6. Dataopbevaring og informationssikkerhed

COBL_learningoutcome_40x40px_2017_15.png  Læringsmål

Når du har gennemført denne lektion, vil du være i stand til at:  

  • forklare, hvad dataklassifikation er, og hvorfor dataklassifikation er vigtig  
  • beskrive KU's, infrastruktur og retningslinjer for dataobevaring og sikkerhed der findes på KU  
  • reflektere over din egen plan for sikker opbevaring af data.  

____________________________________________________________

 

COBL_litterature_40x40px_2017_18.png  Hvorfor er det vigtigt at have fokus på opbevaring og sikring af data? 

Du har måske allerede prøvet at miste data på et tidspunkt i løbet af din uddannelse, for eksempel en USB-nøgle, der blev væk, en bærbar computer, der gik ned, før du fik lavet en  back-up, eller noter, du mistede, før du havde haft mulighed for at renskrive dem. For at undgå tab af data, utilsigtet ændring af data eller endnu værre, at følsomme data eller fortrolige data falder i de forkerte hænder, bør du udarbejde en robust plan for, hvordan du vil håndtere og opbevare dine data sikkert, når du går i gang med et nyt projekt. I denne lektion præsenterer vi dig for de forskellige elementer, du bør overveje.  

I lektion 8. Databevaring kan du læse mere om bevaring af dine data efter projektets afslutning.  

____________________________________________________________

 

COBL_videolecture_40x40px_2017_4.png  Informationssikkerhed

IInformationssikkerhed er en samlet betegnelse for de handlinger, der foretages for at beskytte oplysninger (f.eks. de data eller det materiale, du arbejder med i din bacheloropgave eller dit speciale) mod uautoriseret adgang, (mis)brug, videregivelse, ændring, destruktion eller tab.

Her er en video, der introducerer konceptet: 

Undertekster: Klik på CC-ikonet og vælg sprog
Hvis du oplever Access Denied, genindlæs da siden. Alternativt skift browser.

____________________________________________________________

 

COBL_litterature_40x40px_2017_18.png  Dataklassifikation 

Det første skridt mod at beskytte dine data er dataklassifikation. Dataklassifikation er processen med at kategorisere data og materialer i dit projekt ud fra deres følsomhed eller fortrolighed og deres værdi. Formålet med dataklassifikation er at fastsætte et passende beskyttelsesniveau og beslutte, hvilke procedurer du skal have implementeret  

KUs dataklassifikationsmodel er baseret på følgende parametre:

  • Fortrolighed: Hvor vigtigt er det, at oplysningerne behandles fortroligt? Denne parameter gælder kun for ikke-personoplysninger. 
  • Følsomhed: Hvor vigtigt er det at beskytte menneskers privatliv? Denne parameter gælder kun for personoplysninger. 
  • Integritet: Hvor vigtigt er det at forhindre tab af data eller utilsigtede ændringer af data?  
  • Tilgængelighed: Hvor vigtigt er det, at data forbliver tilgængelige for dig uden afbrydelser? 
  • Værdi: Hvor værdifulde er dine data? Hvor mange ressourcer vil det kræve at genskabe dataene? 

Du kan læse mere om KU's dataklassifikationsmodel på KU's sider om informationssikkerhed 

Vi gennemgår ikke modellen i detaljer her, men hvis du fortsætter på KU som ph.d.-studerende eller forsker, er det vigtigt, at du sætter dig ind i modellen på det tidspunkt.   

I forbindelse med dette kursus er det vigtigste, at du kan skelne mellem følgende datatyper, som vi allerede introducerede i lektion 2. Forskningsdata – typer, formater og omfang:

  1. Personoplysninger 

Personoplysninger er oplysninger om personer, som kan identificeres direkte eller indirekte ved hjælp af disse data. Personoplysninger kan opdeles i:  

  • Ikke-følsomme personoplysninger, f.eks. CV, adresse, fødselsdato og skatteoptegnelser. 
  • Oplysninger om straffesager, f.eks. domme eller en adresse i fængslet.  
  • Følsomme personoplysninger, f.eks. oplysninger om race, politisk overbevisning, helbredsoplysninger og seksuel orientering.  

