Behandling av informasjon med privat IKT-utstyr - Kunnskapsbasen
Behandling av informasjon med privat IKT-utstyr
NTNUs rutiner og retningslinjer stiller krav til at en jobber på administrerte NTNU-maskiner som er utstyrt med nødvendige sikkerhetsmekanismer for å behandle klassifisert informasjon. Noen ganger vil det likevel oppstå situasjoner der klassifisert informasjon må behandles på ikke-administrerte enheter. Dette gjelder i første rekke studenter, men kan også være stipendiater eller andre som av ulike grunner ikke har NTNU-administrert PC tilgjengelig. Denne wikien beskriver hvordan du kan gå fram for å behandle ulike typer informasjon med privat IKT-utstyr (som privat PC) ved NTNU.
English version - Processing of information with private ICT-equipment
Bruk av privat IKT-utstyr
NTNU er forpliktet til å ha oversikt over informasjonsverdier som lagres og oppbevares ved NTNU og at disse er tilstrekkelig sikret. Med bakgrunn i dette skal ikke privat utstyr brukes for å lagre informasjon klassifisert som Intern, Fortrolig eller Strengt Fortrolig. I tillegg skal ikke privat utstyr brukes til behandling av informasjon i klassene Fortrolig eller Strengt fortrolig.
Dette betyr i praksis at du kan åpne og jobbe med en fil klassifisert som «intern» på din private PC, men den må lagres på godkjent lagringsområde eller skyløsning. Fortrolige filer kan derimot ikke åpnes på privat PC uten bruk av virtuelt skrivebord (VDI) og kryptering. Strengt fortrolig informasjon skal verken lagres eller behandles på privat PC i det hele tatt.
Personopplysninger er et typisk eksempel på klassifisert informasjon. Nedenfor finner du beskrivelse av arbeidsflyter for innsamling, lagring og behandling av de vanligste typene personopplysninger.
Begreper og forkortelser
AIP: I Office 365 (Word, PowerPoint, Excel, Outlook) er det mulig å klassifisere filer og dokumenter med "etiketter" som utløser tekniske tiltak som kryptering og tilgangskontroll. Systemet kalles Azure Information Protection (AIP). Merk at etiketten «fortrolig» ikke kan brukes i nettleserversjon (men kan brukes med VDI).
Hjemmeområde: Hjemmeområdet (M:) ligger på en sentral server på NTNU, og filene dine blir sendt til denne serveren for lagring. Området er personlig, og er beskyttet av ditt passord slik at ingen andre har adgang til dine filer. Hjemmeområdet er godkjent for lagring opp til fortrolig informasjon (opp til strengt fortrolig med kryptering). Ulempen med å bruke hjemmeområdet til lagring av datamateriale, er at ingen andre (for eksempel veileder) kan få tilgang.
Office 365: Office 365 gir studenter og ansatte ved NTNU gratis tilgang til tekstbehandling, skylagring og samhandlingstjenester. Her finner du bl.a Teams, Outlook, OneDrive, Word, Excel og PowerPoint både for nedlastning og for bruk i nettleseren. Bruker du privat PC, må du være nøye med at ingen Office-filer lagres på PC (men kan for eksempel lagres på Teams).
OneDrive: Microsoft OneDrive er Microsofts tjeneste for skylagring og enkel deling av filer. OneDrive tilsvarer løsninger som Dropbox og Google Drive, men laster automatisk ned en kopi til egen PC når filen brukes. OneDrive kan derfor bare brukes til lagring av personopplysninger dersom du også alltid bruker VDI (virtuelt skrivebord) hver gang filene åpnes.
Personopplysninger er opplysninger som direkte eller indirekte kan identifisere en person. Direkte personidentifiserende opplysninger er for eksempel navn, personnummer, e-postadresse, tlf.nr., IP-adresse, bilder, lydopptak og videoopptak. Transkriberte intervjuer regnes også personopplysninger, med mindre all direkte og indirekte identifiserende informasjon er fjernet. Indirekte personidentifiserende opplysninger er bakgrunnsopplysninger som kan gjøre det mulig å spore opplysningene tilbake til en enkeltperson, for eksempel arbeidsplass kombinert med opplysninger om alder, kjønn, yrke, nasjonalitet, etc.
