Illustrasjonsbilde

Informasjonssikkerhet og personvern ved UiT

UiT Norges arktiske universitet behandler store mengder informasjon innenfor forskning, utdanning, formidling og administrasjon. Det er avgjørende at vi klarer å ivareta informasjonssikkerheten på en god måte, ikke minst for å ivareta den tilliten UiT er avhengig av som forsknings- og utdanningsinstitusjon. Dette skal skje uavhengig av om informasjonen behandles fysisk eller digitalt.

Ønsker du komme i kontakt med faggruppe for personvern og informasjonssikkerhet? Kontakt oss på e-post sikkerhet@uit.no

 

Ledelsessystemet for informasjonssikkerhet ("ISMS") er vedtatt av Universitetsstyret. Første gang i 2015, og senere revidert. Gjennom ledelsessystemet skal UiT ha en helhetlig tilnærming til informasjonssikkerhet, slik at vi kan ha styring og kontroll med informasjonssikkerheten på universitetet.

Ledelsessystemet består av styrende, gjennomførende og kontrollerende del. Endringer i den styrende delen (kap. 1-3) foretas av Universitetsstyret, mens endringer i gjennomførende og kontrollerende del (kap. 4-6 samt vedleggene) ligger til Universitetsdirektøren.






Kapittel 1: Innledning



Universitetet i Tromsø – Norges arktiske universitet (UiT) er et nasjonalt og internasjonalt kraftsenter for kompetanse, vekst og nyskaping i nordområdene. Dette skal blant annet vises gjennom høy kvalitet på UiTs kunnskapsforvaltning og informasjonsverdier: forskningsdata, forskningsresultater og informasjon eller kunnskap som inngår i undervisning, forskning og formidling.

Et systematisk og planmessig arbeid for å sikre våre informasjonsverdier er derfor en sentral del av UiTs kunnskapsforvaltning. Både interne og eksterne aktører – ledere, ansatte, studenter, samarbeidspartnere og offentligheten for øvrig – skal kunne stole på at UiT ivaretar

  1.     informasjonens konfidensialitet – vi beskytter sensitiv eller viktig informasjon mot uautorisert innsyn, tilgang eller misbruk,
  2.     informasjonens integritet – vi beskytter sensitiv eller viktig informasjon mot uautorisert endring eller sletting,
  3.     informasjonens tilgjengelighet – vi sørger for at all informasjon er tilgjengelig for alle som skal ha tilgang til den.

UiT er underlagt en rekke lover og forskrifter som pålegger oss å ha tilfredsstillende informasjonssikkerhet. Dette gjelder blant annet forvaltningsloven med forskrift (e-forvaltningsforskriften), personopplysningsloven med forskrift og helseforskningsloven med forskrift. I tillegg inneholder andre lovverk, blant annet offentlighetsloven og arkivloven, bestemmelser som har betydning for arbeidet med sikring av informasjonen ved UiT. I Kunnskapsdepartementets (KD) tildelingsbrev til UiT for 2014 kreves det innføring av et styringssystem for informasjonssikkerhet som bygger på grunnprinsippene i anerkjente sikkerhetsstandarder. Ledelsessystemet for informasjonssikkerhet ved UiT ivaretar de kravene som lovverket og KD stiller til arbeidet med informasjonssikkerhet i universitets- og høyskolesektoren.

Ledelsessystemet for informasjonssikkerhet skal sørge for at UiTs informasjonsverdier håndteres på en systematisk, planmessig og tilfredsstillende måte. Ledelsessystemet inneholder blant annet mål, strategi og organisering av arbeidet med informasjonssikkerhet, samt beskrivelse av roller og ansvar, oversikt over informasjonsverdier og retningslinjer.

Ledelsessystemet består av tre hovedelementer:

  1. Styrende – overordnet policy, herunder sikkerhetsmål og -strategi, roller og ansvar.
  2. Gjennomførende – risikovurderinger samt konkrete rutiner og retningslinjer i vedleggene.
  3. Kontrollerende – internrevisjon, rapportering av avvik og ledelsens gjennomgang.

Informasjonssikkerhet er et topplederansvar. Det operative ansvaret og det praktiske arbeidet med å ivareta informasjonssikkerheten kan delegeres til de enkelte enhetene ved UiT, jf. beskrivelsen av sikkerhetsorganisasjonen med roller og ansvar i punkt 3.

Ledelsessystemet for informasjonssikkerhet ved UiT omfatter
• alle brukere av UiTs IT-ressurser1
• alle UiTs studiesteder/campuser
• alle organisatoriske enheter2
• all teknologi3
• alle informasjonsverdier

Med informasjonsverdier menes utstyr, prosesser eller data som er tilknyttet informasjon og som virksomheten anser som nødvendig å beskytte. Hvordan man skal beskytte informasjonsverdiene avhenger av resultatene fra risikovurderinger. Informasjonssikkerhet knyttet til data er medie- og formatuavhengig, gjelder både informasjon som lagres og brukes i mobile enheter, cd-rom og på papir. Det kan være et IT-system, for eksempel personalsystem, læringsplattform og arkivsystem, eller en type informasjon, for eksempel studentinformasjon, pasientinformasjon eller data som inngår i et forskningsprosjekt.

[Fotnoter]

[1] Studenter, ansatte, gjester, samarbeidspartnere etc.
[2] Avdelinger, fakulteter, institutter, sentre, museum, databehandlere
[3] IT-systemer, datanettverk, databaser/-registre etc.

To sentrale begrep går igjen i ledelsessystemet og personvernlovgivningen; behandlingsansvarlig og databehandler. Den behandlingsansvarlige er den som bestemmer formålet med behandlingen av personopplysninger, og hvilke hjelpemidler som skal benyttes. Databehandleren er den som behandler personopplysninger på oppdrag fra den behandlingsansvarlige. Det skal alltid inngås en databehandleravtale før eksterne aktører kan behandle personopplysninger for UiT, også i småskala.


Kapittel 2: Sikkerhetsstrategi og akseptabel risiko


God informasjonssikkerhet skal bidra til at UiT oppnår sine strategiske målsettinger og ivaretar sitt samfunnsoppdrag. Konfidensialitet, integritet og tilgjengelighet for UiTs informasjonsverdier skal ivaretas på en enhetlig og systematisk måte i hele organisasjonen. Informasjonsverdiene skal være tilgjengelig for de som skal ha tilgang (tilgjengelighet), de skal sikres mot utilsiktet og urettmessig endring (integritet), og de skal ikke være tilgjengelig for uvedkommende (konfidensialitet).

Sikkerhetsstrategi

Strategi for informasjonssikkerhet (2019–2021) ble vedtatt av Universitetsstyret 13.3.19. I denne ligger også sikkerhetsmål og vurderinger rundt akseptabel risiko.

(Merknad: I tillegg til det ovennevnte dokumentet finnes et grunnlagsdokument med større detaljgrad, herunder hvilke tiltak som kan gjennomføres. Dette legges ikke offentlig tilgjengelig, men de som har tjenstlig behov for det kan få tilgang ved å kontakte informasjonssikkerhetsrådgiver.)



Kapittel 3: Klassifisering av informasjon


En forutsetning for å kunne si noe om akseptabel bruk samt behovet for sikkerhetstiltak er at det er foretatt en klassifisering av informasjonen som behandles. Klassifiseringen ligger til grunn for vurderingen av hvilken grad av sikring (IT-teknisk, organisatorisk og fysisk) informasjonen skal underlegges. Videre vil klassifisering bidra til å oppnå en oversikt over hvilke informasjonsverdier UiT forvalter.

Klassifiseringen vil videre gi personer som skal behandle informasjonen en konkret indikasjon og veiledning på hvordan denne skal håndtere og beskyttes.

Retningslinjer for klassifisering av informasjon finner du her



Kapittel 4: Roller, ansvar og oppgaver


I det følgende gis en nærmere beskrivelse av hvilket ansvar og hvilke oppgaver som er lagt til de ulike rollene:

 


  • behandler og vedtar ledelsessystemet for informasjonssikkerhet ved UiT
  • kan stille krav til det videre arbeidet med informasjonssikkerhet ved UiT
  •     er behandlingsansvarlig for alle personopplysninger, dette omfatter også å bestemme formålet med behandling av personopplysninger, samt å ha dokumentert oversikt over disse
  •     har ansvar for informasjonssikkerhet på et overordnet nivå, herunder å sette av tilstrekkelige ressurser til arbeidet med informasjonssikkerhet, inkludert opplæring og kompetanseheving
  •     har ansvaret for at ledelsessystemet for informasjonssikkerhet blir implementert og vedlikeholdt, samt for organiseringen av sikkerhetsarbeidet
  •     skal iverksette årlig internrevisjon, jf. punkt 6.1.
  •     skal årlig gjennomgå status for arbeidet med informasjonssikkerhet8
  •     skal oppnevne medlemmer av informasjonssikkerhetsforumet

[Fotnoter]

