Informationsklassning, risk- och sårbarhetsanalys samt lagring och arkivering
Informationsklassning av forskningsdata
Informationsklassning av forskningsdata i projekt ska alltid genomföras. Klassningen påverkar hur data får lagras och delas samt kan ge indikationer på allvarlighetsgrad vid exempelvis ett dataintrång i en lagringslösning. Den kan även användas som underlag till hur de färdiga resultaten kan spridas, om de kan vara direkt tillgängliga, bara tillgängliga på begäran eller inte tillgängliga alls.
Hur informationsklassning sker samt dokumenteras framgår här (Inforum).
Risk- och sårbarhetsanalys
En risk- och sårbarhetsanalys bör alltid genomföras i planeringsfasen av ett forskningsprojekt, vilket inkluderar de forskningsdata som förväntas produceras/användas. Här kan olika risker identifieras och mötas i samma dokument vilket kan användas för exempelvis finansieringsansökningar, framtida etikansökningar m.m. Utifrån vilka data forskningsprojektet har för avsikt att använda kan stöd vid genomförandet fås av till exempel forskningsdatarådgivarna, informationssäkerhetsansvarige, dataskyddsombudet med flera.
Här finns information om hur en risk- och sårbarhetsanalys genomförs (Inforum).
Konsekvensbedömning (DPIA)
Om ett forskningsprojekt hanterar personuppgifter ska frågan ställas om det finns en hög risk med behandlingen utifrån dataskydds- och integritetsaspekter men även utifrån andra grundläggande mänskliga rättigheter såsom yttrande- och tankefrihet, fri rörlighet eller förbud mot diskriminering. Om svaret på detta är ”ja”, ska en konsekvensbedömning enligt dataskyddsförordningen (GDPR) genomföras innan någon datainsamling får påbörjas.
Syftet med en konsekvensbedömning är att identifiera och minimera risker för personers rättigheter och friheter. Genomförd konsekvensbedömning kan ibland även vara ett krav från externa parter för att få tillgång till känsliga personuppgifter.
Lagring och arkivering
Var forskningsdata får lagras bestäms av dess informationsklass. Lagring av forskningsdata ska ske på ett säkert sätt vilket även inkluderar säkerhetskopiering samt behörighet. Universitetet har krav att hushålla effektivt med sina resurser, vilket till exempel innebär att lagring inte ska ske längre än nödvändigt på ytor som är särskilt kostnadskrävande.
Respektive institution kan även ha specifika beslut avseende var forskningsdata ska lagras. Finns det sådana beslut är det viktigt att dessa är kända för de som bedriver forskning på institutionen så att det är enkelt att veta vad som gäller i det enskilda forskningsprojektet.
Ett forskningsprojekt behöver även planera för långtidslagring och när det kan vara möjligt att gallra forskningsdata. Det är nödvändigt att gallra de forskningsdata som går för att möjliggöra överskådlighet i de data som återstår och även för att hushålla med universitetets resurser. Förutsättningarna för arkivering, gallring etc. kommer att vara olika i de enskilda forskningsprojekten och det är därför viktigt att denna punkt adresseras tidigt i planeringsfasen.
Detaljerad information om hur forskningshandlingar, inklusive forskningsdata, ska arkiveras finns i riktlinjen "Arkivering av forskningshandlingar" samt på universitetets interna webbsidor för arkivet.
Mer information om var forskningsdata får lagras hittas här (Inforum).