Datahåndteringsplan, fysisk sikring og kryptering

Kontaktpersoner ved MF:

IT-leder 
Lars Moe 
Lars.Moe@mf.no

Seniorrådgiver forskerstøtte 
Unn Målfrid H. Rolandsen
Unn.M.H.Rolandsen@mf.no

Når du gjennomfører et prosjekt (eller en bachelor- eller masteroppgave), må du ha et bevisst forhold til hvordan forskningsdata skal behandles (bl.a. anonymisering/arkivering/gjenbruk/sletting). Dette gjelder både underveis i prosjektet og ved prosjektslutt. Behandling av forskningsdata skal beskrives i en datahåndteringsplan. 

Enkel datahåndteringsplan for studenter

For studentprosjekter har vi utarbeidet en forenklet datahåndteringsplan. Denne er også publisert på vår nettside med informasjon om masteroppgaven.

Datahåndteringsplan i prosjekter med ekstern finansiering

For forskningsprosjekter med ekstern finansiering stilles det gjerne krav om datahåndteringsplan (data management plan). Norsk senter for forskningsdata (NSD) tilbyr en nettløsning der du kan fylle ut en plan som oppfyller kravene fra både EU og Forskningsrådet:

NSDs portal for datahåndteringsplan

NSDs nettside om datahåndtering

Datahåndtering og personopplysninger

Hvis du skal behandle personopplysninger i prosjektet ditt, se Retningslinjer for personvern i forsknings- og studentarbeider ved MF, eller gå direkte til NSDs hjemmesider for å melde inn prosjektet.

Merk: Du kan som hovedregel ikke bruke privat datautstyr til lagring av sensitive personopplysninger, og behandling av slike opplysninger vil kreve ekstra sikringstiltak.

Tenk på fysisk sikring

Låsbare rom, safe, og skap vil kunne gi en ekstra sikkerhet for både bærbare datamaskiner og andre lagringsenheter. Enheter som minnepinner, eksterne harddisker og taleopptakere er små og lette å rote bort eller skade. Slike enheter bør låses inn ved arbeidsdagens slutt. Om du behandler sensitive personopplysninger eller taushetsbelagte opplysninger, anbefales i tillegg kryptering.

Bør jeg beskytte materialet mitt med kryptering?

Kryptering vil i mange tilfeller være løsningen når vi skal behandle sensitive personopplysninger eller opplysninger underlagt taushetsplikt. Vurder – gjerne i samarbeid med IT-seksjonen – hva som skal beskyttes, og om det er tilstrekkelig med et godt passord på en Word-fil av transkripsjonen. (Word 2016 bruker AES-256, som er bra). Godt passord i krypteringssammenheng er en setning el. gjerne mer enn 15 tegn.
Om materialet samles opp (datasett/flere filer) slik at det behøves en kryptert mappe/disk/minnepinne, anbefaler vi Veracrypt (https://www.veracrypt.fr/). Se egen oppskrift for bruk av dette (lenke kommer).

Utfordringer ved kryptering av data

  • Ved kryptering må man ta godt vare på passordet, det finnes ingen passordgjenoppretning. Om passordet blir tapt, er dataene også tapt.

  • Bruk av kryptering har en stor svakhet: man må låse opp krypteringen for å lage og behandle informasjonen. Når dataene er i opplåst tilstand, vil de være utsatt for informasjonstap på lik linje med når dataene ikke er krypterte. Det er derfor svært viktig å utøve god disiplin ved å skru krypteringen på igjen når man ikke arbeider med informasjonen, selv om det kan være lettvint å ta snarveier her.

  • Erfaring tilsier at de fleste krypteringer blir svakere eller mulig å knekke etter hvert som tiden går. Det er derfor viktig ha god oversikt over sikkerhetskopier av data selv om de er kryptert, og å gjennomføre sletting av data i tråd med datahåndteringsplanen din (se egen overskrift).

Slik sikrer du video/lydopptak

Taleopptaker/videokamera e.l. gir ofte begrenset mulighet for beskyttelse av data. Det er derfor viktig å slette opptak fra enheten så raskt som mulig. Vurder å bruke eget minnekort el. som også kan destrueres når prosjektet er avsluttet. Du kan låne opptaker ved å henvende deg til IT-avdelingen.

Mobiltelefon og nettbrett er ikke å anbefale som opptaksenhet ved sensitive data. Lån da heller dedikert opptaker av IT-avdelingen på MF. Dette anbefaler vi bl.a. fordi mobil både er lett å miste og har kontinuerlig nett-tilgang som åpner for datalekkasje. Dersom du benytter mobiltelefon som opptaker, bruk en dertil egnet app med kryptering mot for eksempel TSD (Tjenester for Sensitive Data, UiO e.l.).

Skylagring

Om sensitive personopplysninger eller taushetsbelagte opplysninger skal skylagres, bør de krypteres. Selv om overføringen til sky kan ha innebygd transportkryptering (https), vil lagringen ofte være ukryptert, ligge utenfor Norge, og dermed være utenfor vår kontroll.

For ansatte gjelder MF sin avtale med Box, som er juridisk avklart for lagring av personopplysninger (databehandleravtaler i orden etc.) og taushetsbelagte opplysninger. Husk at dersom du behandler sensitive eller taushetsbelagte opplysninger, må du gjøre en ROS-analyse for å vurdere graden av kryptering.

Sletting eller oppbevaring av data etter prosjektslutt

Data fra forskningsprosjekter ved MF skal lagres i sikre arkiver – enten sentralt ved egen institusjon eller i nasjonale arkiver – eller slettes, i tråd med det som er beskrevet i prosjektets datahåndteringsplan. Ta kontakt med IT-avdelingen for råd og gjennomføring av lagringstiltak ved prosjektslutt.

MF oppfordrer til en åpen forskningspraksis der både forskningsresultater og data gjøres tilgjengelig i den grad det er forsvarlig og mulig ut i fra forskningsetiske og praktiske hensyn, jf. Prinsipper for åpen forskning ved MF.