[8] Jf. ledelsens gjennomgang

  • er informasjonssikkerhetsansvarlig og har forvaltningsansvaret for informasjonssikkerheten ved UiT
  • har instruksjonsmyndighet overfor alle andre enheter ved UiT i saker som angår informasjonssikkerhet
  • skal påse at holdningsskapende programmer gjennomføres
  • skal utøve IT-direktørens myndighet i saker om informasjonssikkerhet
  • skal være rådgiver for linjeorganisasjonen i spørsmål relatert til informasjonssikkerhet
  • skal lede CSIRT-teamet og Informasjonssikkerhetsforum
  • skal utarbeide og vedlikeholde overordnet beredskapsplan for IKT
  • skal følge opp avvik på overordnet nivå og sørge for at disse blir kanalisert til og fulgt opp av berørte enheter
  • skal drive opplysningsvirksomhet, rådgivning og opplæring innen informasjonssikkerhet
  • skal vedlikeholde overordnet policy og rutiner for informasjonssikkerhet
  • skal iverksette og delta i revisjoner og risikovurderinger ved behov
  • skal utarbeide årlig rapport til ledelsens gjennomgang
  • skal holde oversikt over databehandleravtaler som inngås på UiT
  • skal bistå systemeier ved utforming av krav til informasjonssikkerhet ved anskaffelse av nye system
  • har ansvar for drift av IT-systemene, og skal ivareta tilfredsstillende informasjonssikkerhet på IT-infrastruktur basert på risikovurderinger
  • skal, på bakgrunn av risiko- og sårbarhetsanalyser, utarbeide en kontinuitets- og beredskapsplan (KBP) som dekker kritiske og viktige informasjonssystemer og infrastruktur
  • skal dokumentere systemer/infrastruktur med tilhørende sikkerhetstiltak
  • skal utarbeide og vedlikeholde sikkerhetspolicy, retningslinjer og prosedyrer for den tekniske infrastrukturen
  • skal overvåke vesentlige endringer i trusler mot UiTs informasjonsverdier
  • skal sørge for at sikring av tilgang til bygninger, rom og områder er i tråd med kriterier for akseptabel risiko
  • skal bistå enheter ved risikovurderinger av fysisk sikkerhet og ved gjennomføring av nødvendige fysiske sikringstiltak
  • er ansvarlige for å tilfredsstille krav til informasjonssikkerhet i egen enhet
  • skal gjennomføre risikovurderinger
  • skal iverksette tiltak dersom det er nødvendig for å ivareta informasjonssikkerheten i egen enhet
  • skal rapportere resultat fra risikovurderinger med handlingsplan og avvik til informasjonssikkerhetsrådgiver
  • skal følge opp avviksmeldinger i egen enhet og sørge for at disse blir lukket
  • skal informere ansatte i egen enhet om de rutiner og retningslinjer som gjelder til enhver tid og sørge for at kravene i styringssystemet til egen enhet blir fulgt
  • skal etablere og vedlikeholde rutiner for å ivareta sikkerhetsmålene
  • skal stille krav til informasjonssikkerhet i anskaffelse, utvikling og vedlikehold av informasjon og informasjonssystemet, i samråd med Avdeling for IT
  • skal sørge for at tilganger blir gitt etter tjenstlig behov, avsluttet når behovet opphører, samt at nødvendig opplæring blir gitt
  • skal, i samråd med informasjonssikkerhetsrådgiver, sørge for at databehandleravtaler inngås
  • skal utføre risikovurdering av systemet i henhold til punkt 4, og dokumentere at risikovurderinger er utført
  • skal iverksette eventuelle tiltak på bakgrunn av risikovurderinger
  • har plikt til å gjøre seg kjent med og følge de sikkerhetsrutiner og retningslinjer som til enhver tid gjelder for sikker håndtering av informasjonsverdier og personopplysninger
  • har plikt til å forhindre og rapportere hendelser som kan innebære avvik, samt rapportere avvik når disse oppstår, gjennom avviksmeldingssystemet
  • skal iverksette, eller beordre iverksatt, ethvert tiltak som vurderes som tjenlig for å avverge skade på UiTs IT-systemer og data
  • skal rapportere om sikkerhetshendelser, skadepotensial, skadeomfang og iverksatte tiltak til IT-direktøren
  • skal gi råd om tiltak/initiativ som fremmer informasjonssikkerheten
  • skal koordinere planleggingen og gjennomføringen av tiltak og initiativ på informasjonssikkerhetsområdet som omfatter hele institusjonen
  • skal gjennomgå rapporterte avvik og sikkerhetshendelser, og påse at disse blir lukket
  • skal gjennomgå rapport til ledelsens gjennomgang
  • skal bidra til implementering av ledelsessystemet i organisasjonen
  • skal jevnlig gjennomgå ledelsessystemet for informasjonssikkerhet med tilhørende dokumenter og generelle ansvarsforhold, samt vurdere behov for endringer

Kapittel 5: Risikovurdering


Risikovurderinger skal avdekke mulige uønskede hendelser/trusler som kan føre til brudd på informasjonssikkerheten ved UiT. Vurderingene er derfor sentral i arbeidet med å sikre trygg og sikker behandling av UiTs informasjonsverdier. I tillegg til å avdekke hva som kan gå galt, skal de avdekke hva vi har gjort og hva vi ytterligere kan gjøre for å hindre at uønskede hendelser inntreffer, samt redusere konsekvensene dersom de likevel skjer.

Risikovurderingen må videre sees i sammenheng med etablerte akseptkriterier for risiko (jf. punkt 2.3), og akseptabel risiko må fastsettes før risikovurderingen foretas. Dersom risikoen for at en eller flere uønskede hendelser skjer er større enn det som er definert som akseptabelt, må denne risikoen håndteres ved at forebyggende tiltak iverksettes.

Risikovurderinger skal foretas

  • når trusselbildet endres
  • før oppstart av behandling av personopplysninger
  • ved oppstart av forskningsprosjekter
  • ved etablering eller endring av IKT-systemer
  • ved organisatoriske endringer som kan påvirke informasjonssikkerheten

Alle risikovurderinger skal dokumenteres. Dersom risikovurderinger avdekker tilfeller som skal følges opp, skal det navngis hvem som har ansvar for å fastsette relevante tiltak og plan for oppfølgning av disse. Risikovurderingen skal leveres til informasjonssikkerhetsrådgiver(ne) som skal benytte disse i ledelsens gjennomgang og sørge for at dokumentene lagres i UiTs arkivsystem.



Kapittel 6: Opplæring


Opplæring skal bidra til å bygge en god sikkerhetskultur ved UiT. Den skal bevisstgjøre ansatte og studenter om betydningen av informasjonssikkerhet og gjøre dem i stand til å etterleve UiTs sikkerhetspolicy i sitt daglige virke. Opplæring i informasjonssikkerhet må derfor tas inn som en naturlig del av opplæringen av studenter og ansatte på alle nivå i organisasjonen. Systemeiere er spesielt ansvarlig for opplæring i sine respektive systemer.

Ledere har et overordnet ansvar for at nødvendig informasjon blir gitt til de ansatte, og at det blir satt av tid og ressurser til opplæring. For å sikre at dette ansvaret blir ivaretatt skal informasjonssikkerhet inngå i UiTs lederopplæring. Videre skal universitetsdirektøren sørge for at informasjonssikkerhet tas opp som tema i egnede lederfora minst en gang i året.

Informasjon om informasjonssikkerhet ved UiT skal være lett tilgjengelig for alle via universitetets nettsider og andre relevante kanaler.

Alle som er tildelt sentrale roller og oppgaver i sikkerhetsarbeidet skal gis spesiell opplæring. Eksterne kurs, seminarer og deltakelse i relevante nettverk er viktig for å sikre utveksling av informasjon og øke kompetansen hos denne gruppen ansatte.



Kapittel 7: Internrevisjon


Hensikten med internrevisjon er å kontrollere at det vedtatte ledelsessystemet for informasjonssikkerhet innføres, driftes og vedlikeholdes i alle deler av organisasjonen. Det skal gjennomføres årlig systematisk kontroll av universitetets behandling av informasjon der det er krav til konfidensialitet, integritet og tilgjengelighet. Kontrollen skal identifisere eventuelle avvik og behov for justeringer i selve ledelsessystemet og/eller i opplæringen. Det skal føres kontroll av de interne retningslinjene og hvorvidt disse er oppdatert i forhold til regler og praksis i virksomheten. Det skal også kontrolleres at de etterlever krav i lov og forskrifter. Den årlige kontrollen skal danne grunnlag for ledelsens gjennomgang.



Kapittel 8: Håndtering av hendelser og avvik


Rapportering av avvik
Avvik er brudd på lover, forskrifter eller interne bestemmelser på UiT. Melding av avvik er viktig – både for å kartlegge årsaken til at de skjer, og for å eventuelt iverksette nye sikringstiltak for å unngå liknende avvik i fremtiden. Avvik handler således om kvalitet og forbedring.

Eksempler på avvik:

  • Tyveri av datautstyr,
  • misbruk av IT-tjenester,
  • misbruk av passord,
  • dataangrep for eksempel ved virusangrep eller hacking,
  • datalekkasje,
  • svakheter i IT-systemer eller rutiner på UiT,
  • sensitiv informasjon på avveie,
  • personopplysninger på avveie,
  • uautorisert tilgang til opplysninger.


Fremgangsmåte ved avvik:

  1. Den som oppdager et avvik skal rapportere dette via avviksmeldingssystemet.
  2. Informasjonssikkerhetsrådgiver(ne) undersøker årsakene til avviket og iverksetter korrigerende tiltak for å lukke avviket.
  3. Informasjonssikkerhetsrådgiver(ne) skal føre en samlet oversikt over alle avvik som er meldt inn. Disse skal blant annet inngå i ledelsens gjennomgang og benyttes for læring på tvers i organisasjonen for å hindre gjentakelse.
Les mer om innmelding av avvik her


Kapittel 9: Ledelsens gjennomgang


Informasjonssikkerhet er et lederansvar på lik linje med andre sentrale lederoppgaver ved UiT. Det er ledelsen som har det øverste ansvaret for å sikre at UiT ivaretar pålagte krav til informasjonssikkerhet, og som skal passe på at medarbeidere og studenter har tilstrekkelig kjennskap til informasjonssikkerhet. For at ledelsen skal kunne ivareta sine oppgaver, skal det årlig utarbeides en rapport som gjennomgår arbeidet med informasjonssikkerhet. Informasjonssikkerhetsrådgiver(ne) har ansvar for at denne rapporten blir utarbeidet.

Ledelsens gjennomgang skal omhandle

  • resultater fra internrevisjonen
  • resultater fra risikovurderinger
  • rapporterte avvik og iverksatte tiltak
  • eventuelle nødvendige justeringer av ledelsessystemet

Ledelsen skal etter gjennomgangen ta stilling til

  • om ansvars- og oppgavefordelingen er hensiktsmessig
  • om det er behov for endringer i ledelsessystemet
  • om det er spesielle ressurs- og opplæringsbehov for kommende år

En rekke retningslinjer og rutiner er inntatt som vedlegg til ledelsessystemet, og er således del av det: 





  • Skal dere gjennomføre en risikovurdering? Meld inn via dette skjemaet, og så vil dere få opprettet et eget Teamsområde (kanal) for gjennomføring av risikovurderingen. Her vil dere få tilgang til maler, ressurser mv.
 
 
For nærmere informasjon om hva en risikovurdering er og når en slik skal gjennomføres, se "om risikovurderinger" nedenfor.





Om risikovurderinger


Ledelsessystemet fastsetter at risikovurderinger skal foretas
  • når trusselbildet endres
  • før oppstart av behandling av personopplysninger
  • ved oppstart av forskningsprosjekter
  • ved etablering eller endring av IKT-systemer
  • ved organisatoriske endringer som kan påvirke informasjonssikkerheten

Gjennom risikovurderingene ser vi på mulige, uønskede hendelser (trusler) og sannsynligheten for at disse kan inntreffe, samt konsekvensen hvis så skjer. Summen av sannsynlighet og konsekvens gir risikonivået for den aktuelle trusselen. Hvis dette nivået er tilstrekkelig høyt, må man iverksette tiltak for å senke risikonivået (enten senke sannsynligheten, konsekvensen eller begge), før behandlingen, systemet, tjenesten mv settes i gang/tas i bruk. Det vil alltid være en viss risiko forbundet med behandling av informasjon, bruker av tjenester mv. Målet er at denne skal reduseres så mye som mulig. Den "restrisiko" man står igjen med må enten aksepteres, eller så må man konkludere med at risikoen forblir for høy og den planlagte behandlingen kan ikke iverksettes, tjenesten kan ikke tas i bruk etc. Det er viktig at denne beslutningen tas på rett nivå (se nedenfor). 

Vurdering av sannsynlighet og konsekvens foretas på en skala fra 1 - 4 (hvor 1 er lavest), og kriteriene for disse vurderingene fremgår av de ulike skalaene for risiko (krever pålogging).

