Klassifiseringsguide

Slik vurderer du hvilken klasse du skal bruke på dataene dine som ansatt eller student ved Høgskolen i Molde. 

Når du behandler data må du ha et bevisst forhold til type data du har og hvordan de skal klassifiseres. Dette avgjør hvordan, og hvor de skal lagres. Du er selv ansvarlig for å klassifisere innhold du produserer. 

Nedenfor følger en klassifiseringsguide. Når du har klassifisert dataene riktig, er neste steg å lagre dem på riktig måte, på riktig sted. Her finner du lagringsguiden.

Hvordan avgjøre om du har grønne, gule eller røde data

 

Felter som viser godkjent for grønn - gule - røde - svarte data 
Data kan ha ulike klasser. Åpne data blir klassifisert som grønne. Data med begrensninger blir klassifisert som gule. Fortrolige data blir klassifisert som røde. Strengt fortrolige data blir klassifisert som svarte.

1. Åpen eller fritt tilgjengelig (Grønn) 

Informasjon som kan eller skal være tilgjengelig for alle uten særskilte tilgangsrettigheter. 

Det aller meste av informasjonen høgskolen forvalter er åpen, enten som konsekvens av mål og hensikt med høgskolens virksomhet eller som resultat av pålegg om åpenhet i lov, forskrift og annet regelverk som regulerer offentlig forvaltning og virksomhet. Andre deler av informasjonen har ingen krav om beskyttelse selv om den ikke ligger åpent tilgjengelig. 

Denne klassen benyttes dersom det ikke forårsaker noen skade for institusjonen, eller samarbeidspartner hvis informasjonen blir kjent for uvedkommende. 

Eksempler på slik informasjon er 

  • en nettside som presenterer en avdeling, et kurs eller en enhet som legges åpent ut på internett 
  • studiemateriell som ligger åpent, men som er merket med en gitt lisens og/eller opphavsrett 
  • forskningsdata som ikke trenger noen beskyttelse (forskeren står ansvarlig for denne vurderingen) 
  • undervisningsmateriell som ikke trenger noen beskyttelse (underviseren står ansvarlig for denne vurderingen) 

Merk at selv om noe av denne informasjonen skal være tilgjengelig for alle, skal likevel informasjonens integritet sikres ved at kun personer og brukere med riktige rettigheter har tilgang til å endre informasjonen. Merk også at selv om informasjonen kan være åpen, er det ikke fritt frem å velge hva du gjør med den. 

2. Begrenset (Gul)

Dette er i utgangspunktet informasjon som ikke er åpen for alle. I lover eller annet regelverk er det ingen krav om at informasjonen skal være åpen. Dette er altså all informasjon som ikke er klassifisert som åpen, fortrolig, eller strengt fortrolig. 

Informasjonen må ha en viss beskyttelse og kan være tilgjengelig for både eksterne og interne, med kontrollerte tilgangsrettigheter. Denne klassen benyttes dersom det vil kunne forårsake en viss skade for institusjonen, eller samarbeidspartner hvis informasjonen blir kjent for uvedkommende. Informasjonen har kun relevans for eller er innrettet mot en begrenset brukergruppe enten ved universitetet eller ved institusjoner og organisasjoner universitetet har samarbeid med. 

Eksempler på slik informasjon kan være: 

  • enkelte arbeidsdokumenter 
  • informasjon som er unntatt offentlighet 
  • mange typer av personopplysninger 
  • karakterer 
  • studentarbeider 
  • eksamensbesvarelser 
  • upubliserte forskningsdata og -arbeider (som ikke inneholder særlige kategorier personopplysninger) 

3. Fortrolig (Rød)

Dette er informasjon som høgskolen er pålagt å begrense tilgangen til i lov, forskrift, avtaler, reglementer og annet regelverk. Dette tilsvarer graden fortrolig i den offentlige Beskyttelsesinstruksen. «Fortrolig» benyttes hvis det vil forårsake skade for offentlige interesser, høgskolen, enkeltperson eller samarbeidspartner hvis informasjonen blir kjent for uvedkommende. 