Du kan læse mere om de forskellige typer af personoplysninger på Datatilsynets hjemmeside Links to an external site.. Uautoriseret adgang til personoplysninger eller tab af personoplysninger kan få konsekvenser for de personer, der har leveret oplysningerne. Når du administrerer personoplysninger, bør du derfor overholde databeskyttelsesforordningen (GDPR). Det betyder blandt andet, at du skal implementere de nødvendige sikkerhedsforanstaltninger. 

  2. Fortrolige data 

Fortrolige data er andre data end personoplysninger, som kun et begrænset antal personer bør have adgang til, og hvor utilsigtet eller forsætlig eksponering af dataene kan have betydelige konsekvenser. Eksempler er: 

  • Virksomhedsdata (forretningshemmeligheder) er data, der ejes af en virksomhed eller organisation. Nogle studerende kan få lov til at bruge virksomhedsdata i deres projekter, men de vil ofte skulle acceptere, at dataene er fortrolige. 
  • Data med handelspotentiale er data, der f.eks. kan danne grundlag for opfindelser eller patentansøgninger. Adgangen til disse data skal beskyttes, indtil der er ansøgt om patent. 
  • Klassificerede myndighedsdata er data, der produceres af offentlige myndigheder, og som vedrører den nationale sikkerhed eller følsomme efterretningsoplysninger. Sådanne data skal beskyttes mod uautoriseret adgang, hvis de kan skade samfundet.  
  • Følsomme biologiske data er oplysninger om truede dyre- eller plantearter, hvor deres overlevelse afhænger af, at data om deres levesteder beskyttes. Det kan f.eks. være tilfældet i økologiske, miljømæssige og borgervidenskabelige projekter. 
  3. "Normale" data 

Du kan frit arbejde med data, der ikke nødvendigvis skal holdes fortrolige. Det kan være, at du arbejder på et projekt, hvor der ikke er etiske eller juridiske grunde til at beskytte data, og hvor dataene kan videregives uden negative konsekvenser. Nogle eksempler er: 

  • Offentligt tilgængelige datasæt, som stilles til rådighed via onlinedatabaser eller datalagre. 
  • Data præsenteret i videnskabelige publikationer, der er gjort tilgængelige for at dele videnskabelige konklusioner.  
  • Anonymiserede personoplysninger, hvis det er umuligt at (gen)identificere de personer, der har leveret oplysningerne.  
  • Ikke-følsomme økonomiske data, såsom økonomiske indikatorer, markedstendenser og andre ikke-følsomme forretningsrelaterede data, der offentliggøres af offentlige myndigheder eller forskningsinstitutioner. 
  • Arkæologiske data fra arkæologiske udgravninger eller undersøgelser, der ikke involverer følsomme kulturelle eller kulturarvsoplysninger. 

Bemærk, at selvom der ikke er etiske eller juridiske grunde til at beskytte dine data, kan der være mange andre grunde til, at det kan være vigtigt at forhindre tab af data eller uautoriseret adgang til dataene: 

  • Hvis det er vigtigt for dig, at ingen andre får adgang til dataene, før du publicerer dine resultater i en afhandling eller publikation, eller før du har præsenteret resultaterne på en konference.  
  • Hvis du har brugt lang tid, mange penge eller mange kræfter på at producere dataene.  
  • Hvis dataene er baseret på sjældne prøver, eksempler eller artefakter, og dataene derfor er svære at reproducere.  
  • Hvis dataene har værdi for andre og kan bruges i nye projekter. 

 

Jeg har klassificeret mine data. Hvad så nu?