 

UiT benytter de veiledninger som er utarbeidet av Unit - direktoratet for IKT og fellestjenester i høyere utdanning og forskning. Disse bygger på anerkjente standarder. Nærmere informasjon om risikovurdering av informasjonssikkerhet finner du her: https://www.unit.no/risikovurderinger-informasjonssikkerhet

Unit har laget også laget egne veiledere som går spesifikt på skytjenester og på administrative systemer. Dere finner disse, samt flere, nederst på denne siden: https://www.unit.no/risikovurderinger-informasjonssikkerhet

I følge ledelsessystemet så er det enhetsledere og systemeiere som har ansvaret for at risikovurderinger gjennomføres. Dette innebærer ikke at de personlig må gjennomføre vurderingene, men de har ansvaret for at risikovurderingene gjennomføres. Det er også disse som må akseptere risikovurderingene, hvilke tiltak som er nødvendige/skal gjennomføres samt akseptere ev. restrisiko. 

Hvis det er tale om behandlinger som innebærer høy risiko, tjenester som behandler store mengder informasjon om mange personer (i sær hvis det er tale om konfidensiell informasjon) bør risikovurderingen løftes opp i linja. Først til IT-direktør, og i noen tilfeller til Universitetsdirektøren (som har et overordnet ansvar for informasjonssikkerhet og utøver myndigheten som behandlingsansvarlig etter personopplysningsloven).

Risikovurderinger kan ikke bare gjennomføres en gang, og så er det gjort. Man må jevnlig ta disse opp igjen og se om tiltakene fungerte etter planen, om trusselbildet har endret seg mv. Har noen av premissene for vurderingene endret seg (ny teknologi etc)?


Det er svært viktig at avvik meldes så raskt som mulig. Dette gjøres på følgende vis: 

  • Dersom avviket/hendelsen er pågående og krever hurtige tiltak, som må iverksettes selv om det er utenfor arbeidstid (sikkerhetsmessige uregelmessigheter), ta kontakt med CSIRT
  • Informasjonssikkerhetsavvik forøvrig (de aller fleste) meldes til sikkerhet@uit.no.

I meldingen skal følgende beskrives, i den grad som er mulig:

– hva har skjedd, hvor skjedde det og hvordan oppsto det?

– dato eller tidsrom for avviket

– når ble det oppdaget

– har informasjon blitt kjent (ev. potensielt blitt kjent) for uvedkommende?

– hvis ja, kan du si noe mer rundt dette? F.eks antall personer; beskriv situasjonen (lagt ut på internett, feilsendt til en person etc)

– har informasjon gått tapt eller vært utilgjengelig en periode (og det fikk store eller små konsekvenser)?

– har informasjon blitt endret, enten av uvedkommende eller ved et uhell?

– hvor mange personer er berørt av avviket (anslagsvis hvis det ikke kan besvares helt konkret)

– hvem vi kan kontakte for å få mer informasjon hvis nødvendig

Dersom du ikke har full oversikt med en gang, så send oss en helt kort orientering og følg opp med mer informasjon etterpå. Det er viktig at vi får hurtig beskjed. Vi vil etterspørre mer informasjon hvis vi behøver det.

Merk: dersom meldingen inneholder fortrolig informasjon (f.eks taushetsbelagte opplysninger, sensitive personopplysninger etc), ber vi om at du heller lager avviksmeldingen som et word-dokument i office365, klassifiserer det som fortrolig og deler det med Ingvild Stock-Jørgensen. Alternativt kan du sende det gjennom Ephorte.

(Via kursportalen XtraMile har UiT laget kurset "obligatorisk for ansatte". En av leksjonene er hvordan man klassifiserer filer i Office365.)





UiT benytter en rekke tjenester, og det er viktig at de brukes til det formålet de er tiltenkt. Ikke bare for å sikre at data holdes tilstrekkelig "hemmelig", men også vi må ivareta tilgjengeligheten (hva skjer hvis dine data blir borte, og de var lagret i en tjeneste uten tilstrekkelig backup? Eller eksamen avholdes digitalt og tjenesten "går ned" midtveis?) og integriteten (hva hvis noen kan endre på dine forskningsdata uten at du vet det? Eller eksamenskarakteren sin?) på en god nok måte.

Videre er vi underlagt en rekke lover som stiller krav til kvaliteten og vilkårene til de tjenestene vi tar i bruk, ikke minst GDPR. Her vil vi legge ut informasjon om hva sentrale tjenester er godkjent for (i første omgang knyttet til konfidensialitetskrav) samt info om i hvilken grad du kan bruke andre tjenester enn de UiT sentralt har anskaffet.






Andre samhandlingsløsninger enn UiT sine. Tillatt?


Andre samhandlingsløsninger

  • Det er ikke tillatt å benytte andre samhandlingsløsninger enn de UiT tilbyr via Avdeling for IT.  
  • Vi er underlagt en rekke lovkrav, og dette innebærer blant annet at det må foreligge databehandleravtale (som er gjennomgått for kvalitetssikring, se sjekkliste på https://uit.no/personvern) og risikovurdering, jf ledelsessystemet for informasjonssikkerhet kap. 1 jf kap. 5 (https://uit.no/sikkerhet). 
  • Det vil ofte være større forskjeller mellom de avtalene UiT inngår f.eks gjennom sektorsamarbeid og de som f.eks et institutt inngår, som gjerne blir direkte med leverandør. Dette kan gi seg utslag i eksempelvis vilkår for behandling av data, hvor lagring skjer (USA fremfor EU/EØS) mv.
  • Oppfyller ikke de eksisterende samhandlingsløsningene enhetens behov? Ta kontakt med Seksjon for virksomhetsnære tjenester (VITE) ved Avdeling for IT.
  • Merk: dette gjelder ikke eksterne møter man har fått innkalling til. Skal du i et møte med f.eks UiO og får tilsendt lenke til det digitale (virtuelle) møterommet i en løsning UiO benytter så kan du selvsagt delta.

Private lisenser

  • Private lisenser er ikke tillatt brukt i jobbsammenheng; også med tanke på hva lisensen i seg selv tillater, men primært fordi man da behandler UiT-data (inkludert om studenter og kollegaer) i privat regi. UiT mister per definisjon kontroll på dataene, og kan ikke oppfylle lovkrav etter bl.a GDPR.

Lisenser via andre UH-institusjoner

  • Har du et arbeidsforhold til en annen institusjon som har en tjeneste du ønsker benytte i undervisningssammenheng, dvs gjennomføre undervisningsaktiviteter i UiT-regi med UiTs studenter?
  • Dette vil kreve avtaler mellom UiT og den aktuelle institusjonen, f.eks en databehandleravtale hvis det involverer personopplysninger. Dette fordi den andre institusjonen da rent faktisk behandler data på UiTs vegne. Det må også gjennomføres risikovurdering for å sikre at dataen kan håndteres forsvarlig i den aktuelle tjenesten.
  • Bruk derfor de tjenestene du har tilgang til via UiT direkte


Hvilke tjenester kan du bruke til hvilket innhold?


UiT har en rekke systemer og tjenester som kan og skal benyttes. Imidlertid er det ikke alle som er godkjent for alle typer data. Etter styringssystemet klassifiseres all informasjon ved UiT enten som åpen/grønn, intern/gul, fortrolig/rød eller strengt fortrolig/svart. Gjennom risikovurderingene besluttes det hvilke typer data de ulike tjenestene og systemene er godkjente for, og hva som skal til for at denne godkjenningen er gyldig.

I tabellen nedenfor vil vi bygge opp en oversikt over hvilke data som kan behandles hvor.

Dere vil se at enkelte har en fotnote ved seg, og dette peker til listen nedenfor tabellen med sentrale forutsetninger for at godkjenningen gjelder. Det vil alltid være en forutsetning at dere bruker tjenesten eller systemet som angitt i veiledninger, opplæring mv. Det er viktig at veiledninger, rutiner mv følges, da UiT gjennom (eksempelvis) rutiner iverksetter tiltak som er påkrevd for at en gitt type informasjon skal kunne behandles i systemet eller tjenesten.

Dersom man bruker systemet eller tjenesten på en annen måte enn beskrevet / angitt, så gjelder ikke informasjonen i tabellen og man må ta direkte kontakt med systemeier for å få en avklaring om bruken er tillatt.

Lurer du på hva de ulike kategoriene betyr? Se retningslinjene i ledelsessystemets kapittel tre

 

System / tjeneste  Åpen/Grønn   Intern/Gul  Fortrolig/Rød  Strengt fortrolig/Svart
Canvas OK OK ikke godkjent ikke godkjent
Ephorte OK OK OK  OK
E-post (office 365) OK OK ikke godkjent ikke godkjent
EUTRO OK OK OK  OK
Fellesområder OK OK ikke godkjent ikke godkjent
Felles Studentsystem (FS) OK OK ikke godkjent ikke godkjent
Forms OK OK ikke godkjent ikke godkjent
Hjemmeområdet (H:\) OK OK ikke godkjent ikke godkjent
Mediasite OK OK ikke godkjent ikke godkjent
Nettskjema / Sikkert nettskjema OK OK OK 1 ikke godkjent
OneDrive for Business (office 365) OK OK OK 2 ikke godkjent
Request Tracker (RT) OK OK ikke godkjent ikke godkjent
Sharepoint (office 365) OK OK OK 2 ikke godkjent
Skype for Business (via UH-skype) OK OK OK 3 ikke godkjent
Stream OK OK ikke godkjent ikke godkjent
Sway5 (office 365) OK ikke godkjent ikke godkjent ikke godkjent
Teams (office 365) OK OK OK 2 ikke godkjent
TopDesk OK OK OK 6 ikke godkjent
Tjeneste for sensitive data (TSD) OK OK OK  OK
WiseFlow OK OK OK 4 ikke godkjent
Yammer OK ikke godkjent ikke godkjent ikke godkjent
Zoom OK OK ikke godkjent ikke godkjent


1 =
 For fortrolig informasjon skal "sikkert nettskjema" benyttes, ta kontakt med Seksjon for digitale forskningstjenester (SDF). "Nettskjema" er kun for åpen og intern informasjon.  

2 = Dette er betinget av at følgende sikkerhetstiltak følges: klassifisering av informasjon, totrinns-autentisering aktivert. Informasjon som er underlagt begrensninger for utføring fra Norge (f.eks. etter Sikkerhetsloven) kan heller ikke behandles her.
Merk: Direktemeldingsfunksjonen (chat) i Teams er ikke kryptert. 

3 = Samtaler i Skype krypteres. Ved Skype-møter med fortrolig innhold anbefales det å aktivere "lobbyfunksjonen" slik at møteleder aktivt må slippe inn de personer om forsøker koble seg opp til møtet. Merk: kopi av direktemeldinger ("chat") lagres i e-postklienten, slik at det blir sikkerhetsnivået for e-post som er gjeldende for disse. 

4 = Sensitive personopplysninger (f.eks legeerklæringer) skal ikke behandles i WiseFlow. Men fortrolig informasjon som f.eks. eksamensoppgaver før eksamen er avholdt, kan behandles i denne tjenesten.  

