Droppe til innhold

Mitt arbeidsforhold

Mitt arbeidsforhold

Helse, miljø og sikkerhet / Sikkerhet / Informasjonssikkerhet

Lagre, sende, dele og slette

Behandling av informasjon handler om alt du gjør med informasjonen, gjennom hele dens livsløp, fra den opprettes til den slettes. Du er ansvarlig for at du lagrer, sender, deler og sletter informasjonen på en forsvarlig måte i forhold til dens verdi.

Innhold

 

Behandling av informasjon i skytjenester

Skytjenester er eksterne internettjenester som tilbys via web-grensesnitt eller apper, for eksempel Dropbox, iCloud, prosjektplassen, Google translate og Hotmail.

Skytjenester brukes fordi det er praktisk, enkelt, og billig. Ulempen er at du har liten kontroll på hvordan informasjonen sikres i skytjenester. Du vet ikke hvor informasjonen fysisk lagres eller hvem som har tilgang til den. Du har ingen garantier for at den ikke går tapt, så du kan risikere å miste den.

Hva skytjenester er  

Skytjenester er eksterne internettjenester som tilbys via webgrensesnitt eller nedlastede apper. De leveres til "hvem som helst" fra "hvor som helst". De fleste slike tjenester krever at man registrerer seg med brukernavn og passord og man må akseptere tjenestens betingelser for bruk, ansvar etc. Tjenestene er ofte gratis inntil et visst nivå. Man kan betale, hvis man for eksempel ønsker større lagringsplass eller vil slippe reklame.

Skytjenester i jobbsammenheng  

Skytjenester tilbyr ofte mulighet for å sende, lagre og dele informasjon. Filer lagres ett sted i skyen, og er tilgjengelig fra ulike PC-er/Mac-er og mobile enheter som smarttelefoner og nettbrett. Det er mange som ser at for eksempel Dropbox, iCloud, Google Apps, EverNote og SkyDrive også kan være nyttig i jobbsammenheng.

Usikkerhet i skyen  

Når du bruker skytjenester, har du liten kontroll på hvordan informasjonen sikres. Du vet ikke hvem som har tilgang til den, hvor den lagres og det er ingen garantier for at den ikke går tapt. Personopplysningsloven stiller krav ved overføring av personopplysninger til utlandet jf. Personopplysningsloven kap. V. Skytjenestene leveres fra "hvor som helst" i utlandet, der norsk lov ikke gjelder. Se også Datatilsynets veileder i bruk av nettskytjenester.

Behandling av sensitiv informasjon

Konfidensiell, taushetsbelagt, følsom, skjermingsverdig - alt sammen sensitiv informasjon, som skal beskyttes, så den ikke kommer på avveie og blir kjent for uvedkommende.

Informasjon kan ha ulik grad av sensitivitet. Sikringstiltakene skal være proporsjonale med skaden det kan gjøre hvis opplysningene blir kjent for uvedkommende.

Graden av sensitivitet og hvilke sikringstiltak som er tilstrekkelig, kommer man fram til ved hjelp av verdivurdering og risikovurdering.

Å sikre sensitiv informasjon er krevende. Vurder derfor om det er nødvendig å behandle direkte personidentifiserende sensitiv informasjon. Sensitive personopplysninger kan for eksempel anonymiseres eller avidentifiseres ved at koblingsnøkkelen oppbevares separat. Dette er vanlig prosedyre i forskningsprosjekter.

Råd og tips

  • Kontakt bit@oslomet.no for å finne gode løsninger tilpasset dine behov for sikring av sensitiv informasjon. 
  • Kryptering kan brukes for å beskytte sensitiv informasjon som lagres og overføres.

Kryptering

Ordet kryptografi betyr “skjult tekst”. Informasjonen kodes, slik at det kun er den som kjenner koden som kan lese informasjonen. Kryptering kan også brukes for å autentisere informasjon. Digital signaturer brukes for å bekrefte identiteten til avsenderen av en e-post. 

Kryptering kan være sterk eller svak, krypteringen som brukes må være sterk nok i forhold til informasjonens sensitivitet.

Husk at dokumentet alltid er i klartekst når du åpner det og skal behandle det på skjermen. Du må sørge for at utstyret, nettverket og systemene du bruker for å behandle sensitiv informasjon er godt nok sikret for dette. 

Kryptering av lagringsmedier
Kryptering av meldinger og vedlegg

Bruk av e-post

E-post sammenliknes med et åpent postkort – sensitiv informasjon skal derfor ikke sendes med e-post.

