Eier av IT-system/-tjenester må vurdere hvilke av integritetsklassene det aktuelle systemet oppfyller, og må synliggjøre dette overfor brukerne på UiT. 

Ved UiT har vi tre klasser for ivaretagelse av informasjonens integritet:

Tilgjengelighet


Tilgjengelighet innebærer at de som skal ha informasjonen faktisk har tilgang til den, når de behøver den.

Brudd på tilgjengelighet kan eksempelvis innebære at

  • informasjonen er utilgjengelig i en periode eller
  • informasjonen går tapt eller
  • informasjonen kan ikke registreres inn
    • F.eks at digital eksamen-systemet er nede under eksamensavviklingen og studenten ikke får arbeidet med besvarelsen sin,
    • tjenester som skal ta imot forskningsdata går ned under innsamlingsperioden etc.

Informasjonen kan ha ulike krav til tilgjengelighet avhengig av kontekst og tidsperiode (f.eks vil det være høye krav til tilgjengelighet til digital eksamen-plattformen under selve eksamensavviklingen, men utenom vil kravene til tilgjengelighet være lavere).

Eier av IT-system/-tjenester må vurdere hvilke av tilgjengelighetsklassene det aktuelle systemet oppfyller, og må synliggjøre dette overfor brukerne på UiT.

Ved UiT har vi tre klasser for å vurdere krav til informasjonens tilgjengelighet:


Office 365


For forskningsdata anbefales det å benytte Sharepoint. OneDrive er personlig lagring og vil slettes automatisk hvis brukeren forlater institusjonen.

Fortrolig informasjon og data som inneholder personopplysninger kan kun lagres på windows-maskiner administrert av UiT. Privat utstyr (laptop/pc/mobile enheter), mac eller linux er foreløpig ikke godkjent. For nærmere informasjon om hvilke typer data de ulike tjenestene i Office 365 er godkjent for, se informasjon i menyen "Hvilke tjenester kan du bruke til hvilket innhold".



Sikkerhetsmåned 2024


Hva vet du om informasjonssikkerhet?
 

Oktober er nasjonal sikkerhetsmåned, noe som vil bli markert også ved UiT Norges arktiske universitet.

Årets tema er "Våre digitale verdier"

 
Kurs i informasjonssikkerhet

Alle ansatte tilbys et kurs i informasjonssikkerhet i løpet av oktober måned. Kurset består av 8 moduler med 2-3 minutters varighet som vil bli tilsendt på e-post tirsdager og torsdager, over en periode på fire uker.

Første utsending er i begynnelsen av oktober. Avsender vil være "noreply@uit.no".

Alle studenter tilbys kurs som består av 3 moduler med 2-3 minutters varighet. Modulene vil annonseres i Canvas.

 
Vær oppmerksom på

  • Epostene vil inneholde ei klikkbar lenke som fører deg til e-lærlingsleksjonen. (Du må aldri klikke på ukjente lenker du ikke forventer tilsendt, så dette er et varsel om at en godkjent e-postserie med klikkbar lenke vil bli sendt til deg fra vår samarbeidspartner)
  • Sjekk at avsender faktisk er noreply@uit.no, og at adressen på siden du kommer til starter med https://viewer.nanolearning.com/.
  • Du skal ikke bli bedt om innloggingsinformasjon.


Statistikk

Vi vil hente ut og presentere statistikk på aggregert nivå for kurset, eksempelvis prosentmessig andel på en gitt enhet, lokasjon e.l. som har gjennomført kurset. Vi vil ikke benytte eller dele informasjon om individuell gjennomføring. 

 


IT-sikkerhet
Gjennom hele oktober vil det være relevant informasjon på UiT inforskjermer. Her får du nyttige tips til hvordan DU kan bidra til bedre informasjonssikkerhet.
 
 
Det kan hende selv den beste

I 2015 lot professor Trygve Johnsen, leder for Institutt for matematikk og statistikk, seg intervjue om da alle filene hans blei "kidnappet" og kryptert. Datavirus kan ramme hvem som helst!
Dine valg om hvilke nettsider du besøker og hvilke epostlenker du åpner kan ha store konsekvenser for deg og UiT. Det er derfor svært viktig at du, arbeidskollegene dine og lederne dine har gode rutiner for digital adferd og informasjonssikkerhet.



Lokalt sikkerhetsarbeid

Informasjonssikkerhet er mer enn IT-sikkerhet, men også IT-sikkerhet er viktig. Mer om UiTs lokale IT-sikkerhetsteam CSIRT finnes her.
 


  • Skal dere gjennomføre en risikovurdering? Meld inn via dette skjemaet, og så vil dere få opprettet et eget Teamsområde (kanal) for gjennomføring av risikovurderingen. Her vil dere få tilgang til maler, ressurser mv. Selve gjennomføringen av risikovurderingen må dere selv stå for, men hvis dere ikke har gjort det før vil vi så langt som mulig være behjelpelig med å gi en innføring. Det ligger også beskrivelser i det nevnte malverket.

    Omfatter risikovurderingen tjenester, prosesser mv hvor det kreves teknisk kompetanse for å kunne tia stilling til spørsmål, risiko mv? Ta kontakt med Virksomhetsnære tjenester på Avdeling for IT (via e-post til orakelet@hjelp.uit.no) for å komme i kontakt med rett faggruppe som kan bistå. 
 
 
For nærmere informasjon om hva en risikovurdering er og når en slik skal gjennomføres, se "om risikovurderinger" nedenfor.





Om risikovurderinger


Ledelsessystemet fastsetter at risikovurderinger skal foretas
  • når trusselbildet endres
  • før oppstart av behandling av personopplysninger
  • ved oppstart av forskningsprosjekter
  • ved etablering eller endring av IKT-systemer
  • ved organisatoriske endringer som kan påvirke informasjonssikkerheten

Gjennom risikovurderingene ser vi på mulige, uønskede hendelser (trusler) og sannsynligheten for at disse kan inntreffe, samt konsekvensen hvis så skjer. Summen av sannsynlighet og konsekvens gir risikonivået for den aktuelle trusselen. Hvis dette nivået er tilstrekkelig høyt, må man iverksette tiltak for å senke risikonivået (enten senke sannsynligheten, konsekvensen eller begge), før behandlingen, systemet, tjenesten mv settes i gang/tas i bruk. Det vil alltid være en viss risiko forbundet med behandling av informasjon, bruker av tjenester mv. Målet er at denne skal reduseres så mye som mulig. Den "restrisiko" man står igjen med må enten aksepteres, eller så må man konkludere med at risikoen forblir for høy og den planlagte behandlingen kan ikke iverksettes, tjenesten kan ikke tas i bruk etc. Det er viktig at denne beslutningen tas på rett nivå (se nedenfor). 

Vurdering av sannsynlighet og konsekvens foretas på en skala fra 1 - 4 (hvor 1 er lavest), og kriteriene for disse vurderingene fremgår av de ulike skalaene for risiko (krever pålogging).

UiT har laget et malverk for gjennomføring av risikovurdering, og dette bygger på de maler og veiledninger som er utarbeidet av Sikt (tidl. Unit - direktoratet for IKT og fellestjenester i høyere utdanning og forskning), som bygger på anerkjente standarder.

I følge ledelsessystemet er det enhetsledere og systemeiere som har ansvaret for at risikovurderinger gjennomføres. Dette innebærer ikke at de personlig må gjennomføre vurderingene, men de har ansvaret for at risikovurderingene gjennomføres. Det er også disse som må akseptere risikovurderingene, hvilke tiltak som er nødvendige/skal gjennomføres samt akseptere ev. restrisiko. 

Hvis det er tale om behandlinger som innebærer høy risiko, tjenester som behandler store mengder informasjon om mange personer (i sær hvis det er tale om konfidensiell informasjon) bør risikovurderingen løftes opp i linja. Først til IT-direktør, og i noen tilfeller til administrasjonsdirektør (som har et overordnet ansvar for informasjonssikkerhet og utøver myndigheten som behandlingsansvarlig etter personopplysningsloven).

Risikovurderinger kan ikke bare gjennomføres en gang, og så er det gjort. Man må jevnlig ta disse opp igjen og se om tiltakene fungerte etter planen, om trusselbildet har endret seg mv. Har noen av premissene for vurderingene endret seg (ny teknologi etc)?



Akseptabel risiko


Det er ikke mulig å eliminere enhver risiko, men UiT skal arbeide systematisk og målrettet for å ha et risikonivå som er akseptabelt, sett opp mot UiTs mål og risikobilde.

UiT skal ha en risikobasert tilnærming til informasjonssikkerhet, og «akseptabel risiko» er det nivå av risiko UiT er villig til å godta for å skape verdier samt oppnå de mål og gevinster som søkes.

Risikovilje kan kategoriseres på ulike måter:

  • Uvillig: Skal unngå risiko.
  • Minimalistisk: Ekstremt konservativt.
  • Forsiktig: Bør unngå unødvendig risiko.
  • Fleksibel: Vil ta sterkt begrunnede risikoer.
  • Åpen: Vil ta berettiget risiko.