5 = Sway er godkjent kun for åpne data. Vi gjør oppmerksom på at Sway lagrer all brukerdata i USA. 

6 = Dersom TopDesk skal benyttes til fortrolige data må dette godkjennes på forhånd (før operatørkøen opprettes). 


Vi arbeider med elæringsmoduler om informasjonssikkerhet og personvern. I forbindelse med nasjonal sikkerhetsmåned lagde UiT egne kurs for informasjonssikkerhet. Disse oppfordres du til å gjennomføre! Gå til https://app.xtramile.no/ og velg modulen "nasjonal sikkerhetsmåned".

Det er viktig at alle enhetene har nærmere rutiner for hvordan informasjonssikkerhet håndteres på sin enhet. F.eks håndtering av utskrifter av fortrolig informasjon, prosedyrer for gjennomføring og godkjenning av risikovurderinger mv. – tilpasset deres enhet.

På denne siden vil vi legge ut endel veiledninger og infofrmasjon om hva du må være oppmerksom på. 






Jobbe hjemmefra


På grunn av korona er det svært mange ved UiT som nå jobber hjemmefra. Imidlertid er det viktig at personvernet og informasjonssikkerheten fremdeles ivaretas, og her har du et viktig ansvar.

UiT forvalter store mengder forskningsdata samt personopplysninger om ansatte, studenter, forskningsdeltakere, gjester, samarbeidspartnere og andre i tillegg til øvrig informasjon som er av stor betydning for virksomheten. Svikt her kan føre til stor skade både for UiT og for enkeltpersoner. Ivaretagelsen av informasjonssikkerhet og personvern er ditt ansvar, og oppfylles ved at du utviser aktsomhet, følger lover, retningslinjer og rutiner samt sier ifra dersom du oppdager eller opplever uønskede hendelser.

Hvis det er flere i husstanden må du huske på at taushetsplikten din også gjelder overfor dem. Dette kan lett glippe dersom papirer ligger fremme, PC-en står ulåst eller lånes bort til barna, Skypemøter gjennomføres med andre til stede i rommet mv.

Vi minner derfor om noen kjøreregler som alle må være oppmerksomme på (disse gjelder forøvrig alltid når du jobber hjemmefra, ikke bare i vår):

Grunnregler

  • Arbeid med røde/fortrolige og svarte/strengt fortrolige data skal kun skje på UiT-eid utstyr.
  • Du skal alltid bruke multifaktorautentisering (MFA) hvor dette er mulig. Dette øker sikkerheten og minsker risikoen for at andre kan få tilgang til innholdet ditt. 
  • Husk at du må sørge for at utstyret du har holdes oppdatert. Sikkerhetsoppdateringer er et viktig ledd i informasjonssikkerhetsarbeidet.
  • Vær særlig oppmerksom når du benyttes trådløse hjemmenettverk. Husk å sikre det, og bruk VPN.
  • Papirer og notater skal oppbevares slik at andre i husstanden ikke kan lese dem.
  • UiT-eid utstyr slik som datamaskiner og nettbrett skal ikke lånes bort til andre i husstanden, inkludert barn.
    • Dette er ikke bare fordi de kan få innsyn i fortrolig informasjon, men de kan også ved et uhell slette eller dele informasjon.
    • Videre ønsker vi å minimere risikoen for at din maskin får skadevare på seg (som kan stjele eller ødelegge informasjon, f.eks via kryptovirus), og ett av tiltakene for dette er at kun du bruker jobbmaskinen og da kun i jobbsammenheng.
  • Private skytjenester (slik som f.eks Dropbox) skal ikke benyttes
  • Skjermen skal låses når du forlater den, selv om det er for en kort periode, hvis det er andre hjemme.
    • Lær deg hurtigtast «Win+L» for kjapt og lett kunne låse skjermen:
    • På UiTs PCer kan du aktivere PIN-kode slik at du slipper taste inn passordet hver gang du skal låse opp skjermen. Har du en nyere PC kan det også tenkes at ansiktsgjenkjenning kan benyttes.

 

Skype/videomøter

Kommunikasjonsløsninger som Skype, Teams, Adobe Connect mv kommer til å bli benyttet i utstrakt grad til møter, undervisning mv. Ofte diskuteres det fortrolige tema (spesielt i møter), og det er da viktig at du er oppmerksom på dine omgivelser. Dette gjelder også i undervisningssituasjonen, f.eks når seminarer og veiledningssamtaler avholdes. Studenter forventer å stille spørsmål og dele sine synspunkter med deg, og ikke deg pluss din nærmeste familie. Vær derfor oppmerksom på følgende:
 
  • Dersom det er andre til stede i rommet skal hodetelefoner benyttes
    • Vi anbefaler dette uansett da det gir langt bedre lydkvalitet og reduserer bakgrunnsstøy
  • Vær oppmerksom på hva du sier dersom det er andre til stede i rommet
    • Vi minner om taushetsplikten

 

VPN

Med mindre du skal nå tjenester som krever at du er på UiTs nett (slik som Ephorte, PAGA, hjemmeområdet mv) så behøver du ikke være tilkoblet VPN.
 
Kommunikasjon med Office 365 (e-post, onedrive, sharepoint, teams mv) er kryptert og det er derfor ikke nødvendig med VPN.
 
  • Grunnet det store antallet som nå jobber utenfor campus ber vi om at du ikke er tilkoblet VPN dersom det ikke er nødvendig.
  • Det kan tenkes at VPN kreves for å få visse oppdateringer til datamaskinen din. Vi vil legge ut ny beskjed både på denne siden og gjennom driftsmelding dersom du må foreta deg noe, og isåfall hvordan du gjør det.
    • Dette gjelder ikke alt av oppdateringer, f.eks vil oppdateringer fra Microsoft (Windows/Office) gå som normalt.  


Hvordan unngå svindel og angrepsforsøk


Erfaringer fra Norge og verden for øvrig viser at kriminelle aktører allerede forsøker å utnytte de omveltninger som koronautbruddet har medført. Det er et massivt behov for informasjon, ansatte arbeider på andre lokasjoner enn vanlig (slik som f.eks hjemme), etter andre rutiner og det er en hurtig utvikling og informasjonsutveksling om hvordan dette skal gjøres. Uærlige aktører forsøker derfor å utnytte dette for å bryte seg inn i IT-systemer, stjele personlig informasjon, begå økonomisk kriminalitet mv.

Det er derfor særlig viktig å være aktsom i denne perioden da vi vet at UiT kan bli utsatt for målrettede angrep. Dette behøver ikke være «IT-angrep» hvor noen prøver å bryte seg inn i systemer gjennom hacking, men kan vel så gjerne være såkalt «sosial manipulasjon» hvor noen utgir seg for å være en person, bedrift eller organisasjon for å skape tillit og få deg til å gi fra deg eller endre informasjon eller tilganger. De kan også forsøke å få deg til å installere ondsinnede programmer («skadevare»), som igjen gjør at de får direktetilgang til maskinen din og muligens videre inn i de systemene, lagringstjenestene etc som du har tilgang til på UiT.

Vi vil derfor gjennomgå noen av de tingene du må være særlig oppmerksom på. Disse rådene skiller seg i bunn og grunn ikke fra de som gjelder ellers også, men som nevnt så kan vi forvente at det blir ekstra aktivitet i denne tidsperioden. Mange av eksemplene går derfor direkte på COVID-19/Korona.

E-post

  • Vi kan forvente at phishingangrep vil øke i omfang.
    • Lurer du på hva phishing er og hvordan oppdage det? Se denne leksjonen UiT lagde i forbindelse med nasjonal sikkerhetsmåned.
  • Vær ekstra årvåken hvis du mottar eposter relatert til korona fremover.
    • Det vil selvsagt også komme legitime eposter knyttet til korona, men se nøye an innhold, kontekst og avsender. For info om hvordan du sjekker om eposten er legitim, se linken i punktet ovenfor.
      • Dette er vaner og kunnskap som er nyttig og viktig også ellers, både i jobbsammenheng og privat.
    • «Uekte» eposter vil ofte forsøke å
      • spille på frykt,
      • rette seg mot økonomiske interesser (slik som "oppdatert leveringsinfo", "endret betalingsinformasjon"),
      • forsøke å skape hastverk hos mottaker
        • "viktig!", "responder umiddelbart", "hurtig avklaring behøvd" etc.
      • utgi seg for å være en offisiell- eller myndighetsorganisasjon (slik som WHO, FHI etc) eller arbeidsgiver, og oppfordrer til å iverksette umiddelbare tiltak
        • UiT vil gi beskjeder om tiltak via uit.no/korona. Det kan bli sendt oppdateringseposter, men informasjonen i disse vil gjenspeiles på uit.no/korona eller i de offisielle driftsmeldingene. Finner du det ikke der og e-posten ber deg logge inn et sted, åpne et vedlegg, installere et program? Gå en ekstra runde for sjekk av innholdet før du foretar deg noe. 
          • Spør leder eller kollega om dette er reelt hvis du er i tvil
        • WHO sender ikke ut eposter som ber deg logge inn for tilgang til informasjon, vedlegg som du ikke har bedt om eller informasjon på sider utenfor domenet www.who.int.
      • få deg til å klikke på/åpne ondsinnede lenker eller vedlegg
        • Forventer du ikke å motta den eposten? Sjekk om den er reell, se punktet om phishingangrep ovenfor

Fremdeles usikker? Send spørsmål om eposten til sikkerhet@uit.no.

Mer informasjon:

 

SMS

Det har vært tilfeller i Norge hvor ansatte har mottatt en SMS som utgir seg for å være fra ledelsen. Her blir de bedt om å installere et gitt verktøy for å forenkle kommunikasjon mens de har hjemmekontor. Dette var svindelforsøk, og «verktøyet» var skadevare.
  • UiT vil ikke gi denne typen informasjon via SMS.

Eksempel:

 

Telefon

Det kan også være at du blir oppringt av svindlere.
  • Eksempelvis vil «Microsoft» gjerne bli ekstra aktiv i disse dager, hvor svindlere ringer og utgir seg for å være fra Microsoft (av og til sier de at de ringer fra Windows) og har oppdaget at du har et problem med maskinen som de skal hjelpe til med. Microsoft vil ikke ringe deg med slikt så legg på hvis du får slike telefoner.
    • Telefonnummeret de ringer fra kan være et norsk nummer, et utenlandsk ett eller et som er verken eller (bare en samling tall). Dette fordi de skjuler sitt reelle nummer og utgir seg for å være noen andre. De som eier ev. reelle nummer som benyttes har ingenting med saken å gjøre, de er ikke hacket e.l. (svindlerne har bare valgt et nummer og så utgir de seg for å være det). 
    • Dersom du har gjort som de ba om, enten helt eller delvis, si ifra via sikkerhet@uit.no med en gang og så hjelper vi deg.

