Klassifikation af data

Du skal klassificere data, som du arbejder med på universitetet. Dataklassifikation er vigtigt for at sikre, at du behandler, videregiver og opbevarer data korrekt. 

Her på siden kan du læse mere om de 4 datatyper, offentlige data, interne data, fortrolige data og følsomme data, og finde information om, hvordan du må opbevare og dele de pågældende data, og hvorvidt data skal pseudonymiseres eller anonymiseres inden databehandling.  

Aarhus Universitet er forpligtet til at overholde gældende lovgivning om beskyttelse af personoplysninger (GDPR), og samtidigt har universitetet kontraktlige forpligtelser i forhold til fortrolighed. Dataklassifikation omfatter alene data, der ikke er omfattet af Justitsministeriets sikkerhedscirkulære


Niveau 0- offentlige data

Definition

Offentlige data er informationer, som er til rådighed for offentligheden, og hvor offentliggørelsen ikke gør skade på AU.  


Eksempler på offentlige data

  • AU's websider, fx au.dk
  • Studiebeskrivelser
  • Nyhedsartikler
  • Bøger
  • Forskningsdata (open data)
  • Forskningsrapporter 
  • Egne personoplysninger eller andres, såfremt der er givet samtykke hertil. Herunder:
    • Medarbejder-stamoplysninger (navn, stillingsbetegnelse, tlf. nr.)
    • Tilknytning til institutioner

Niveau 1 - interne data

Definition

Interne data er informationer, som det kun er ansatte på AU med et rent arbejdsbetinget behov, der må og kan få adgang til. Et brud på fortroligheden for interne data vil have en lav skadesvirkning for AU, privatpersoner eller samarbejdspartnere. 


Eksempler på interne data

  • Almindelige personoplysninger efter databeskyttelsesforordningen artikel 6 ('Lovlig behandling') herunder:
    • Stamoplysninger (navn, telefon, adresse, fødselsdag)
    • Oplysninger om uddannelse, udtalelse, kursusbeviser og arbejdsopgaver 
    • Oplysninger om løn, skat, pension og lønkontonummer
    • Kørekortnr. og -type
    • Nationalitet
    • Systembrugeroplysninger
    • Fraværsoplysninger (dog kun fraværet, ikke behandling, diagnose eller baggrund for fravær)
    • Deltagelse i hold/fag/grupper og fagniveau
  • Typiske informationer
    • Vagtplan
    • Systemkonfiguration
    • Afdelingsbudget
    • Indkøbsaftaler
    • Undervisningsmateriale
    • Forskningsdata
    • Mødereferater og/eller -dagsordener

Niveau 2 - fortrolige data

Definition

Fortrolige data er informationer, som det kun er ansatte på AU med et rent arbejdsbetinget behov, der må og kan få adgang til. Et brud på fortroligheden vil have en middel skadesvirkning for AU, privatpersoner eller samarbejdspartnere. 


Eksempler på fortrolige data

Opfindelser og forskning, der kan udnyttes kommercielt med en værdi >1.000.000 kr. 

  • Forskningsansøgninger med en værdi for AU >1.000.000 kr. 
  • Forskningsdata med potentiel skadesvirkning
  • Personoplysninger, der på AU er klassificeret som fortrolige, herunder:
    • CPR-nr.
    • Medarbejderes privateadresse, private mailadresse, private tlf. nr. og andre privatrelaterede informationer.
    • Personlighedstest
    • Civilstand 
    • Adoptionsforhold
    • Karakterer, karaktergivning mm. 

Vigtigt!

I forskning kan der ganske undtagelsesvist være situationer, hvor du ikke kan undgå at arbejde med fortrolige og følsomme AU-data i direkte personhenførbar form (fx CPR. nr.) på de sikrede netværksdrev, hvor du ellers kun må gemme og dele pseudonymiserede eller anonymiserede data. I disse situationer er det meget vigtigt, at det arbejde, som kræver, at data er direkte personhenførbare, færdiggøres og afsluttes så hurtigt som overhovedet muligt, hvorefter du skal pseudonymisere eller anonymisere data. 

