Datahåndteringsplan, fysisk sikring og kryptering

For bachelor- og masteroppgaver har vi laget en forenklet datahåndteringsplan på norsk/engelsk. Denne er også tilgjengelig sammen med informasjon om masteroppgaven.

For forskningsprosjekter med ekstern finansiering stilles det gjerne krav om datahåndteringsplan (data management plan). Sikt tilbyr en nettløsning der du kan fylle ut en plan som oppfyller kravene fra både EU og Forskningsrådet. Datahåndteringsplanen skal godkjennes av fagdirektør for forskning.

Sikts portal for datahåndteringsplan

Hvis du skal behandle personopplysninger i prosjektet ditt, se Retningslinjer for personvern i forsknings- og studentarbeider ved MF, eller gå direkte til Sikt (NSD) sine hjemmesider for å melde inn prosjektet.

Merk: Du kan som hovedregel ikke bruke privat datautstyr til lagring av sensitive personopplysninger, og behandling av slike opplysninger vil kreve ekstra sikringstiltak.

Låsbare rom, safe, og skap vil kunne gi en ekstra sikkerhet for både bærbare datamaskiner og andre lagringsenheter. Enheter som minnepinner, eksterne harddisker og taleopptakere er små og lette å rote bort eller skade. Slike enheter bør låses inn ved arbeidsdagens slutt. Om du behandler sensitive personopplysninger eller taushetsbelagte opplysninger, anbefales i tillegg kryptering.

Kryptering vil i mange tilfeller være løsningen når vi skal behandle sensitive personopplysninger eller opplysninger underlagt taushetsplikt. Vurder – gjerne i samarbeid med IT – hva som skal beskyttes, og om det er tilstrekkelig med et godt passord på en Word-fil av transkripsjonen. (Word 2016 bruker AES-256, som er bra). Godt passord i krypteringssammenheng er en setning el. gjerne mer enn 15 tegn.

Om materialet samles opp (datasett/flere filer) slik at det behøves en kryptert mappe/disk/minnepinne, anbefaler vi
Cryptomator (https://cryptomator.org/) for Windows, Mac og Linux. Du kan bruke Cryptomator til å krypterere kataloger og filer i skyen, f.eks. i Box, OneDrive eller Dropbox. Bruksanvisning for Cryptomator finner du her på norsk
og engelsk. Det ligger også informasjon om installasjon og bruk av Cryptomator på deres hjemmeside. Alternativt om du vil ha en stor fil kan du bruke Veracrypt (https://www.veracrypt.fr/) på Windows. Veracrypt oppskrift er her. På Mac kan du bruke Diskverktøy Fil->nytt image og sette dette kryptert med 256-bit AES.

Spør IT avdelingen om du trenger hjelp til oppsett.

• Ved kryptering må man ta godt vare på passordet, det finnes ingen passordgjenoppretning. Om passordet blir tapt, er dataene også tapt.
• Bruk av kryptering har en stor svakhet: man må låse opp krypteringen for å lage og behandle informasjonen. Når dataene er i opplåst tilstand, vil de være utsatt for informasjonstap på lik linje med når dataene ikke er krypterte. Det er derfor svært viktig å utøve god disiplin ved å skru krypteringen på igjen når man ikke arbeider med informasjonen, selv om det kan være lettvint å ta snarveier her.
• Erfaring tilsier at de fleste krypteringer blir svakere eller mulig å knekke etter hvert som tiden går. Det er derfor viktig ha god oversikt over sikkerhetskopier av data selv om de er kryptert, og å gjennomføre sletting av data i tråd med datahåndteringsplanen din (se egen overskrift).

Taleopptaker/videokamera e.l. gir ofte begrenset mulighet for beskyttelse av data. Det er derfor viktig å slette opptak fra enheten så raskt som mulig. Nettskjema.no sin krypterende diktafon app er tilgjengelig for alle ansatte og studenter. Ved meget sensitive data kan det også brukes eget minnekort el. som kan destrueres når prosjektet er avsluttet. Du kan låne opptaker ved å henvende deg til IT-avdelingen.

Mobiltelefon og nettbrett er ikke å anbefale som opptaksenhet ved sensitive data. Dette anbefaler vi bl.a. fordi mobil både er lett å miste og har kontinuerlig nett-tilgang som åpner for datalekkasje. Dersom du benytter mobiltelefon som opptaker, bruk en dertil egnet app med kryptering. Feks. Nettskjema.no sin.

Om sensitive personopplysninger eller taushetsbelagte opplysninger skal skylagres, bør de krypteres. Selv om overføringen til sky kan ha innebygd transportkryptering (https), vil lagringen ofte være ukryptert, ligge utenfor Norge, og dermed være utenfor vår kontroll.

For ansatte gjelder MF sin avtale med Box, som er juridisk avklart for lagring av personopplysninger (databehandleravtaler i orden etc.) og taushetsbelagte opplysninger. Husk at dersom du behandler sensitive eller taushetsbelagte opplysninger, må du gjøre en ROS-analyse for å vurdere graden av kryptering.

Data fra forskningsprosjekter ved MF skal lagres i sikre arkiver – enten sentralt ved egen institusjon eller i nasjonale arkiver – eller slettes, i tråd med det som er beskrevet i prosjektets datahåndteringsplan. Ta kontakt med IT-avdelingen for råd og gjennomføring av lagringstiltak ved prosjektslutt.

MF oppfordrer til en åpen forskningspraksis der både forskningsresultater og data gjøres tilgjengelig i den grad det er forsvarlig og mulig ut i fra forskningsetiske og praktiske hensyn, jf. Prinsipper for åpen forskning ved MF.