For høy risikovilje fra UiTs side vil utsette ansatte, studenter og forskningsdeltakere for en uholdbar risiko for skade og negative konsekvenser, samt kunne skade UiTs omdømme og/eller få økonomiske konsekvenser. For lav risikovilje vil innebære at prosjekter, prosesser, aktiviteter mv. i liten grad er gjennomførbare enten fordi det ikke er mulig å få risikoen ned på et svært lavt nivå, eller det vil være uforholdsmessig tidkrevende og dyrt. Det vil kunne ha store negative virkninger for UiTs virksomhet.

Jo sterkere og bedre sikkerhetskultur, grunnsikring og systematikk rundt arbeidet med informasjonssikkerhet i hele virksomheten, desto større vil mulighetsrommet være for å kunne gjennomføre ambisiøse prosjekter og prosesser som i en organisasjon med svakere sikkerhetskultur og -arbeid vil innebære en uakseptabel risiko. Både UiTs risikobilde og totale grunnlag for å håndtere risiko på en ansvarlig og tillitvekkende måte vil være dynamisk, og må kontinuerlig vurderes, herunder måle sikkerhetskulturen blant ansatte og studenter.

Som hovedregel vil derfor «akseptabel risiko» befinne seg i tre midterste kategoriene («minimalistisk», «forsiktig» og «fleksibel»). Dette kan variere basert på eksempelvis type data som behandles, hvilke gevinster som søkes oppnådd og hvilken risiko det vil innebære å ikke igangsette en prosess, gjennomføre et forskningsprosjekt, ta i bruk et IT-system mv. Det er imidlertid ikke fritt opp til den enkeltes skjønn hvordan risiko skal vurderes, eller hvilke risikonivå som kan aksepteres. Nedenfor vil det derfor redegjøres for hvordan UiT vurderer risiko, samt grensene for akseptabel risiko.


Risikonivåer


Uønskede hendelser kan gi brudd på informasjonssikkerheten, og da menes brudd på informasjonens

  • Konfidensialitet: informasjonen skal ikke bli kjent for uvedkommende
  • Integritet: informasjonen skal ikke bli endret utilsiktet eller av uvedkommende
  • Tilgjengelighet: informasjonen er tilgjengelig ved legitimt behov

Brudd på informasjonssikkerheten kan få følger for alle deler av UiTs virksomhet, eksempelvis:

Risikonivået er summen av sannsynlighet for at en uønsket hendelse inntreffer, og konsekvensen dersom den inntreffer. Dette kartlegges og vurderes gjennom risikovurderinger (se ledelsessystemets kap. 5).

Sannsynligheten for at en uønsket hendelse inntreffer vurderes på en skala fra 1 – 4, etter et sett med kriterier som UiT har fastsatt.

Konsekvensen dersom en uønsket hendelse skulle inntreffe vurderes på en skala fra 1 – 4, etter et sett med kriterier som UiT har fastsatt.

Risikonivået for de uønskede hendelsene kategoriseres på fire nivåer:

  • 7 – 8 Svært høy risiko
  •       Høy risiko
  • 4 – 5 Moderat risiko
  • 2 – 3 Lav risiko

For å sikre at det på tvers av organisasjonen er en mest mulig lik og korrekt vurdering av hvilken risiko UiT er villig til å akseptere, er det nødvendig å sette noen overordnede krav til håndtering av identifiserte risikoer, se nedenfor under «krav til håndtering av identifiserte risikoer (uønskede hendelser»).

Videre er det nødvendig å sette noen mer absolutte yttergrenser som ikke skal passeres, uansett hvilken gevinst som kan oppnås. Sistnevnte fastsettes av Universitetsstyret, se nedenfor under «yttergrensen for akseptabel risiko».

Typen data, og tilhørende klassifisering etter UiTs retningslinjer for klassifisering av informasjon (kap. 3 i ledelsessystemet), vil være en sentral del av grunnlaget for vurderingen.

Krav til håndtering av identifiserte risikoer (uønskede hendelser)


7-8

Risikoreduserende tiltak skal gjennomføres.

Hvis risikoen ikke kan reduseres ned fra rødt nivå gjennom tiltak gjelder følgende:
  • Dersom risikoen er knyttet til den type data, aktiviteter og prosesser hvor Universitetsstyret har satt yttergrenser for akseptabel risiko (se kapittel 1), kan ikke prosjektet, prosessen, endringen, IT tjenesten/systemet mv. igangsettes.

  • Dersom risikoen knytter seg til mulige konfidensialitetsbrudd for strengt fortrolige/svarte data, kan ikke
    • prosjektet, prosessen, endringen mv. igangsettes,
    • IT-tjenester/systemer godkjennes for bruk til denne typen data.
  • Dersom risikoen knytter seg til mulige integritetsbrudd for data underlagt UiTs høyeste krav til integritet, kan ikke
    • prosjektet, prosessen, endringen mv. igangsettes,
    • IT-tjenester/systemer godkjennes for bruk til denne typen data.
  • Dersom risikoen knytter seg til mulige tilgjengelighetsbrudd for data underlagt UiTs høyeste krav til tilgjengelighet, kan ikke
    • prosjektet, prosessen, endringen mv. igangsettes,
    • IT-tjenester/systemer godkjennes for bruk til denne typen data.

  • For øvrige risikoer og/eller data må beslutningen om risikoen er akseptabel tas av enhetsleder*, sett ut fra type data, situasjon, lovkrav, mulige gevinster og eventuelle negative konsekvenser ved å unnlate gjennomføringen/innføringen.
6  Dersom risikoen ikke kan reduseres ned fra oransje nivå gjennom tiltak:
  • Beslutningen om risikoen er akseptabel må tas av enhetsleder*, sett ut fra type data, situasjon, lovkrav, mulige gevinster og eventuelle negative konsekvenser ved å unnlate gjennomføringen/innføringen.
4-5
  • Risikonivå 5: Risikoreduserende tiltak skal gjennomføres.
  • Risikonivå 4: Risikoreduserende tiltak skal vurderes, og som hovedregel gjennomføres.
2-3  Risikoreduserende tiltak kan vurderes


* Med enhetsleder menes dekan, direktør UMAK, direktør UB, avdelingsdirektør. Rektor og administrasjonsdirektør kan også fatte disse beslutningene.

Det er svært viktig at avvik meldes så raskt som mulig.

Hvordan avvik meldes kommer an på om du har brukerkonto på UiT eller ikke.

For deg som har brukerkonto på UiT
Meld inn avviket ved å fylle inn følgende skjema (krever innlogging). 

Selv om du ikke har tilgjengelig informasjon for alle feltene i skjemaet er det viktig at du sender inn meldingen, og så vil vi etterspørre/undersøke det som eventuelt mangler.

Merk: Det er ikke alltid at alle feltene i skjemaet vil passe, eksempelvis dersom du skal melde inn et avvik som er brudd på andre deler av GDPR/personvern enn informasjonssikkerhet (eksempelvis at en databehandler benyttes uten at avtale er på plass, en behandling mangler lovlig grunnlag, informasjon er ikke gitt til de registrerte osv.). Da fyller du bare inn beskrivelsen av avviket, og hopper over de feltene som ikke passer (slik som om informasjon har blitt kjent for uvedkommende, endret uten tillatelse osv). 

For deg som ikke har brukerkonto ved UiT

Dersom du ikke har brukerkonto ved UiT og ønsker melde et avvik så gjør du dette ved å sende meldingen til sikkerhet@uit.no

I meldingen skal følgende beskrives, i den grad som er mulig:

– hva har skjedd, hvor skjedde det og hvordan oppsto det?

– dato eller tidsrom for avviket

– når ble det oppdaget

– har informasjon blitt kjent (ev. potensielt blitt kjent) for uvedkommende?

– hvis ja, kan du si noe mer rundt dette? F.eks antall personer; beskriv situasjonen (lagt ut på internett, feilsendt til en person etc)

– har informasjon gått tapt eller vært utilgjengelig en periode (og det fikk store eller små konsekvenser)?

– har informasjon blitt endret, enten av uvedkommende eller ved et uhell?

– hvor mange personer er berørt av avviket (anslagsvis hvis det ikke kan besvares helt konkret)

– hvem vi kan kontakte for å få mer informasjon hvis nødvendig

Dersom du ikke har full oversikt med en gang, så send oss en helt kort orientering og følg opp med mer informasjon etterpå. Det er viktig at vi får hurtig beskjed. Vi vil etterspørre mer informasjon hvis vi behøver det.





UiT benytter en rekke tjenester, og det er viktig at de brukes til det formålet de er tiltenkt. Ikke bare for å sikre at data holdes tilstrekkelig "hemmelig", men også vi må ivareta tilgjengeligheten (hva skjer hvis dine data blir borte, og de var lagret i en tjeneste uten tilstrekkelig backup? Eller eksamen avholdes digitalt og tjenesten "går ned" midtveis?) og integriteten (hva hvis noen kan endre på dine forskningsdata uten at du vet det? Eller eksamenskarakteren sin?) på en god nok måte.

Videre er vi underlagt en rekke lover som stiller krav til kvaliteten og vilkårene til de tjenestene vi tar i bruk, ikke minst GDPR. Her vil vi legge ut informasjon om hva sentrale tjenester er godkjent for (i første omgang knyttet til konfidensialitetskrav) samt info om i hvilken grad du kan bruke andre tjenester enn de UiT sentralt har anskaffet.