Teams: Microsoft Teams er egentlig et skybasert verktøy for kommunikasjon og samhandling i grupper, men kan også brukes som lagringsområde dersom en ikke kan lagre på egen PC. Dersom du oppretter et privat team for lagring, får du mulighet for tilgangskontroll.
TSD: TSD er en skyløsning med et fullt sett tjenester for innsamling, lagring og analyse av forskningsdata som krever et høyt sikkerhetsnivå. TSD utvikles og driftes av USIT ved UiO. Med TSD er ikke privat PC noe problem da alt foregår inne i skyen. Utfordringen er at TSD er teknisk krevende og best egnet for større prosjekter.
AVD: Azure Virtual Desktop - med AVD kan du koble deg opp til en virtuell Windows desktop og få tilgang til programmene og filene dine. Du har også tilgang til Microsoft Teams og dataene dine i OneDrive fra en AVD. Programmene du bruker kjøres ikke på datamaskinen din, men på NTNU-servere. Når du er innlogget på en AVD desktop vil ingen andre ha tilgang til dataene du arbeider med. Husk alltid å lagre på hjemmeområdet M: eller i OneDrive når du er innlogget på en AVD.
VLC: Medieavspiller som ikke lagrer kopier på maskinen. Kan brukes med virtuell desktop (VDI).
Informasjonsklassifisering
All informasjon du behandler og deler har ulike behov for sikring og skjerming. På NTNU bruker vi fire kategorier for å klassifisere konfidensialitetsgrad: Åpen, Intern, Fortrolig og Strengt fortrolig. Ofte brukes fargekoding for å beskrive hvilken grad det er snakk om. For mer informasjon om klassifisering, se Retningslinje for klassifisering av informasjonsverdier eller wiki om klassifisering av informasjon.
Spesielt om klassifisering av personopplysninger.
«Alminnelige» personopplysninger havner gjerne i intern (gul) kategori. Dette er informasjon og opplysninger som kan relateres til en person, men som ikke inneholder såkalte særlige kategorier av personopplysninger (også kalt sensitive). Særlige kategorier omfatter opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. Disse opplysningene krever særskilt beskyttelse, og vil som regel havne i fortrolig kategori. Andre eksempler på fortrolige data er opplysninger om straffedommer og lovovertredelser, eller opplysninger om personer fra sårbare grupper eller i sårbare situasjoner.
Det finnes eksempler på at personopplysninger i forskning havner i klassen Strengt fortrolig (svart). Strengt fortrolig benyttes bare dersom det vil kunne forårsake betydelig skade for offentlige interesser, institusjonen, enkeltperson eller samarbeidspartner at informasjonen blir kjent for uvedkommende. Eksempel på slik informasjon kan være informasjon om personer som har behov for særlig beskyttelse (kode 7).
For mer informasjon, se Retningslinje for behandling av personopplysninger.
Eksempler på dataflyter for forskningsdata med personopplysninger
Gule intervjudata via Nettskjema Diktafon-app
- Logg inn i Nettskjema og opprett et diktafonskjema med lagring i Nettskjema.
- Last ned Nettskjema Diktafon-app til mobilen din og bruk appen til å gjøre intervjuopptakene (følg instruksene fra UiO).
- Lytt til filene i Nettskjema via Nettleser. (NB: Nettskjema transkriberer automatisk opptakene, men kvaliteten varierer.)
- Kopier over transkripsjonene til en word-fil på Teams eller hjemmeområdet ditt (ikke last ned til egen PC).
- Lagre de transkriberte tekstene på Teams eller hjemmeområdet (M:). Pass på at du ikke lagrer kopier på egen PC.
