Droppe til innhold

I forskning

I forskning

Risikovurdering (ROS) og verdivurdering

Ved oppstart av prosjektet skal prosjektleder foreta en risikovurdering og etablere rutiner for hvordan data skal behandles etter godkjenning av NSD/REK.

For å etablere gode og hensiktsmessige rutiner for prosjektet er det viktig at prosjektleder har gjort en verdivurdering og risikovurdering av data i prosjektet.

Verdivurdering

I en verdivurdering skal du vurdere tre forhold: konfidensialitet, integritet og tilgjengelighet  (KIT). Verdivurdering er omtalt under høgskolens nettsider om informasjonssikkerhet.

  • Forskningsdata som ikke er publisert har i utgangspunktet en høy grad av konfidensialitet; det vil si at dataene ikke må komme på avveie eller bli gjort kjent for uvedkommende. En måte å sikre konfidensialitet på vil være å anonymisere dataene, men det kan gjøre det vanskeligere å oppnå prosjektets overordnede formål.
  • Forskningsdataene skal ha en høy grad av integritet; det vil si at dataene ikke skal bli endret av uvedkommende. Det vil være nødvendig med gode tekniske løsninger for sikker lagring (liten mulighet for uautorisert tilgang og kopiering) av data og god opplæring og tilgangsstyring i prosjektgruppen for å ivareta ovennevnte verdier.
  • Forskningsdataene skal være så tilgjengelige at gjennomføringen av forskningsprosjektet ikke blir for vanskelig. Tekniske løsninger må derfor ikke være så kompliserte at de hindrer gjennomføringen. Forskningsgruppens medlemmer, ikke bare prosjektleder, må ha tilstrekkelig tilgang på dataene for å kunne samle inn og analyserer dem.

Prosjektleder er ansvarlig for å finne den rette balansen mellom de tre verdiene. Risikovurdering vil være et redskap her.

Risikovurdering

Rutinene etableres på basis av en vurdering av sårbarheter som finst og som kan oppstå  for eksempel ved  innsamling av rådata, i håndtering av koblingsnøkkel og forskningsfil, se definisjonsliste. Sårbarheten  kan grovt sagt være mennesker (prosjektmedarbeider og/eller eksterne innenfor eller utenfor institusjonen) og systemer (institusjonens IKT-system og/eller eksterne systemer), og da gjerne en kombinasjon av disse.

På basis av ovennevnte kan det identifiseres  konkrete hendelser som kan føre til at opplysningene blir

  • kjent for uvedkommende (konfidensialitet)
  • endret av uvedkommende (integritet)
  • ikke er tilgjengelige en periode eller er borte for godt (tilgjengelighet)
  • er oppdatert og riktige (kvalitet)

Videre kan du vurdere sannsynligheten for at en  hendelse inntreffer og for eksempel score høy, middels og lav. Du kan også vurdere skadevirkningene av en hendelse og score den stor, middels eller lav.

 
Case
Sannsynlighet
Konsekvens
Eksempler på risikovurdering
 Rådata
 Rådata lagret på minnepinne på avveie

 middels

 stor

 Forskningsfil
 Uvedkommende kan kjenne igjen opplysninger i filen, da den ikke er tilstrekkelig avidentifisert

 middels

 stor

 Koblingsnøkkel
 Tilsatte ved IKT-avdelingen får se koblingsnøkkelen

 middels

 stor

 

Både villede handlinger (hacking, virus etc.) og statiske hendelser (teknisk og menneskelige feil) må tas med i vurderingen.

Etter at risikovurderinger er gjennomført skal prosjektleder etablere rutiner og iverksette tiltak som er nødvendige for å forebygge hendelser med uakseptabel høy risiko. Ovennevnte tabell er et enkelt eksempel på hvordan en risikovurdering kan gjennomføres. HiOA har også en egen mal på enkel risikovurdering i forskning. Se også Veileder Personvern og informasjonssikkerhet i forskningsprosjekter s. 27 sitt  eksempel på en forenklet risikovurdering.  Mer informasjon om risikovurderinger finnes hos Datatilsynets veiledning for risikovurdering av informasjonssystem. Se også sikresiden.no sin nettside om Risikovurdering.

Kritiske hendelser og avvik skal prosjektleder sørge for blir behandlet fortløpende og meldt inn til, fortrinnsvis, riktig sted, se Når noe skjer. Avvik bør løses på det nivået i organisasjonen hvor det oppstår. Dersom avviket har medført uautorisert utlevering med betydning for konfidensialiteten skal Datatilsynet varsles. Prosjektleder skal sørge for at alle avvik og sikkerhetsbrudd blir lukket, herunder be om assistanse fra IKT- eller Eiendomsavdelingen ved håndtering av tekniske eller fysiske sikkerhetsbrudd dersom det er nødvendig.

Følgende faktorer vil ha betydning for hvor grundig en risikovurdering skal gjøres:

  • Om materialet er sensitivt eller ikke og grad av sensitivitet. For mer informasjon, se Klassifisering av data.
  • Grad av personidentifiserende faktorer i materialet, direkte eller indirekte. Direkte personidentifiserende faktorer er navn, personnummer eller andre personentydige kjennetegn. Indirekte personidentifiserende faktorer vil være bakgrunnsvariabler. For mer informasjon se Klassifisering av data.
  • Personopplysningene er anonymiserte, dersom de personidentifiserende faktorene er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkelt person (personopplysningsloven gjelder ikke).
  • Prosjektets størrelse, herunder antall deltakere.
  • Prosjektets varighet.
  • I hvor stor grad institusjonen har  tekniske løsninger/ innhenter tjenester for sikker lagring av forskningsdata. HiOA benytter Tjenester for sensitive data (TSD 2.0), en forskningsplattform utarbeidet i regi av UiO som flere norske offentlige forskningsinstitusjoner bruker. TSD oppfyller lovens strenge krav til behandling og lagring av sensitive forskningsdata. TSD utvikles og driftes av USIT ved UiO, og inngår i NorStore, den nasjonale infrastrukturen for håndtering og lagring av vitenskapelige data. Se også interne nettsider om lagring.

Kontakt