Hvilke tjenester kan du bruke til hvilket innhold?


UiT har en rekke systemer og tjenester som kan og skal benyttes. Imidlertid er det ikke alle som er godkjent for alle typer data. Etter styringssystemet klassifiseres all informasjon ved UiT enten som åpen/grønn, intern/gul, fortrolig/rød eller strengt fortrolig/svart. Gjennom risikovurderingene besluttes det hvilke typer data de ulike tjenestene og systemene er godkjente for, og hva som skal til for at denne godkjenningen er gyldig.

I tabellen nedenfor vil vi bygge opp en oversikt over hvilke data som kan behandles hvor. Vi legger inn systemene og tjeneste etterhvert som vi får beskjed om hvilket nivå de er godkjent for (etter risikovurdering), og det er derfor ikke en komplett oversikt over tjenester/systemer ved UiT. Er du system-/tjenesteeier, og ditt system mangler i listen? Ta kontakt på sikkerhet@uit.no.

Dere vil se at enkelte har en fotnote ved seg, og dette peker til listen nedenfor tabellen med sentrale forutsetninger for at godkjenningen gjelder. Det vil alltid være en forutsetning at dere bruker tjenesten eller systemet som angitt i veiledninger, opplæring mv. Det er viktig at veiledninger, rutiner mv følges, da UiT gjennom (eksempelvis) rutiner iverksetter tiltak som er påkrevd for at en gitt type informasjon skal kunne behandles i systemet eller tjenesten.

Dersom man bruker systemet eller tjenesten på en annen måte enn beskrevet / angitt, så gjelder ikke informasjonen i tabellen og man må ta direkte kontakt med systemeier for å få en avklaring om bruken er tillatt.

Lurer du på hva de ulike kategoriene betyr? Se retningslinjene i ledelsessystemets kapittel fire

 

System / tjeneste  Åpen/Grønn    Intern/Gul  Fortrolig/Rød  Strengt fortrolig/Svart Databehandler (hvis aktuelt)
Canvas OK OK ikke godkjent ikke godkjent Instructure
CENT OK OK OK ikke godkjent  
Chat.uit.no OK OK OK ikke godkjent Egen drift
CLARC OK OK OK ikke godkjent  
DataverseNO OK ikke godkjent ikke godkjent ikke godkjent Microsoft og UiO
Elements OK OK OK OK Sikri
E-post (office 365) OK OK ikke godkjent ikke godkjent Microsoft
EUTRO OK OK OK OK UiO
Fellesområder OK OK ikke godkjent ikke godkjent Egen drift
Felles Studentsystem (FS) OK OK ikke godkjent ikke godkjent Unit
Forms (office 365) OK OK ikke godkjent ikke godkjent Microsoft
HuntCloud7 OK OK OK OK  
Klartekst.uit.no OK OK OK ikke godkjent Egen drift
LOIS OK OK ikke godkjent ikke godkjent  
Nettskjema / Sikkert nettskjema OK OK OK 1 ikke godkjent UiO
NIRD OK OK ikke godkjent ikke godkjent  
NIRD Archive OK OK ikke godkjent ikke godkjent  
NREC OK OK ikke godkjent ikke godkjent  
NSD OK OK OK ikke godkjent  
OneDrive for Business (office 365) OK OK OK 2 ikke godkjent Microsoft
Panopto OK OK ikke godkjent ikke godkjent Panopto
Planner OK OK ikke godkjent ikke gordkjent Microsoft
RSpace OK OK ikke godkjent ikke godkjent Research Innovations Ltd
Sharepoint (office 365) OK OK OK 2 ikke godkjent Microsoft
Stream (office 365) OK OK ikke godkjent ikke godkjent Microsoft
Sway5 (office 365) OK ikke godkjent ikke godkjent ikke godkjent Microsoft
Teams (office 365) - filer OK OK OK 2 ikke godkjent Microsoft
Teams (office 365) - møter OK OK OK 3 ikke godkjent Microsoft
TOPdesk OK OK OK 6 ikke godkjent TOPdesk
Tjeneste for sensitive data (TSD) OK OK OK OK UiO
WiseFlow OK OK OK 4 ikke godkjent UNIwise
Yammer (office365) OK ikke godkjent ikke godkjent ikke godkjent Microsoft
Zoom OK OK ikke godkjent ikke godkjent Uninett


1 =
 For fortrolig informasjon skal "sikkert nettskjema" benyttes, ta kontakt med Seksjon for digitale forskningstjenester (SDF). "Nettskjema" er kun for åpen og intern informasjon. 

2 = Dette er betinget av at følgende sikkerhetstiltak følges: klassifisering av informasjon ved hjelp av innebygd informasjonsbeskyttelse ("AIP"), totrinns-autentisering aktivert. Informasjon som er underlagt begrensninger for utføring fra Norge (f.eks. etter Sikkerhetsloven) kan heller ikke behandles her.
Merk: Direktemeldingsfunksjonen (chat) i Teams er ikke kryptert, og kan ikke benyttes til røde data. 

3 = Ved Teamsmøter med fortrolig innhold anbefales det å aktivere «lobbyfunksjonen» slik at møteleder aktivt må slippe inn de personer som forsøker å koble seg opp til møtet. Deltakerne må bruke kamera. Spør etter ID hvis det er noen møtedeltakere du ikke kjenner. Gjør ikke opptak av møtet. Bruk ikke direktemeldingsfunksjonen (chat) til røde data. 

4 = Sensitive personopplysninger (f.eks legeerklæringer) skal ikke behandles i WiseFlow. Men fortrolig informasjon som f.eks. eksamensoppgaver før eksamen er avholdt, kan behandles i denne tjenesten.  

5 = Sway er godkjent kun for åpne data. Vi gjør oppmerksom på at Sway lagrer all brukerdata i USA. 

6 = Dersom TopDesk skal benyttes til fortrolige data må dette godkjennes på forhånd (før operatørkøen opprettes). 

7 = Foreløpig er avtalen med Hunt Cloud kun for deler av Det helsevitenskapelige fakultet. 

Endringslogg:

  • 10.6.24: Erstattet Ephorte med Elements (nytt sak-/arkivsystem)
  • 3.4.24: Lag til RSpace
  • 23.10.23: Mediasite fjernet fra listen da det ikke lenger er en tjeneste UiT har avtale med.
  • 23.10.23: La til systemer oppført i forskningsdataportalen (CENT, LOIS, NREC, CLARC; NIRD, NIRD Archive, DataverseNO, HuntCloud)
  • 14.9.23: Request tracker (RT) fjernet fra listen da det ikke lenger er en tjeneste UiT har avtale med.


Andre samhandlingsløsninger enn UiT sine. Tillatt?


Andre samhandlingsløsninger

  • Det er ikke tillatt å benytte andre samhandlingsløsninger enn de UiT tilbyr via Avdeling for IT.  
  • Vi er underlagt en rekke lovkrav, og dette innebærer blant annet at det må foreligge databehandleravtale (som er gjennomgått for kvalitetssikring, se sjekkliste på https://uit.no/personvern) og risikovurdering, jf ledelsessystemet for informasjonssikkerhet kap. 1 jf kap. 5 (https://uit.no/sikkerhet). 
  • Det vil ofte være større forskjeller mellom de avtalene UiT inngår f.eks gjennom sektorsamarbeid og de som f.eks et institutt inngår, som gjerne blir direkte med leverandør. Dette kan gi seg utslag i eksempelvis vilkår for behandling av data, hvor lagring skjer (USA fremfor EU/EØS) mv.
  • Oppfyller ikke de eksisterende samhandlingsløsningene enhetens behov? Ta kontakt med Seksjon for virksomhetsnære tjenester (VITE) ved Avdeling for IT.
  • Merk: dette gjelder ikke eksterne møter man har fått innkalling til. Skal du i et møte med f.eks UiO og får tilsendt lenke til det digitale (virtuelle) møterommet i en løsning UiO benytter så kan du selvsagt delta.

Private lisenser

  • Private lisenser er ikke tillatt brukt i jobbsammenheng; også med tanke på hva lisensen i seg selv tillater, men primært fordi man da behandler UiT-data (inkludert om studenter og kollegaer) i privat regi. UiT mister per definisjon kontroll på dataene, og kan ikke oppfylle lovkrav etter bl.a GDPR.

Lisenser via andre UH-institusjoner

  • Har du et arbeidsforhold til en annen institusjon som har en tjeneste du ønsker benytte i undervisningssammenheng, dvs gjennomføre undervisningsaktiviteter i UiT-regi med UiTs studenter?
  • Dette vil kreve avtaler mellom UiT og den aktuelle institusjonen, f.eks en databehandleravtale hvis det involverer personopplysninger. Dette fordi den andre institusjonen da rent faktisk behandler data på UiTs vegne. Det må også gjennomføres risikovurdering for å sikre at dataen kan håndteres forsvarlig i den aktuelle tjenesten.
  • Bruk derfor de tjenestene du har tilgang til via UiT direkte


Særlig om bruk av video


Dersom du ønsker informasjon og veiledning i hvordan bruke video i undervisning, se https://uit.no/digitalundervisning.