 

Nettsider

Det opprettes en rekke falske nettsider rettet mot den situasjonen samfunnet er i
  • Det har blant annet forekommet tilfeller hvor det er laget falske «coronavirus map» som gir seg ut for å ha «live» informasjon om spredningen. I realiteten var det skadevare.
    • Disse sidene bygger gjerne på informasjon og utseende til reelle sider og kan være krevende å avsløre
  • «Fake news» er en tilbakevendende problemstilling, også i denne situasjonen. Vær årvåken og utøv kildekritikk.

Eksempel:

 

Mer informasjon/kilder

Her er noen linker til mer informasjon. Vær oppmerksom på at rådene til arbeidstaker/bruker som står i disse er generelle. I jobbsammenheng skal du forholde deg til rådene gitt av UiT.
 
Synes du noe skurrer? Ta kontakt på sikkerhet@uit.no så tar vi en prat om det.
 


Office 365


For forskningsdata anbefales det å benytte Sharepoint. OneDrive er personlig lagring og vil slettes automatisk hvis brukeren forlater institusjonen.

Fortrolig informasjon og data som inneholder personopplysninger kan kun lagres på windows-maskiner administrert av UiT. Privat utstyr (laptop/pc/mobile enheter), mac eller linux er foreløpig ikke godkjent. For nærmere informasjon om hvilke typer data de ulike tjenestene i Office 365 er godkjent for, se ovenfor ("Hvilke tjenester kan du bruke til hvilke typer informasjon/data")

For praktisk informasjon om hvordan du kan klassifisere dine data og sikker databehandling i Office 365, se Orakelets brukerveiledning.



Sikkerhetsmåned 2020


(Scroll down for english version)

Hva vet du om informasjonssikkerhet?
 

Oktober er nasjonal sikkerhetsmåned, noe som vil bli markert også ved UiT Norges arktiske universitet.

Tema for Nasjonal Sikkerhetsmåned 2020 er de samme som for den europeiske kampanjen, koordinert av ENISA. Det er valgt to tema;Digital skills, oversatt til Digitale ferdigheter og Cyber Scams, oversatt til Cyber svindel.


UiT vil sette spesielt fokus på:

• Hva er informasjonssikkerhet
• Kontoret hjemme
• Klassifisering
• Sikker lagring
• Phishing
• Løsepengevirus 
• Videomøter  
• Sosial manipulering

 
Kurs i informasjonssikkerhet

Alle studenter og ansatte tilbys et kurs i informasjonssikkerhet i løpet av oktober måned. Kurset består av 8 moduler med 2-3 minutters varighet som vil bli tilsendt på e-post tirsdager og torsdager.  

Første utsending er 6. oktober.    Avsender vil være "no-reply@xtramile.no".

Vær oppmerksom på

  • Epostene vil inneholde ei klikkbar lenke som fører deg til e-lærlingsleksjonen. (Du må aldri klikke på ukjente lenker du ikke forventer tilsendt, så dette er et varsel om at en godkjent e-postserie med klikkbar lenke vil bli sendt til deg fra vår samarbeidspartner)
  • Sjekk at avsender faktisk er no-reply@xtramile.no, og at adressen på siden du kommer til starter med https://app.xtramile.no/.
  • Kursene gjøres også tilgjengelig via den samme kursportalen som benyttes til Office 365-kursene.


 
IT-sikkerhet
Gjennom hele oktober vil det være relevant informasjon på UiT inforskjermer. Her får du nyttige tips til hvordan DU kan bidra til bedre informasjonssikkerhet.
 
 
Det kan hende selv den beste

I 2015 lot professor Trygve Johnsen, leder for Institutt for matematikk og statistikk, seg intervjue om da alle filene hans blei "kidnappet" og kryptert.. Datavirus kan ramme hvem som helst!
Dine valg om hvilke nettsider du besøker og hvilke epostlenker du åpner kan ha store konsekvenser for deg og UiT. Det er derfor svært viktig at du, arbeidskollegene dine og lederne dine har gode rutiner for digital adferd og informasjonssikkerhet.



Lokalt sikkerhetsarbeid

På nettsiden https://uit.no/sikkerhet finner du mer om informasjonssikkerhet ved UiT. 

Informasjonssikkerhet er mer enn IT-sikkerhet, men også IT-sikkerhet er viktig. Mer om UiTs lokale IT-sikkerhetsteam CSIRT finnes her.



 
Informasjonsfilmer

NorSIS har utvilket en rekke små informasjonsfilmer som kan hjelpe deg å se på sikkerthetsspørsmål på en ny måte.

Har du spørsmål kan du kontakte Ingeborg Ø. Hellemo, ingeborg.hellemo@uit.no tlf 77 64 41 18.

 

 
National Cyber Security Awareness Month 2020
What do you know about Cyber Security?

October is National Cyber Security Awareness Month. We at UiT The Arctic University of Norway want to do our part, in cooperation with the Norwegian Centre for Information Security (NorSIS)

The theme for National Security Cyber Security Awareness Month 2020 is the same as for the European campaign, coordinated by ENISA. Two themes have been chosen; Digital skills and Cyber ​​scams.

National Cyber Security Awareness Month is an idea that originated in the US and has since spread to the rest of the world. However, most of the information in Norway about the event is only available in Norwegian.

For more information about cyber security and what you can do to protect yourself and your computer, we recommend the following websites


 
Course about Cyber Security

 We are offering all employees and students a course about cyber security. The course is consists of 8 modules. The modules is  2-3 minute long and will be emailed to you every Tuesday and Thursday starting on 6. October.  Emails will be sent from "no-reply@xtramile.no".

    The course sent via e-mail is only available in Norwegian, however by accessing UiTs online course portal (XtraMile) you have access to a security course in English.

 

 


UiT behandler en stor mengde personopplysninger, i mange forskjellige sammenhenger, innenfor forskning, utdanning og formidling.

Skal du bruke personopplysninger i forskning? Les mer på denne siden.

Det er svært viktig å ha klart for seg hvilke roller ulike aktører har i behandlingen av personopplysninger.

Dette for å vite hvem som har ansvaret for at personopplysninger behandles lovlig, hvem som skal ta avgjørelser om behandlingen, hvem de registrerte kan henvende seg til for å utøve sine rettigheter mv.

  • Hvem er behandlingsansvarlig? Har UiT dette ansvaret alene eller er det felles med andre?
  • Benytter UiT databehandler? Hva kreves for at dette skal skje på lovlig vis?
  • Er UiT databehandler for andre? Hva innebærer denne rollen?
  • Overføres opplysninger til utlandet, hva må være på plass for at dette er lovlig?
  • Har UiT eksterne aktører som utfører oppdrag for oss, hvor det kan tenkes at de får befatning med personopplysninger, men likevel ikke er databehandler?

UiT har et personvernombud, som kan kontaktes på personvernombud@uit.no






Begreper


Personopplysninger

Enhver opplysning som kan knyttes til en identifisert eller identifiserbar fysisk person, enten direkte eller indirekte, se personvernforordningen artikkel 4 nr 1.  

Dette kan f.eks være navn, telefonnummer, e-postadresse, alder, vurderinger, lokasjonsdata, eksamensbesvarelser, helseopplysninger, video, bilder, lydopptak, adferdsmønster m.m.

Det er irrelevant om opplysningene er objektivt verifiserbare, subjektive, betydningsfulle, trivielle, offentlig tilgjengelige, sanne eller usanne. Hvis de kan knyttes til en person (direkte eller indirekte) er det personopplysninger.

 

Særlig kategorier personopplysninger

I personvernforordningen er det enkelte kategorier personopplysninger som er skilt ut, jf artikkel 9

Disse kalles "særlige kategorier personopplysninger" og det som omfattes er behandling av personopplysninger om

  • rasemessig eller etnisk opprinnelse,
  • politisk oppfatning,
  • religion,
  • filosofisk overbevisning eller
  • fagforeningsmedlemskap, 

samt behandling av

  • genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person,
  • helseopplysninger eller
  • opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering

Vær også oppmerksom på at behandling av personopplysninger om straffedommer og lovovertredelser er særskilt regulert, jf artikkel 10.

 

Behandling

Enhver operasjon (enkeltstående eller sammensatt) som gjøres med personopplysningene, se personvernforordningen artikkel 4 nr 2

Dette kan f.eks være innsamling, lagring, bruk, organisering, utlevering, strukturering, sammenstilling, registrering, sletting mv. 

Rett og slett alt som gjøres eller skjer med opplysningene. 

Om ulike operasjoner med de samme opplysningene (f.eks innsamling, lagring, sammenstilling mv) regnes til én og samme behandling, eller flere, kommer an på formålet. Hvis alle operasjonene er for å oppnå ett og samme formål (eksempelvis opptak til et emne) så regnes det som én behandling.

 

Behandlingsgrunnlag

For å kunne lovlig behandle personopplysninger er det en rekke vilkår som må oppfylles. Ett av disse er at det må foreligge et behandlingsgrunnag. Dette kan være f.eks samtykke, oppfyllelse av en avtale med personen(e) det gjelder, utøvelse av offentlig myndighet, berettiget interesse mv.

Behandlingsgrunnlag fremkommer av artikkel 6. For særlige kategorier personopplysninger må man også oppfylle vilkårene om behandlingsgrunnlag etter artikkel 9.

Vær oppmerksom på at flere av behandlingsgrunnlagene etter artikkel 6 og 9 krever supplerende rettsgrunnlag i annen lovgivning. Dette kan f.eks være etter personopplysningsloven, universitets- og høyskoleloven, arbeidsmiljøloven, helseforskningsloven mm. For disse tilfellene må man kunne angi presist hvilken tilleggshjemmel som benyttes. 

 

De registrerte 

Den/de enkeltperson(ene) opplysningene omhandler.

 

Personvernforordningen

"GDPR". Denne forordningen er gjennomført i norsk rett gjennom personopplysningsloven.



Hvem er ansvarlig?


Det er alltid noen som står ansvarlig for behandling av personopplysninger, en såkalt "behandlingsansvarlig". Dette ansvaret kan også innehas i fellesskap med andre, "felles behandlingsansvar". Se menyen nedenfor for nærmere informasjon,


Den behandlingsansvarlige er den som fastsetter formålet med behandlingen, samt hvilke midler som skal benyttes, jf personvernforordningen artikkel 4 nr 7. Dette kan være "en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ". Den behandlingsansvarlige er ansvarlig for at personopplyningsloven og personvernforordningen overholdes. 

I vurderingen av hvem som er behandlingsansvarlig er det de faktiske forhold som er avgjørende (hvem foretar reellt sett vurderingene og fatter beslutninger). Enkelte vurderinger kan overlates til eksterne (f.eks databehandler), mens andre må foretas av den behandlingsansvarlige selv. 

  • Formål: Fastsettelsen av formål er svært sentralt i behandlingen av personopplysningene, og må fastsettes av den behandlingsansvarlige selv - før man i det hele tatt samler inn opplysningene. Formålet skal beskrive hvorfor det er nødvendig å behandle de aktuelle opplysningene, f.eks gjennomføre opptak til et studium, målet med et forskningsprosjekt, ansettelse av ny medarbeider mv.

