Du er her: Informationssikkerhed Databeskyttelse Generel information Behandling og opbevaring af personoplysninger

Behandling og opbevaring af personoplysninger

Her kan du læse om, hvilke muligheder du har for opbevaring af data. Du skal være opmærksom på, at der er nogle særlige regler for, hvor du må håndtere og opbevare personoplysninger, som du skal følge.


Om netværksdrev (U-drev)

  • Anvendelse: Et personligt drev hvor medarbejdere kan lagre filer og dokumenter. Drevet kan ikke deles med andre. Når du arbejder med personoplysninger, er det bedste sted at opbevare dem på AU’s netværksdrev.
  • Sikkerhed og sikkerhedskrav:  Meget sikker måde at gemme og opbevare data, fx personoplysninger, som ingen andre må se eller få adgang til.
    Der er ingen specielle sikkerhedskrav, da sikkerhed er indbygget i systemet. Hvis du ikke er logget på AU’s netværk, kan du kun tilgå dit personlige drev med VPN og totrinsbekræftelse.
  • Backup/sikkerhedskopi af data: Sker automatisk.
  • Bestilling: Alle medarbejdere bliver automatisk tildelt et personligt drev, når de bliver ansat.
  • Support: Kontakt din lokale IT-support

Om fællesdrev eller fælles folder (O-drev)

  • Anvendelse: Et fælles drev giver mulighed for, at medarbejdere kan lagre og dele filer og dokumenter med hinanden. Når et fælles drev er oprettet, vil brugerne kun kunne se og have adgang til de mapper/foldere, som de har rettigheder til.
  • Sikkerhed og sikkerhedskrav:  Meget sikker måde at gemme og opbevare fælles data, som kun dem, der har adgang til at se, kan nå.
    Ejeren af fællesdrevet tildeler rettigheder. Derudover er der ingen specielle sikkerhedskrav til brugeren/ejeren, da sikkerhed er indbygget i systemet.
    Hvis du ikke er logget på AU’s netværk, kan du kun tilgå dit personlige drev med VPN og totrinsbekræftelse.  
  • Logning: Du kan bestille ’logning’ på en delt folder, hvis der er krav om du skal kunne bevise, hvem der har tilgået/redigeret filer og dokumenter.
  • Backup/sikkerhedskopi af data: Sker automatisk.
  • Bestilling: Find vejledning til bestilling af fællesdrev.
  • Support: Kontakt din lokale IT-support

Om SharePoint

  • Anvendelse: SharePoint er en samarbejdsplatform, der kan benyttes til vidensdeling og dokumentstyring, fx kan man oprette sider, biblioteker, have et sted til filopbevaring, blogs, diskussionsfora m.v.
    Når et SharePoint-site er oprettet, vil brugerne kun have adgang til at se de dokumentbiblioteker, som de har rettigheder til. Der er tale om en webbaseret løsning, hvor filer og dokumenter ligger online, hvilket gør deling, lagring og tilgængelighed meget brugervenligt.
    SharePoint indeholder en lang række skabeloner, som man kan bruge til at oprette undersider, som kan benyttes af en bestemt enhed eller projektgruppe.
  • Sikkerhed og sikkerhedskrav: En meget sikker måde at opbevare fælles data på, da det kun er dem, der er blevet tildelt rettigheder, der har adgang.
    Ejeren af et SharePoint-site tildeler rettigheder til de personer, der skal have adgang. Herudover er der ingen specielle sikkerhedskrav til ejeren/brugeren, da sikkerhed er indbygget i systemet.
    Både ansatte på AU og eksterne samarbejdspartnere kan benytte SharePoint – dog kræver det, at der bliver udarbejdet en databehandleraftale eller fortrolighedsaftale ift. overholdelse af databeskyttelsesforordningen (GDPR).
    Man skal benytte totrinsbekræftelse for at tilgå SharePoint, hvis man ikke er på AU’s netværk. 
  • Backup/sikkerhedskopi af data: Sker automatisk. Alle dokumenter/filer er versionerede og de sidste 500 versioner bliver gemt som backup. Slettede dokumenter bliver automatisk gemt i 90 dage.
  • Bestilling: Kontakt din lokale IT-support
  • Support: Kontakt din lokale IT-support

Om cloudtjenester

I forbindelse med specifikke tjenester benytter Aarhus Universitet sig af cloud-tjenester. I den forbindelse er der indgået særskilte aftaler. Vær dog opmærksom på, at der ikke er indgået aftaler med cloud-tjenester som OneDrive, Google Drev og DropBox, hvilket betyder, at disse tjenester ikke må benyttes til opbevaring af personoplysninger.

Læs mere om indgåelse af databehandleraftaler. \

Om PC harddisk (lokalt C-drev) / Mac harddisk (lokalt Macintosh HD)

  • Anvendelse: Et personligt drev hvor medarbejdere kan lagre filer og dokumenter. En lokalt drev må ikke deles med andre.
  • Sikkerhed og sikkerhedskrav: PC/Mac skal være udleveret af AU og dermed opfylde betingelser mht. operativsystem, patching, antivirus og kryptering.
    Hvis du midlertidigt opbevarer AU data lokalt på din PC/Mac, skal det altid være krypteret. Find information om kryptering.
    Grunden til at du ikke må opbevare AU data lokalt på din computer i længere tid – selvom den er krypteret – er, at der ikke bliver foretaget en automatisk backup. Du kan derfor risikere at miste data, hvis computeren går i stykker, bliver stjålet eller lignende.    
    Den lokale harddisk må ikke sættes op til at kunne deles på AU’s netværk.
  • Backup/sikkerhedskopi af data: Det er du selv ansvarlig for.
  • Bestilling: Skal ikke bestilles, drevet er på den udleverede PC eller Mac.
  • Support: Kontakt din lokale IT-support

Om ekstern harddisk

Om USB stik/memorystick

Om forskningsprogrammer

Det er også muligt at opbevare personoplysninger i dedikerede forskningssystemer, som fx RedCap.