Dokumentation

Hvis du skal gemme/opbevare fortrolige data og/eller følsomme data, stiller universitetet krav til, at du laver en vurdering af behovet for - og risikoen ved - at opbevare data samt beskriver, hvordan du gemmer data, hvorvidt der skal tilføjes metadata samt en plan for sletning af data. 

Desuden bør du overveje, om offentliggørelse vil forårsage skade for samarbejdspartnere, forskere, ansatte eller studerende og dermed også skade AU? Om offentliggørelse vil forårsage større eller mindre problemer for AU’s virke, taktiske målsætninger eller overlevelse? Om offentliggørelse vil medføre et strafferetsligt efterspil? 

Du skal opbevare beskrivelsen af ovenstående lokalt - gerne i journaliseret form. Informationen skal primært bruges, hvis der bliver behov for dokumentation om formål med opbevaring og behandling af data, fx i forbindelse med en sag hos Datatilsynet.

Niveau 3 - følsomme data

Definition

Følsomme data er informationer, som det kun er AU-ansatte med et rent arbejdsbetinget behov, der må få adgang til. Et brud på fortroligheden vil have en høj skadesvirkning for AU, privatpersoner eller samarbejdspartnere. Der er tale om informationer, der i kraft af deres personlige, tekniske, forretnings- eller konkurrencemæssige karakter og følsomhed skal sikres på højeste niveau mod utilsigtet adgang og offentliggørelse. 


Eksempler på følsomme data

Opfindelser og forskning der kan udnyttes kommercielt med en værdi >5.000.000 kr.

Forskningsansøgninger med en værdi for AU på >5.000.000 kr.

Forskningsdokumentation med følsomme personoplysninger

Følsomme personoplysninger efter artikel 9 ('Behandling af særlige kategorier af personoplysninger'), herunder:

  • Race og etnisk oprindelse
  • Politisk/religiøs eller filosofisk overbevisning
  • Fagforeningsmæssige tilhørsforhold
  • Genetiske data
  • Biometriske data med henblik på entydig identifikation
  • Helbredsoplysninger
  • Seksuelle forhold eller -orientering
  • Strafbare forhold efter artikel 10 (EF generel forordning om databeskyttelse 'Behandling af personoplysninger vedr. straffedomme og lovovertrædelser')

Vigtigt!

I forskning kan der ganske undtagelsesvist være situationer, hvor du ikke kan undgå at arbejde med fortrolige og følsomme AU-data i direkte personhenførbar form (fx CPR. nr.) på de sikrede netværksdrev, hvor du ellers kun må gemme og dele pseudonymiserede eller anonymiserede data. I disse situationer er det meget vigtigt, at det arbejde, som kræver, at data er direkte personhenførbare, færdiggøres og afsluttes så hurtigt som overhovedet muligt, hvorefter du skal pseudonymisere eller anonymisere data.   

Dokumentation

Hvis du skal gemme/opbevare fortrolige data og/eller følsomme data, stiller universitetet krav til, at du laver en vurdering af behovet for - og risikoen ved - at opbevare data samt beskriver, hvordan du gemmer data, hvorvidt der skal tilføjes metadata samt en plan for sletning af data. 

Desuden bør du overveje, om offentliggørelse vil forårsage skade for samarbejdspartnere, forskere, ansatte eller studerende og dermed også skade AU? Om offentliggørelse vil forårsage større eller mindre problemer for AU’s virke, taktiske målsætninger eller overlevelse? Om offentliggørelse vil medføre et strafferetsligt efterspil? 

Du skal opbevare beskrivelsen af ovenstående lokalt - gerne i journaliseret form. Informationen skal primært bruges, hvis der bliver behov for dokumentation om formål med opbevaring og behandling af data, fx i forbindelse med en sag hos Datatilsynet.


Der er forskel på sagsbehandling og forskning

Det er væsentligt at forstå, at der er stor forskel på, om du behandler data til sagsbehandlingsformål eller til forskning. Dette afspejles i den sikkerhedsvurdering, der ligger til grund for dataklassifikationsmodellen.


