1. Gör en informationsklassning
Klassificering av information är en grundläggande aktivitet för att information och resurser ges nödvändigt skydd. Det är informationen som är skyddsobjektet, d v s det som ska skyddas.
Informationen ska klassificeras utifrån den funktion och betydelse för verksamheten som den har och de konsekvenser det medför om informationen skulle hanteras felaktigt, försvinna, komma i orätta händer etc. Viss information är mer skyddsvärd än annan. Till exempel förekommer sekretessbelagda handlingar/uppgifter vilka har andra krav på hantering än allmänna handlingar. Behovet av skydd skiljer sig därför åt mellan olika information, och varierar dessutom beroende på situation
Mer information
Informationssäkerhet
Vägledning informationsklassning och risk-och sårbarhetsanalys.pdf
Vid frågor kontaktas dan.harnesk@umu.se
2. Gör en risk- och sårbarhetsanalys
Risk- och sårbarhetsanalysen presenterar olika typer av tänkbara risker för våra informationstillgångar, hur troligt det är att de inträffar samt vilka konsekvenser det kan ha för verksamheten och organisationen.
Mer information
IT-säkerhet
Riskanalys
Vid frågor kontaktas ingegerd.stenlund@umu.se
3. Krävs datahanteringsplan?
För många forskare ingår ansökningar om forskningsbidrag i de centrala arbetsuppgifterna och redan i samband med ansökningsprocessen är det dags att börja planera hur data ska hanteras under projektets gång. Många internationella forskningsfinansiärer kräver idag att en ansökan ska innehålla en datahanteringsplan (eng. Data Management Plan; DMP).
Detta kan komma att bli ett krav även från svenska forskningsfinansiärer. För den enskilde forskaren är datahanteringsplanen ett sätt att redan i ett tidigt skede tänka igenom upplägg, insamling och hantering av forskningsmaterialet d v s hur forskningsmaterialet ska hanteras, organiseras, lagras, tillgängliggöras och bevaras under och efter forskningsprojektet.
Mer information
Policy för hantering av forskningsdata
DMPonline rekommenderas av UB:s forskningsdatateam.
Mall för datahanteringsplan denna finns även som Wordfil i verktyget DMPonline.
Datahanteringsplanens utformning
4. Utred lämpliga lagrings, datainsamlings- och bearbetningstjänster/ytor, delningstjänster
Baserat på den tidigare gjorda informationsklassningen.
Mer information
Fillagring och dokument
5. Behövs ett etikprövningstillstånd?
Har innehåll och upplägg stämts av mot god vetenskaplig sed?
Ska du forska på människor, mänsklig vävnad eller känsliga personuppgifter eller personuppgifter om lagöverträdelser behöver du skicka in en ansökan om etikprövning.
Mer information
God forskningssed, Vetenskapsrådet
Etikprövning - så går det till, Etikprövningsmyndigheten
6. Behöver upphandling av vara eller tjänst ske?
Som statlig myndighet måste Umeå universitet följa lagen om offentlig upphandling. Alla anställda som ska köpa in något måste därför känna till att olika regler gäller för olika typer av inköp.
Mer information
Upphandling
Vid frågor kontaktas upphandling@umu.se
7. Behövs samarbetsavtal?
Om det i forskningsprojektet finns flera samarbetspartners utom Umeå universitet kan det behövas avtal som reglerar frågor om exempelvis IPR, publicering, sekretess och personuppgiftsansvar. Det kan även förekomma att överföring av data m.m. behöver regleras i avtal. (MTA, DTA).
För att universitetsjurist ska kunna påbörja granskning/upprättande av ditt avtal måste det i god tid skickas in nödvändiga uppgifter från dig till universitetsjurist@umu.se. Det gör du med blanketten Underlag avtalsgranskning som finns i högerspalten.
8. Kommer uppgifter med sekretess att behandlas i projektet?
Föreligger sekretess? Följer sekretess med från annan exempelvis som vid utlämnande av patientuppgifter? Vill man dela uppgifter med annan måste man ta ställning till sekretess och menprövning göras.
Mer information
Offentlighet och sekretess
Vägledning om offentlighet och sekretess v 3 2020-05-12.pdf
9. Kommer säkerhetsskyddsklassade uppgifter eller strategiskt känsliga produkter/produkter med dubbla användningsområden att behandlas i projektet?
Med säkerhetsklassade uppgifter menas exempelvis information eller verksamheter som har betydelse för Sveriges säkerhet och som måste skyddas mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten. Det kan till exempel handla om beredskapsinformation eller uppgifter kring logistiska knutpunkter, dricksvatten- och elförsörjning, kärnkraftverk, militära skyddsobjekt, fibernät eller knutpunkter för Sveriges internettrafik. Till exempel gäller att Säkerhetsskyddsklassad information omfattas av sekretess och att personer som hanterar detta behöver vara säkerhetsklassade.
Med strategiskt känsliga produkter avses både information och produkter med dubbla användningsområden, tekniskt bistånd och krigsmaterial. Produkter med dubbla användningsområden (PDA) kan ha både en civil och en militär användning. Vid överföring av information eller produkter med dubbla användningsområden till utländsk part, till exempel vid en konferens eller i ett forskningsprojekt krävs exporttillstånd.
Mer information
Kontakta Säkerhetsfunktionen på Lokalförsörjningsenheten.
