Assessment of value and risk
In order to establish good and expedient procedures for the project, it is important that the project manager has carried out an assessment of the value of and risks relating to data in the project.
Assessment of value
An assessment of value shall take three factors into consideration: confidentiality, integrity and accessibility. Assessment of value is discussed under OsloMet's information security system (see Norwegian version).
- In principle, unpublished research data have a high degree of confidentiality, meaning that the data must not fall into the wrong hands or be disclosed to unauthorised persons. One way of ensuring confidentiality is to anonymise the data, but that can make it more difficult to achieve the overriding objective of the project.
- The research data shall have a high degree of integrity, meaning that they shall not be altered by unauthorised persons. Good technical data storage solutions (little possibility of unauthorised access and copying) are necessary, as are good training and access control in the project group to safeguard the above-mentioned values.
- The research data must be sufficiently accessible to ensure that it will not be too difficult to complete the research project. The technical solutions must therefore not be so complicated as to prevent the project from being carried out. All the members of the research group, not just the project manager, must have sufficient access to the data to be able to collect and analyse them.
The project manager is responsible for striking a balance between the three value factors. Risk assessment will be a useful tool in this context.
Risk assessment
Procedures are established based on an assessment of threats that may arise in connection with the collection of raw data, handling of the scrambling key, and the research file (see the list of definitions). Roughly speaking, threats can be both people and systems, and often a combination of the two.
Towards rawdata, research files and scrambling keys, both project team members and/or external parties (at the institution or outside ) can be a threat.
In the same way, systems like the institution`s ICT system and/or external systems can be a threat towards the same objects.
Specific threats can be identified based on the above. You can also assess the probability of a threat being realised and score the risk as high, medium or low, for example. In addition, you can also assess the consequences of a threat and define them as major, medium or minor.
Case |
Probability |
Consequence |
|
|---|---|---|---|
Raw data |
Raw data stored on a memory stick have gone astray | medium | major |
Research file |
Unauthorised persons may recognise information in the file, because the data have not been adequately de-identified | medium | major |
Scambling key |
Staff at the ICT department see the scrambling key | medium | major |
The project manager must determine what threat level is acceptable and establish procedures and measures based on this. The table above is a simple example of how a risk assessment can be carried out.
OsloMet also has its own template for risk assessment in research, and a user guide on how to save the Risk assessment in P360.
Guide for personal data protection and information security in research projects page 27 (in Norwegian only) also has a simple example of a risk assessment. You will find more information about risk assessments on sikresiden.no and in the Data Protection Authority's guide to risk assessment for information systems.
The project manager shall ensure that critical incidents and non-conformities are dealt with as they arise and reported to the appropriate body; see When something happens (see Norwegian version). Non-conformities should be resolved at the organisational level at which they arise. If the non-conformity has led to unauthorised disclosure that has a bearing on confidentiality, the Data Protection Authority must be notified. The project manager shall ensure that all non-conformities and security breaches are closed, which includes requesting assistance from the Department of ICT or the Department of Facilities Management to deal with technical or physical security breaches if necessary.
The following factors will have a bearing on how thorough a risk assessment should be:
Whether the material is sensitive, and the degree of sensitivity. For further information, see Classification of data.
The amount of personally identifiable information present in the material, direct or indirect. Direct personally identifiable information includes names, personal ID numbers or other characteristics that are unique to one individual. Indirect personally identifiable information elements are background variables. For further information, see Classification of data.
Personal data are anonymised if personally identifiable information has been removed, so that the information can no longer be linked to the individual (the Personal Data Act does not apply).
The project's size, including the number of participants
The project's duration
The extent to which the institution has technical solutions / obtains services for the secure storage of research data (see Norwegian version).
Verdivurdering
I en verdivurdering skal du vurdere tre forhold: konfidensialitet, integritet og tilgjengelighet (KIT). Verdivurdering er omtalt under universitetets nettsider om informasjonssikkerhet. Se også sikresiden.no om "Sikre informasjon".