Målet med at klassificere data er at beslutte, hvilke sikkerhedsforanstaltninger du skal implementere for at beskytte dine data. Der er forskellige typer sikkerhedsforanstaltninger, du bør overveje for at beskytte dine data. Om du kan bruge dem eller ej, afhænger af dataenes klassifikation. Overvej følgende sikkerhedsforanstaltninger: 

  1. Tekniske foranstaltninger
  2. Fysiske foranstaltninger
  3. Proceduremæssige/operationelle foranstaltninger

Lad os gennemgå dem én efter én.

____________________________________________________________

 

COBL_litterature_40x40px_2017_18.png  Tekniske foranstaltninger til beskyttelse af data

Tekniske foranstaltninger er de it-løsninger, du vælger at bruge til at administrere og opbevare dine data. Her er nogle retningslinjer du kan følge:

Vælg den rigtige løsning til opbevaring af data
Der findes flere steder, du kan gemme dine digitale data. De har alle forskellige styrker og svagheder. Nedenfor er en oversigt over løsninger til opbevaring af data, der dækker de fleste studerendes behov. Der kan dog være specifikke krav til opbevaring og håndtering i netop dit projekt eller for din specifikke datatype. Så drøft altid, hvor du skal gemme dine data, med din vejleder.

 KU's cloud storage-løsninger (Microsoft OneDrive)

 På KU har alle studerende adgang til en Microsoft OneDrive-konto. Du bør bruge denne løsning, når du skal gemme normale data.

Fordele: Microsoft OneDrive er nemt at bruge og giver dig mulighed for at dele dine data med andre, der er indskrevet/ansat på KU eller andre steder. Microsoft OneDrive har også automatisk versionsstyring, så du kan holde styr på forskellige versioner af dine filer.

Ulemper: Du må ikke bruge Microsoft OneDrive eller andre cloud storage-løsninger til at gemme og dele fortrolige data eller personoplysninger.

Andre oplysninger: Universitetet anbefaler på det kraftigste, at studerende bruger KU's Microsoft OneDrive-konti i stedet for personlige OneDrive-konti eller cloud-tjenester som Dropbox eller Google Drive. Det skyldes de sikkerhedsaftaler, KU har indgået med Microsoft. Tal med din vejleder, hvis du ønsker at bruge andre cloud-tjenester end MS OneDrive, og sørg for, at du har drøftet risici og konsekvenser af sådanne løsninger med din vejleder.
 KU's netværksdrev for studerende (T-drev)

På KU har alle studerende adgang til deres eget personlige T-drev via Webfile. Dit T-drev har en lagerkapacitet på 10 GB. Du bør bruge denne løsning, når du skal gemme persondata eller fortrolige data.

Fordele: Der foretages automatisk regelmæssig sikkerhedskopiering af data, og adgangen til data er beskyttet og kontrolleret med adgangskode, hvilket gør T-drevet velegnet til opbevaring af personoplysninger og fortrolige data.

Ulemper: Du mister adgangen til T-drevet 3 måneder efter, at du ikke længere er indskrevet på KU. Dit T-drev er dit personlige drev, hvilket betyder, at du ikke må bruge det til at dele data med andre i dit projekt. Hvis du har brug for at dele fortrolige data eller personoplysninger med andre, der er indskrevet eller ansat på KU, skal du bede din vejleder om at oprette et såkaldt S-drev og invitere dig til det.
 DeiC Storage

DeiC (Danish eInfrastructure Consortium) er en national organisation og et samarbejde mellem de 8 danske universiteter. DeiC leverer dataopbevarings, -management og databehandlingsløsninger til universiteterne. Fra udgangen af 2024 vil alle studerende i Danmark have adgang til DeiC Storage.

Fordele: DeiC Storage er nemt at bruge og giver dig mulighed for at dele dine data med andre, der er indskrevet/ansat på KU eller andre steder. Derudover opbevarer DeiC Storage dine data i mindst 10 år, også selvom du ikke længere er indskrevet på KU.

