Når vi arbejder med GDPR og informationssikkerhed, taler vi om forskellige typer (klassifikationer) af oplysninger. Vi ser både på, om oplysningerne siger noget om bestemte personer (personoplysninger), og på hvilken betydning oplysningerne har for SDU.
Oplysninger er personoplysninger, hvis de siger noget om en person, som enten er identificeret, kan identificeres ud fra oplysningerne, eller kan identificeres ved at holde de oplysninger, du har, op mod andre oplysninger. Afhængigt af hvilken type personoplysninger det drejer sig om, kan oplysningerne være enten ”almindelige”, ”fortrolige” eller ”følsomme” for de personer, de handler om.
Forretningsoplysninger er oplysninger, som har betydning for SDU. Det gælder stort set alle oplysninger, vi behandler eller bruger på SDU. Afhængigt af hvilken betydning oplysningerne har for SDU, og hvor kritisk det er, hvis oplysningerne bliver lækket, kan oplysningerne være ”offentlige”, ”interne”, ”fortrolige” eller ”følsomme/hemmelige” for SDU.
En oplysning kan sagtens være både en personoplysning og en forretningsoplysning på samme tid. Det gælder for eksempel oplysninger om studerende, som både er personoplysninger (fordi de handler om studerende) og forretningsoplysninger (fordi vi bruger dem til studieadministration). Oplysninger kan sagtens være klassificeret på forskellige niveauer for personer og for forretningen (for eksempel vil en oplysning om en medarbejder der offentliggøres på sdunet.dk – den vil være en ”offentlig forretningsoplysning”, men en ”almindelig personoplysning”).
Det er vigtigt, at du ved, hvilken type oplysninger du behandler, da det har betydning for, hvilke sikkerhedskrav du skal overholde.
Hvis oplysninger ikke handler om en identificeret person (enten fordi den slet ikke handler om en person, eller fordi den er anonymiseret), er det ikke personoplysninger. Så gælder der ingen GDPR-krav til, hvordan oplysningerne må behandles.
Offentlige forretningsoplysninger er oplysninger, som er offentliggjort, eller som det er meningen skal offentliggøres. Det kan for eksempel være publicerede forskningsartikler eller tekster til sdu.dk.
Almindelige personoplysninger er personoplysninger, der hverken er fortrolige eller følsomme. Det kan for eksempel være stamdata om medarbejdere eller brugeroplysninger i et IT-system.
Interne forretningsoplysninger er oplysninger, hvor det vil give SDU mindre væsentlige problemer, hvis de bliver offentliggjort. Det kan for eksempel være intern kommunikation mellem medarbejdere, eller undervisningsmateriale med ophavsret.
Fortrolige personoplysninger er oplysninger, som man almindeligvis forventer at SDU passer godt på. Det kan for eksempel være CPR-numre, eller det kan være oplysninger som er givet til forskningsprojekter i fortrolighed. Studerendes karakterer er også fortrolige.
Fortrolige forretningsoplysninger er oplysninger, som kan have mere væsentlig betydning for SDU, hvis de bliver offentliggjort. Det kan for eksempel være oplysninger, der er underlagt fortrolighedsaftaler ifm. forskningssamarbejde, oplysninger om patenterbare opfindelser eller referater fra lukkede mødedagsordenspunkter.
Følsomme personoplysninger er oplysninger om race/etnisk oprindelse, om politisk, religiøs eller filosofisk overbevisning, om fagforeningsforhold, om genetiske data, om biometriske data, om personers helbred eller om seksuelle forhold/seksuel orientering. I GDPR er der særligt stramme krav til denne type oplysninger. På SDU putter vi også oplysninger om straf og strafbare forhold i samme kategori, når vi klassificerer data – de har i princippet deres egne regler i GDPR, men for SDU er konklusionen næsten altid den samme: Vi skal passe ekstra godt på oplysningerne.
Følsomme (eller ”hemmelige”) forretningsoplysninger er oplysninger, der kan gøre stor skade på SDU, hvis de bliver delt med uvedkommende. Det kan være interne drøftelser om økonomiske problemer eller andre sårbare forhold, eller det kan være forskningsresultater, som kan bruges i forbindelse med krigsførelse eller cyberangreb.
Der gælder særlig beskyttelse af personoplysninger, når det vedrører børn. Du skal derfor blandt andet huske, at
- Al information skal være skrevet på en enkel og klar måde - særligt hvis det er rettet mod børn
- Både børn og forældre skal være klar over, hvordan personoplysninger behandles (samtykke, oplysningspligt mv.)
Vil du gerne have flere eksempler på dataklassifikation?
Du kan tilgå den fulde liste over dataklassifikations-eksempler her.