Tekniska och organisatoriska skyddsåtgärder
När du behöver behandla personuppgifter i ditt forskningsprojekt kan det behövas både tekniska och organisatoriska skyddsåtgärder.
- Tekniska skyddsåtgärder är till exempel val av IT-system eller IT-tjänster, kryptering, behörighetsstyrning och pseudonymisering.
- Organisatoriska skyddsåtgärder är till exempel rutiner och arbetssätt som ökar skyddet för informationen.
Gör alltid en informationsklassning innan du påbörjar ett projekt för att lära dig mer om vilken skyddsnivå informationen i ditt forskningsprojekt behöver.
Säkerhetsskyddsklassade data
Om din forskning innehåller säkerhetsskyddsklassade data måste dessa hanteras på särskilda sätt. Kontakta alltid säkerhetsfunktionen på Lokalförsörjningsenheten för råd på sakerhet@umu.se.
Läs mer om forskningsdata med högt skyddsvärde
Val av IT-system för lagring och insamling av forskningsdata
Det är viktigt att du säkerställer att de IT-system som du använder har rätt nivå av skydd för den information och forskningsdata som du hanterar. Använd om möjligt IT-system och IT-tjänster som rekommenderas och tillhandahålls av universitetet. Dessa har de tekniska skyddsåtgärder som behövs för den typ av information som de är avsedda för.
Du måste också tänka på detta när du hanterar forskningsdata:
- Använd IT-system och IT-tjänster som är godkända för informationens skyddsnivå för att lagra, bearbeta och dela forskningsdata. Använd dem bara för den sorts information som systemet eller tjänsten är klassad för.
- Om du upptäcker att forskningsdata lagras i system med för låg skyddsnivå ska du se till att uppgifterna så snart som möjligt flyttas till en yta med tillräcklig skyddsnivå samt tas bort från den ursprungliga ytan.
- Sekretessbelagda uppgifter och känsliga personuppgifter kan skickas med universitetets tjänst för att skicka filer med krypterad överföring: Skyddad bilaga (UMU-id krävs).
- Integritetskänsliga personuppgifter eller särskilt skyddsvärda personuppgifter om enstaka personer kan skickas med e-post som märks med känlinslighetsetiketten “Konfidentiell - UMU konfidentiell med kryptering”. Läs mer om känslighetsetiketter på Aktum (UMU-id krävs).
Läs mer om lagringsytor och insamlingsverktyg
Information på Aktum om hur lagringsytor vid Umeå universitet kan nyttjas: Guide för att lagra filer (UMU-id krävs)
Information på Aktum om vilka insamlingsverktyg som rekommenderas av Umeå universitet: Insamling av data (UMU-id krävs)
Ha koll på vilka som har åtkomst till information
Bestäm vilka i projektgruppen som har tillgång till vilken information genom behörighetsstyrning samt etablerade och kända rutiner och arbetssätt. Tänk på att alltid göra en sekretessprövning innan du delar forskningsdata med personer som inte är anställda på Umeå universitet.
Mer information om sekretessprövning och forskningsdata
Stödteam för anskaffning av IT-system och molntjänster
Ibland kan de IT-system eller IT-tjänster som tillhandahålls av universitetet inte anpassas för ditt arbete. Om du behöver köpa in ett verktyg ska du följa universitetets anvisning för anskaffning av system eller molntjänst:
Anvisningar anskaffning av system eller molntjänst vid Umeå universitet (regelverket på umu.se)
Din institution kan få hjälp i anskaffningsprocessen av stödteamet för anskaffning av IT-system och molntjänster.
Kontakta stödteamet för anskaffning via ITS Servicedesk
Pseudonymisering av personuppgifter
Pseudonymisering är en skyddsåtgärd som ofta är lämplig för att skydda personuppgifter. Det innebär att personuppgifterna kodas eller omarbetas på ett sådant sätt att de inte kan knytas till en enskild individ utan att kompletterande uppgifter används, till exempel genom användning av kodnycklar. Kodnycklar ska förvaras separat från de pseudonymiserade personuppgifterna. Det är viktigt att komma ihåg att de pseudonymiserade uppgifterna fortfarande är personuppgifter.
Organisationen Esam har tagit fram en Vägledning för pseudonymisering av personuppgifter:
Pseudonymisering av personuppgifter (vägledning från E-samverka.se)
Anmäl personuppgiftsincidenter genast
En personuppgiftsincident kan innebära risker för de berörda personerna och kan behöva anmälas till Integritetsskyddsmyndigheten (IMY) inom 72 timmar från att den upptäckts. Det är därför viktigt att du anmäler personuppgiftsincidenter så fort de upptäcks.
Mer information om att anmäla incidenter
Mer information på Aktum
På Aktum hittar du:
- information om grundläggande informations- och cyberssäkerhetsutbildningar för medarbetare
- checklista för ökad IT- och informationssäkerhet
- länkar till relevanta sidor på medarbetarwebben.

Tänk säkert! (Aktum)
Hitta utbildningar för medarbetare och en checklista för ökad IT- och informationssäkerhet (UMU-id krävs).

Informationssäkerhet (Aktum)
Läs mer om informationssäkerhet på medarbetarwebben Aktum (UMU-id krävs).