Säkerhetsskydd
Produkter med dubbla användningsområden
Handläggningsordning för strategiskt känsliga produkter
10. Kommer projektet att utföras i laborativ miljö?
Om projektet kommer att utföras i laborativ miljö är det viktigt att du både riskbedömer de olika laborativa momenten och undersöker vilka eventuella miljö-, arbetsmiljö-, strålsäkerhet-, biosäkerhetsregler som gäller och om till exempel tillstånd behövs för projektets laborativa genomförande.
För mer information och stöd i bedömningen om vilka regler som gäller och om tillstånd, läs mer om Laboratoriesäkerhet på Aurora Laborativ verksamhet eller kontakta kemiexpert, biosäkerhetsexpert, eller strålsäkerhetsexpert.
11. Kommer personuppgifter behandlas i projektet?
Dataskyddsförordningen gäller i princip för all automatiserad behandling av personuppgifter och i vissa fall även manuell behandling av personuppgifter. Personuppgifter är varje upplysning som avser en identifierad eller identifierbar fysisk person.
Behöver en konsekvensbedömning göras? Knyter an till risk- och sårbarhetsanalysen som är gjord.
Om en behandling av personuppgifter sannolikt leder till hög risk för de registrerades fri- och rättigheter måste det alltid göras en konsekvensbedömning.
Konsekvensbedömningar och förhandssamråd, IMY
Anmäl behandlingen till Umu:s centrala register för personuppgiftsbehandlingar.
Personuppgiftsansvariga är skyldiga att föra ett register eller en förteckning över behandlingar av personuppgifter. Vid Umeå universitet förs detta register hos dataskyddsombudet.
Anmäl din personuppgiftsbehandling
Tillse att de behandlade får den information som GDPR kräver
Den registrerade har rätt att få information när hans eller hennes personuppgifter behandlas. Information om personuppgiftsbehandlingen ska lämnas av den personuppgiftsansvarige både när uppgifterna samlas in och när den registrerade annars begär det. Följ den mall som tagits fram för Umeå universitet.
Information till registrerade
Är avsikten att känsliga personuppgifter ska behandlas? Finns Etikprövningstillstånd?
Högre säkerhetsåtgärder krävs för exempelvis överföring, lagring etc.
Känsliga personuppgifter, IMY
Kommer särskilt skyddsvärda (integritetskänsliga) personuppgifter att behandlas?
(Personnummer, lagöverträdelser, löneuppgifter etc.) Högre säkerhetsåtgärder krävs för exempelvis överföring, lagring etc.
OBS! Behandling av lagöverträdelser i forskning kräver etiktillstånd
FAQ
Kommer annan extern part (inte annan samarbetspart) på uppdrag av forskningsprojektet att behandla personuppgifter?
Om så är fallet krävs i normalfallet personuppgiftsbiträdesavtal (PUBA). Kontakta pulo@umu.se
Kommer personuppgifterna på uppdrag av forskningsprojektet att behandlas utom EU/ESS?
(Molntjänst, analyser, support, samarbetsparter). Ordna med standardavtalsklausuler. Kontakta pulo@umu.se.
OBS! Privacy Shield har upphävts av EU-domstolen – för överföring till USA kontakta pulo@umu.se
Hur säkerställs organisatorisk och teknisk säkerhet?
Åtkomst, loggar, säkra lagringsytor, hur ska uppgifterna delas mellan samarbetsparter?
- Behörighetstilldelning är viktigt! – med en godkännandeprocess
- Starkare kontroll av behörig användare genom 2-faktorsautentisering
- Loggning behövs - värdet på forskningsdatat styr nivån på loggningen
- All kommunikation bör vara krypterad, överväg om informationen i sig behöver krypteras.
- Datalivscykelhantering
- Planera för lagring, gallring, arkivering och eventuell avveckling – tänk på kommande kostnader
- Backuper – återskapande av information kontra redundans – hur länge kan ni vara utan forskningsdata?
- Välj lösningar som är mer isolerade från andra system och mindre exponerad mot internet.
Säkerhet och certifikat
Fillagring och dokument
Stöd för forskare
Incidenter
En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors friheter och rättigheter. Incidenter ska rapporteras till abuse@umu.se
Anmäl personuppgiftsincidenter
12. Utlämnande av data
Behöver projektet lämna ut handlingar eller data till annan, exv. Samarbetspart eller annan utanför universitetet
– säkerställ att ett utlämnande får ske och under vilka villkor. Måste föregås av menprövning som ska dokumenteras skriftligen
Behöver projektet tillgång till hälsodata eller kliniska data från region
– säkerställ att utlämnande kommer att kunna ske från sådan region.
Behöver projektet tillgång till annan myndighets allmänna handlingar
– säkerställ att sådant utlämnande kan ske. Kommer projektet att lämna ut data till annan kan sekretessprövning behöva göras.
Offentlighet och sekretess
Datauttag för forskare, Region Västerbotten
13. Arkivering
De flesta typer av forskningsmaterial är allmänna handlingar och måste arkiveras. Det är viktigt att materialet som forskningen bygger på struktureras och redovisas på ett begripligt sätt. Syftet är att det ska gå att se att slutsatserna verkligen följer av det forskningsunderlag som forskaren utgått från.
Arkivering av forskningsmaterial