Akademisk forskning strävar som regel efter transparens och öppenhet, men det finns i vissa fall etiska juridiska eller eventuellt kommersiella skäl för att åtkomst till forskningsdata behöver begränsas. För alla typer av forskningsdata är det lika viktigt att förhindra förluster eller manipulation av data som att ge behörig åtkomst till data. Data där det är nödvändigt med en begränsad åtkomst på grund av risker förknippade med helt öppen åtkomst kallas konfidentiella eller känsliga data.
Graden av konfidentialitet beror på hur allvarliga konsekvenserna blir om en dataläcka leder till att kontroll över åtkomst förloras. Ju högre konfidentialitetsgrad, desto större tekniska och organisatoriska säkerhetsåtgärder krävs. Kontakta
IT Support
för råd och stöd kring informationsklassning om du är osäker på vilken konfidentialitetsgrad som gäller för dina data.
Här finns generella rekommendationer för arbete med känsliga data. Rekommendationerna går inte in på detaljer kring exakta säkerhetsåtgärder för olika konfidentialitetsgrad och olika typer av forskningsprojekt. Fokus ligger på god hantering vid olika stadier av forskningsprojekt såväl på projektnivå som på individuell nivå. Hantering ska också ske i enlighet med
KTH:s riktlinje för hantering av forskningsdata
.
Använd en lösenordshanterare Ett lösenordshanteringsprogram hjälper dig att lagra och organisera unika komplicerade lösenord för alla tjänster du använder.
Uppdatera din mjukvara Ha för vana att hålla operativsystem och program uppdaterade på alla enheter som används för att generera, överföra eller ha åtkomst till konfidentiella data.
Undvik att använda e-post och direkta länkar för dataöverföring Skicka inte konfidentiella data via e-post, och dela inte länkar som ger obegränsad åtkomst till mappar med konfidentiella data.
Undvik att arbeta med konfidentiella data på offentliga platser eller över publika datornätverk Låt bli gratis wifi på kaféer, hotell med mera när du ska överför konfidentiella data. Se också till att ditt hemmanätverk är lösenordsskyddat.
Undvik att klicka på länkar i meddelanden från okända avsändare Klicka bara på länkar i ett meddelande där du vet vem som är avsändare, och du är säker på att det verkligen är den personen som har skickat meddelandet. Var försiktig när du laddar ner filer.
Gör en plan Gör en plan för hur data ska hanteras innan forskningstudien eller projektet inleds. On konfidentiella data hanteras behöver lagring, delning och analys planeras på ett sådant sätt att onödiga risker för dataläckage undviks. När obehörig åtkomst till data kan orsaka skada rekommenderas att en riskvärdering görs där eventuella extra tekniska och organisatoriska säkerhetsåtgärder behövs.
Ordna utbildning och/eller informationstillfällen Se till att alla inblandade är medvetna om vilket data som måste behandlas som konfidentiellt, och vad detta innebär för datahanteringen. För högre grader av konfidentialitet rekommenderas det att alla användare får utbildning om hur de ska arbeta med känsliga data.
Medvetandegöra Se till att alla inblandade är medvetna om vilket data som måste behandlas som konfidentiellt, och vad detta innebär för datahanteringen. För högre grader av konfidentialitet rekommenderas det att alla användare får utbildning om hur de ska arbeta med känsliga data.
Överenskommelse om säkerhetsåtgärder Se till att alla samarbetspartners kommer överens om (och använder) viktiga säkerhetsåtgärder. Diskutera datahantering med alla samarbetspartner. Kom överens om en gemensam plattform för att lagra, dela och ha åtkomst till data. Försäkra er om att ni kan kontrollera åtkomsträttigheter och spåra vem som har haft åtkomst till datat (till exempel genom logfiler och versionshantering som beskriver ändringar). Kontrollera att det finns licenser eller avtal med plattformsleverantören, och att dessa medger kontrollerad tillgång under hela projektets livstid. Fastslå också i en plan vad som ska hända med data efter att projektet avslutas. I större projekt är det extra viktigt att det finns en särskilt utsedd ansvarig för hantering av forskningsdata.
Kontrollera vem som har tillgång till data Skapa och uppdatera en lista över alla personer och system som ska kunna komma åt data. Se till att projektledning/datahanteringsansvarig har kontroll över vem som kommer åt data.
Kontrollera åtkomst på lämplig nivå Upprätta åtkomstkontroll på mapp-nivå istället för att dela länkar. Ge endast tillgång på lägsta lämpliga nivå, dvs tillåt redigering av data endast för de personer som behöver processa data. Personer som bara behöver kunna se data får rättigheter att läsa, men inte att redigera.
Begränsa åtkomst till fysisk datalagring Försäkra er om att inga personer utan tillstånd har tillgång till fysiska lagringsmedia eller andra enheter som genererar, processar eller lagrar känsliga data.
Var försiktig när du hanterar data i både digital och fysisk miljö Kom ihåg att konfidentiella data är konfidentiella även när du pratar om dem eller har skrivit ut dem på papper. Lämna inte utskrifter i skrivaren eller på bordet i ett offentligt utrymme. Undvik att diskutera känsliga data högt i allmänna utrymmen.
Minimera dataöverföring Unvik onödig dataöverföring. Nödvändig dataöverföring måste göras, till exempel för att försäkra sig om redundans, för backup eller arkivering samt vid användning av beräkningsresurser. Om du behöver överföra data till en webbaserad mjukvara eller tjänst ska du också se till att data raderas när du inte längre använder mjukvaran eller tjänsten. Se dessutom till att ha kopior av de data du behöver innan du raderar data från en mjukvara eller tjänst.
Använd kryptering under överföring och lagring Om otillåten dataåtkomst kan orsaka allvarliga skador bör kryptering användas som säkerhetsåtgärd.
Använd multifaktorautenticering Slå på multifaktorautenticiering om det är tillgängligt för de system du använder. Multifaktorautenticiering ger ett extra säkerhetslager, och är på väg att bli ett krav för åtkomst till mycket känsliga datamängder såsom känsliga persondata.
Beskriv data och hur/om någon kan få tillgång till data Även om konfidentiella data inte kan publiceras öppet i sin helhet är det god forskningspraktik att dokumentera data tillräckligt utförligt för att någon annan ska kunna förstå hur data har använts för att få befintliga reultat med hjälp av metadata. Det är viktigt att beskriva om och hur det är möjligt att få tillgång till data. I de flesta fall bör metadata inklusive information om hur någon kan få tillgång till data publiceras, även då själva datat är konfidentiellt. Direkt åtkomst till data behöver inte vara möjligt.
Osäker på vad som ska publiceras? Gör en riskbedömning först Det finns tillfällen då data är sekretessbelagt och har ett mycket hög skyddsvärde, då även tillgång till metadata måste begränsas. Det kan till exempel bero på att risken för intrångsförsök ökar om en beskrivning av hur någon kan få åtkomst till data görs offentlig. Om du befarar att så är fallet, gör en riskbedömning med fokus på informationssäkerhet innan du publicerar en databeskrivning.
Kontakta Forskningsdatagruppen
Vi hjälper dig med olika frågor kring forskningsdata, alltifrån att planera till publicera.
