Klassifisering av data
Konfidensialitetsklasser
All informasjon og data, inkludert personopplysninger og særlige kategorier (sensitive personopplysninger) skal i henhold til OsloMets retningslinjer alltid klassifiseres, og lagres på egnet sted, basert på konfidensialitetsklassene:
- Åpen eller fritt tilgjengelig informasjon (grønne data)
- Begrenset informasjon (gule data)
- Fortrolig informasjon (røde data)
- Strengt fortrolig informasjon (sorte data)
All informasjon ved OsloMet skal dessuten ha en entydig og identifiserbar eier. Det skal være mulig å finne ut hvem som er ansvarlig for at informasjonen er vedlikeholdt, oppdatert og riktig merket.
Hva er mitt ansvar?
- Du skal ta stilling til hvilken konfidensialitetsklasse informasjonen din tilhører. Kontakt personvernkontakten i din enhet dersom du er i tvil om klassifiseringsnivået.
- Dersom det er problemer med å velge konfidensialitetsklasse skal du velge den strengeste konfidensialitetsklassen. Altså klassifiserer du informasjon som fortrolig (rød) dersom du er usikker på om dataene dine skal klassifiseres som begrenset (gul) eller fortrolig (rød).
- I systemer og verktøy med mulighet til å velge klassifiseringsklasse skal denne funksjonaliteten benyttes (for eksempel i Microsoft 365).
- Påse at informasjonen sendes på en trygg måte, lagres og behandles i henhold til lagringsguiden.
- Du skal regelmessig vurdere klassifiseringen av informasjonen, og om nødvendig endre klassifisering og lagringssted.
-
Klassifisering i Microsoft 365
Ved lagring og sending av e-post og dokumenter i Microsoft 365 (Teams, Word, Excel, Outlook m.m.) skal innholdet klassifiseres. Dette gjøres enkelt ved å bruke knappen for følsomhet (sensitivity).
Følgende klassifiseringsalternativer benyttes:Personal
Benyttes kun til personlig lagring av filer og dokumenter som ikke er relatert til arbeidet ditt på OsloMet.
Public (grønn)
Benyttes til lagring av åpent (grønt) innhold som skal kunne deles med alle, også eksterne og personer som ikke har noe med OsloMet å gjøre.
Limited (gul)
Benyttes til lagring av begrenset (gult) innhold som ikke skal være åpne for alle. Dette er data som kun skal deles med en begrenset gruppe, for eksempel en kollega, seksjonen eller instituttet ditt.
Confidential (rød)
Benyttes til lagring av fortrolig (rødt) innhold. Dette er data kan skade OsloMet, partnere eller personer dersom innholdet deles med utenforstående, blant annet personsensitiv informasjon og sikkerhetsopplysninger.
Merk at strengt fortrolig (sort) innhold ikke kan lagres i Microsoft 365.
-
Åpen eller fritt tilgjengelig (Grønn)
Grønn konfidensialitetsklasse
Åpen eller fritt tilgjengelig informasjon: Informasjon som kan eller skal være tilgjengelig for alle uten særskilte tilgangsrettigheter.
Det aller meste av informasjonen universitetet forvalter er åpen, enten som konsekvens av mål og hensikt med universitetets virksomhet eller som resultat av pålegg om åpenhet i lov, forskrift og annet regelverk som regulerer offentlig forvaltning og virksomhet. Andre deler av informasjonen har ingen krav om beskyttelse selv om den ikke ligger åpent tilgjengelig.
Denne klassen benyttes dersom det ikke forårsaker noen skade for institusjonen, eller samarbeidspartner hvis informasjonen blir kjent for uvedkommende.
