Det er viktig ? v?re klar over at n?r eksterne institusjoner skal behandle data i Educloud, er det de som er ansvarlige for ? vurdere hvilke data de kan h?ndtere, og har et bevisst forhold til risiko ved bruken av Educloud og s?rlig for r?de data.
- UiO tillater aldri direkte identifiserbare data av s?rlig kategori i Educloud.
- Vi anbefaler institusjoner utenfor UiO gj?re grundige vurderinger dersom r?de/sensitive data skal behandles i Educloud, og f?lger tilsvarende retningslinjer.
- Institusjoner utenfor UiO skal alltid ha en tjenesteavtale og databehandleravtale ved bruk av Educloud.
Dataklassifisering for UiO
For all behandling av persondata m? man ha et avklart form?l og en hjemmel, og forskningsprosjekter skal v?re meldt i riktige kanaler og ikke igangsettes f?r n?dvendige godkjenninger eller vurderinger foreligger.
Dataminimeringsprinsippet
Dataminimeringsprinsippet vil som alltid ogs? gjelde i Educloud, det vil si at man ikke skal behandle persondata som er mer ?identifiserende? eller i st?rre omfang enn den m? v?re, for ? f? utf?rt det oms?kte arbeidet.
Hva kan lagres i EduCloud?
- ?pen eller fritt tilgjengelig (Gr?nn)
- Begrenset (Gul)
- Fortrolig (R?d): For r?de data er tommelfingerregelen at man skal ikke ha ?r?dere? data p? Educloud enn man kan ha p? UiO-driftet laptop eller desktop. Educloud skal ikke brukes for direkte identifiserbare r?de persondata som omfattes av s?rlige kategorier av persondata i henhold til GDPR:
- rasemessig eller etnisk bakgrunn
- politisk, filosofisk eller religi?se oppfatninger
- helseforhold
- seksuelle forhold eller orientering
- medlemskap i fagforeninger
- genetiske og biometriske opplysninger med det form?l ? identifisere en fysisk person
Man b?r i alle tilfeller gj?re en DPIA (Data Protection Impact Assessment). I forskningsprosjekter ved UiO der risikoen for personers rettigheter og friheter vurderes som som h?y, vil Sikt bist? med en DPIA.
Oppbevaring av koblingsn?kkel
Koblingsn?kkel kan oppbevares innenfor samme prosjekt under forutsetning av at:
- Koblingsn?kkelen m? krypteres mens den er lagret (?at rest?)
- Den m? oppbevares i et dedikert og tilgangskontrollert omr?de, som sikrer at kun et begrenset antall autoriserte brukere har tilgang.
- For data klassifisert som sensitiv (?r?de data?), har IT-avdelingen mulighet til ? administrere lagringen av passordet til den krypterte koblingsn?kkelen, for ? tillate n?dvendig tilgang under kontrollerte forhold.
Hva er DPIA?
- En DPIA inneb?rer at man m? gj?re en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personvernet: hvordan den kan p?virke de registrertes (forskningssubjektenes) rettigheter og friheter, inkludert hvilken risiko det kan v?re for tap av omd?mme eller pengemessig verdi dersom dataene kommer p? avveie.
- I en DPIA m? man identifisere tiltak som reduserer overst?ende risiko. Slike tiltak vil omfatte sikkerhetstiltak og mekanismer for ? sikre vern av personopplysningene man behandler i Educloud, slik som prosedyrer for hvem som gis tilgang til dataene i Educloud eller mekanismer for ? sikre at forskergruppen ikke ved en feil deler dataene i strid med rettslig grunnlag, form?l, godkjenninger o.l.
- Om man vurderer ?impact? som lav, kan man bruke Educloud for tiltenkt form?l. Forsker, og forskers institusjon er i alle tilfeller ansvarlige for databehandlingen.
For r?de data som inng?r i minst en av de s?rlige kategoriene av persondata i henhold til GDPR nevnt over m? man gj?re en mer omfattende DPIA. Denne m? omfatte en vurdering av, om data er:
A) Direkte identifiserbare -> Data skal ikke lagres i Educloud, og TSD skal benyttes til det form?l. Typisk omfatter dette: Lyd, bilder, video, navn, personnummer eller annet i data (gendata i seg selv) som identifiserer personer, og data omfatter minst en av kategoriene over.
B) Forholdsvis enkle ? reidentifisere -> Data skal ikke lagres i Educloud, og TSD skal benyttes til det form?l. ?Forholdsvis? m? her vurderes av de som har riktig fagkompetanse, typisk forsker selv.
C) Psudonymiserte data (dvs at det finnes en koblingsn?kkel).
- Om forsker(ne) har tilgang til koblingsn?kkelen m? denne oppbevares som bekrevet over, og man m? gj?re en s?rskilt risikovurdering rundt det at forsker(ne) har tilgang til n?kkelen, og om man fremdeles kan anse data som vanskelig ? reidentifisere.
- Om forsker ikke har tilgang til n?kkelen m? man vurdere om man anser data som umulig eller vanskelig ? reidentifisere. Denne vurderingen er p? mange m?ter den samme som vurderingen i B.
Man m? vurdere n?ye om man kan ha r?de data i Educloud. Hvis man ved en eller flere av vurderingene i A,B,C f?r et resultat der man er usikker p? om man kan eller burde ha dataene i Educloud, skal man ikke bruke Educloud.
- Strengt fortrolig (Sort) skal ikke lagres i Educloud.
I alle tilfeller m? man ha et bevisst forhold til risiko ved bruken av Educloud og s?rlig for r?de data. Forsker og forskers institusjon er ansvarlige for databehandlingen og man skal alltid f?lge brukervilk?rene for bruk av Educloud.
Generell overordnet risikovurdering av bruken av r?de data i Educloud
Educloud er mye mer likt en normal laptop/desktop/arbeidsstasjon ved et universitet i Norge enn hva som er tilfellet for TSD. Med dette f?lger vesentlig mye st?rre risiko for utilsiktet flytting, flyt og deling av data.
Educloud har f?lgende standard-innstillinger som medf?rer at brukerne vil m?tte gj?re egne vurderinger f?r de handler, fremfor TSD der handlingsrommet er mye mer lukket, dette ettersom Educloud er koblet mot det ?pne internettet:
- Brukere kan sende mail ut av systemet, med vedlegg
- Brukere kan sende data ut av systemet via en rekke mekanismer som ikke er kontrollert, for eksempel via ssh, scp, sftp, https med flere.
- Siden en bruker f?r montert samtlige lagringsomr?der fra samtlige prosjekt brukeren er deltaker i, er det fort gjort ? utilsiktet flytte data mellom prosjekter
- Siden tilgang til internett er tilgjengelig i Educloud vil man enkelt kunne ?google? tekststrenger som inneholder r?de data