Klassifikation af data

Som studerende på Aarhus Universitet har du selv ansvar for at beskytte de informationer og data, du arbejder med på studiet. Du skal derfor sørge for, at informationerne behandles, opbevares og deles korrekt og sikkert, så de ikke bliver misbrugt eller går tabt. Det gælder fx: 

  • De informationer, du arbejder med i forbindelse med dine studieprojekter og i undervisningen
  • Data om dine medstuderende (fx deltagerlister til fredagsbaren og lign.)

Et vigtigt skridt på vejen mod god og sikker datahåndtering er, at du kategoriserer din data. Det er det, vi kalder dataklassifikation.

Hvad er dataklassifikation?

Dataklassifikation betyder kort sagt, at du kategoriserer de informationer, du arbejder med, så du ved, hvordan du opbevarer og deler dem sikkert og korrekt.

Hvilke informationer må du fx sende med mail eller sms? Hvilke må du gemme i Dropbox? Det er nogle af de spørgsmål, som du kan få svar på, når du kategoriserer/klassificerer dine data.

Hvorfor er dataklassifikation vigtigt?

Dataklassifikation er en kerneopgave ift. informationssikkerhed og GDPR. Når du opbevarer og sender din informationer korrekt og sikkert, mindsker du nemlig risikoen for, at dine informationer havner i hænderne på de forkerte, mistes eller ændres.

Hvordan klassificerer jeg mine data?

Når du klassificerer dine data, handler det helt overordnet om at besvare disse spørgsmål:

  • Har du med personoplysninger at gøre? Og i så fald hvor følsomme er oplysningerne?
  • Har du med forretningsoplysninger at gøre? Og hvor skadeligt vil det være for universitetet eller en ekstern samarbejdspartner (fx dit praktiksted, din specialevirksomhed osv.), hvis informationerne lækkes, ændres eller går tabt?

De 4 datatyper

Her på AU anvender vi fire forskellige datatyper, alt efter hvilken type personoplysninger og forretningsoplysninger, der er tale om:

Niveau 0: Offentlige data

Offentlige data er informationer, som er til rådighed for offentligheden, og hvor offentliggørelsen ikke gør skade på AU, privatpersoner eller samarbejdspartnere. Det er fx:

  • AU's websider, fx au.dk, studerende.au.dk
  • Studieordninger og kursusbeskrivelser
  • Nyhedsartikler
  • Bøger
  • Forskningsdata (open data)
  • Forskningsrapporter 
  • Egne personoplysninger eller andres, hvis der er givet samtykke hertil. Herunder:
    • Medarbejderstamoplysninger (navn, stillingsbetegnelse, telefonnummer)
    • Tilknytning til institutioner

Niveau 1 - interne data

Interne data er informationer, som det kun er ansatte på AU med et rent arbejdsbetinget behov, der må og kan få adgang til. Et brud på fortroligheden for interne data vil have en lav skadesvirkning for AU, privatpersoner eller samarbejdspartnere. Det er fx:

Almindelige personoplysninger efter databeskyttelsesforordningen artikel 6 ('Lovlig behandling') herunder:

  • Stamoplysninger (navn, telefon, adresse, fødselsdag)
  • Oplysninger om uddannelse, udtalelse, kursusbeviser og arbejdsopgaver 
  • Oplysninger om løn, skat, pension og lønkontonummer
  • Kørekortnummer og -type
  • Nationalitet
  • Systembrugeroplysninger
  • Fraværsoplysninger (dog kun fraværet, ikke behandling, diagnose eller baggrund for fravær)
  • Deltagelse i hold/fag/grupper og fagniveau
     
  • Typiske informationer
    • Undervisningsmateriale
    • Vagtplan
    • Forskningsdata
    • Mødereferater og/eller -dagsordener

Niveau 2 - fortrolige data

Fortrolige data er informationer, som det kun er ansatte på AU med et rent arbejdsbetinget behov, der må og kan få adgang til. Et brud på fortroligheden vil have en middel skadesvirkning for AU, privatpersoner eller samarbejdspartnere. Det er fx:

Personoplysninger, der på AU er klassificeret som fortrolige, herunder:

  • CPR-nr.
  • Studerende/medarbejderes private adresse, private mailadresse, private tlf. nr. og andre privatrelaterede informationer.
  • Personlighedstest
  • Civilstand 
  • Adoptionsforhold
  • Karakterer, karaktergivning mm. 

Niveau 3 - følsomme data

Følsomme data er informationer, hvor et brud på fortroligheden vil have en høj skadesvirkning for AU, privatpersoner eller samarbejdspartnere. Det er informationer, der i kraft af deres personlige, tekniske, forretnings- eller konkurrencemæssige karakter og følsomhed skal sikres på højeste niveau mod utilsigtet adgang og offentliggørelse. Det er fx:

Følsomme personoplysninger herunder:

  • Race og etnisk oprindelse
  • Politisk/religiøs eller filosofisk overbevisning
  • Fagforeningsmæssige tilhørsforhold
  • Genetiske data
  • Biometriske data med henblik på entydig identifikation
  • Helbredsoplysninger
  • Seksuelle forhold eller -orientering
  • Strafbare forhold efter artikel 10 (EF generel forordning om databeskyttelse 'Behandling af personoplysninger vedr. straffedomme og lovovertrædelser')

Opbevaring af data

Uanset klassifikation skal data og informationer behandles under hensynstagen til informationssikkerhed. Hvadenten det er i elektronisk eller fysisk form.

  • Data og informationer, der er klassificeret som fortrolige eller følsomme skal opbevares sikkert.
  • Privat udstyr må ikke bruges til opbevaring eller behandling af informationer eller data, der af AU er klassificeret som fortrolige eller følsomme.

Se, hvor du må opbevare forskellige typer af informationer

TIP: Pseudonymisering eller anonymisering af personoplysninger

Behandler du fortrolige eller følsomme personoplysninger, skal du tage stilling til, om de skal pseudonymiseres eller anonymiseres. Det gælder også for informationer, der findes i fysisk form som eksempelvis papir.

  • Ved pseudonymisering af personoplysninger bliver alle direkte identificerende oplysninger (fx CPR. nr., navn, adresse, tlf. nr.) fjernet fra datasættet. Ved pseudonymisering kan der oppebæres et løbenummer, som gør det muligt at finde tilbage til den enkelte person.
  • Ved anonymisering af personoplysninger er det ikke muligt at finde tilbage til den enkelte person.

Alt efter om du anvender pseudonymisering eller anonymisering er der forskellige krav til, hvordan du opbevarer data. Læs mere om pseydonymisering og anonymsering.