Ulemper: DeiC Storage kan ikke bruges til opbevaring af personoplysninger eller fortrolige data.  
 Bærbare enheder såsom bærbare computere, USB-nøgler og eksterne harddiske 

Fordele: Bærbare enheder er praktiske at bruge, for eksempel når du udfører feltarbejde.

Ulemper: Bærbare enheder kan let gå tabt, blive beskadiget eller stjålet og betragtes derfor som opbevaringsløsninger med høj risiko. De må kun bruges til normale data, og de må aldrig være det eneste sted, du gemmer dine data. Bærbare enheder må aldrig bruges til at gemme ikke-krypterede personoplysninger eller fortrolige data. 

 

Beskyt din computer og dine adgangskoder
Del aldrig din computer eller dine loginoplysninger med andre! Din identitet, adgangsrettigheder eller privilegier kan blive misbrugt til ulovlige formål, og du kan blive beskyldt for overtrædelser, hvis dine loginoplysninger deles, lækkes eller stjæles.

Opret sikre adgangskoder for at begrænse uautoriseret adgang til filer, mapper, konti (f.eks. KUmail og Absalon), bærbare computere, bærbare enheder med mere.

En sikker adgangskode er:

Lang: En adgangskode bør bestå af mindst 12 tegn – men gerne flere. Du behøver ikke at bruge specialtegn i din adgangskode. Det vigtigste er at oprette en lang adgangskode, der er nem at huske.

Stærk: Opret ikke adgangskoder ved hjælp af ord, der er relateret til din hverdag og derfor nemme at gætte for nogen, som kender dig godt. Sådanne oplysninger er meget nemme at finde ved hjælp af en søgemaskine. Svage adgangskoder er for eksempel dit barns navn, dit kæledyr, din adresse, din arbejdsplads eller andre ting fra din hverdag.

Unik: Undgå adgangskoder, der består af et enkelt ord eller en talkombination. Hackere forsøger systematisk at få adgang til din konto og bruger lange lister med ord på forskellige sprog, som de finder ved at søge i ordbøger, på Wikipedia, i Bibelen eller andre kilder på internettet. Hvis din adgangskode f.eks. er "Sommer", "London" eller et andet ord, der kan findes i en ordbog, kan hackere nemmere få adgang til dine data.

Du kan vælge at bruge en adgangskodemanager til at lave unikke adgangskoder til hvert login-sted og til at holde styr på dem. Bitwarden Links to an external site. er et eksempel på en adgangskodemanager du kan bruge.Skift dine adgangskoder en gang imellem, for eksempel hver 6. måned.

 

Kryptering af filer og diske
Kryptering er en proces, der konverterer data til ulæselig kode ved hjælp af krypteringssoftware. Krypterede data kan kun åbnes af personer, der har den relevante dekrypteringsnøgle eller adgangskode. Afhængigt af den anvendte software kan du kryptere datafiler og mapper, men også harddiske og bærbare enheder såsom USB-nøgler.   

Lav sikkerhedskopier (backups)
Noget andet du kan gøre for at forhindre tab af data, er at lave regelmæssige sikkerhedskopier af dine data, især hvis dine data gemmes ved hjælp af en dataopbevaringsløsning, der ikke automatisk laver back-ups. Vælg en backup-frekvens, der matcher den mængde arbejde, du er klar til at miste, og gem aldrig dine sikkerhedskopier og originale data samme sted (medmindre det automatisk sikkerhedskopieres). Data på KU's netværksdrev (T-drev/S-drev) sikkerhedskopieres automatisk og data kan typisk gendannes til en tidligere tilstand.

Opdater dine enheder
Du bør regelmæssigt opdatere alle dine enheder, såsom din bærbare computer, smartphone eller tablet, for at installere de seneste sikkerhedsopdateringer. Det betyder, at dine enheder er bedre beskyttet mod f.eks. hackere.