Eksempler på slik informasjon er
- en webside som presenterer en avdeling, et kurs eller en enhet som legges åpent ut på internett
- studiemateriell som ligger åpent, men som er merket med en gitt lisens og/eller opphavsrett
- forskningsdata som ikke trenger noen beskyttelse; dvs. ikke inneholder personopplysninger (forskeren står ansvarlig for denne vurderingen)
- undervisningsmateriell som ikke trenger noen beskyttelse (underviseren står ansvarlig for denne vurderingen)
Merk! Selv om noe av denne informasjonen skal være tilgjengelig for alle, skal likevel informasjonens integritet sikres ved at kun personer og brukere med riktige rettigheter har tilgang til å endre informasjonen. Merk også at selv om informasjonen kan være åpen, er det ikke fritt frem å velge hva du gjør med den.
-
Begrenset (Gul)
Gul konfidensialitetsklasse
Begrenset informasjon: Informasjon som i utgangspunktet ikke er åpen for alle.
I lover eller annet regelverk er det ingen krav om at informasjonen skal være åpen. Dette er altså all informasjon som ikke er klassifisert som åpen, fortrolig, eller strengt fortrolig.
Informasjonen må ha en viss beskyttelse og kan være tilgjengelig for både eksterne og interne, med kontrollerte tilgangsrettigheter. Denne klassen benyttes dersom det vil kunne forårsake en viss skade for institusjonen, eller samarbeidspartner hvis informasjonen blir kjent for uvedkommende. Informasjonen har kun relevans for eller er innrettet mot en begrenset brukergruppe enten ved universitetet eller ved institusjoner og organisasjoner universitetet har samarbeid med.
Eksempler på slik informasjon kan være
- enkelte arbeidsdokumenter
- informasjon som er unntatt offentligheten
- mange typer av personopplysninger
- karakterer
- studentarbeider
- eksamensbesvarelser
- upubliserte forskningsdata og -arbeider
-
Fortrolig (Rød)
Rød konfidensialitetsklasse
Fortrolig informasjon: Dette er informasjon som universitetet er pålagt å begrense tilgangen til i lov, forskrift, avtaler, reglementer og annet regelverk.
Dette tilsvarer graden fortrolig i den offentlige Beskyttelsesinstruksen. «Fortrolig» benyttes hvis det vil forårsake skade for offentlige interesser, universitetet, enkeltperson eller samarbeidspartner hvis informasjonen blir kjent for uvedkommende.
Eksempler på slik informasjon kan være
- særskilte kategorier av personopplysninger (tidligere kalt «sensitive personopplysninger»)
- rasemessig eller etnisk bakgrunn
- politisk, filosofisk eller religiøse oppfatninger
- helseforhold
- seksuelle forhold eller orientering
- medlemskap i fagforeninger
- genetiske og biometriske opplysninger med det formål å identifisere en fysisk person
- data underlagt eksportkontroll (regjeringen.no)
- personalmapper
- endel informasjon om for eksempel sikring av bygninger og IT-systemer
- helseopplysninger
- særskilte kategorier av personopplysninger (tidligere kalt «sensitive personopplysninger»)
-
Strengt fortrolig (Sort)
Sort konfidensialitetsklasse
Strengt fortrolig informasjon: Denne kategorien omfatter samme type informasjon som Fortrolig (rød), men der spesielle hensyn gjør at man ønsker å beskytte dataene ytterligere.
Pålegg om beskyttelse og sikring utover de lovbestemte skal være nedfelt i avtaler eller skriftlig dokumentert på annen måte.
Dette tilsvarer graden strengt fortrolig i den offentlige Beskyttelsesinstruksen. «Strengt fortrolig» benyttes dersom det vil kunne forårsake betydelig skade for offentlige interesser, universitetet, enkeltperson eller samarbeidspartner at informasjonen blir kjent for uvedkommende.
Plassering av data og informasjon i denne kategorien gjøres individuelt og i samarbeid med Avdeling for IKT.
Eksempler på slik informasjon er
- store mengder sensitive personopplysninger
- store mengder helseopplysninger
- forskningsdata av stor økonomisk verdi
- data som er omfattet av sikkerhetsloven og beskyttelsesinstruksen