Klassifisering av data og informasjon

Om eierskap - hvordan vurdere hvilken klasse du skal bruke

All informasjon skal ha en entydig og identifiserbar eier. Det skal v?re mulig ? finne ut hvem som er ansvarlig for at informasjonen er vedlikeholdt, oppdatert og riktig merket. Eier av informasjonen er ansvarlig for de vurderinger som ligger til grunn for plasseringen i en gitt kategori. Der det ikke kan identifiseres en eier, er universitetsdirekt?ren ansvarlig for informasjonen.

Eieren av informasjonen er ansvarlig for ?

• sikre at informasjonen er plassert i riktig klasse ut ifra disse reglene.
• gj?re en vurdering n?r informasjonen bytter klasse.
• p?se at all lagring, behandling, deling og bearbeiding av informasjon foreg?r  p? tekniske l?sninger som er godkjent for dette ¨C se Lagringsguiden og Delingsguiden.
• regelmessig sjekke at man oppfyller eventuelle endringer i kravene.

Informasjonen skal alltid plasseres i en tilstrekkelig sikker klasse. Dersom du er i tvil om du skal velge f. eks. r?d eller gul, skal du velge r?d. Merk at UiO har klare regler for plassering av noen typer informasjon, for eksempel medisinsk forskning og personalmapper.

?pen eller fritt tilgjengelig (Gr?nn):

Informasjon som kan eller skal v?re tilgjengelig for alle uten s?rskilte tilgangsrettigheter.

Det aller meste av informasjonen universitetet forvalter er ?pen, enten som konsekvens av m?l og hensikt med universitetets virksomhet eller som resultat av p?legg om ?penhet i lov, forskrift og annet regelverk som regulerer offentlig forvaltning og virksomhet. Andre deler av informasjonen har ingen krav om beskyttelse selv om den ikke ligger ?pent tilgjengelig.

Denne klassen benyttes dersom det ikke for?rsaker noen skade for institusjonen, eller Å·ÖÞ±­ÔÚÏßÂòÇò_Å·ÖÞ±­Í¶×¢ÍøÕ¾ÍƼö@spartner hvis informasjonen blir kjent for uvedkommende.

Eksempler p? slik informasjon er

• en web-side som presenterer en avdeling, et kurs eller en enhet som legges ?pent ut p? internett
• studiemateriell som ligger ?pent, men som er merket med en gitt lisens og/eller opphavsrett
• forskningsdata som ikke trenger noen beskyttelse (forskeren st?r ansvarlig for denne vurderingen)
• undervisningsmateriell som ikke trenger noen beskyttelse (underviseren st?r ansvarlig for denne vurderingen)

Merk at selv om noe av denne informasjonen skal v?re tilgjengelig for alle, skal likevel informasjonens integritet sikres ved at kun personer og brukere med riktige rettigheter har tilgang til ? endre informasjonen. Merk ogs? at selv om informasjonen kan v?re ?pen, er det ikke fritt frem ? velge hva du gj?r med den.

Begrenset (Gul):

Dette er i utgangspunktet informasjon som ikke er ?pen for alle. I lover eller annet regelverk er det ingen krav om at informasjonen skal v?re ?pen. Dette er alts? all informasjon som ikke er klassifisert som ?pen, fortrolig, eller strengt fortrolig.

Informasjonen m? ha en viss beskyttelse og kan v?re tilgjengelig for b?de eksterne og interne, med kontrollerte tilgangsrettigheter. Denne klassen benyttes dersom det vil kunne for?rsake en viss skade for institusjonen, eller Å·ÖÞ±­ÔÚÏßÂòÇò_Å·ÖÞ±­Í¶×¢ÍøÕ¾ÍƼö@spartner hvis informasjonen blir kjent for uvedkommende. Informasjonen har kun relevans for eller er innrettet mot en begrenset brukergruppe enten ved universitetet eller ved institusjoner og organisasjoner universitetet har Å·ÖÞ±­ÔÚÏßÂòÇò_Å·ÖÞ±­Í¶×¢ÍøÕ¾ÍƼö@ med.

Eksempler p? slik informasjon kan v?re:

• enkelte arbeidsdokumenter
• informasjon som er unntatt offentlighet
• mange typer av personopplysninger
• karakterer
• studentarbeider
• eksamensbesvarelser
• upubliserte forskningsdata og -arbeider

Fortrolig (R?d):

Dette er informasjon som universitetet er p?lagt ? begrense tilgangen til i lov, forskrift, avtaler, reglementer og annet regelverk. Dette tilsvarer graden fortrolig i den offentlige Beskyttelsesinstruksen. ?Fortrolig? benyttes hvis det vil for?rsake skade for offentlige interesser, universitetet, enkeltperson eller Å·ÖÞ±­ÔÚÏßÂòÇò_Å·ÖÞ±­Í¶×¢ÍøÕ¾ÍƼö@spartner hvis informasjonen blir kjent for uvedkommende.

Eksempler p? slik informasjon kan v?re

• s?rskilte kategorier av personopplysninger (tidligere kalt ?sensitive personopplysninger?)
• data underlagt eksportkontroll
• personalmapper
• endel informasjon om f. eks. sikring av bygninger og IT-systemer
• helseopplysninger

Strengt fortrolig (Sort):

Denne kategorien omfatter samme type informasjon som Fortrolig (r?d), men der spesielle hensyn gj?r at man ?nsker ? beskytte dataene ytterligere. P?legg om beskyttelse og sikring utover de lovbestemte skal v?re nedfelt i avtaler eller skriftlig dokumentert p? annen m?te.

Dette tilsvarer graden strengt fortrolig i den offentlige Beskyttelsesinstruksen. ?Strengt fortrolig? benyttes dersom det vil kunne for?rsake betydelig skade for offentlige interesser, universitetet, enkeltperson eller Å·ÖÞ±­ÔÚÏßÂòÇò_Å·ÖÞ±­Í¶×¢ÍøÕ¾ÍƼö@spartner at informasjonen blir kjent for uvedkommende.

Plassering av data og informasjon i denne kategorien gj?res i Å·ÖÞ±­ÔÚÏßÂòÇò_Å·ÖÞ±­Í¶×¢ÍøÕ¾ÍƼö@ med USITs jurister og IT-sikkerhetssjefen.

Eksempler p? slik informasjon er

• store mengder sensitive personopplysninger
• store mengder helseopplysninger
• forskningsdata og datasett av stor ?konomisk verdi

Godkjent av IT-direkt?ren juni 2018