 

Vær opmærksom på cybertrusler

  • Lær at genkende phishing-mails. Svar ikke og klik ikke på links i e-mails, du ikke er helt sikker på, er sikre. Hvis du ved et uheld ender med at klikke på et phishing-link og/eller har afgivet dine oplysninger, skal du kontakte KU-IT hurtigst muligt på UCPH-IT-Support@ku.dk
  • Læs og evaluer pop op-vinduer, før du klikker OK til dem. Især når operativsystemet beder dig om at godkende ændringer eller softwareinstallationer.

 

Brug din e-mail sikkert
Beskyt data under transport. Hvis du arbejder med persondata eller fortrolige data, kan disse data sendes fra en KU-e-mail-konto til en anden KU-e-mail-konto (UCPH Outlook), da disse e-mails vil blive krypteret under transit. Brug aldrig e-mail-konti/-adresser, som ikke er fra KU, til at sende personlige eller fortrolige data! Glem ikke at slette e-mails/filer i Outlook, efter at dataene er blevet overført.

  

____________________________________________________________

 

COBL_litterature_40x40px_2017_18.png  Fysiske foranstaltninger til beskyttelse af data 

Udover at beskytte dine digitale data, bør du også tænke over, hvordan du sikkert opbevarer eventuelt fysisk materiale, som du bruger i dit projekt, såsom biologiske prøver, notesbøger, interviews skrevet på papir, bøger og artefakter, samt hvordan du sikrer adgang til digitale filer. Foranstaltninger, du bør overveje: 

  • Lås døren til dit kontor og sluk for din computer, når du forlader kontoret.  
  • Brug et privatlivsfilter på din computerskærm, så personer bag dig ikke kan se din skærm.  
  • Undlad at lade værdifulde materialer og udstyr ligge fremme.  
  • Sørg for, at der er alarm på den fryser, hvor du opbevarer dine prøver, så du modtager en alarm, hvis fryseren ikke fungerer korrekt. 
  • Opbevar dine noter i et aflåst arkivskab. 
  • Sørg for passende klimastyring i lagerrum, når du arbejder med værdifulde prøver/artefakter, der er sårbare over for udsving i temperatur og luftfugtighed. 
  • Makuler og bortskaf papirdokumenter, der indeholder personoplysninger eller fortrolige data, korrekt, når du ikke længere har brug for dem. 
  • Implementer et system, som dokumenterer din beholdning af prøver, hvis du arbejder med et stort antal prøver eller artefakter, så du nemt kan se, om der mangler noget. 

____________________________________________________________

 

COBL_litterature_40x40px_2017_18.png  Proceduremæssige/operationelle foranstaltninger til beskyttelse af data 

Den måde, du organiserer dit projekt og designer dine metoder på, kan også påvirke sikkerheden af dine data.  Eksempler på proceduremæssige/operationelle foranstaltninger, du bør overveje: 

  • Sørg for, at der udarbejdes en datasikkerhedsplan, som afstemmes med f.eks. din vejleder, ved projektets start, og som registreres i din datamanagementplan. Det omfatter også planlægning af, hvilke data der skal destrueres, og hvilke der må opbevares efter projektets afslutning. 
  • Hvis du arbejder i et team, skal du begrænse adgangen til personoplysninger eller fortrolige data i dit projekt til visse personer i stedet for til hele teamet. 
  • Anonymiser personoplysninger så hurtigt som muligt.  
  • Vær kritisk i forhold til sikkerheden af softwareværktøjer eller tjenester, du bruger til at administrere dine data, hvis de ikke leveres af universitetet. Spørg din vejleder, hvis du er usikker.  

____________________________________________________________

 

COBL_videolecture_40x40px_2017_4.png  Dataopbevaring og sikring i praksis 

Bachelorstuderende Frida Birkedal Christiansen og vejleder Nicole Schmitt, Det Sundhedsvidenskabelige Fakultet, fortæller om dataopbevaring og sikring. 