På denne siden vil vi samle ressurser og retningslinjer knyttet til når du kan bruke video, hva du må passe på, hvilke vurderinger du må ta etc. Og ikke bare i undervisningssammenheng, men også i øvrig aktivitet ved UiT.

Hvis det er personer involvert i videoen så vil den som hovedregel behandle personopplysninger. Da må GDPR følges, og her stilles det en del krav. 

1) Det må foreligge et gyldig behandlingsgrunnlag, dvs et lovlig grunnlag (i GDPR) for å behandle personopplysninger.

2) De som er med på videoen (enten direkte eller indirekte) må informeres om dette. Og det gjelder uavhengig av om det er tale om kun strømming eller også opptak.

3) Informasjonssikkerheten må ivaretas, og du må tenke på hvor lenge videoene skal være tilgjengelig. Når formålet med opptaket er oppfylt (f.eks etter endt semester/kontinuasjonseksamen) så skal det slettes (ikke bare deaktiveres). 

Du kan lese mer om dette og mer i undermenyene nedenfor. Disse sidene er under utarbeidelse.

All behandling av personopplysninger må ha et behandlingsgrunnlag etter GDPR. Dette er ufravikelig. Det er den behandlingsansvarlige (den som tar sentrale avgjørelser knyttet til behandlingen, slik som formål og hvilke midler som skal benyttes) som må ha dette grunnlaget på plass. For denne veiledningen tar vi utgangspunkt i at UiT er behandlingsansvarlig. Dersom UiT opptrer som "databehandler" så er det oppdragsgiver som må ha behandlingsgrunnlaget, mens UiT må passe på at vi har en dekkende databehandleravtale før vi tar i mot opplysningene.


Generelt


I menyene finner du nærmere informasjon om hva et behandlingsgrunnlag er, og hvilke som kan være aktuelle. Du finner også veiledning rundt hva du ellers må passe på når du bruker video (slik som å gi informasjon, hvilke tekniske løsninger som skal benyttes osv.)

Behandlingsgrunnlag


I perioden hvor undervisning på UiTs campus/fysiske lokaler er avlyst vil digital undervisning tas i bruk der det er mulig, se nærmere info på https://uit.no/korona#innhold_672724.

Dette krever alltid et behandlingsgrunnlag, dvs et lovlig grunnlag (etter GDPR) for å behandle personopplysninger. Se nærmere informasjon nedenfor.

Viktig: Det er sentralt at enheten/underviser alltid tar en vurdering av om det er nødvendig med f.eks video, og hvis det er nødvendig: holder det å strømme videoen eller må det tas opp? Kan man kombinere ulike undervisningsmetoder, slik at det f.eks legges ut en video fra foreleser og så har man en chat-diskusjon etterpå? Dette er bare eksempler, og dette er i stor grad en faglig (pedagogisk) beslutning – men det er sentralt at man tenker over dette. En slik nødvendighetsbetraktning må alltid tas for at behandling av personopplysningers skal være lovlig. Man kan altså ikke peke på et gitt behandlingsgrunnlag og så ta det som en «blankofullmakt». Det skal være en balansegang mellom hva man oppnår og hvor inngripende dette er overfor studenten og den ansatte, og om man kan ta i bruk virkemidler som reduserer denne påvirkningen på ansatte og studenter.

Generelt/innledende om behandlingsgrunnlag

Ofte tenker mange på GDPR som en "samtykkelov", dvs at skal du behandle personopplysninger så må du ha samtykke fra de opplysningene gjelder. Dette er ikke korrekt. Det finnes en rekke behandlingsgrunnlag, og samtykke er bare ett av disse. For undervisning og administrative formål vil samtykke ofte ikke være anvendbart, og andre grunnlag må brukes.

Behandlingsgrunnlag finner man i to ulike artikler i GDPR:

  • For alminnelige personopplysninger (de fleste opplysningstyper): Artikkel 6
  • For særlige kategorier personopplysninger (helse, religion, politikk mv): Artikkel 9 (i tillegg til art. 6)

I tillegg er det flere av behandlingsgrunnlagene i GDPR som krever en såkalt tilleggshjemmel («i unionsretten eller nasjonal lovgivning»)

  • 6 nr 1, bokstav c): behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige
    • Benyttes dette behandlingsgrunnlaget må man også kunne vise til en konkret rettslig forpliktelse som påhviler UiT (via lov eller forskrift).
  • 6 nr 1, bokstav e) behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt
    • Benyttes dette behandlingsgrunnlaget må man også kunne vise til at UiT er pålagt «en oppgave i allmennhetens interesse» eller «utøvelse av offentlig myndighet». Også her må man vise til konkrete bestemmelser.

Det samme gjelder flere av grunnlagene etter artikkel 9.

UiT har kategorisert en rekke ulike aktiviteter hvor video benyttes (i undervisning, eksamen, formidling og administrativt). Disse aktivitetene har såpass mange likhetstrekk at vi har tatt en vurdering av hva som vil være aktuelt behandlingsgrunnlag, både for ansatte og studenters personopplysninger.

Særlig om samtykke


Det «mest kjente» behandlingsgrunnlaget er nok samtykke. Dette grunnlaget finner man i både artikkel 6 (nr 1, bokstav a) og artikkel 9 (nr 2, bokstav a). Det er imidlertid en utbredt misforståelse om at samtykke er det eneste behandlingsgrunnlaget («skal man behandle personopplysninger så må man ha samtykke») eller at det samtykke er det foretrukne behandlingsgrunnlaget og rekkefølgen i artikkel 6 og 9 gir et uttrykk for en «rangordning». Dette stemmer ikke. Samtykke er ett av flere mulige behandlingsgrunnlag, og disse er likestilte. Det er heller ikke nødvendigvis noen motsetning mellom å benytte noen av de andre behandlingsgrunnlagene og at det er frivillig «å delta». 

Det vil være tilfeller hvor samtykke er korrekt å bruke, og kanskje det eneste aktuelle behandlingsgrunnlaget (f.eks er det ofte tilfelle i forskningsprosjekter).

Hvis man skal bruke samtykke så må man være helt sikker på at dette samtykket er gyldig etter GDPR. Det er en rekke vilkår som alle må være oppfylt for at et samtykke skal være gyldig. Hvis så lite som bare ett av disse vilkårene ikke er oppfylt vil ikke samtykket være gyldig. Konsekvensen er at det er en ulovlig behandling, og innsamlede eller genererte opplysninger på bakgrunn av det aktuelle samtykket må slettes. Det kan også avstedkomme reaksjoner fra tilsynsmyndighetene. Det «hjelper» altså ikke at man har innhentet samtykke fra alle i disse situasjonene. Dersom gyldighetsvilkårene ikke er oppfylt så er behandlingen ulovlig.

For UiT er det en rekke situasjoner hvor vi er avskåret fra å benytte samtykke som behandlingsgrunnlag, og det er viktig å være oppmerksom på dette. Vi vil derfor ta en kort gjennomgang av vilkårene for samtykke, og i særlig ett som ofte er problematisk å oppfylle for UiT. Vilkårene for samtykke følger av GDPR art. 4 nr 11 jf art. 7.

Det er imidlertid viktig å understreke at det er visse grenser for hva det kan samtykkes til. Et samtykke etter GDPR er kun et behandlingsgrunnlag. Det innebærer at en person ikke kan samtykke til at f.eks andre krav i GDPR kan fravikes (eksempelvis krav til informasjonssikkerhet mv).

Et samtykke må være frivillig, spesifikt, informert og utvetydig. Det må gis ved en erklæring eller tydelig bekreftelse fra personen hvis personopplysninger det gjelder. Det må videre være mulig å påvise at samtykke er gitt for den aktuelle behandlingen av personopplysninger om personen. Hvis samtykket gis i forbindelse med en skriftlig erklæring som også gjelder andre forhold skal anmodningen om samtykke utarbeides på en måte som gjør at den tydelig kan skilles fra de andre forholdene i erklæringen, og må gis i en forståelig og lett tilgjengelig form og på et klart og enkelt språk. Dersom behandlinger kan skilles fra hverandre så må man passe på at samtykke ikke innhentes i en «alt eller ingenting»-form, her må personen ha et valg mellom de enkelte behandlingsaktivitetene. Samtykket skal kunne trekkes tilbake til enhver tid, og personen skal være informert om dette før samtykket gis. Behandlingen av personopplysningene om denne personen skal da opphøre, og som oftest vil dette innebære sletting av opplysningene. Videre skal det være like enkelt å trekke tilbake samtykket som å gi det. Dvs at hvis samtykket kan gis ved hjelp av «et klikk», så skal de kunne trekkes tilbake ved «et klikk». Til sist er det viktig å være oppmerksom på at passivt samtykke ikke er gyldig. Det kreves en aktiv handling (eksempelvis å huke av en avkryssingsboks. «Preutfylte» akseptbokser medfører at samtykket er ugyldig).

Det er altså mange krav som skal være oppfylt for at et samtykke skal være gyldig. Man må også klare å holde styr på hvem som har samtykket, og være klare til å agere hvis samtykket trekkes tilbake.

For UiTs del må vi imidlertid være særlig oppmerksomme på vilkåret om frivillighet.

