Risikovurdering og verdivurdering | FoU-håndbok - Ansatt

Risikovurdering (ROS) og verdivurdering

Risikovurdering (ROS) og verdivurdering

Ved oppstart av prosjektet, før igangsettelse av innsamling, skal prosjektleder gjennomføre en risikovurdering og etablere rutiner for hvordan personopplysninger skal behandles.

I personvernforordningen (GDPR) fremkommer denne forpliktelsen i art. 24 nr. 1 og i art. 32 nr. 1, «… skal den behandlingsansvarlige og databehandler gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i «forhold til risikoen», herunder blant annet, alt etter hva som er relevant, …..»

Art. 32 nr. 2 "Ved vurderingen av egnet sikkerhetsnivå skal det særlig tas hensyn til risikoene forbundet med behandlingen, særlig som følge av utilsiktet eller ulovlig tilintetgjøring, tap, endring eller ikke-uautorisert utlevering av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet".

Se også Datatilsynets nettside om risikovurdering.

«Virksomheten skal gjennomføre en risikovurdering før personopplysninger behandles og før man tar i bruk et informasjonssystem. Virksomheten skal også gjennomføre risikovurdering ved endringer i forhold som kan påvirke informasjonssikkerheten, for eksempel endringer i behandlinger, endringer av informasjonssystem eller endringer i trusselbildet».

​​​For å finne akseptabelt risikonivå og hvilke egnede tiltak/rutiner man bør gjennomføre/ha, skal det derfor foretas både en verdivurdering og en risikovurdering av forskningsprosjekter. Her skilles det ikke på sensitive og ikke-sensitive personopplysninger.

    • Ansvar

      Prosjektleder er ansvarlig for å gjennomføre en risikovurdering, mens instituttleder/instituttdirektør er ansvarlig for å godkjenne denne og akseptere risikonivå.

    • Verdivurdering

      I en verdivurdering skal du vurdere tre forhold: konfidensialitet, integritet og tilgjengelighet  (KIT). Verdivurdering er omtalt under universitetets nettsider om informasjonssikkerhet. Se også sikresiden.no om "Sikre informasjon".

      • Forskningsdata som ikke er publisert har i utgangspunktet en høy grad av konfidensialitet; det vil si at dataene ikke må komme på avveie eller bli gjort kjent for uvedkommende. En måte å sikre konfidensialitet på vil være å anonymisere dataene, men det kan gjøre det vanskeligere å oppnå prosjektets overordnede formål.
      • Forskningsdataene skal ha en høy grad av integritet; det vil si at dataene ikke skal bli endret av uvedkommende. Det vil være nødvendig med gode tekniske løsninger for sikker lagring (liten mulighet for uautorisert tilgang og kopiering) av data og god opplæring og tilgangsstyring i prosjektgruppen for å ivareta ovennevnte verdier.
      • Forskningsdataene skal være så tilgjengelige at gjennomføringen av forskningsprosjektet ikke blir for vanskelig. Tekniske løsninger må derfor ikke være så kompliserte at de hindrer gjennomføringen. Forskningsgruppens medlemmer, ikke bare prosjektleder, må ha tilstrekkelig tilgang på dataene for å kunne samle inn og analyserer dem.

      En risikovurdering vil være et redskap for å finne den rette balansen mellom de tre verdiene her.

    • Risikovurdering

      Skjema for Ros-vurdering

      OsloMet har et eget skjema for ROS-vurdering som bør benyttes for risikovurdering i forskning. Utfylt skjema skal lagres i ditt fakultets/institutt sin ROS-mappe i P360. Se veiledning for rett lagring direkte via skjema. Alternativt lagringsveiledning ved å gå inne i P360. (Får du ikke tilgang til P360, kontakt dokhjelp@oslomet.no). Hvis du får problemer med lagring er det en løsning å heller starte dokumenthåndteringen i P360.

      Hvilke prosjekter skal gjennomføre ROS-vurdering?

      ROS-vurdering skal gjennomføres av alle forsknings- og studentprosjekter som behandler personopplysninger.

      Når bør det gjøres en ny ROS-vurdering?

      • Det bør gjøres en ny ROS-vurdering etter ca. 3 år.
      • Det skal gjøres en ny ROS-vurdering ved endringer i prosjektet som har betydning for personopplysningssikkerheten.

