Det er viktig å være klar over at når eksterne institusjoner skal behandle data i Educloud, er det de som er ansvarlige for å vurdere hvilke data de kan håndtere, og har et bevisst forhold til risiko ved bruken av Educloud og særlig for røde data.
- UiO tillater aldri direkte identifiserbare data av særlig kategori i Educloud.
- Vi anbefaler institusjoner utenfor UiO gjøre grundige vurderinger dersom røde/sensitive data skal behandles i Educloud, og følger tilsvarende retningslinjer.
- Institusjoner utenfor UiO skal alltid ha en tjenesteavtale og databehandleravtale ved bruk av Educloud.
Dataklassifisering for UiO
For all behandling av persondata må man ha et avklart formål og en hjemmel, og forskningsprosjekter skal være meldt i riktige kanaler og ikke igangsettes før nødvendige godkjenninger eller vurderinger foreligger.
Dataminimeringsprinsippet
Dataminimeringsprinsippet vil som alltid også gjelde i Educloud, det vil si at man ikke skal behandle persondata som er mer «identifiserende» eller i større omfang enn den må være, for å få utført det omsøkte arbeidet.
Hva kan lagres i EduCloud?
- Åpen eller fritt tilgjengelig (Grønn)
- Begrenset (Gul)
- Fortrolig (Rød): For røde data er tommelfingerregelen at man skal ikke ha «rødere» data på Educloud enn man kan ha på UiO-driftet laptop eller desktop. Educloud skal ikke brukes for direkte identifiserbare røde persondata som omfattes av særlige kategorier av persondata i henhold til GDPR:
- rasemessig eller etnisk bakgrunn
- politisk, filosofisk eller religiøse oppfatninger
- helseforhold
- seksuelle forhold eller orientering
- medlemskap i fagforeninger
- genetiske og biometriske opplysninger med det formål å identifisere en fysisk person
Man bør i alle tilfeller gjøre en DPIA (Data Protection Impact Assessment). I forskningsprosjekter ved UiO der risikoen for personers rettigheter og friheter vurderes som som høy, vil Sikt bistå med en DPIA.
Oppbevaring av koblingsnøkkel
Koblingsnøkkel kan oppbevares innenfor samme prosjekt under forutsetning av at:
- Koblingsnøkkelen må krypteres mens den er lagret («at rest»)
- Den må oppbevares i et dedikert og tilgangskontrollert område, som sikrer at kun et begrenset antall autoriserte brukere har tilgang.
- For data klassifisert som sensitiv («røde data»), har IT-avdelingen mulighet til å administrere lagringen av passordet til den krypterte koblingsnøkkelen, for å tillate nødvendig tilgang under kontrollerte forhold.
Hva er DPIA?
- En DPIA innebærer at man må gjøre en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personvernet: hvordan den kan påvirke de registrertes (forskningssubjektenes) rettigheter og friheter, inkludert hvilken risiko det kan være for tap av omdømme eller pengemessig verdi dersom dataene kommer på avveie.
- I en DPIA må man identifisere tiltak som reduserer overstående risiko. Slike tiltak vil omfatte sikkerhetstiltak og mekanismer for å sikre vern av personopplysningene man behandler i Educloud, slik som prosedyrer for hvem som gis tilgang til dataene i Educloud eller mekanismer for å sikre at forskergruppen ikke ved en feil deler dataene i strid med rettslig grunnlag, formål, godkjenninger o.l.
- Om man vurderer «impact» som lav, kan man bruke Educloud for tiltenkt formål. Forsker, og forskers institusjon er i alle tilfeller ansvarlige for databehandlingen.
For røde data som inngår i minst en av de særlige kategoriene av persondata i henhold til GDPR nevnt over må man gjøre en mer omfattende DPIA. Denne må omfatte en vurdering av, om data er:
A) Direkte identifiserbare -> Data skal ikke lagres i Educloud, og TSD skal benyttes til det formål. Typisk omfatter dette: Lyd, bilder, video, navn, personnummer eller annet i data (gendata i seg selv) som identifiserer personer, og data omfatter minst en av kategoriene over.
B) Forholdsvis enkle å reidentifisere -> Data skal ikke lagres i Educloud, og TSD skal benyttes til det formål. «Forholdsvis» må her vurderes av de som har riktig fagkompetanse, typisk forsker selv.
C) Psudonymiserte data (dvs at det finnes en koblingsnøkkel).
- Om forsker(ne) har tilgang til koblingsnøkkelen må denne oppbevares som bekrevet over, og man må gjøre en særskilt risikovurdering rundt det at forsker(ne) har tilgang til nøkkelen, og om man fremdeles kan anse data som vanskelig å reidentifisere.
- Om forsker ikke har tilgang til nøkkelen må man vurdere om man anser data som umulig eller vanskelig å reidentifisere. Denne vurderingen er på mange måter den samme som vurderingen i B.
Man må vurdere nøye om man kan ha røde data i Educloud. Hvis man ved en eller flere av vurderingene i A,B,C får et resultat der man er usikker på om man kan eller burde ha dataene i Educloud, skal man ikke bruke Educloud.
- Strengt fortrolig (Sort) skal ikke lagres i Educloud.
I alle tilfeller må man ha et bevisst forhold til risiko ved bruken av Educloud og særlig for røde data. Forsker og forskers institusjon er ansvarlige for databehandlingen og man skal alltid følge brukervilkårene for bruk av Educloud.
Generell overordnet risikovurdering av bruken av røde data i Educloud
Educloud er mye mer likt en normal laptop/desktop/arbeidsstasjon ved et universitet i Norge enn hva som er tilfellet for TSD. Med dette følger vesentlig mye større risiko for utilsiktet flytting, flyt og deling av data.
Educloud har følgende standard-innstillinger som medfører at brukerne vil måtte gjøre egne vurderinger før de handler, fremfor TSD der handlingsrommet er mye mer lukket, dette ettersom Educloud er koblet mot det åpne internettet:
- Brukere kan sende mail ut av systemet, med vedlegg
- Brukere kan sende data ut av systemet via en rekke mekanismer som ikke er kontrollert, for eksempel via ssh, scp, sftp, https med flere.
- Siden en bruker får montert samtlige lagringsområder fra samtlige prosjekt brukeren er deltaker i, er det fort gjort å utilsiktet flytte data mellom prosjekter
- Siden tilgang til internett er tilgjengelig i Educloud vil man enkelt kunne «google» tekststrenger som inneholder røde data