Eksempler på slik informasjon kan være: 

  • særskilte kategorier av personopplysninger (tidligere kalt «sensitive personopplysninger»). Eksempler kan være etnisk opprinnelse, politisk eller religiøs oppfatning, fagforeningsmedlemskap, genetiske og biometriske opplysninger, seksuelle legning.  
  • helseopplysninger 
  • informasjon om f. eks. sikring av bygninger og IT-systemer 
  • data underlagt eksportkontroll 
  • personalmapper 

Strengt fortrolig (Sort)

Denne kategorien omfatter samme type informasjon som Fortrolig (rød), men der spesielle hensyn gjør at man ønsker å beskytte dataene ytterligere. Pålegg om beskyttelse og sikring utover de lovbestemte skal være nedfelt i avtaler eller skriftlig dokumentert på annen måte. 

Dette tilsvarer graden strengt fortrolig i den offentlige Beskyttelsesinstruksen. «Strengt fortrolig» benyttes dersom det vil kunne forårsake betydelig skade for offentlige interesser, universitetet, enkeltperson eller samarbeidspartner at informasjonen blir kjent for uvedkommende. 

Plassering i denne kategorien skal kun gjøres når det er strengt nødvendig, og skal alltid gjøres i samråd med viserektor for forskning, IT-sjef og personvernombud. 

Eksempler på slik informasjon er 

  • store mengder særlige kategorier personopplysninger (tidligere sensitive personopplysninger) 
  • forskningsdata og datasett av stor økonomisk verdi 
  • helseregistre av et visst omfang 
  • informasjon om personer med særlig beskyttelsesbehov, f.eks «hemmelig adresse». 

Ulike roller og hva de har å si for klassifisering

Informasjonseier 

All informasjon skal ha en entydig og identifiserbar eier. Det skal være mulig å finne ut hvem som er ansvarlig for at informasjonen er vedlikeholdt, oppdatert og riktig merket. Eier av informasjonen er ansvarlig for de vurderinger som ligger til grunn for plasseringen i en gitt kategori. Der det ikke kan identifiseres en eier, er høgskoledirektøren ansvarlig for informasjonen. 

Eieren av informasjonen er ansvarlig for å: 

  • sikre at informasjonen er plassert i riktig klasse ut ifra disse reglene. 
  • gjøre en vurdering når informasjonen bytter klasse. 
  • påse at all lagring, behandling og bearbeiding av informasjon foregår på tekniske løsninger som er godkjent for dette - se egen guide – link til lagringsguide HiMolde 
  • regelmessig sjekke at man oppfyller eventuelle endringer i kravene. 

Informasjonen skal alltid plasseres i en tilstrekkelig sikker klasse. Dersom du er i tvil om du skal velge f. eks. rød eller gul, skal du velge rød. 

Systemeier 

Systemeier plikter å vurdere hvilke konfidensialitets-, integritets- og tilgjengelighetsklasser systemet eller tjenesten skal godkjennes for. Dette gjøres gjennom risiko- og sårbarhetsvurderinger. Som hovedregel skal denne konklusjonen, samt eventuelle forutsetninger informasjonseier og bruker må kjenne til, bekjentgjøres via informasjonssikkerhetssidene til HiMolde, relevante brukerveiledninger og opplæring. 

Brukere  

Alle personer som håndterer informasjon for HiMolde har plikt til å foreta klassifisering i tråd med relevante retningslinjer og de vurderinger som informasjonseier har foretatt.  

IT-sjef 

IT-sjef kan foreta endringer i denne retningslinjen samt fastsette tilhørende rutiner og prosedyrer. 

Retningslinjer for vern og utveksling av personopplysninger og helseforskningsdata 

Spørsmål?

Kontakt personvernombud@himolde.no

 

Publisert 20. nov. 2023 14:19 - Sist endret 19. feb. 2024 15:19
Del på e-post