Det skal være en reell frivillighet, og dette innebærer at der det foreligger en maktubalanse mellom behandlingsansvarlig og den aktuelle personen så er dette svært vanskelig å oppnå. I fortalepkt 43 i GDPR omtales dette på følgende vis (vår utheving): «For å sikre at et samtykke gis frivillig bør det ikke utgjøre et gyldig rettslig grunnlag for behandling av personopplysninger i et bestemt tilfelle dersom det er en klar skjevhet mellom den registrerte og den behandlingsansvarlige (…)».

I arbeidsforhold vil det være vanskelig å oppfylle kravet om frivillighet, grunnet det skjeve styrkeforholdet mellom arbeidsgiver og arbeidstaker. Det er ikke fullstendig utenkelig, men for de aller fleste tilfellene bør man unngå å forsøke å bygge på samtykke som behandlingsgrunnlag. Merk at dette ikke betyr at noe likevel kan være «frivillig» for en arbeidstaker å f.eks utføre eller levere fra seg. Dagligtalens forståelse av frivillighet har en langt lavere terskel enn GDPR. WP29 (rådgivende gruppe i EU) uttalte følgende om dette spørsmålet[1] (vår utheving):

«There may be situations when it is possible for the employer to demonstrate that consent actually is freely given. Given the imbalance of power between an employer and its staff members, employees can only give free consent in exceptional circumstances, when it will have no adverse consequences at all whether or not they give consent. [Example 5:] A film crew is going to be filming in a certain part of an office. The employer asks all the employees who sit in that area for their const to be filmed, as they may appear in the background of the video. Those who do not want to be filmed are not penalize in any way but instead are given equivalent desks elsewhere in the building for the duration of the filming”.

Det behøver ikke være eksplisitte «trusler» om reaksjoner hvis man ikke samtykker, eller mer åpenlyst press, for at frivillighetskravet ikke skal være oppfylt. Mer underforstått eller uformelt press eller forventninger («dette er ønskelig for UiT å oppnå», «alle må dra sammen» etc) vil også medføre at frivillighetskravet ikke er oppfylt. I sum bør derfor UiT som arbeidsgiver unngå å benytte samtykke som behandlingsgrunnlag, og velger man likevel benytte det må det begrunnes og drøftes godt – særlig med henblikk på frivillighetskravet.

For behandling av studenters personopplysninger gjør mange av de samme betraktninger som ovenfor seg gjeldende. Det er en klar skjevhet i maktbalansen mellom UiT og studentene. Dette i alt fra UiT som overordnet institusjon til foreleserne. UiT må derfor være svært tilbakeholden med å bygge på samtykke som behandlingsgrunnlag overfor studentene, særlig i undervisningssituasjonen. Det betyr ikke at det ikke finnes tilfeller hvor samtykke er både aktuelt og korrekt å benytte, men da man sørge for å ha gjennomført grundige og dokumenterte vurderinger. Som hovedregel bør andre behandlingsgrunnlag benyttes.

For den situasjonen UiT er i nå med tanke på koronatiltakene og at all undervisning kun skal gis digitalt i en ukjent periode så fremstår det som lite tvilsom at samtykke som hovedregel ikke kan benyttes om behandlingsgrunnlag. Den underviser som nekter får i praksis ikke utført jobben sin, og den student som nekter delta i f.eks videoundervisning (strømming og/eller opptak med studentdeltakelse, enten direkte i video eller via chat) mister i realiteten deler av undervisningstilbudet eller vil være "årsak" til at seminarer ikke kan gjennomføres. Dette gjør at valget i realiteten ikke er så fritt som GDPR krever. Andre behandlingsgrunnlag må derfor brukes.

Vi arbeider med å legge ut en samlet oversikt over behandlingsgrunnlagene for de mest brukte situasjonen innen undervisning, eksamen og administrasjon hvor video er et hjelpemiddel. Dette vil bli lagt ut på denne siden. 

 

[1] Se Personopplysningsloven og personvernforordningen (GDPR) med kommentarer, Jarbekk (red.), Gyldendal 2019, s. 151

Du må gi informasjon


Den klare hovedregel i GDPR er at det skal gis informasjon før man henter inn personopplysninger. Vi vil kommer tilbake til mer detaljer, men i korte trekk for opptak av video

Før du slår på "record/opptak" så  du informere de som skal være med i opptaket at 

1) det skjer et opptak

2) hva det skal brukes til

3) hvem som vil få tilgang (dette kan være på gruppenivå, f.eks emnestudentene)

4) når opptaket blir slettet (om ikke en konkret dato, så kriterier for sletting. F.eks når kontinuasjonseksamenen i emnet dette semesteret er avholdt). 

Du kan kun bruke godkjente tjenester


Det finnes et utall videotjenester. Noen for strømming, noen for opptak og noen for begge deler. Mange har sin personlige preferanse, og ser klare fordeler med å bruke akkurat den tjenesten de personlig foretrekker.

Det kan vi forstå, men det hjelper dessverre ikke. Årsaken er at når UiT benytter video så behandles det personopplysninger i denne videoen. Dette kan være om ansatte, om studenter eller sågar om eksterne. I en videotjeneste behandles både opplysninger i selve videoen og i tilknytning til den (pålogging, aktivitetslogger, chat mv). 

Vi er underlagt strenge krav for behandling av personopplysninger, og som minimum må vi ha en databehandleravtale med leverandøren. Det må også gjennomføres en risikovurdering. Dette er ikke noe vi gjør utelukkende av motivasjon for å overholde lovkrav, men fordi disse kravene er der av en grunn. Det gjelder å ivareta personvernet til våre ansatte, studenter, gjester mv. Brukes "private" videotjenester i undervisningssammenheng så har ikke UiT mulighet til å ivareta de forpliktelsene vi har. Hva skjer dersom en slik leverandør velger å bruke personopplysningene til noe helt annet? F.eks til reklameformål? Dersom de korrekte avtalene mangler er det realistisk at de faktisk har denne adgangen. 

Videre er det slik at UiT ofte kjøper inn tjenester på andre vilkår enn hva du får som privatperson, eller sågar som forskningsgruppe eller enhet. Det finnes flere tjenester hvor UiTs innkjøp har vilkår om at data plasseres innad i EU, men hvis du går direkte til leverandør og kjøper tjenesten så er du underlagt de rene kommersielle vilkårene og data legges i f.eks USA. Har du risikovurdert dette, og foreligger det nødvendige overføringsgrunnlaget (som er påkrevd etter loven)?

Og selv om du går helt klar av personopplysningene (det er vanskelig i en digital tjeneste), dataene du legger inn eller genererer har vel en viss verdi for deg og for UiT? Vet du hva leverandøren har lov til å bruke disse til, jf vilkårene du har godtatt da du kjøpte eller registrerte deg i tjenesten?

Det er derfor viktig at du bruker de tjenestene UiT v/IT-avdelingen har kjøpt inn, og bruker dem som tiltenkt. Vi viser her til informasjon under "IT-tjenester og systemer - hva har du lov til å bruke?".

Spørsmål om eierskap og deling av video


På denne siden er det samlet spørsmål og svar ang. eierskap og deling av video. Svar er utarbeidet i tråd med Prinsipper og retningslinjer for produksjon og bruk av digitalt undervisningsmateriale. For mer informasjon se Sentrale regelverk ved UiT | UiT.

Spørsmål og svar er delt inn i tre kategorier som speiler ulike roller:

Opphaver: Skaper av video. Denne rollen har eierskap til videoen. En video kan ha flere opphavere fra dem som har produsert, er med på video eller redigert innholdet. 

UiT Ansatt: Rollen er ansatt på UiT og ønsker av ulike grunner tilgang til video. Dette kan for eksempel være en foreleser som har tatt over et emne, studiekonsulent, osv. 

Tredjepart: Rolle som verken er opphaver eller er ansatt på UiT. Dette kan være eksterne eller studenter. 

UiT behandler en stor mengde personopplysninger, i mange forskjellige sammenhenger, innenfor forskning, utdanning og formidling.

Skal du bruke personopplysninger i forskning? Les mer på denne siden.

Det er svært viktig å ha klart for seg hvilke roller ulike aktører har i behandlingen av personopplysninger.

Dette for å vite hvem som har ansvaret for at personopplysninger behandles lovlig, hvem som skal ta avgjørelser om behandlingen, hvem de registrerte kan henvende seg til for å utøve sine rettigheter mv.

  • Hvem er behandlingsansvarlig? Har UiT dette ansvaret alene eller er det felles med andre?
  • Benytter UiT databehandler? Hva kreves for at dette skal skje på lovlig vis?
  • Er UiT databehandler for andre? Hva innebærer denne rollen?
  • Overføres opplysninger til utlandet, hva må være på plass for at dette er lovlig?
  • Har UiT eksterne aktører som utfører oppdrag for oss, hvor det kan tenkes at de får befatning med personopplysninger, men likevel ikke er databehandler?

UiT har et personvernombud, som kan kontaktes på personvernombud@uit.no






Begreper


Personopplysninger

Enhver opplysning som kan knyttes til en identifisert eller identifiserbar fysisk person, enten direkte eller indirekte, se personvernforordningen artikkel 4 nr 1.  