En e-post du har sendt, kan aldri stoppes eller fjernes og kan spores tilbake til deg. En e-post som sendes, er innom og lagres et ukjent antall steder på veien. Mottaker kan lagre den hvor som helst eller videresende den. Det er enkelt å gjøre feil både for avsender og mottaker slik at e-posten kommer på avveie. Ved å åpne vedlegg eller klikke på lenker fra ondsinnede aktører, kan maskiner infiseres.

Råd og tips

  • Du bør ha en privat e-postkasse utenfor OsloMet og denne bør være sikret med 2-trinns bekreftelse (nettvett.no)
  • Opprett en mappe som heter «privat», hvis du lagrer privat korrespondanse på OsloMet-kontoen.
  • Du bør opprette egne rollebaserte e-postadresser i forbindelse med verv o.l.
  • Besvar e-poster, som krever et svar, forholdsvis raskt.
  • Bruk signatur, med kontaktinformasjon, når du opptrer på vegne av universitetet.
  • Kan informasjonen gjøres ikke-sensitiv ved å anonymiseres, avidentifiseres, skrives om.
  • Hvilke andre overføringsmåter kan egne seg; lagre på kryptert minnepinne/kryptert ekstern harddisk/ papirutskrift og lever det personlig eller sende det med posten.
  • Kan informasjonen behandles der den opprinnelig befinner seg, så den slipper å overføres? For eksempel på sykehusets systemer i stedet for å ta med pasientdata ut.
  • Lær mer om bruk av e-post og kalender under Verktøy og hjelp.
Før du sender e-post, sjekk at:
  • du ikke sender sensitiv informasjon.
  • du sender til riktig(e) mottaker(e).
  • du ikke videresender informasjon som kun var ment for deg.
  • du ikke svarer til alle hvis du skal svare til en.
  • det ikke ved et uhell, blir med informasjon, som ligger lenger ned i e-posten.

Bruk av kalender

I kalenderen administerer vi hverdagen; gjør møteinnkallinger, booker møterom, sjekker kollegaers tilgjengelighet og legger inn avtaler.

Kalenderinformasjon synkroniseres gjerne på kryss og tvers mellom ulike enheter. Kalenderen som du har på OsloMets systemer deles med andre på høgskolen og kan leses av mange. Du må derfor være bevisst på hvilken informasjon du legger inn der, så det ikke blir kompromitterende for deg selv eller andre. Vær også klar over at apper på mobiltelefon og nettbrett kan høste kalenderinformasjonen din uten at de verken har spurt deg om lov eller at du er blitt informert.

Råd og tips

  • Alle tilsatte skal bruke kalenderen i Outlook, for å sikre effektive møteinnkallelser og gi oversikt over tilgjengelighet.
  • Avtaler kan merkes "private" for å begrense innsyn, men det gir falsk trygghet fordi det er lett å få innsyn likevel.
  • Vær bevisst hvilken informasjon som legges som vedlegg til innkallinger. Send vedlegg som egen mail, hvis innholdet ikke bør kunne leses av alle.
  • Kombinasjon av tema for et møte og hvem som er innkalt, kan bli kompromitterende. Vær bevisst hvis det er snakk om "vanskelige møter" eller følsomme temaer.
  • Opprett gjerne flere kalendere til ulike formål, for eksempel en egen til private/ personlige avtaler.
  • Lær mer om bruk av e-post og kalender under Verktøy og hjelp.

Regler om bruk av kalender som gjelder ved OsloMet.

Lagre og dele data

Når informasjonen synkroniseres mellom ulike systemer og mobile enheter kan det være vanskelig å følge med på hvor informasjonen egentlig befinner seg.

Når du lagrer data må du vite hvor du gjør det. Du må vite hvem som får tilgang til den og hvordan den er sikret. Du må vite om den blir sikkerhetskopiert eller om du må gjøre det selv, så du ikke risikerer å miste den. Når du samarbeider med andre, trenger dere å dele informasjonen.

Mer informasjon om lagring av informasjon på OsloMets systemer.

Råd og tips

  • Informasjon som ikke må gå tapt, bør du lagre på fellesområde eller hjemmeområdet ditt hos OsloMet. OsloMets lagringsområder blir det tatt regelmessig backup av.
  • Hvis du trenger et lagringsområde som bare en avgrenset gruppe på OsloMet skal ha tilgang til, kontakt bit@oslomet.no.
  • Hvis du skal dele filer med eksterne kan du bruke Uninetts Filesender

Masseutsending av e-post

Ved masseutsending av e-post via e-postlister eller Fronter, sprer du informasjon til mange raskt.