    Det er viktig å ha et bevisst forhold til hva formålet er, slik at de registrerte (personene opplysningene omhandler) skjønner hva opplysningene blir brukt til, samt fordi eventuell senere gjenbruk av opplysningene er underlagt restriksjoner. Det er bl.a. ikke anledning til å gjenbruke opplysninger på en måte som er uforenelig med det/de opprinnelige formålet/-ene, jf artikkel 5 nr 1, bokstav b)

    Formålet/-ene skal være spesifikke, uttrykkelig angitt og berettiget (saklig).

 

  • Midler: I "midler" ligger mer enn bare hvilke tekniske hjelpemidler som skal benyttes. Også sentrale vurderinger og beslutninger rundt håndteringen av personopplysningene er omfattet, slik som: 
    • Hvilke opplysninger skal behandles?
    • Hvilke tredjeparter skal ha tilgang?
    • Hvilke opplysninger skal slettes (og når)?

 

    • Valg av tekniske løsninger kan overlates til databehandler, under visse forutsetninger. Imidlertid må behandlingsansvarlig bl.a forsikre seg om at informasjonssikkerheten er ivaretatt. Risikourderinger kan ikke foretas av databehandler alene (men de kan bistå).
    • Vurderinger som nevnt i kulepunktene ovenfor kan ikke delegeres fra behandlingsansvarlig til databehandler.

For UiT har Universitetsdirektøren det øverste ansvaret som behandlingsansvarlig. I det daglige er utøvelsen av behandlingsansvaret delegert for en rekke områder, og disse delegasjonene fremkommer av reglement og retningslinjer fastsatt av Universitetsdirektøren. Eksempelvis er prosjektleder ansvarlig for at lovens krav er fullt ut oppfylt for det aktuelle forskningsprosjektet, herunder at informasjonssikkerheten er ivaretatt (se retningslinjer for behandling av personopplysninger i forskningsprosjekt).

Det er ikke alltid man har behandlingsansvaret alene, men derimot felles med andre. Eksempelvis i et forskningsprosjekt som er samarbeidsprosjekt mellom flere institusjoner. Hvis man er to eller flere behandlingsansvarlige som fastsetter "formålet med og midlene for behandlingen" i fellesskap, er det tale om felles behandlingsansvar, jf artikkel 26 nr 1

Dette er tillatt, under forutsetning av at enkelte krav er oppfylt, jf personvernforordningen artikkel 26:

 en åpen måte skal hver aktør (behandlingsansvarlig) fastsette sitt respektive ansvar for overholdelse av kravene etter forordningen, ved hjelp av en ordning dem imellom (dette gjelder særlig med tanke på overholdelse av de registrertes rettigheter):

  • I denne ordningen kan det utpekes et kontaktpunkt for de registrerte
  • De respektive rollene til de behandlingsansvarlige, og hvilket forholde de har til de registrerte, skal fremkomme av ordningen
  • Det vesentligste i ordningen skal gjøres tilgjengelig for den registrerte
  • Merk: uavhengig av hvilken fordeling de ulike behandlingsansvarlige har fastsatt seg imellom, kan den registrerte velge å utøve sine rettigheter overfor hver av de behandlingsansvarlige. F.eks har en av aktørene det interne ansvaret for å håndtere innsynskrav. Den registrerte kan velge å sende kravet til en av de andre behandlingsansvarlige, som da må håndtere den interne kommunikasjonen for å behandle kravet. Man kan ikke avvise den registrerte under henvisning til at de har henvendt seg til "feil" behandlingsansvarlig.

Det er ikke nødvendig med lik fordeling av ansvar og beslutningsmyndighet mellom de ulike behandlingsansvarlige. Det kan være forskjellige nivåer av "fellesskap", og ulike behandlingsansvarlige kan være involvert i forskjellige aktiviteter/operasjoner og på forskjellige staider av (den samme) behandlinger. Dette må som nevnt klargjøres i den ordningen man er ansvarlig for å fastsette etter artikkel 26. Videre er det viktig å være klar over at etablering av felles behandlingsansvar ikke gir noen av partene en "større" rett til å behandle personopplysninger enn hva de ville hatt alene. Eksempelvis må hver av partene ha lovlig behandlingsgrunnlag, en part kan ikke "bygge" på behandlingsgrunnlaget til en av de andre.

 

Vær oppmerksom på at det er den faktiske behandlingen som står i fokus, og er gjenstand for vurderingen av om det er et felles behandlingsansvar eller ikke.  

  • Eksempelvis: Hvis det er de samme personopplysninger som er gjenstand for behandling, men hver av de behandlingsansvarlige fastsetter sine egne formål alene, er det mer nærliggende at det er tale om utlevering av personopplysninger fra den opprinnelige behandlingsansvarlige fremfor felles behandlingsansvar. 

I mange tilfeller er overføring av personopplysninger til eksterne (virksomheter, organisasjoner institusjoner, fysiske personer) rett og slett en utlevering til en ny behandlingsansvarlig. 

Når UiT har utlevert personopplysningene til den nye behandlingsansvarlige, er denne selv fullt ut ansvarlig for behandlingen av personopplysningene hos seg. Vi har da ingen påvirkningskraft eller ansvar for hvordan opplysningene behandles hos den eksterne. Merk: hvis UiT fremdeles har kopi av personopplysningene er vi naturligvis fremdeles behandlingsansvarlig for vår behandling av disse opplysningene. 

For at vi lovlig skal kunne utlevere opplysningene må vi ha et behandlingsgrunnlag for denne utleveringen. Behandlingsgrunnlag følger av personvernforordningen artikkel 6. Hvis det er tale om særlige kategorier personopplysninger må behandlingsgrunnlag også følge av artikkel 9. Vær oppmerksom på at utlevering kan innebære et gjenbruk av eksisterende data, til et nytt formål. Da må det foretas en vurdering av om det opprinnelige og det nye formålet er forenelige. Man kan ikke bare peke på et nytt behandlingsgrunnlag (isolert sett) og så er utleveringen lovlig.

For tilfeller hvor utleveringen ikke er lovpålagt, skal vi forsikre oss om at mottaker har behandlingsgrunnlag for sin behandling av opplysningene (før disse utleveres). 


Databehandler


En databehandler er noen som behandler personopplysninger på vegne av den behandlingsansvarlige, jf artikkel 4 nr 8. En databehandler kan være "en fysisk eller jurisk person, offentlig myndighet, institusjon eller ethvert annet organ", jf artikkel 4 nr 8Særlige krav til databehandlere fremkommer av artikkel 28 og 29

Databehandleren må være et selvstendig rettssubjekt fra den behandlingsansvarlige. F.eks vil ikke ansatte hos den behandlingsansvarlige være databehandler.

En databehandler kan være alt fra en stor, internasjonal leverandør av en skytjeneste (eksempelvis er Microsoft UiTs databehandler for vår bruk av Office 365) til en enkeltperson (som f.eks leverer transkriberingstjenester).

Det kan være tilfeller hvor det ikke er umulig at en ekstern får befatning med personopplysninger når de utfører et oppdrag for oss, men hvor de likevel ikke regnes som databehandler. Se nærmere om dette nedenfor.

 

Dersom UiT er databehandler

  • Vi må passe på at vi har inngått databehandleravtale, og overholder de forpliktelser som fremkommer av avtalen og artikkel 28 jf 29.
  • Det er den behandlingsansvarliges plikt at databehandleravtale er på plass, men vi skal ikke ta i mot eller på annen måte behandle personopplysninger som databehandler før slik avtale er undertegnet. 
  • Som del av sikkerhetstiltakene, sørg for at informasjon/data fra de ulike behandlingsansvarlige holdes adskilt (separert) fra hverandre og fra UiTs egne data

Krav til databehandleravtalen.

Før man tar i bruk databehandler er det noen krav som må være oppfylt:

  • Skriftlig databehandleravtale må foreligge, jf artikkel 28
  • Risikovurdering må være gjennomført slik at informasjonssikkerheten ivaretas (jf artikkel 32)
    • Denne kan være helt enkel eller svært komplisert og omfattende, alt etter oppdragets eller tjenestens natur. 
    • Sørg for å gjennomføre denne på et tidlig nok stadium, for å unngå risikoen ved å ha inngått en bindende avtale om f.eks en tjeneste, som man deretter ikke kan benytte fordi risikovurderingen avdekket ukjente risikoer av en slik art at de ikke var akseptable
      • alternativt ta med forbehold om godkjent risikovurdering 

 

UiT har utarbeidet en sjekkliste som kan brukes for hjelp til gjennomgang av databehandleravtaler, samt visse andre vurderinger som må være på plass før databehandleren kan benyttes. Den finnes med og uten hjelpetekster.

Databehandleravtalen skal fastsette

  • gjenstanden for og varigheten av behandlingen
  • behandlingens art og formål
  • typen personopplysninger som behandles
  • kategorier av registrerte
  • den behandlingsansvarliges rettigheter og plikter

 

Videre skal det særlig angis i avtalen at databehandler

  • kun behandler personopplysninger på dokumenterte instrukser fra den behandlingsansvarlige, jf artikkel 28 nr 3, bokstav a)
    • herunder om opplysninger kan overføres til tredjestater eller internasjonale organisasjoner
  • sikrer at personer som skal behandle personopplysningene er underlagt taushetsplikt, artikkel 28 nr 3, bokstav b)
  • treffer alle tiltak nødvendig for å ivareta informasjonssikkerheten (overholder artikkel 32), jf artikkel 28 nr 3, bokstav c).
  • kun kan engasjere nye databehandlere (underleverandører) under følgende forutsetninger, jf artikkel 28 nr 3, bokstav d):
    • godkjenning fra behandlingsansvarlig er innhentet. Dette kan skje på to ulike måter, og hvilken må avklares i avtalen
      • Databehandler må innhente særlig godkjenning fra behandlingsansvarlig for hver underleverandør, eller
      • Databehandler gis en generell godkjenning, men må da underrette behandlingsansvarlig i tide slik at denne kan motsette seg nye/endrede underleverandører, jf artikkel 28 nr 2
    • databehandler må pålegge underleverandøren de samme bindende forpliktelser som de selv er underlagt, særlig med tanke på informasjonssikkerhet, jf. artikkel 28 nr 4
      • dersom underleverandøren ikke overholder sine plikter skal den databehandler som hyret denne inn, være fullt ut ansvarlig overfor behandlingsansvarlig
  • etter den behandlingsansvarliges valg, sletter eller tilbakefører alle personopplysninger når tjenesten er levert (avtalen avsluttet) og sletter alle kopier hos seg, jf artikkel 28 nr 3, bokstav g)
  • gjør tilgjengelig all informasjon som er nødvendig for å påvise at databehandlers forpliktelser etter forordningen er oppfylt, jf artikkel 28 nr 3, bokstav h)
  • muliggjør og bidrar til revisjoner, jf. artikkel 28 nr 3, bokstav h)
    • herunder inspeksjoner, som enten gjennomføres av den behandlingsansvarlig eller på fullmakt fra denne
  • idet det tas hensyn til behandlingens art og den grad det er mulig

 

Databehandleravtalemalen til UiT tar inn alle disse punktene, men den  tilpasses til hver enkelt avtale. Den kan ikke signeres slik den er, da inneholder den ikke alle opplysninger/detaljer som er påkrevd.