____________________________________________________________

 

COBL_quiz_40x40px_2017_1.png  Test dig selv

Tjek, om du har fået fat i hovedpunkterne i denne lektion:

Quiz: Dataopbevaring og informationssikkerhed

____________________________________________________________

 

COBL_tasks_40x40px_2017_10.png  Arbejd videre på din DMP 

Find ud af, hvordan du vil opbevare og sikre digitale data og fysisk materiale i dit projekt ved at besvare spørgsmålene i afsnit 6. Opbevaring og sikring i din datamanagementplan (DMP): 

6.a Beskriv, hvor du vil opbevare digitale data og fysisk materiale. 
6.b Beskriv, hvad du vil gøre for at sikre, at dine data/dit materiale er beskyttet mod tab, tyveri, uautoriserede ændringer og uautoriseret adgang. 

Hvis du ikke er begyndt at udfylde din DMP endnu, kan du finde DMP-skabelonen her: KU DMP Skabelon for Studerende Download KU DMP Skabelon for Studerende

Husk, at drøfte datamanagementplanen med din vejleder i starten af dit projekt. Opbevar DMP'en sammen med dine data.

____________________________________________________________

 

COBL_sparks_40x40px_2017_19.png  Praktiske tip og materiale til dataopbevaring og sikring  

  1. Klassificer dine data ved projektets start: Vurder som minimum, om du kommer til at arbejde med personoplysninger, fortrolige data eller normale data.

  2. Tag udgangspunkt i KU's opbevaringsløsninger, når du vælger, hvor du vil opbevare dine data:

 

Hvem har brug for adgang til data?

Personoplysninger eller fortrolige data 

Normale data 

 – Kun dig selv

T-drive

MS OneDrive

– Andre på KU

S-drev, konfigureret af din vejleder

MS OneDrive

– Andre udenfor KU

Kontakt KU-IT, og sørg for, at der er en aftale, som regulerer dataadgang 

MS OneDrive

DeiC storage (fra vinteren 2024/2025)

Find information om løsninger til dataopbevaring her:

  • T-drev:  KUnet >Studieinformation>[ Vælg din studieportal ] > planlæg dit studie > Regler og dispensationer > Sådan indsamler og håndterer du persondata > Hvordan opbevarer jeg filer med fortrolig data? 
  • S-drev : Din vejleder kan læse mere om det her.
  • MS OneDrive
  • Oplysninger om DeiC Storage bliver tilgængelige fra vinteren 2024/2025.

I nogle specifikke situationer er universitetets opbevaringsløsninger ikke egnede. Hvis det er tilfældet for dit projekt, skal du sørge for, at du og din vejleder har gennemgået, om den opbevaringsløsning, du ønsker at bruge, har de rette sikkerhedsfunktioner til at sikre typen af data i dit projekt. Hvis du har brug for hjælp til det, kan du bede din vejleder om at kontakte KU-IT. 

  1. Se retningslinjerne for informationssikkerhed på uddannelsernes studieinformationssider på KUnet > Studieinformation> [Vælg din studieportal] > It og faciliteter på campus > IT og Support > IT-sikkerhed

Der ligger også en række korte videoer om IT-sikkerhed online: 

Aflåsning af kontor og pc
Falske mails
Synlighed og fortrolige papirer

 

  1. Når du arbejder med personoplysninger, anbefaler vi, at du tager GDPR-kurset for studerende og læser siderne på studieportalen om håndtering og opbevaring af personoplysninger: KUnet > Studieinformation> [Vælg din studieportal] > Planlæg dit studie > Regler og dispensationer > Sådan indsamler og håndterer du persondata

  2. Hvis du vil vide, hvad KU's regler for dataopbevaring og sikring er, så læs KU's Politik for Forskningsdatamanagementog KU's Politik om Informationssikkerhed.

  3. Slå termer i forbindelse med forskningsdatamanagement op i RDM-ordlisten.

____________________________________________________________

Publiceret i 2024