Sagsbehandling

Når du behandler data i forbindelse med sagsbehandling, vil der som udgangspunkt altid være et behov for kunne henføre sagsbehandlingen til konkrete personer, fx borgere eller studerende. I praksis vil det derfor ikke være muligt at pseudonymisere eller anonymisere data i forbindelse med konkret sagsbehandling. Du har derfor færre valgmuligheder, når du skal vælge imellem AU’s forskellige løsninger til opbevaring og deling af data. 

Eksempel:

Du modtager en mail, som indeholder et CPR-nummer og oplysning om, hvilken fagforening den pågældende tilhører. Mailen indeholder altså både fortrolige data og følsomme personoplysninger.

Da du har behov for at kunne identificere borgeren i den videre sagsbehandling, skal du journalisere mailen i WorkZone og slette den fra Outlook, da der ikke må opbevares fortrolige eller følsomme personoplysninger i Outlook.


Forskning

Når du behandler personoplysninger i forbindelse med forskning, har du som udgangspunkt ikke behov for, at personerne umiddelbart kan identificeres, da det enkelte individ normalt ikke er det interessante for selve forskningen. Det er derfor naturligt og god praksis at pseudonymisere eller anonymisere personoplysninger i forbindelse med forskning. Pseudonymisering og anonymisering åbner endvidere for, at du kan anvende flere af de løsninger, som AU stiller til rådighed for opbevaring og deling af data.

Eksempel:

Du har som forsker indsamlet oplysninger om en række personer, herunder bl.a. oplysninger om de pågældendes helbredsforhold. Da du i dit forskningsprojekt ikke har behov for at kunne identificere de pågældende personer, har du pseudonymiseret data.

Du vil nu gerne dele forskningsdata med en kollega i forskningsprojektet på AU via en af de løsninger, AU stiller til rådighed. Hvordan gør du det?

Da du har pseudonymiseret data, kan du dele forskningsdata med din kollega ved hjælp af fx OneDrive, hvor også fortrolige data og følsomme personoplysninger må deles og opbevares, hvis de er pseudonymiseret eller anonymiseret.


Pseudonymisering af personoplysninger

Pseudonymisering er en foranstaltning, der kan bidrage til at minimere risici forbundet med behandlingen af personoplysninger og at til øge sikkerheden. 

Pseudonymisering af personoplysninger sker ved, at alle direkte identificerende oplysninger (fx CPR. nr., navn, adresse, tlf. nr.) transformeres, erstattes eller fjernes fra datasættet. 

Det er inden for rammerne af pseudonymisering, at der kan oppebæres et unikt løbenummer. Løbenummeret vil - med en tilhørende separat 'nøglefil' - muliggøre, at der entydigt kan findes tilbage til den oprindelige fysiske person. Det skal dog vurderes i det konkrete tilfælde, hvad der udgør en effektiv pseudonymisering. Effektiviteten vil afhænge af typen af oplysninger, sammensætningen i datasættet, den valgte metode osv. 
Eksempler på pseudonymiseringsmetoder: 

  • Kryptering
  • Hashing
  • Mapningstabeller

Anonymisering af personoplysninger

For at personoplysninger kan betragtes som værende anonyme, må det hverken være muligt at identificere enkeltpersoner ud fra oplysningerne alene eller i kombination med anden information. 

Du skal altså indregne, at andre kan have adgang til information, der i samspil med de anonyme data muliggør, at der - helt eller delvist - kan findes tilbage til den oprindelige person-identifikation. Anonymiseringen skal være uigenkaldelig. 

Personoplysninger, som er fyldestgørende anonymiseret, er ikke omfattet af GDPR og stiller dermed ingen lovmæssige krav til systemet, hvor de er gemt. Der er heller ikke længere behov for en dokumenteret tidsfrist for, hvornår og hvordan data slettes. Det vil være oplagt at anonymisere data, hvis der fx er krav om open-access til forskningsdata. 

