Skydda data

Datasäkerhet 

Datasäkerhet innebär att data hanteras säkert under den tid forskningsprojektet pågår. Du kan själv påverka säkerheten genom att regelbundet byta lösenord, aldrig skicka lösenord med e-post och alltid logga ut när du lämnar din dator. Du bör dessutom vara försiktig med att lagra data på flyttbara medier. De flesta lärosäten har tagit fram riktlinjer gällande datasäkerhet som utgår från informationsklassning. Dessa omfattar regler om hantering av data på stationära och bärbara datorer, andra bärbara media och i molntjänster. Förutom riktlinjer vid respektive lärosäte finns även råd om informationssäkerhet att ta del av från Integritetsskyddsmyndigheten.

Säker datahantering under projekttiden innebär i korthet att data behöver finnas tillgängliga för personer som ska arbeta med dem, samtidigt som obehöriga inte ska kunna få tillgång till dem. Du bör därför försäkra dig om att projektets data lagras på ett sätt som inte bara förhindrar att data försvinner eller blir korrupta, utan som också förhindrar intrång från obehöriga. Datasäkerheten är kopplad till tre miljöer: 

  • De tekniska miljöerna: data finns lagrade på säkra hårddiskar, det finns rutiner kring säkerhetskopiering och kryptering.
  • De fysiska miljöerna: rummen där datorer och hårddiskar finns är låsta eller materialet förvaras i kassaskåp.
  • De administrativa miljöerna: informationsägaren har kontroll över vem som har nyckel till de fysiska miljöerna och lösenord och rättigheter att läsa och skriva i systemen.

Lagring 

För att du inte av misstag ska bli av med eller förstöra nödvändiga data är det viktigt att du har en säker lagringslösning där det görs regelbundna säkerhetskopior av materialet. Eftersom filer kan försvinna om hårddisken kraschar eller datorn blir stulen så rekommenderas att originalfiler inte sparas på den egna datorns hårddisk, framför allt inte om den är bärbar. Forskningsdata bör inte heller lagras på USB-minnen, CD- eller DVD-skivor, externa hårddiskar eller liknande (om det inte finns en säkerhetskopia på en säker lagringsyta), eftersom det finns risk att lagringsmediet går sönder, tappas bort eller stjäls. Är du osäker på vilken lagringslösning du bör välja kan du kontakta lärosätets lokala IT-avdelning. (Läs mer om lagring kopplat till personuppgifter under Forskningsdata med personuppgifter.)

Informationsklassning 

Informationsklassning är ett sätt att säkerställa datasäkerheten. De allra flesta lärosäten har rutiner för klassificering av information som bygger på riktlinjer från Myndigheten för samhällsskydd och beredskap (MSB). Som forskare och anställd behöver du känna till lärosätets riktlinjer så att du kan informationsklassa projektets forskningsmaterial. Då vet du vilka säkerhetsåtgärder som behöver vidtas för att uppfylla kraven på säkerhet kring materialet.

Informationsklassning handlar om att avgöra hur ett material behöver skyddas. Utgångspunkten är säkerhetsaspekterna konfidentialitet, riktighet och tillgänglighet.

  • Konfidentialitet omfattar vikten av att informationen endast är tillgänglig för behöriga.

  • Riktighet omfattar vikten av att informationen inte förvanskas, av någon obehörig, av misstag eller på grund av systemstörning. Informationen ska också vara spårbar, så att förändringar kan härledas till den som har gjort en ändring.

  • Tillgänglighet omfattar vikten av att information ska kunna utnyttjas så som man behöver, när man behöver det.

Oavsett hur lärosätets lokala tillämpning ser ut handlar informationsklassning om att bedöma konsekvenserna av att information sprids till obehöriga, förvanskas eller inte går att komma åt vid behov. Utifrån lärosätets specifika kriterier görs en konsekvensbedömning. Konsekvenserna kan vara till exempel ”inga/försumbara”, ”måttliga”, ”betydande” eller ”allvarliga”, beroende på vilken effekt spridning, förvanskning eller brist på åtkomst har på organisationer eller enstaka individer. Detta avgör sedan hur skyddat materialet behöver vara.

Exempel: Data måste förvaras väldigt säkert om det får allvarlig eller katastrofal negativ påverkan på det egna lärosätet, någon annan organisation eller på en eller flera personer om data förvanskas, försvinner eller hamnar hos någon obehörig person. De behöver lagras på en hårddisk med stark autentisering, i ett låst och väl skyddat skåp som endast vissa personer har tillgång till. Om data ska överföras elektroniskt behöver de skyddas av kvalificerad kryptering. De ska även ha kvalificerat skydd mot obehöriga förändringar av materialet, till exempel inloggning med certifikatbaserade digitala signaturer, och rutiner för säkerhetskopiering och loggning av förändringar.

Informationsklassning måste ingå tidigt i din projektplanering. Hur projektets data kommer att informationsklassas påverkar behovet av tid och resurser för att bygga upp eller få tillgång till tillräckligt säkra system och rutiner. I vissa fall kan en särskild lösning behöva tas fram tillsammans med ditt lärosätes säkerhets- och IT-avdelningar.