       

      Sårbarheter

      En risikovurdering vil avdekket de sårbarheter som finnes og som kan oppstå i ditt prosjekt. På bakgrunn av denne vurderingen bør du sette igang tiltak som legger grunnlaget for hvilke rutiner som bør etableres. Det er normalt størst risiko knyttet til oppstartfasen (innsamling, konvertering, kryptering pg overføring) før data lagres på godt sikret elektronisk løsning.

      Sårbarheter kan for eksempel lett oppstå ved  innsamling av rådata som inneholder personopplysninger og i håndtering av koblingsnøkkel og forskningsfil, se definisjonsliste. Sårbarheten  kan grovt sagt være mennesker (prosjektmedarbeider og/eller eksterne innenfor eller utenfor institusjonen) og systemer (institusjonens IKT-system og/eller eksterne systemer), og da gjerne en kombinasjon av disse.

      Hendelser

      På basis av ovennevnte kan det identifiseres  konkrete hendelser som kan føre til at opplysningene blir

      • kjent for uvedkommende (konfidensialitet)
      • endret av uvedkommende (integritet)
      • ikke er tilgjengelige en periode eller er borte for godt (tilgjengelighet)
      • ikke er oppdaterte og riktige (kvalitet)

       

      Vurdering av sannsynlighet og konsekvens

      Videre kan du vurdere sannsynligheten for at en  hendelse inntreffer og for eksempel score høy, middels og lav. Du kan også vurdere skadevirkningene av en hendelse og score den stor, middels eller lav.

       
      Case
      Sannsynlighet
      Konsekvens
      Eksempler på risikovurdering
       Rådata
       Rådata lagret på minnepinne på avveie

       middels

       stor

       Forskningsfil
       Uvedkommende kan kjenne igjen opplysninger i filen, da den ikke er tilstrekkelig avidentifisert

       middels

       stor

       Koblingsnøkkel
       Tilsatte ved IKT-avdelingen får se koblingsnøkkelen

       middels

       stor

      Både villede handlinger (hacking, virus etc.) og statiske hendelser (teknisk og menneskelige feil) må tas med i vurderingen.

      Iverksetting av tiltak og etablering av rutiner

      Etter at risikovurderinger er gjennomført skal prosjektleder etablere rutiner og iverksette tiltak som er nødvendige for å forebygge hendelser med uakseptabel høy risiko. Ovennevnte tabell er et enkelt eksempel på hvordan en risikovurdering kan gjennomføres.

      Avvik

      Kritiske hendelser og avvik skal prosjektleder sørge for blir behandlet fortløpende og meldt inn til, fortrinnsvis, riktig sted, se Når noe skjer. Avvik bør løses på det nivået i organisasjonen hvor det oppstår. Dersom avviket har medført uautorisert utlevering med betydning for konfidensialiteten skal Datatilsynet varsles. Prosjektleder skal sørge for at alle avvik og sikkerhetsbrudd blir lukket, herunder be om assistanse fra IKT- eller Eiendomsavdelingen ved håndtering av tekniske eller fysiske sikkerhetsbrudd dersom det er nødvendig.

    • Faktorer av betydning for risikovurdering

      • Om materialet er sensitivt eller ikke og grad av sensitivitet. For mer informasjon, se Klassifisering av data.
      • Grad av personidentifiserende faktorer i materialet, direkte eller indirekte. Direkte personidentifiserende faktorer er navn, personnummer eller andre personentydige kjennetegn. Indirekte personidentifiserende faktorer vil være bakgrunnsvariabler. For mer informasjon se Klassifisering av data.
      • Personopplysningene er anonymiserte, dersom de personidentifiserende faktorene er fjernet, slik at opplysningene ikke lenger på noen måte  kan knyttes til en enkelt person. Den fremtidige utviklingen skal tas med i vurderingen. Anses opplysningene å være tilstrekkelig anonyme gjelder ikke personvernlovgivningen.
      • Prosjektets størrelse, herunder antall deltakere.
      • Prosjektets varighet.
      • I hvor stor grad institusjonen har  tekniske løsninger/ innhenter tjenester for sikker lagring av forskningsdata. OsloMet benytter Tjenester for sensitive data (TSD 2.0), en forskningsplattform utarbeidet i regi av UiO som flere norske offentlige forskningsinstitusjoner bruker. TSD oppfyller lovens strenge krav til behandling og lagring av sensitive forskningsdata. TSD utvikles og driftes av USIT ved UiO, og inngår i NorStore, den nasjonale infrastrukturen for håndtering og lagring av vitenskapelige data. Se også interne nettsider om lagring.
    • Skjemaer og veiledningsinformasjon

    Kontakt

    Kontakt