Disse 4 punkter skal som minimum være opfyldt, for at Aarhus Universitet anser data for at være anonymiseret: 

  • Fjern alle eksterne/unikke identifikatorer - også løbenumre. 
  • Datoer og klokkeslæt skal enten:
    • Fjernes
    • Erstattes med beregnede afstande, fx 'indlæggelse 16/6 2019 - genindlæggelse 27/8 2019' ændres til 'genindlæggelse: 73 dage'
    • Tilføres 'slør' ved parallelforskydning med et tilfældigt antal dage (fx +/- op til 10 dage) på individniveau, fx 'indlæggelse 16/6 2019' ændres til 'indlæggelse 11/6 2019' og ’genindlæggelse 27/8 2019' ændres til 'genindlæggelse 22/8 2019'. 
  • Fjern alle tekstfelter - erstat fx med kategorier. 
  • Reducer til absolut færrest mulige datafelter/variabler. 

Vær opmærksom på, at fyldestgørende anonymisering som oftest vil være umulig i tilfælde af kvalitative data.  

Der er forskellige fortolkninger af, hvornår personoplysninger er anonyme og der er ikke tale om en absolut sondring men derimod en fra-gang-til-gang vurdering af risiko og rimelighed.        


Hvor må jeg gemme/opbevare mine data?

Se eksempler på systemer, hvor du må gemme de forskellige typer af data. Præcist hvilket system du skal vælge, afhænger af dine arbejdsopgaver og kan afhænge af journalpligt, arkivpligt, funktionalitet, hvor længe data skal gemmes, og hvilket system der anvendes for dine specifikke arbejdsopgaver. Spørg dine kolleger eller din nærmeste leder, hvis du er i tvivl.

 

OFFENTLIG

INTERN

FORTROLIG

FØLSOM

Kaltura

Ja

Ja

Nej

Nej

Workzone

Ja

Ja

Ja

Ja

AUHRA (HR)

Ja

Ja

Ja

Ja

U-drev (personligt drev)

Ja

Ja

Nej*

Nej*

O-drev (fælles drev) med begrænset log-sikkerhed (standard)

Ja

Ja

Ja

Nej

O-drev (fælles drev) med udvidet log-sikkerhed (kontakt IT-support)

Ja

Ja

Ja

Nej*

STADS

Ja

Ja

Ja

Ja

TYPO3

Ja

Nej

Nej

Nej

OneDrive

Ja 

Ja

Nej*

Nej*

Outlook

Ja

Ja

Nej

Nej

Sharepoint

Ja

Ja

Nej*

Nej*

Teams

Ja

Ja

Nej*

Nej*

Survey-Xact

Ja

Ja

Ja

Ja

REDCap

Ja

Ja

Ja

Ja

Gratis cloud-tjenester, fx Dropbox eller Google drev

Ja

Nej

Nej

Nej

Ja: Her må du GERNE gemme

Nej: Her må du IKKE gemme

Nej*: Opbevaring forudsætter, at personoplysninger er PSEUDONYMISERET


Hvordan må jeg gemme/dele de forskellige typer af data?

OFFENTLIG

INTERN

FORTROLIG

FØLSOM

Mail sendt via Outlook til andre AU-ansatte

Ja

Ja

Ja

Ja

Mail sendt via Outlook til eksterne modtagere

Ja

Nej 

Nej

Nej

Mail sendt med AU's sikker mail-løsning

Ja

Ja

Ja

Ja

Mail sendt via Outlook til en @rm.dk-modtager

Ja

Ja

Ja

Ja

Beskeder sendt via Digital post (eBoks)

Ja

Ja

Ja

Ja

Beskeder sendt via Microsoft Teams

Ja

Ja 

Nej 

Nej

SMS

Ja

Nej

Nej

Nej

Sociale medier*

Ja

Nej

Nej

Nej

SFTP (Secure File Sender Transfer) - kan bestilles hos den lokale IT-support

Ja

Ja

Ja

Ja

Papir-post

Ja

Ja

Ja

Ja

Ja: Her må du GERNE gemme 

Nej: Her må du IKKE gemme

*Fx Messenger, Snapchat, Twitter etc. Se GDPR-retningslinjer for brug af sociale medier i professionel sammenhæng