Det som kommer med e-post, kommer til deg. Du oppsøker ikke informasjonen selv. Hvis innholdet ikke interesserer medlemmene på e-postlisten, oppleves informasjonen som SPAM. For å unngå dette, må masseutsending av e-post brukes med varsomhet.

Du må også passe på at du ikke sender e-post til mange ved en feil. Det kan fort bli pinlig når noe som var ment for én sendes til mange.

Råd og tips

  • Vær nøye med å sjekke til-feltet før du sender en e-post, så du ikke sender e-post til en e-postliste ved en feil.
  • Kontroller at det du skriver ikke er lett å misforstå, eller kan føre til tilbakemeldinger som du ikke er beredt til å motta. Det kan komme en storm av tilbakemeldinger hvis du sender til alle på OsloMet.
  • Bruk blindkopi eller bcc når du sender e-post til en adresseliste, for å unngå at mottakere svarer til alle i lista.

Sletting og makulering

Før gammelt utstyr eller lagringsmedier kastes eller overtas av andre - vurder om innholdet skal slettes så informasjonen ikke lenger er lesbar.

Bruk av vanlige slette-funksjoner fjerner tilsynelatende informasjonen, men den kan rekonstrueres. Kasserte mobiltelefoner, nettbrett, minnepinner og minnekort kan romme store datamengder. Hvor blir de av når du ikke lenger bruker dem og hva er lagret på dem? Søppelbøtter kan vær interessante for dem som vet hva de leter etter eller tilfeldigvis finner noe av interesse.

Råd og tips

  • Disker kan du slette ved hjelp av DBAN eller Secure Erase.
  • Ved gjenbruk av eksakt samme person/personer, kan minnepenner slettes ved bruk av CCleaner som er installert på alle OsloMets PC-er. 
  • CD-er slettes ved fysisk å skrape av sølvbelegget med en kniv eller liknende.
  • Kontakt BIT@oslomet.no hvis du trenger hjelp til sikker sletting.

Spam (e-postsøppel)

Over 90 prosent av det OsloMet mottar av e-post er spam som filtreres ut så det ikke kommer inn i e-postkassen din.

Spam er uønsket masseutsendt informasjon, for eksempel uønsket reklame. Spam er unyttig og oppleves som "støy". Det er informasjon som kommer til deg uten at du har bedt om den eller oppsøkt den. Du må selv være forsiktig hvis du skal bruke masseutsending av e-post, så det du sender ut ikke oppleves som spam av mottakerne.

Råd og tips

  • Ikke bruk jobb-e-postadressen din når du må registrere en e-postadresse i forbindelse med privat aktivitet på nettet.
  • Ikke send e-post til studenter eller ansatte hvis den ikke er interessant for dem, se regler for masseutsending av e-post.
  • Tenk deg godt om før du sender e-post til mange personer.

Regler om e-post og regler om masseutsendinger av e-post som gjelder ved OsloMet.

Taushetsplikt og taushetserklæring

Taushetsplikt er en plikt til å hindre at uvedkommende får kjennskap til visse opplysninger.

Ulike typer  informasjon kan være taushetsbelagt, for eksempel teknisk, kommersiell eller strategisk informasjon. All informasjon av personlig art er taushetsbelagt. Informasjon som er taushetsbelagt skal beskyttes slik at det er vanskelig eller umulig for uvedkommende å få tilgang til den.

Råd og tips

Vær bevisst på:

  • Hva du deler på nett.
  • Hva du snakker om i det offentlige rom.
  • Hva du har oppe på skjermen når andre kan se den.
  • Hva du snakker om i telefonen når andre kan høre.
  • Hva du deler med hvilke kollegaer.
  • Hva du snakker om hjemme.

Mer om temaet

Regler om taushetsplikt og taushetserklæring som gjelder ved OsloMet.

Utskrift og papirdokumenter

Selv om mye av informasjon er digital, tas det fremdeles mye utskrifter og det står mange gamle papirpermer rundt omkring.

Papirdokumenter kan bli liggende og flyte. De er lette å glemme igjen for eksempel på møterom, i klasserom og hjemme. Papirer ligger i bunker på pulter på ulåste kontorer. De ligger igjen i kopimaskinen, i gjenglemte vesker og kastes i søppelbøtter.

Papiret som sådan har ingen egenverdi, men dokumentets innhold kan være sensitivt eller verdifullt fordi det er juridisk bindene. Det kan også hende at innholdet bare er lagret kun på det ene arket.

Regler om utskrift og papirdokumenter som gjelder ved OsloMet.