Published
Latest update
Coronavirus in Norway
Our campuses are closed. Please read updated information for students and staff on our website.
In order to establish good and expedient procedures for the project, it is important that the project manager has carried out an assessment of the value of and risks relating to data in the project.
An assessment of value shall take three factors into consideration: confidentiality, integrity and accessibility. Assessment of value is discussed under OsloMet's information security system (see Norwegian version).
The project manager is responsible for striking a balance between the three value factors. Risk assessment will be a useful tool in this context.
Procedures are established based on an assessment of threats that may arise in connection with the collection of raw data, handling of the scrambling key, and the research file (see the list of definitions). Roughly speaking, threats can be both people and systems, and often a combination of the two.
Towards rawdata, research files and scrambling keys, both project team members and/or external parties (at the institution or outside ) can be a threat.
In the same way, systems like the institution`s ICT system and/or external systems can be a threat towards the same objects.
Specific threats can be identified based on the above. You can also assess the probability of a threat being realised and score the risk as high, medium or low, for example. In addition, you can also assess the consequences of a threat and define them as major, medium or minor.
Case |
Probability |
Consequence |
|
---|---|---|---|
Raw data |
Raw data stored on a memory stick have gone astray | medium | major |
Research file |
Unauthorised persons may recognise information in the file, because the data have not been adequately de-identified | medium | major |
Scambling key |
Staff at the ICT department see the scrambling key | medium | major |
The project manager must determine what threat level is acceptable and establish procedures and measures based on this. The table above is a simple example of how a risk assessment can be carried out.
OsloMet also has its own template for risk assessment in research, and a user guide on how to save the Risk assessment in P360.
Guide for personal data protection and information security in research projects page 27 (in Norwegian only) also has a simple example of a risk assessment. You will find more information about risk assessments on sikresiden.no and in the Data Protection Authority's guide to risk assessment for information systems.
The project manager shall ensure that critical incidents and non-conformities are dealt with as they arise and reported to the appropriate body; see When something happens (see Norwegian version). Non-conformities should be resolved at the organisational level at which they arise. If the non-conformity has led to unauthorised disclosure that has a bearing on confidentiality, the Data Protection Authority must be notified. The project manager shall ensure that all non-conformities and security breaches are closed, which includes requesting assistance from the Department of ICT or the Department of Facilities Management to deal with technical or physical security breaches if necessary.
Whether the material is sensitive, and the degree of sensitivity. For further information, see Classification of data.
The amount of personally identifiable information present in the material, direct or indirect. Direct personally identifiable information includes names, personal ID numbers or other characteristics that are unique to one individual. Indirect personally identifiable information elements are background variables. For further information, see Classification of data.
Personal data are anonymised if personally identifiable information has been removed, so that the information can no longer be linked to the individual (the Personal Data Act does not apply).
The project's size, including the number of participants
The project's duration
The extent to which the institution has technical solutions / obtains services for the secure storage of research data (see Norwegian version).
I en verdivurdering skal du vurdere tre forhold: konfidensialitet, integritet og tilgjengelighet (KIT). Verdivurdering er omtalt under universitetets nettsider om informasjonssikkerhet. Se også sikresiden.no om "Sikre informasjon".
En risikovurdering vil være et redskap for å finne den rette balansen mellom de tre verdiene her.
I en verdivurdering skal du vurdere tre forhold: konfidensialitet, integritet og tilgjengelighet (KIT). Verdivurdering er omtalt under universitetets nettsider om informasjonssikkerhet. Se også sikresiden.no om "Sikre informasjon".
En risikovurdering vil være et redskap for å finne den rette balansen mellom de tre verdiene her.
Prosjektleder er ansvarlig for å gjennomføre en risikovurdering, mens instituttleder/instituttdirektør er ansvarlig for å godkjenne denne og akseptere risikonivå.
På bakgrunn av en risikovurdering etableres det tiltak som legger grunnlaget for hvilke rutiner som bør etableres på basis av en vurdering av de sårbarheter som finst og som kan oppstå. Det kan for eksempel oppstå sårbarheter ved innsamling av rådata som inneholder personopplysninger og i håndtering av koblingsnøkkel og forskningsfil, se definisjonsliste. Sårbarheten kan grovt sagt være mennesker (prosjektmedarbeider og/eller eksterne innenfor eller utenfor institusjonen) og systemer (institusjonens IKT-system og/eller eksterne systemer), og da gjerne en kombinasjon av disse.
OsloMet har et eget skjema for ROS-analyse som bør benyttes for risikovurdering i forskning. Utfylt skjema skal lagres i ditt fakultets/institutt sin ROS-mappe i P360. Se veiledning for rett lagring direkte via skjema. Alternativt lagringsveiledning ved å gå inn i P360. (Får du ikke tilgang til P360, kontakt dokhjelp@oslomet.no). Hvis du får problemer med lagring er det en løsning å heller starte dokumenthåndteringen i P360.
ROS-analyse skal gjennomføres av alle forsknings- og studentprosjekter som behandler personopplysninger. Etter tre år må det gjøres en ny ROS-vurdering.
På basis av ovennevnte kan det identifiseres konkrete hendelser som kan føre til at opplysningene blir
Videre kan du vurdere sannsynligheten for at en hendelse inntreffer og for eksempel score høy, middels og lav. Du kan også vurdere skadevirkningene av en hendelse og score den stor, middels eller lav.
|
Case |
Sannsynlighet |
Konsekvens |
---|---|---|---|
Rådata |
Rådata lagret på minnepinne på avveie |
middels |
stor |
Forskningsfil |
Uvedkommende kan kjenne igjen opplysninger i filen, da den ikke er tilstrekkelig avidentifisert |
middels |
stor |
Koblingsnøkkel |
Tilsatte ved IKT-avdelingen får se koblingsnøkkelen |
middels |
stor |
Både villede handlinger (hacking, virus etc.) og statiske hendelser (teknisk og menneskelige feil) må tas med i vurderingen.
Etter at risikovurderinger er gjennomført skal prosjektleder etablere rutiner og iverksette tiltak som er nødvendige for å forebygge hendelser med uakseptabel høy risiko. Ovennevnte tabell er et enkelt eksempel på hvordan en risikovurdering kan gjennomføres.
Kritiske hendelser og avvik skal prosjektleder sørge for blir behandlet fortløpende og meldt inn til, fortrinnsvis, riktig sted, se Når noe skjer. Avvik bør løses på det nivået i organisasjonen hvor det oppstår. Dersom avviket har medført uautorisert utlevering med betydning for konfidensialiteten skal Datatilsynet varsles. Prosjektleder skal sørge for at alle avvik og sikkerhetsbrudd blir lukket, herunder be om assistanse fra IKT- eller Eiendomsavdelingen ved håndtering av tekniske eller fysiske sikkerhetsbrudd dersom det er nødvendig.