Dette kan f.eks være navn, telefonnummer, e-postadresse, alder, vurderinger, lokasjonsdata, eksamensbesvarelser, helseopplysninger, video, bilder, lydopptak, adferdsmønster m.m.

Det er irrelevant om opplysningene er objektivt verifiserbare, subjektive, betydningsfulle, trivielle, offentlig tilgjengelige, sanne eller usanne. Hvis de kan knyttes til en person (direkte eller indirekte) er det personopplysninger.

 

Særlig kategorier personopplysninger

I personvernforordningen er det enkelte kategorier personopplysninger som er skilt ut, jf artikkel 9

Disse kalles "særlige kategorier personopplysninger" og det som omfattes er behandling av personopplysninger om

  • rasemessig eller etnisk opprinnelse,
  • politisk oppfatning,
  • religion,
  • filosofisk overbevisning eller
  • fagforeningsmedlemskap, 

samt behandling av

  • genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person,
  • helseopplysninger eller
  • opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering

Vær også oppmerksom på at behandling av personopplysninger om straffedommer og lovovertredelser er særskilt regulert, jf artikkel 10.

 

Behandling

Enhver operasjon (enkeltstående eller sammensatt) som gjøres med personopplysningene, se personvernforordningen artikkel 4 nr 2

Dette kan f.eks være innsamling, lagring, bruk, organisering, utlevering, strukturering, sammenstilling, registrering, sletting mv. 

Rett og slett alt som gjøres eller skjer med opplysningene. 

Om ulike operasjoner med de samme opplysningene (f.eks innsamling, lagring, sammenstilling mv) regnes til én og samme behandling, eller flere, kommer an på formålet. Hvis alle operasjonene er for å oppnå ett og samme formål (eksempelvis opptak til et emne) så regnes det som én behandling.

 

Behandlingsgrunnlag

For å kunne lovlig behandle personopplysninger er det en rekke vilkår som må oppfylles. Ett av disse er at det må foreligge et behandlingsgrunnag. Dette kan være f.eks samtykke, oppfyllelse av en avtale med personen(e) det gjelder, utøvelse av offentlig myndighet, berettiget interesse mv.

Behandlingsgrunnlag fremkommer av artikkel 6. For særlige kategorier personopplysninger må man også oppfylle vilkårene om behandlingsgrunnlag etter artikkel 9.

Vær oppmerksom på at flere av behandlingsgrunnlagene etter artikkel 6 og 9 krever supplerende rettsgrunnlag i annen lovgivning. Dette kan f.eks være etter personopplysningsloven, universitets- og høyskoleloven, arbeidsmiljøloven, helseforskningsloven mm. For disse tilfellene må man kunne angi presist hvilken tilleggshjemmel som benyttes. 

 

De registrerte 

Den/de enkeltperson(ene) opplysningene omhandler.

 

Personvernforordningen

"GDPR". Denne forordningen er gjennomført i norsk rett gjennom personopplysningsloven.



Hvem er ansvarlig?


Det er alltid noen som står ansvarlig for behandling av personopplysninger, en såkalt "behandlingsansvarlig". Dette ansvaret kan også innehas i fellesskap med andre, "felles behandlingsansvar". Se menyen nedenfor for nærmere informasjon,


Behandlingsansvarlig


Den behandlingsansvarlige er den som fastsetter formålet med behandlingen, samt hvilke midler som skal benyttes, jf personvernforordningen artikkel 4 nr 7. Dette kan være "en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ". Den behandlingsansvarlige er ansvarlig for at personopplyningsloven og personvernforordningen overholdes. 

I vurderingen av hvem som er behandlingsansvarlig er det de faktiske forhold som er avgjørende (hvem foretar reellt sett vurderingene og fatter beslutninger). Enkelte vurderinger kan overlates til eksterne (f.eks databehandler), mens andre må foretas av den behandlingsansvarlige selv. 

  • Formål: Fastsettelsen av formål er svært sentralt i behandlingen av personopplysningene, og må fastsettes av den behandlingsansvarlige selv - før man i det hele tatt samler inn opplysningene. Formålet skal beskrive hvorfor det er nødvendig å behandle de aktuelle opplysningene, f.eks gjennomføre opptak til et studium, målet med et forskningsprosjekt, ansettelse av ny medarbeider mv.

    Det er viktig å ha et bevisst forhold til hva formålet er, slik at de registrerte (personene opplysningene omhandler) skjønner hva opplysningene blir brukt til, samt fordi eventuell senere gjenbruk av opplysningene er underlagt restriksjoner. Det er bl.a. ikke anledning til å gjenbruke opplysninger på en måte som er uforenelig med det/de opprinnelige formålet/-ene, jf artikkel 5 nr 1, bokstav b)

    Formålet/-ene skal være spesifikke, uttrykkelig angitt og berettiget (saklig).

 

  • Midler: I "midler" ligger mer enn bare hvilke tekniske hjelpemidler som skal benyttes. Også sentrale vurderinger og beslutninger rundt håndteringen av personopplysningene er omfattet, slik som: 
    • Hvilke opplysninger skal behandles?
    • Hvilke tredjeparter skal ha tilgang?
    • Hvilke opplysninger skal slettes (og når)?

 

    • Valg av tekniske løsninger kan overlates til databehandler, under visse forutsetninger. Imidlertid må behandlingsansvarlig bl.a forsikre seg om at informasjonssikkerheten er ivaretatt. Risikourderinger kan ikke foretas av databehandler alene (men de kan bistå).
    • Vurderinger som nevnt i kulepunktene ovenfor kan ikke delegeres fra behandlingsansvarlig til databehandler.

For UiT har administrasjonsdirektøren det overordnede ansvaret som for behandling av personopplysninger. I det daglige er utøvelsen av dette ansvaret delegert for en rekke områder, og disse delegasjonene fremkommer typisk av reglement og retningslinjer fastsatt av administrasjonsdirektør. Eksempelvis er prosjektleder ansvarlig for at lovens krav er fullt ut oppfylt for det aktuelle forskningsprosjektet, herunder at informasjonssikkerheten er ivaretatt (se retningslinjer for behandling av personopplysninger i forskningsprosjekt).

Felles behandlingsansvar


Det er ikke alltid man har behandlingsansvaret alene, men derimot felles med andre. Eksempelvis i et forskningsprosjekt som er samarbeidsprosjekt mellom flere institusjoner. Hvis man er to eller flere behandlingsansvarlige som fastsetter "formålet med og midlene for behandlingen" i fellesskap, er det tale om felles behandlingsansvar, jf artikkel 26 nr 1

Dette er tillatt, under forutsetning av at enkelte krav er oppfylt, jf personvernforordningen artikkel 26:

 en åpen måte skal hver aktør (behandlingsansvarlig) fastsette sitt respektive ansvar for overholdelse av kravene etter forordningen, ved hjelp av en ordning dem imellom (dette gjelder særlig med tanke på overholdelse av de registrertes rettigheter):

  • I denne ordningen kan det utpekes et kontaktpunkt for de registrerte
  • De respektive rollene til de behandlingsansvarlige, og hvilket forholde de har til de registrerte, skal fremkomme av ordningen
  • Det vesentligste i ordningen skal gjøres tilgjengelig for den registrerte
  • Merk: uavhengig av hvilken fordeling de ulike behandlingsansvarlige har fastsatt seg imellom, kan den registrerte velge å utøve sine rettigheter overfor hver av de behandlingsansvarlige. F.eks har en av aktørene det interne ansvaret for å håndtere innsynskrav. Den registrerte kan velge å sende kravet til en av de andre behandlingsansvarlige, som da må håndtere den interne kommunikasjonen for å behandle kravet. Man kan ikke avvise den registrerte under henvisning til at de har henvendt seg til "feil" behandlingsansvarlig.

Det er ikke nødvendig med lik fordeling av ansvar og beslutningsmyndighet mellom de ulike behandlingsansvarlige. Det kan være forskjellige nivåer av "fellesskap", og ulike behandlingsansvarlige kan være involvert i forskjellige aktiviteter/operasjoner og på forskjellige staider av (den samme) behandlinger. Dette må som nevnt klargjøres i den ordningen man er ansvarlig for å fastsette etter artikkel 26. Videre er det viktig å være klar over at etablering av felles behandlingsansvar ikke gir noen av partene en "større" rett til å behandle personopplysninger enn hva de ville hatt alene. Eksempelvis må hver av partene ha lovlig behandlingsgrunnlag, en part kan ikke "bygge" på behandlingsgrunnlaget til en av de andre.

 

Vær oppmerksom på at det er den faktiske behandlingen som står i fokus, og er gjenstand for vurderingen av om det er et felles behandlingsansvar eller ikke.  

  • Eksempelvis: Hvis det er de samme personopplysninger som er gjenstand for behandling, men hver av de behandlingsansvarlige fastsetter sine egne formål alene, er det mer nærliggende at det er tale om utlevering av personopplysninger fra den opprinnelige behandlingsansvarlige fremfor felles behandlingsansvar. 

Utlevering til annen aktør (f.eks UH-institusjon)


I mange tilfeller er overføring av personopplysninger til eksterne (virksomheter, organisasjoner institusjoner, fysiske personer) rett og slett en utlevering til en ny behandlingsansvarlig. 