- Forskningsdata som ikke er publisert har i utgangspunktet en høy grad av konfidensialitet; det vil si at dataene ikke må komme på avveie eller bli gjort kjent for uvedkommende. En måte å sikre konfidensialitet på vil være å anonymisere dataene, men det kan gjøre det vanskeligere å oppnå prosjektets overordnede formål.
- Forskningsdataene skal ha en høy grad av integritet; det vil si at dataene ikke skal bli endret av uvedkommende. Det vil være nødvendig med gode tekniske løsninger for sikker lagring (liten mulighet for uautorisert tilgang og kopiering) av data og god opplæring og tilgangsstyring i prosjektgruppen for å ivareta ovennevnte verdier.
- Forskningsdataene skal være så tilgjengelige at gjennomføringen av forskningsprosjektet ikke blir for vanskelig. Tekniske løsninger må derfor ikke være så kompliserte at de hindrer gjennomføringen. Forskningsgruppens medlemmer, ikke bare prosjektleder, må ha tilstrekkelig tilgang på dataene for å kunne samle inn og analyserer dem.
En risikovurdering vil være et redskap for å finne den rette balansen mellom de tre verdiene her.
Verdivurdering
I en verdivurdering skal du vurdere tre forhold: konfidensialitet, integritet og tilgjengelighet (KIT). Verdivurdering er omtalt under universitetets nettsider om informasjonssikkerhet. Se også sikresiden.no om "Sikre informasjon".
- Forskningsdata som ikke er publisert har i utgangspunktet en høy grad av konfidensialitet; det vil si at dataene ikke må komme på avveie eller bli gjort kjent for uvedkommende. En måte å sikre konfidensialitet på vil være å anonymisere dataene, men det kan gjøre det vanskeligere å oppnå prosjektets overordnede formål.
- Forskningsdataene skal ha en høy grad av integritet; det vil si at dataene ikke skal bli endret av uvedkommende. Det vil være nødvendig med gode tekniske løsninger for sikker lagring (liten mulighet for uautorisert tilgang og kopiering) av data og god opplæring og tilgangsstyring i prosjektgruppen for å ivareta ovennevnte verdier.
- Forskningsdataene skal være så tilgjengelige at gjennomføringen av forskningsprosjektet ikke blir for vanskelig. Tekniske løsninger må derfor ikke være så kompliserte at de hindrer gjennomføringen. Forskningsgruppens medlemmer, ikke bare prosjektleder, må ha tilstrekkelig tilgang på dataene for å kunne samle inn og analyserer dem.
En risikovurdering vil være et redskap for å finne den rette balansen mellom de tre verdiene her.
Risikovurdering
Prosjektleder er ansvarlig for å gjennomføre en risikovurdering, mens instituttleder/instituttdirektør er ansvarlig for å godkjenne denne og akseptere risikonivå.
På bakgrunn av en risikovurdering etableres det tiltak som legger grunnlaget for hvilke rutiner som bør etableres på basis av en vurdering av de sårbarheter som finst og som kan oppstå. Det kan for eksempel oppstå sårbarheter ved innsamling av rådata som inneholder personopplysninger og i håndtering av koblingsnøkkel og forskningsfil, se definisjonsliste. Sårbarheten kan grovt sagt være mennesker (prosjektmedarbeider og/eller eksterne innenfor eller utenfor institusjonen) og systemer (institusjonens IKT-system og/eller eksterne systemer), og da gjerne en kombinasjon av disse.
OsloMet har et eget skjema for ROS-analyse som bør benyttes for risikovurdering i forskning. Utfylt skjema skal lagres i ditt fakultets/institutt sin ROS-mappe i P360. Se veiledning for rett lagring direkte via skjema. Alternativt lagringsveiledning ved å gå inn i P360. (Får du ikke tilgang til P360, kontakt dokhjelp@oslomet.no). Hvis du får problemer med lagring er det en løsning å heller starte dokumenthåndteringen i P360.
ROS-analyse skal gjennomføres av alle forsknings- og studentprosjekter som behandler personopplysninger. Etter tre år må det gjøres en ny ROS-vurdering.