Gule intervjudata via Zoom
- Sett opp opptak i Zoom med lagring på hjemmeområdet (M:-disken)
- Spill av filene med VLC-spiller (lastes ned fra NTNU)
- Jobb med tekstfiler i Word (Office 365),
- Lagre Word-filene på Teams.
Gule videodata
- Du kan bruke digitalt videokamera til å gjøre opptak, men dette krever at du er nøye med å slette informasjonen fra opptakeren etterpå (se rutiner for sletting).
- Overfør videofilene direkte til hjemmeområdet ditt (M:). For mer informasjon om hvordan du kobler opp hjemmeområdet som en mappe på PCen din, se wiki om Hjemmeområde.
- Spill av filene med VLC-spiller (lastes ned fra NTNU)
- Jobb med tekstfiler i Word (Office 365).
- Lagre Word-filene på Teams.
Røde intervjudata fra diktafon
- Du kan bruke en ekstern diktafon/lydopptaker til å gjøre opptak av fortrolige intervju, men dette krever at du er nøye med å slette informasjonen fra opptakeren etterpå (se rutiner for sletting).
- Overfør lydfilene direkte til hjemmeområdet ditt (M:). For mer informasjon om hvordan du kobler opp hjemmeområdet som en mappe på PCen din, se wiki om Hjemmeområde.
- Koble deg til virtuelt skrivebord med VMware Horizon View (VDI) og lytt til filene med VLC-spilleren fra de tilgjengelige programmene.
- Bruk Word gjennom VDI for å transkribere.
- Merk tekstfilene som fortrolig med AIP og lagre dem på hjemmeområdet eller OneDrive.
- Bruk VDI hver gang du åpner filene og jobber med dem.
Røde videodata
- Du kan bruke digitalt videokamera til å gjøre fortrolige opptak, men dette krever at du er nøye med å slette informasjonen fra opptakeren etterpå (se rutiner for sletting).
- Overfør videofilene direkte til hjemmeområdet ditt (M:). For mer informasjon om hvordan du kobler opp hjemmeområdet som en mappe på PCen din, se wiki om Hjemmeområde.
- Koble deg til virtuelt skrivebord med VMware Horizon View (VDI) og spill filene med VLC-spilleren fra de tilgjengelige programmene.
- Bruk Word gjennom VDI for tekstarbeid.
- Merk tekstfilene som fortrolig med AIP og lagre dem på hjemmeområdet eller OneDrive.
- Bruk VDI hver gang du åpner filene og jobber med dem.
Sletting av informasjon
Eksterne lagringsmedier
- Windows: Koble til eksternt lagringsmedium i PCen, finn mediet, høyreklikk og velg Formater. velg NTFS filsystem, pass på at «Quick format» ikke er haket av og klikk Start. NB: Det er viktig å bruke full formatering for å hindre at informasjonen lar seg gjenopprette.
- MacOS: Koble til eksternt lagringsmedium. Åpne Disk Utility, velg enhet under External, klikk Erase og velg ønsket format fra menyen. (Bruk MS-DOS (FAT) for 32GB og mindre, og ExFat for kort over 32GB med mindre du har en god grunn til å velge andre formater.) Klikk Security Options og flytt bryteren helt til høyre før du klikker Erase.
Sletting av filer fra privat PC
- Slett filen fra aktuelt lagringsområder, slett deretter filen fra papirkurv.
Se også
- Lagringsguide
- Datainnsamlingsguide
- Retningslinjer for informasjonssikkerhet
- Retningslinje for klassifisering av informasjonsverdier
- Behandle personopplysninger i forskningsprosjekt
Kontakt
Har du spørsmål om bruk av privat IKT-utstyr eller kommentarer og tilbakemeldinger til denne siden, ta kontakt med Forskningsdatahjelpen gjennom NTNU Hjelp. Eksterne brukere kan sende en e-post til research-data@ntnu.no (har du en NTNU-brukerkonto vil forespørselen din bli behandlet i NTNU Hjelp-portalen).