Når UiT har utlevert personopplysningene til den nye behandlingsansvarlige, er denne selv fullt ut ansvarlig for behandlingen av personopplysningene hos seg. Vi har da ingen påvirkningskraft eller ansvar for hvordan opplysningene behandles hos den eksterne. Merk: hvis UiT fremdeles har kopi av personopplysningene er vi naturligvis fremdeles behandlingsansvarlig for vår behandling av disse opplysningene. 

For at vi lovlig skal kunne utlevere opplysningene må vi ha et behandlingsgrunnlag for denne utleveringen. Behandlingsgrunnlag følger av personvernforordningen artikkel 6. Hvis det er tale om særlige kategorier personopplysninger må behandlingsgrunnlag også følge av artikkel 9. Vær oppmerksom på at utlevering kan innebære et gjenbruk av eksisterende data, til et nytt formål. Da må det foretas en vurdering av om det opprinnelige og det nye formålet er forenelige. Man kan ikke bare peke på et nytt behandlingsgrunnlag (isolert sett) og så er utleveringen lovlig.

For tilfeller hvor utleveringen ikke er lovpålagt, skal vi forsikre oss om at mottaker har behandlingsgrunnlag for sin behandling av opplysningene (før disse utleveres). 


Databehandler


En databehandler er noen som behandler personopplysninger på vegne av den behandlingsansvarlige, jf artikkel 4 nr 8. En databehandler kan være "en fysisk eller jurisk person, offentlig myndighet, institusjon eller ethvert annet organ", jf artikkel 4 nr 8Særlige krav til databehandlere fremkommer av artikkel 28 og 29

Databehandleren må være et selvstendig rettssubjekt fra den behandlingsansvarlige. F.eks vil ikke ansatte hos den behandlingsansvarlige være databehandler.

En databehandler kan være alt fra en stor, internasjonal leverandør av en skytjeneste (eksempelvis er Microsoft UiTs databehandler for vår bruk av Office 365) til en enkeltperson (som f.eks leverer transkriberingstjenester).

Det kan være tilfeller hvor det ikke er umulig at en ekstern får befatning med personopplysninger når de utfører et oppdrag for oss, men hvor de likevel ikke regnes som databehandler. Se nærmere om dette nedenfor.

 

Dersom UiT er databehandler

  • Vi må passe på at vi har inngått databehandleravtale, og overholder de forpliktelser som fremkommer av avtalen og artikkel 28 jf 29.
  • Det er den behandlingsansvarliges plikt at databehandleravtale er på plass, men vi skal ikke ta i mot eller på annen måte behandle personopplysninger som databehandler før slik avtale er undertegnet. 
  • Som del av sikkerhetstiltakene, sørg for at informasjon/data fra de ulike behandlingsansvarlige holdes adskilt (separert) fra hverandre og fra UiTs egne data

Krav før databehandler kan benyttes


Krav til databehandleravtalen.

Før man tar i bruk databehandler er det noen krav som må være oppfylt:

  • Skriftlig databehandleravtale må foreligge, jf artikkel 28
    • Det finnes noen spesifikke krav til hva denne må inneholde, se nedenfor.
    • Mal for databehandleravtale (to dokumenter; hoveddokument og bilag) finner du her (fra Digitaliseringsdirektoratet).
  • Risikovurdering må være gjennomført slik at informasjonssikkerheten ivaretas (jf artikkel 32)
    • Denne kan være helt enkel eller svært komplisert og omfattende, alt etter oppdragets eller tjenestens natur. 
    • Sørg for å gjennomføre denne på et tidlig nok stadium, for å unngå risikoen ved å ha inngått en bindende avtale om f.eks en tjeneste, som man deretter ikke kan benytte fordi risikovurderingen avdekket ukjente risikoer av en slik art at de ikke var akseptable
      • alternativt ta med forbehold om godkjent risikovurdering 

 

UiT har utarbeidet en sjekkliste som kan brukes for hjelp til gjennomgang av databehandleravtaler, samt visse andre vurderinger som må være på plass før databehandleren kan benyttes. Den finnes med og uten hjelpetekster.

Databehandleravtalen skal fastsette

  • gjenstanden for og varigheten av behandlingen
  • behandlingens art og formål
  • typen personopplysninger som behandles
  • kategorier av registrerte
  • den behandlingsansvarliges rettigheter og plikter

 

Videre skal det særlig angis i avtalen at databehandler

  • kun behandler personopplysninger på dokumenterte instrukser fra den behandlingsansvarlige, jf artikkel 28 nr 3, bokstav a)
    • herunder om opplysninger kan overføres til tredjestater eller internasjonale organisasjoner
  • sikrer at personer som skal behandle personopplysningene er underlagt taushetsplikt, artikkel 28 nr 3, bokstav b)
  • treffer alle tiltak nødvendig for å ivareta informasjonssikkerheten (overholder artikkel 32), jf artikkel 28 nr 3, bokstav c).
  • kun kan engasjere nye databehandlere (underleverandører) under følgende forutsetninger, jf artikkel 28 nr 3, bokstav d):
    • godkjenning fra behandlingsansvarlig er innhentet. Dette kan skje på to ulike måter, og hvilken må avklares i avtalen
      • Databehandler må innhente særlig godkjenning fra behandlingsansvarlig for hver underleverandør, eller
      • Databehandler gis en generell godkjenning, men må da underrette behandlingsansvarlig i tide slik at denne kan motsette seg nye/endrede underleverandører, jf artikkel 28 nr 2
    • databehandler må pålegge underleverandøren de samme bindende forpliktelser som de selv er underlagt, særlig med tanke på informasjonssikkerhet, jf. artikkel 28 nr 4
      • dersom underleverandøren ikke overholder sine plikter skal den databehandler som hyret denne inn, være fullt ut ansvarlig overfor behandlingsansvarlig
  • etter den behandlingsansvarliges valg, sletter eller tilbakefører alle personopplysninger når tjenesten er levert (avtalen avsluttet) og sletter alle kopier hos seg, jf artikkel 28 nr 3, bokstav g)
  • gjør tilgjengelig all informasjon som er nødvendig for å påvise at databehandlers forpliktelser etter forordningen er oppfylt, jf artikkel 28 nr 3, bokstav h)
  • muliggjør og bidrar til revisjoner, jf. artikkel 28 nr 3, bokstav h)
    • herunder inspeksjoner, som enten gjennomføres av den behandlingsansvarlig eller på fullmakt fra denne
  • idet det tas hensyn til behandlingens art og den grad det er mulig

 

Databehandleravtalemalen til UiT tar inn alle disse punktene, men den  tilpasses til hver enkelt avtale. Den kan ikke signeres slik den er, da inneholder den ikke alle opplysninger/detaljer som er påkrevd.

Det skjer at leverandør insisterer på å benytte sin egen avtalemal. Dette er greit, under forutsetning av at den gjennomgås nøye og man fastslår at kravene til databehandler og databehandleravtale er oppfylt. Vær oppmersom på at dette er ikke alltid tilfelle, selv for store leverandører. I slike tilfeller må man forhandle om endringer av avtalen.

Når er eksterne ikke databehandler?


For at noen skal være en databehandler må de behandle personopplysninger på vegne av den behandlingsansvarlige. Formålet med avtalen/oppdraget, helt eller delvis, må være å behandle personopplysninger på den behandlingsansvarliges vegne. Hvis denne behandlingen ikke er del av formålet med oppdraget, er det heller ikke tale om en databehandler. En taushetserklæring kan imidlertid være nødvendig hvis det er muligheter for at aktøren kan komme til å se personopplysninger eller annen konfidensiell informasjon. Se eksempel på taushetserklæring i menyen oppe til høyre. 
 
Noen eksempler:
  • Det inngås avtale om reparasjon av kopimaskiner. Det kan tenkes at reparatøren kan komme til å se personopplysninger i forbindelse med utførelsen av oppdraget (f.eks på et gjenglemt dokument i maskinen), men dette er ikke del av formålet med avtalen - som er å reparerer kopimaskinen. Reparatøren er ikke en databehandler selv om vedkommende skulle komme til å se personopplysninger. 
  • Det inngså avtale med et konsulentfirma for hjelp til utvikling av en tjeneste. De skal utføre arbeidet sitt på UiTs systemer, lokalt hos UiT. Det er ikke tale om noen overføring av informasjon til deres egne systemer. De deler av tjenesten de skal arbeide på vil normalt sett ikke innebære at personopplysninger fremgår. De vil derfor ikke regnes som databehandler
  • Vi benytter en ekstern posttjeneste til å levere brev som inneholder personopplysninger. Oppdraget er å levere brev fra A-B, ikke å behandle personopplysningene, og de er ikke databehandler. 
  • For flere eksempler, se denne veiledningen fra det danske datatilsynet (hvor enkelte av de ovenstående eksemplene er hentet fra). 

 

Merk: Man kan ikke bli enige om at noen er behandlingsansvarlige og noen er databehandler, fordi det fremstår som mest praktisk med tanke på det formelle. Det avgjørende er realitetene, hvem gjør faktisk hva? Hvem har innflytelse? Det kan være tale om "felles behandlingsansvar" eller "utlevering til ny behandlingsansvarlig". 