På basis av ovennevnte kan det identifiseres konkrete hendelser som kan føre til at opplysningene blir
- kjent for uvedkommende (konfidensialitet)
- endret av uvedkommende (integritet)
- ikke er tilgjengelige en periode eller er borte for godt (tilgjengelighet)
- ikke er oppdaterte og riktige (kvalitet)
Videre kan du vurdere sannsynligheten for at en hendelse inntreffer og for eksempel score høy, middels og lav. Du kan også vurdere skadevirkningene av en hendelse og score den stor, middels eller lav.
Case
Sannsynlighet
Konsekvens
Eksempler på risikovurdering
Rådata
Rådata lagret på minnepinne på avveie middels
stor
Forskningsfil
Uvedkommende kan kjenne igjen opplysninger i filen, da den ikke er tilstrekkelig avidentifisert middels
stor
Koblingsnøkkel
Tilsatte ved IKT-avdelingen får se koblingsnøkkelen middels
stor
Både villede handlinger (hacking, virus etc.) og statiske hendelser (teknisk og menneskelige feil) må tas med i vurderingen.
Etter at risikovurderinger er gjennomført skal prosjektleder etablere rutiner og iverksette tiltak som er nødvendige for å forebygge hendelser med uakseptabel høy risiko. Ovennevnte tabell er et enkelt eksempel på hvordan en risikovurdering kan gjennomføres.
Kritiske hendelser og avvik skal prosjektleder sørge for blir behandlet fortløpende og meldt inn til, fortrinnsvis, riktig sted, se Når noe skjer. Avvik bør løses på det nivået i organisasjonen hvor det oppstår. Dersom avviket har medført uautorisert utlevering med betydning for konfidensialiteten skal Datatilsynet varsles. Prosjektleder skal sørge for at alle avvik og sikkerhetsbrudd blir lukket, herunder be om assistanse fra IKT- eller Eiendomsavdelingen ved håndtering av tekniske eller fysiske sikkerhetsbrudd dersom det er nødvendig.
Faktorer av betydning for risikovurdering
- Om materialet er sensitivt eller ikke og grad av sensitivitet. For mer informasjon, se Klassifisering av data.
- Grad av personidentifiserende faktorer i materialet, direkte eller indirekte. Direkte personidentifiserende faktorer er navn, personnummer eller andre personentydige kjennetegn. Indirekte personidentifiserende faktorer vil være bakgrunnsvariabler. For mer informasjon se Klassifisering av data.
- Personopplysningene er anonymiserte, dersom de personidentifiserende faktorene er fjernet, slik at opplysningene ikke lenger på noen måte kan knyttes til en enkelt person. Den fremtidige utviklingen skal tas med i vurderingen. Anses opplysningene å være tilstrekkelig anonyme gjelder ikke personvernlovgivningen.
- Prosjektets størrelse, herunder antall deltakere.
- Prosjektets varighet.
- I hvor stor grad institusjonen har tekniske løsninger/ innhenter tjenester for sikker lagring av forskningsdata. OsloMet benytter Tjenester for sensitive data (TSD 2.0), en forskningsplattform utarbeidet i regi av UiO som flere norske offentlige forskningsinstitusjoner bruker. TSD oppfyller lovens strenge krav til behandling og lagring av sensitive forskningsdata. TSD utvikles og driftes av USIT ved UiO, og inngår i NorStore, den nasjonale infrastrukturen for håndtering og lagring av vitenskapelige data. Se også interne nettsider om lagring.
Skjemaer og veiledningsinformasjon
- ROS-analyse - skjema
- ROS-analyse - veiledning lagring i P360 (via knapp i skjema)
- ROS-analyse - veiledning lagring i P360 (ved å gå inn i P360)
- Risk analysis - English version
- Risk analysis - how to save in P360 - English version
- Risikovurderinger (sikresiden.no)
- Risk assessment (sikresiden.no)
- Veileder Personvern og informasjonssikkerhet i forskningsprosjekter s. 27
- Datatilsynets veiledning for risikovurdering av informasjonssystem