Særligt om opbevaring af fortrolige og følsomme personoplysninger

Hvem må se de personoplysninger, som jeg behandler?

  • Internt på AU: Dem, for hvem det ifølge formålet og det retlige grundlag er nødvendigt at se personoplysningerne.
  • Uden for AU: Dem, som det er oplyst til de registrerede, at oplysningerne vil blive videregivet til (hvad enten der er tale om andre dataansvarlige eller databehandlere for AU).


Brug ikke privat computer eller andet privat udstyr

Du må aldrig opbevare eller behandle fortrolige eller følsomme personoplysninger på din private computer eller andet privat udstyr. Hvis du arbejder med personoplysninger, skal du altid benytte den computer, du som medarbejder har fået udleveret af Aarhus Universitet.


Overordnede krav til sikkerhed ifm. behandling af personoplysninger

Reglerne for behandling af personoplysninger opstiller ingen specifikke krav til sikkerheden. Der findes således ikke krav om, at hverken følsomme eller almindelige personoplysninger kræver, at personerne som behandler oplysningerne har eget kontor, eller at personoplysninger kun må behandles elektronisk.

Den overordnede regel er, at både den dataansvarlige og databehandleren skal gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger ud fra en konkret risikovurdering. Den vurdering kan så betyde, at der skal foretages konkrete fysiske eller tekniske tiltag, som fx aflåsning af lokaler og anden sikring af, at følsomme oplysninger ikke kan tilgås af uvedkommende.

Læs mere om behandlingssikkerhed


Opbevaring af personoplysninger i endelig form

Når du er færdig med at arbejde med personoplysninger, og resultatet ligger i endelig form, skal du være opmærksom på, at der gælder andre regler. Personoplysninger må ikke opbevares i endelig form i AU's mailprogram og Office-programmer. 

Som udgangspunkt har du tre muligheder:

  1. Anonymisere personoplysninger. Dermed gælder der ingen restriktioner.
  2. Slette personoplysninger, når der ikke længere er et legitimt formål med opbevaringen.
  3. Arkivere personoplysninger, fx i Workzone eller hos Dansk Data Arkiv. 
    Find journaliseringsinstruks og journalplan. 

OBS! Videnskabelige medarbejdere skal være opmærksomme på, at man ifølge ”Ansvarlig forskningspraksis ved Aarhus Universitet”, SKAL opbevare primære (og dermed de personhenførbare) oplysninger i minimum 5 år efter ”afslutning” (dvs. i praksis i minimum 5 år efter den seneste offentliggørelses af nye resultater fra et givent datasæt). I den forbindelse forpligter AU sig desuden til at stille servere, arkiver og lignende til rådighed.


Opbevaring af fysisk materiale med personoplysninger

Reglerne for sikker opbevaring af personoplysninger er principielt de samme for digitalt og fysisk materiale. Dvs. at kun betroede personer med et sagligt behov skal have adgang til personoplysningerne. Det fysiske materiale med personoplysninger skal opbevares aflåst, når det ikke bruges, og må kun være tilgængeligt for betroede personer. De fysiske materiale skal destrueres forsvarligt, når formålet med opbevaringen ophører.

Eksempler på opbevaring af personoplysninger

Egne personlige oplysninger, ansættelseskontrakt mm. 

Som udgangspunkt må du gøre hvad du vil med dine egne personlige oplysninger, og de må derfor godt stå i fx et ringbind på dit kontor. Det er en god ide, at mærke ringbindet med 'Privat'.  


Projektbeskrivelser som indeholder navn og stillingsbetegnelse på samarbejdspartnere.

Du må opbevare personoplysninger, så længe det er nødvendigt for det formål, de er indsamlet til. Dvs. at du kan opbevare projektbeskrivelsen, så længe du arbejder med den eller med det efterfølgende bevilgede projekt. Derefter skal den slettes. Hvis projektet ikke bevilges, og du ønsker at opbevare projektbeskrivelsen til senere ansøgninger, skal du anonymisere den, så den ikke indeholder personoplysninger. Hvis der er følsomme personoplysninger, gælder andre regler for opbevaring (opbevaring i max. 30 dage).


Artikler og rapporter, der indeholder navn, mail, stillingsbetegnelse, tlf. nr. osv. 

Drejer det sig om offentliggjorte artikler og rapporter, må du gerne opbevare dem. Er artiklerne og rapporterne endnu ikke offentliggjort, afhænger det af, hvad formålet med at opbevare dem er.  


Andre ansattes rejseudgifter

Bilag og kvitteringer, der indeholder personoplysninger, må kun gemmes, indtil afregningen er godkendt. Herefter findes dokumenterne elektronisk i rejseafregningssystemet og skal slettes både i mailboks, på netværksdrev mm.   


Endelige kontrakter på forsknings- og rådgivningsprojekter

Du skal sende endelige kontrakter på forsknings- og rådgivningsprojekter til tto@au.dk (Technology Transfer Office ved AU Forskning og Eksterne Relationer).  



1443055 / i40