Det skjer at leverandør insisterer på å benytte sin egen avtalemal. Dette er greit, under forutsetning av at den gjennomgås nøye og man fastslår at kravene til databehandler og databehandleravtale er oppfylt. Vær oppmersom på at dette er ikke alltid tilfelle, selv for store leverandører. I slike tilfeller må man forhandle om endringer av avtalen.

For at noen skal være en databehandler må de behandle personopplysninger på vegne av den behandlingsansvarlige. Formålet med avtalen/oppdraget, helt eller delvis, må være å behandle personopplysninger på den behandlingsansvarliges vegne. Hvis denne behandlingen ikke er del av formålet med oppdraget, er det heller ikke tale om en databehandler. En taushetserklæring kan imidlertid være nødvendig hvis det er muligheter for at aktøren kan komme til å se personopplysninger eller annen konfidensiell informasjon. Se eksempel på taushetserklæring i menyen oppe til høyre. 
 
Noen eksempler:
  • Det inngås avtale om reparasjon av kopimaskiner. Det kan tenkes at reparatøren kan komme til å se personopplysninger i forbindelse med utførelsen av oppdraget (f.eks på et gjenglemt dokument i maskinen), men dette er ikke del av formålet med avtalen - som er å reparerer kopimaskinen. Reparatøren er ikke en databehandler selv om vedkommende skulle komme til å se personopplysninger. 
  • Det inngså avtale med et konsulentfirma for hjelp til utvikling av en tjeneste. De skal utføre arbeidet sitt på UiTs systemer, lokalt hos UiT. Det er ikke tale om noen overføring av informasjon til deres egne systemer. De deler av tjenesten de skal arbeide på vil normalt sett ikke innebære at personopplysninger fremgår. De vil derfor ikke regnes som databehandler
  • Vi benytter en ekstern posttjeneste til å levere brev som inneholder personopplysninger. Oppdraget er å levere brev fra A-B, ikke å behandle personopplysningene, og de er ikke databehandler. 
  • For flere eksempler, se denne veiledningen fra det danske datatilsynet (hvor enkelte av de ovenstående eksemplene er hentet fra). 

 

Merk: Man kan ikke bli enige om at noen er behandlingsansvarlige og noen er databehandler, fordi det fremstår som mest praktisk med tanke på det formelle. Det avgjørende er realitetene, hvem gjør faktisk hva? Hvem har innflytelse? Det kan være tale om "felles behandlingsansvar" eller "utlevering til ny behandlingsansvarlig". 


Overføring til utlandet


Hvis man skal overføring personopplysninger til utlandet er det noen ting som må være på plass. Merk at dette avsnittet omhandler krav som stilles før overføring til et gitt land. Krav som må være oppfylt før en kan ta i bruk en databehandler eller utlevere personopplysninger til en ny behandlingsansvarlig, gjelder i tillegg - slik som
 
Merk: dersom opplysningene som skal behandles er underlagt særlovgivning som kan begrense overføringen ut av Norge (f.eks sikkerhetsloven) så må det naturligvis hensyntas. Dette aspektet er ikke berørt i gjennomgangen nedenfor.
 
Overføring til land innenfor EU/EØS
Overføring personopplysninge til mottaker i land innenfor EU/EØS er likestilt med overføring til tilsvarende mottaker i Norge. Det er eksplisitt forbudt å begrense eller forby overføring av personopplysninger til land innenfor EU/EØS av årsaker begrunnet i personvern, jf artikkel 1 nr 3.  
 
  • Merk: dette gjelder som nevnt kun spørsmålet knyttet til selve landet. Skal man f.eks ta i bruk en databehandler så må fremdeles krav knyttet til f.eks informasjonssikkerhet være oppfylt. Hvis så ikke er tilfelle, kan man ikke benytte denne databehandleren - det hjelper ikke at den er lokalisert i f.eks Frankrike.
    • Det man ikke kan si er at en databehandler ikke skal benyttes fordi den er lokalisert i Frankrike.
 
 
Overføring til land utenfor EU/EØS ("tredjestat") eller til internasjonale organisasjoner
Hvis man skal overføre personopplysninger til en mottaker i et land utenfor EU/EØS, såkalte tredjestater, eller en internasjonal organisasjon, må det foreligge et overføringsgrunnlag. Overføring til utlandet er regulert av forordningens kapittel V (artikkel 44 - 50). Det finnes en rekke forskjellige overføringsgrunnlag, og nedenfor vil de vanligste nevnes. Denne listen er ikke uttømmende.
 
  • Godkjente tredjestater
    • EU har godkjent flere tredjestater som å ha tilsvarende beskyttelsesnivå som landene i EU/EØS. Overføring til disse landene er likestilt med overføring til land innad i EU/EØS. Oppdatert liste over de godkjente landene finnes på EUs hjemmesider

  • EUs standardkontrakt/standard personvernbestemmelser ("Standard contractual clauses")
    • EU har utarbeidet en standardkontrakt som kan benyttes for overføring av personopplysninger tredjeland. Denne finnes i to utgaver:
      • Overføring fra behandlingsansvarlig til databehandler (erstatter ikke databehandleravtale, som må inngås i tillegg)
      • Overføring fra behandlingsansvarlig til behandlingsansvarlig
      • Disse kontraktene er lagt ut på Datatilsynets hjemmeside. Pass på at rett kontrakt velges!

  • Privacy Shield
    • EU og USA har utarbeidet ordningen "Privacy Shield", og virksomheter i USA kan sertifisere seg under denne ordningen. Hvis en virksomhet er sertifisert under Privacy Shield kan personopplysninger overføres til denne virksomheten. Liste over virksomheter som er omfattet av Privacy Shield finnes her. Denne listen oppdateres årlig, så pass på å følge med på at virksomheten forblir på listen.
 
Mer informasjon finnes på Datatilsynets hjemmesider, der flere overføringsgrunnlag gjennomgås som f.eks bindende virksomhetsregler.


Ressurser (maler mv)


 

Dersom du ønsker informasjon og veiledning i hvordan bruke video i undervisning, se https://uit.no/digitalundervisning.

På denne siden vil vi samle ressurser og retningslinjer knyttet til når du kan bruke video, hva du må passe på, hvilke vurderinger du må ta etc. Og ikke bare i undervisningssammenheng, men også i øvrig aktivitet ved UiT.

Hvis det er personer involvert i videoen så vil den som hovedregel behandle personopplysninger. Da må GDPR følges, og her stilles det en del krav. 

1) Det må foreligge et gyldig behandlingsgrunnlag, dvs et lovlig grunnlag (i GDPR) for å behandle personopplysninger.

2) De som er med på videoen (enten direkte eller indirekte) må informeres om dette. Og det gjelder uavhengig av om det er tale om kun strømming eller også opptak.

3) Informasjonssikkerheten må ivaretas, og du må tenke på hvor lenge videoene skal være tilgjengelig. Når formålet med opptaket er oppfylt (f.eks etter endt semester/kontinuasjonseksamen) så skal det slettes (ikke bare deaktiveres). 

Du kan lese mer om dette og mer i undermenyene nedenfor. Disse sidene er under utarbeidelse.






Lovlig grunnlag for bruk av video


All behandling av personopplysninger må ha et behandlingsgrunnlag etter GDPR. Dette er ufravikelig. Det er den behandlingsansvarlige (den som tar sentrale avgjørelser knyttet til behandlingen, slik som formål og hvilke midler som skal benyttes) som må ha dette grunnlaget på plass. For denne veiledningen tar vi utgangspunkt i at UiT er behandlingsansvarlig. Dersom UiT opptrer som "databehandler" så er det oppdragsgiver som må ha behandlingsgrunnlaget, mens UiT må passe på at vi har en dekkende databehandleravtale før vi tar i mot opplysningene.


Ofte tenker mange på GDPR som en "samtykkelov", dvs at skal du behandle personopplysninger så må du ha samtykke fra de opplysningene gjelder. Dette er ikke korrekt. Det finnes en rekke behandlingsgrunnlag, og samtykke er bare ett av disse. For undervisning og administrative formål vil samtykke ofte ikke være anvendbart, og andre grunnlag må brukes.

Behandlingsgrunnlag finner man i to ulike artikler i GDPR:

  • For alminnelige personopplysninger (de fleste opplysningstyper): Artikkel 6
  • For særlige kategorier personopplysninger (helse, religion, politikk mv): Artikkel 9 (i tillegg til art. 6)

I tillegg er det flere av behandlingsgrunnlagene i GDPR som krever en såkalt tilleggshjemmel («i unionsretten eller nasjonal lovgivning»)

  • 6 nr 1, bokstav c): behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige
    • Benyttes dette behandlingsgrunnlaget må man også kunne vise til en konkret rettslig forpliktelse som påhviler UiT (via lov eller forskrift).
  • 6 nr 1, bokstav e) behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt
    • Benyttes dette behandlingsgrunnlaget må man også kunne vise til at UiT er pålagt «en oppgave i allmennhetens interesse» eller «utøvelse av offentlig myndighet». Også her må man vise til konkrete bestemmelser.
  • Det samme gjelder flere av grunnlagene etter artikkel 9.

I perioden hvor undervisning på UiTs campus/fysiske lokaler er avlyst vil digital undervisning tas i bruk der det er mulig, se nærmere info på https://uit.no/korona#innhold_672724.

Dette krever alltid et behandlingsgrunnlag (se "generelt" for nærmere info om hva dette er).

UiT har kategorisert en rekke ulike aktiviteter hvor video benyttes (i undervisning, eksamen, formidling og administrativt). Disse aktivitetene har såpass mange likhetstrekk at vi har tatt en vurdering av hva som vil være aktuelt behandlingsgrunnlag, både for ansatte og studenters personopplysninger. 

Viktig: Det er sentralt at enheten/underviser alltid tar en vurdering av om det er nødvendig med f.eks video, og hvis det er nødvendig: holder det å strømme videoen eller det tas opp? Kan man kombinere ulike undervisningsmetoder, slik at det f.eks legges ut en video fra foreleser og så har man en chat-diskusjon etterpå? Dette er bare eksempler, og dette er i stor grad en faglig (pedagogisk) beslutning – men det er sentralt at man tenker over dette. En slik nødvendighetsbetraktning må alltid tas for at behandling av personopplysningers skal være lovlig. Man kan altså ikke peke på et gitt behandlingsgrunnlag og så ta det som en «blankofullmakt». Det skal være en balansegang mellom hva man oppnår og hvor inngripende dette er overfor studenten og den ansatte, og om man kan ta i bruk virkemidler som reduserer denne påvirkningen på ansatte og studenter.