Overføring til utlandet


Hvis man skal overføring personopplysninger til utlandet er det noen ting som må være på plass. Merk at dette avsnittet omhandler krav som stilles før overføring til et gitt land. Krav som må være oppfylt før en kan ta i bruk en databehandler eller utlevere personopplysninger til en ny behandlingsansvarlig, gjelder i tillegg - slik som
 
Merk: dersom opplysningene som skal behandles er underlagt særlovgivning som kan begrense overføringen ut av Norge (f.eks sikkerhetsloven) så må det naturligvis hensyntas. Dette aspektet er ikke berørt i gjennomgangen nedenfor.
 
Overføring til land innenfor EU/EØS
Overføring personopplysninge til mottaker i land innenfor EU/EØS er likestilt med overføring til tilsvarende mottaker i Norge. Det er eksplisitt forbudt å begrense eller forby overføring av personopplysninger til land innenfor EU/EØS av årsaker begrunnet i personvern, jf artikkel 1 nr 3.  
 
  • Merk: dette gjelder som nevnt kun spørsmålet knyttet til selve landet. Skal man f.eks ta i bruk en databehandler så må fremdeles krav knyttet til f.eks informasjonssikkerhet være oppfylt. Hvis så ikke er tilfelle, kan man ikke benytte denne databehandleren - det hjelper ikke at den er lokalisert i f.eks Frankrike.
    • Det man ikke kan si er at en databehandler ikke skal benyttes fordi den er lokalisert i Frankrike.
 
 
Overføring til land utenfor EU/EØS ("tredjestat") eller til internasjonale organisasjoner
Hvis man skal overføre personopplysninger til en mottaker i et land utenfor EU/EØS, såkalte tredjestater, eller en internasjonal organisasjon, må det foreligge et overføringsgrunnlag. Overføring til utlandet er regulert av forordningens kapittel V (artikkel 44 - 50). Det finnes en rekke forskjellige overføringsgrunnlag, og nedenfor vil de vanligste nevnes. Denne listen er ikke uttømmende.
 
  • Godkjente tredjestater
    • EU har godkjent flere tredjestater som å ha tilsvarende beskyttelsesnivå som landene i EU/EØS. Overføring til disse landene er likestilt med overføring til land innad i EU/EØS. Oppdatert liste over de godkjente landene finnes på EUs hjemmesider

  • EUs standardkontrakt/standard personvernbestemmelser ("Standard contractual clauses")
    • EU har utarbeidet en standardkontrakt som kan benyttes for overføring av personopplysninger tredjeland. Denne finnes i to utgaver:
      • Overføring fra behandlingsansvarlig til databehandler (erstatter ikke databehandleravtale, som må inngås i tillegg)
      • Overføring fra behandlingsansvarlig til behandlingsansvarlig
      • Les mer om dette på Datatilsynets hjemmeside. Pass på at rett kontrakt velges!

  • Privacy Shield
    • Privacy Shield (avtale mellom EU og USA) ble kjent ugyldig av EU-domstolen 16. juli 2020, og kan derfor ikke benyttes som overføringsgrunnlag. Eventuelle eksisterende overføringer som bygger på Privacy Shield må enten etablere et nytt, gyldig grunnlag eller opphøre.
 
Mer informasjon finnes på Datatilsynets hjemmesider, der flere overføringsgrunnlag gjennomgås som f.eks bindende virksomhetsregler.


Ressurser (maler mv)


  • Mal felles behandlingsansvar:
    • UiT har ikke utarbeidet en egen mal for avtale om felles behandlingsansvar, men se hen til NTNUs mal for hvordan en slik avtale kan se ut. Den finner dere på denne siden
  • Dataoverføring (behandlingsansvarlig til behandlingsansvarlig).
    • Ved overføring av personopplysninger fra UiT til ny behandlingsansvarlig må overføringsavtale inngås. Se gjerne hen til NTNUs mal for hvordan slik avtale og prosess kan gjennomføres. Den finner dere på denne siden
 


Personvernkonsekvensvurdering (DPIA)


Dersom en behandling av personopplysninger kan medføre høy risiko for de registrerte (dvs de personene opplysningene omhandler/kan knyttes til) så må det gjennomføres en såkalt "personvernkonsekvensvurdering". Denne er ofte kalt en "DPIA" etter det engelske navnet på vurderingen (Data Protection Impact Assessment).

For forskningsprosjekter så bistår Personverntjenester i Sikt med utarbeidelsen av disse vurderingene. 

Men også andre behandlinger enn forskningsprosjekter kan innebære høy risiko. Datatilsynet har laget en veiledning om DPIAer, inkludert når de må gjennomføres. Blant annet har de et sett med kriterier, og dersom tilstrekkelig mange av disse er oppfylt må det alltid gjennomføres en DPIA (se kapitlet "når er det høy risiko" i veilederen). Men også i andre tilfeller kan det være nødvendig.

Det vil være den internt ansvarlige for den aktuelle behandlingen (f.eks et prosjekt eller en prosess) som må sørge for at DPIA blir gjennomført dersom påkrevd. Personvernombudet kan konsulteres ved behov.

Intern saksgang
Når forslag til DPIA er utarbeidet sendes det til Avdeling for forskning, utdanning og formidling (FUF).

UiT har en egen DPIA-gruppe, hvor også personvernombudet inngår. FUF leder denne. Gruppen tar en vurdering av DPIAen og kommer med en anbefaling til administrasjonsdirektør om DPIAen skal godkjennes eller ikke, alternativt med forbehold. Gruppa kan også sende spørsmål eller sågar hele DPIAen tilbake til f.eks prosjektet dersom det er mangler som gjør at en anbefaling ikke kan gis på nåværende tidspunkt.

Gruppa har ikke faste møtetidspunkt, men møtes ved behov. Sørg imidlertid for at det er satt av tilstrekkelig med tid til denne prosessen. Dersom det er spørsmål som må avklares eller DPIAen må arbeides mer med før gruppa kan nå sin anbefaling vil det gå noe tid. Deretter skal den godkjennes av administrasjonsdirektør. 

Hvis en DPIA er påkrevd kan ikke behandlingen av personopplysninger starte før denne er godkjent.



Personvernerklæringer


UiT har utarbeidet flere personvernerklæringer som dekker ulike behandlinger av personopplysninger (tjenester, prosesser mv.). 

De skal være gjort lett tilgjengelig via den tjenesten eller prosessen de beskriver (eksempelvis Studentweb for personvernerklæring for studentadministrasjon), men de vil også bli samlet her.

Det er noen opplysninger som er felles for samtlige erklæringer:

Hva er en personvernerklæring?

En personvernerklæring beskriver hvilke personopplysninger som behandles, hvordan de behandles, hvem som er ansvarlig for behandlingen, hvilke rettigheter du har og hvem du kan kontakte om personopplysningene dine. Personvernerklæringen du finner her beskriver hvordan UIT håndterer personopplysningene dine dersom du er ansatt, student eller gjest ved Universitetet.

Hva er en personopplysning?

Se nærmere beskrivelse av ulike begreper innen personvernfeltet, inkludert "personopplysning", på denne siden

Har du spørsmål om UiTs behandling av personopplysninger?

Kontaktpersoner for de aktuelle behandlingsaktivitetetene finner du i de enkelte personvernerklæringene. Dersom du deltar eller har deltatt i forskningsprosjekt skal du som hovedregel ha fått et informasjonsskriv eller på annen måte fått tilgang til informasjon om prosjektet, inkludert hvem du kan kontakte ved spørsmål.

Dersom du mener det har skjedd et avvik eller er mangler ved måten UiT behandler dine personopplysninger bes du sende en e-post til sikkerhet@uit.no

Kontaktopplysningene til UiTs personvernombud

Annikken Steinbakk er personvernombud på UiT, og hun kan nås på personvernombud@uit.no

Dine rettigheter

Du har rett til å anmode om innsyn i, og retting eller sletting av dine personpplysninger. Du har også rett til å anmode om begrensning om behandlinger som gjelder deg, og til å protestere mot behandlinger som bygger på GDPR art. 6 nr. 1, bokstav e) ("allmennhetens interesse" og "utøvelse av offentlig myndighet") eller bokstav f) ("berettiget interesse") som behandlingsgrunnlag.

For utøvelse av disse rettighetene kan du kontakte den kontaktadressen som står i den aktuelle personvernerklæringen eller informasjonsskriv, eller sende henvendelse til postmottak@uit.no

Når UiT mottar slike anmodninger vil den bli vurdert, og behandlet i tråd med regelverket. Merk at ingen av rettighetene er ubetinget i den forstand at de kan utøves uten begrensninger. Det kan eksempelvis være andre regelverk som er til hinder for sletting (f.eks kan ikke eksamensresultater slettes, selv om de er personopplysninger). 

Rett til å klage

Dersom du mener UiT ikke behandler dine personopplysninger korrekt kan du som nevnt ovenfor ta kontakt med UiT for å stille spørsmål, levere avviksmelding eller klage.

Du kan også sende klage direkte til Datatilsynet, som er tilsynsmyndighet i Norge på dette feltet.

Personvernerklæringer ved UiT (ikke komplett liste):