Det «mest kjente» behandlingsgrunnlaget er nok samtykke. Dette grunnlaget finner man i både artikkel 6 (nr 1, bokstav a) og artikkel 9 (nr 2, bokstav a). Det er imidlertid en utbredt misforståelse om at samtykke er det eneste behandlingsgrunnlaget («skal man behandle personopplysninger så må man ha samtykke») eller at det samtykke er det foretrukne behandlingsgrunnlaget og rekkefølgen i artikkel 6 og 9 gir et uttrykk for en «rangordning». Dette stemmer ikke. Samtykke er ett av flere mulige behandlingsgrunnlag, og disse er likestilte. Det er heller ikke nødvendigvis noen motsetning mellom å benytte noen av de andre behandlingsgrunnlagene og at det er frivillig «å delta». 

Det vil være tilfeller hvor samtykke er korrekt å bruke, og kanskje det eneste aktuelle behandlingsgrunnlaget (f.eks er det ofte tilfelle i forskningsprosjekter).

Hvis man skal bruke samtykke så må man være helt sikker på at dette samtykket er gyldig etter GDPR. Det er en rekke vilkår som alle må være oppfylt for at et samtykke skal være gyldig. Hvis så lite som bare ett av disse vilkårene ikke er oppfylt vil ikke samtykket være gyldig. Konsekvensen er at det er en ulovlig behandling, og innsamlede eller genererte opplysninger på bakgrunn av det aktuelle samtykket må slettes. Det kan også avstedkomme reaksjoner fra tilsynsmyndighetene. Det «hjelper» altså ikke at man har innhentet samtykke fra alle i disse situasjonene. Dersom gyldighetsvilkårene ikke er oppfylt så er behandlingen ulovlig.

For UiT er det en rekke situasjoner hvor vi er avskåret fra å benytte samtykke som behandlingsgrunnlag, og det er viktig å være oppmerksom på dette. Vi vil derfor ta en kort gjennomgang av vilkårene for samtykke, og i særlig ett som ofte er problematisk å oppfylle for UiT. Vilkårene for samtykke følger av GDPR art. 4 nr 11 jf art. 7.

Det er imidlertid viktig å understreke at det er visse grenser for hva det kan samtykkes til. Et samtykke etter GDPR er kun et behandlingsgrunnlag. Det innebærer at en person ikke kan samtykke til at f.eks andre krav i GDPR kan fravikes (eksempelvis krav til informasjonssikkerhet mv).

Et samtykke må være frivillig, spesifikt, informert og utvetydig. Det må gis ved en erklæring eller tydelig bekreftelse fra personen hvis personopplysninger det gjelder. Det må videre være mulig å påvise at samtykke er gitt for den aktuelle behandlingen av personopplysninger om personen. Hvis samtykket gis i forbindelse med en skriftlig erklæring som også gjelder andre forhold skal anmodningen om samtykke utarbeides på en måte som gjør at den tydelig kan skilles fra de andre forholdene i erklæringen, og må gis i en forståelig og lett tilgjengelig form og på et klart og enkelt språk. Dersom behandlinger kan skilles fra hverandre så må man passe på at samtykke ikke innhentes i en «alt eller ingenting»-form, her må personen ha et valg mellom de enkelte behandlingsaktivitetene. Samtykket skal kunne trekkes tilbake til enhver tid, og personen skal være informert om dette før samtykket gis. Behandlingen av personopplysningene om denne personen skal da opphøre, og som oftest vil dette innebære sletting av opplysningene. Videre skal det være like enkelt å trekke tilbake samtykket som å gi det. Dvs at hvis samtykket kan gis ved hjelp av «et klikk», så skal de kunne trekkes tilbake ved «et klikk». Til sist er det viktig å være oppmerksom på at passivt samtykke ikke er gyldig. Det kreves en aktiv handling (eksempelvis å huke av en avkryssingsboks. «Preutfylte» akseptbokser medfører at samtykket er ugyldig).

Det er altså mange krav som skal være oppfylt for at et samtykke skal være gyldig. Man må også klare å holde styr på hvem som har samtykket, og være klare til å agere hvis samtykket trekkes tilbake.

For UiTs del må vi imidlertid være særlig oppmerksomme på vilkåret om frivillighet.

Det skal være en reell frivillighet, og dette innebærer at der det foreligger en maktubalanse mellom behandlingsansvarlig og den aktuelle personen så er dette svært vanskelig å oppnå. I fortalepkt 43 i GDPR omtales dette på følgende vis (vår utheving): «For å sikre at et samtykke gis frivillig bør det ikke utgjøre et gyldig rettslig grunnlag for behandling av personopplysninger i et bestemt tilfelle dersom det er en klar skjevhet mellom den registrerte og den behandlingsansvarlige (…)».

I arbeidsforhold vil det være vanskelig å oppfylle kravet om frivillighet, grunnet det skjeve styrkeforholdet mellom arbeidsgiver og arbeidstaker. Det er ikke fullstendig utenkelig, men for de aller fleste tilfellene bør man unngå å forsøke å bygge på samtykke som behandlingsgrunnlag. Merk at dette ikke betyr at noe likevel kan være «frivillig» for en arbeidstaker å f.eks utføre eller levere fra seg. Dagligtalens forståelse av frivillighet har en langt lavere terskel enn GDPR. WP29 (rådgivende gruppe i EU) uttalte følgende om dette spørsmålet[1] (vår utheving):

«There may be situations when it is possible for the employer to demonstrate that consent actually is freely given. Given the imbalance of power between an employer and its staff members, employees can only give free consent in exceptional circumstances, when it will have no adverse consequences at all whether or not they give consent. [Example 5:] A film crew is going to be filming in a certain part of an office. The employer asks all the employees who sit in that area for their const to be filmed, as they may appear in the background of the video. Those who do not want to be filmed are not penalize in any way but instead are given equivalent desks elsewhere in the building for the duration of the filming”.

Det behøver ikke være eksplisitte «trusler» om reaksjoner hvis man ikke samtykker, eller mer åpenlyst press, for at frivillighetskravet ikke skal være oppfylt. Mer underforstått eller uformelt press eller forventninger («dette er ønskelig for UiT å oppnå», «alle må dra sammen» etc) vil også medføre at frivillighetskravet ikke er oppfylt. I sum bør derfor UiT som arbeidsgiver unngå å benytte samtykke som behandlingsgrunnlag, og velger man likevel benytte det må det begrunnes og drøftes godt – særlig med henblikk på frivillighetskravet.

For behandling av studenters personopplysninger gjør mange av de samme betraktninger som ovenfor seg gjeldende. Det er en klar skjevhet i maktbalansen mellom UiT og studentene. Dette i alt fra UiT som overordnet institusjon til foreleserne. UiT må derfor være svært tilbakeholden med å bygge på samtykke som behandlingsgrunnlag overfor studentene, særlig i undervisningssituasjonen. Det betyr ikke at det ikke finnes tilfeller hvor samtykke er både aktuelt og korrekt å benytte, men da man sørge for å ha gjennomført grundige og dokumenterte vurderinger. Som hovedregel bør andre behandlingsgrunnlag benyttes.

For den situasjonen UiT er i nå med tanke på koronatiltakene og at all undervisning kun skal gis digitalt i en ukjent periode så fremstår det som lite tvilsom at samtykke som hovedregel ikke kan benyttes om behandlingsgrunnlag. Den underviser som nekter får i praksis ikke utført jobben sin, og den student som nekter delta i f.eks videoundervisning (strømming og/eller opptak med studentdeltakelse, enten direkte i video eller via chat) mister i realiteten deler av undervisningstilbudet eller vil være "årsak" til at seminarer ikke kan gjennomføres. Dette gjør at valget i realiteten ikke er så fritt som GDPR krever. Andre behandlingsgrunnlag må derfor brukes.

Vi arbeider med å legge ut en samlet oversikt over behandlingsgrunnlagene for de mest brukte situasjonen innen undervisning, eksamen og administrasjon hvor video er et hjelpemiddel. Dette vil bli lagt ut på denne siden. 

 

[1] Se Personopplysningsloven og personvernforordningen (GDPR) med kommentarer, Jarbekk (red.), Gyldendal 2019, s. 151


Du må gi informasjon


Den klare hovedregel i GDPR er at det skal gis informasjon før man henter inn personopplysninger. Vi vil kommer tilbake til mer detaljer, men i korte trekk for opptak av video

Før du slår på "record/opptak" så  du informere de som skal være med i opptaket at 

1) det skjer et opptak

2) hva det skal brukes til

3) hvem som vil få tilgang (dette kan være på gruppenivå, f.eks emnestudentene)

4) når opptaket blir slettet (om ikke en konkret dato, så kriterier for sletting. F.eks når kontinuasjonseksamenen i emnet dette semesteret er avholdt). 



Du kan kun bruke godkjente tjenester


Det finnes et utall videotjenester. Noen for strømming, noen for opptak og noen for begge deler. Mange har sin personlige preferanse, og ser klare fordeler med å bruke akkurat den tjenesten de personlig foretrekker.

Det kan vi forstå, men det hjelper dessverre ikke. Årsaken er at når UiT benytter video så behandles det personopplysninger i denne videoen. Dette kan være om ansatte, om studenter eller sågar om eksterne. I en videotjeneste behandles både opplysninger i selve videoen og i tilknytning til den (pålogging, aktivitetslogger, chat mv). 

Vi er underlagt strenge krav for behandling av personopplysninger, og som minimum må vi ha en databehandleravtale med leverandøren. Det må også gjennomføres en risikovurdering. Dette er ikke noe vi gjør utelukkende av motivasjon for å overholde lovkrav, men fordi disse kravene er der av en grunn. Det gjelder å ivareta personvernet til våre ansatte, studenter, gjester mv. Brukes "private" videotjenester i undervisningssammenheng så har ikke UiT mulighet til å ivareta de forpliktelsene vi har. Hva skjer dersom en slik leverandør velger å bruke personopplysningene til noe helt annet? F.eks til reklameformål? Dersom de korrekte avtalene mangler er det realistisk at de faktisk har denne adgangen. 

Videre er det slik at UiT ofte kjøper inn tjenester på andre vilkår enn hva du får som privatperson, eller sågar som forskningsgruppe eller enhet. Det finnes flere tjenester hvor UiTs innkjøp har vilkår om at data plasseres innad i EU, men hvis du går direkte til leverandør og kjøper tjenesten så er du underlagt de rene kommersielle vilkårene og data legges i f.eks USA. Har du risikovurdert dette, og foreligger det nødvendige overføringsgrunnlaget (som er påkrevd etter loven)?

Og selv om du går helt klar av personopplysningene (det er vanskelig i en digital tjeneste), dataene du legger inn eller genererer har vel en viss verdi for deg og for UiT? Vet du hva leverandøren har lov til å bruke disse til, jf vilkårene du har godtatt da du kjøpte eller registrerte deg i tjenesten?

Det er derfor viktig at du bruker de tjenestene UiT v/IT-avdelingen har kjøpt inn, og bruker dem som tiltenkt. Vi viser her til informasjon under "IT-tjenester og systemer - hva har du lov til å bruke?".