Behandling av personuppgifter
Rutiner för IT-säkerhet riktad mot studenter vid behandling av personuppgifter innehåller instruktioner för vad en student vid Karlstads universitet behöver tänka på för att hantera personuppgifter säkert vid användning av egen IT-utrustning som till exempel dator och beskriver kopplade säkerhetsåtgärder för IT-säkerhet på Windows och macOS-datorer.
Kraven på Linux-/Unix-/datorer är motsvarande som för Windows och macOS-datorer men beskrivs inte i detta dokument. Anledningen är att Windows och macOS-datorer är vanligast förekommande hos Karlstads universitetets studenter, samt att det finns många olika versioner av Linux- och Unix-operativsystem vilket skulle medföra ett allt för omfattande dokument.
Mobiltelefon och surfplattor får som huvudregel inte användas för behandling av personuppgifter då dessa ofta har uppkoppling mot molntjänster som universitet inte har avtal med. Inspelning av intervjuer kan dock ske enligt beskrivning nedan.
Chromebook kan inte användas då dessa har uppkoppling mot molntjänster som universitetet inte har avtal med.
Definitioner
Behandling (av personuppgifter): allt som görs med personuppgifter. Några exempel på behandlingar är: intervjuer (även om inga namn nämns), enkäter på webben, visar någon personuppgifter på en skärm, utskrift av personuppgifter på en skrivare, spara fil som innehåller personuppgift på en dator, skicka personuppgifter via e-post samt radera en fil som innehåller personuppgifter. Även pappersenkäter är som huvudregel en behandling av personuppgifter.
Känsliga personuppgifter: är uppgifter som avslöjar ras (I dataskyddsförordningen används ordet ras, men det står också att det inte innebär att EU godtar teorier om att det skulle finnas skilda människoraser) eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.
Obehöriga: de personer (till exempel dina barn, partner eller klasskompisar) som inte ska ha tillgång till informationen.
Personuppgift: all slags information som direkt eller indirekt kan knytas till en person som är i livet. Exempel på personuppgifter är: familjeförhållanden, privatekonomi, medlemskap, åsikter, kunskaper, religiös tro och mycket mer.
Uppsatsarbeten: självständiga uppsatsarbeten samt uppsatsarbeten som utgör en del av ett forskningsprojekt.
Hantering av personuppgifter inom ramen för utbildningen
Det är Karlstads universitet som är personuppgiftsansvarig för studenters behandling av personuppgifter inom ramen för utbildningen. När en student behandlar personuppgifter under universitetets överinseende likställs studenten med en representant för universitetet, och universitetet ansvarar för att behandlingen är laglig och att de registrerades integritet skyddas. Vidare information om studenters behandling av personuppgifter, samt handledning och mallar vid uppsatsarbeten finns här:
För att studenterna ska kunna hantera personuppgifter i exempelvis uppsatsarbeten behöver behandlingen ha tillräcklig säkerhet. Detta innebär att datorer som används för uppsatsarbeten behöver:
Skyddas med ett bra lösenord (se tips längre ner på sidan).
Ha ett antivirus installerat och aktiverat.
Säkerställa att operativsystemets inbyggda brandvägg är aktiverad. Så här gör du för:
Datorns operativsystem är uppdaterade med nödvändiga säkerhetsuppdateringar,. Så här gör du för:
Programvara som används ska också vara uppdaterade med nödvändiga säkerhetsuppdateringar. Hur man uppdaterar de program som du använder finns i hjälpen till programmet eller på företagets hemsida. Några vanliga program:
Gamla operativsystem får inga säkerhetsuppdateringar längre och är därmed inte säkra att använda. I nuläget gäller det för versioner av Windows 10 före 22H2, inklusive till exempel Windows 7 & 8.1. Respektive äldre macOS versioner före version 12. Microsoft och Apple slutar löpande att underhålla äldre versioner så informationen på denna sida uppdateras med aktuell information. Så här ser du vilken version datorn har:
Mobiltelefoner och surfplattor
Används mobiltelefoner eller surfplattor för att spela in intervjuer ska dessa:
- Skyddas av en pinkod som är svår att gissa (se avsnitt om pinkoder längre ner).
- Mobiltelefonens eller surfplattans operativsystem och appar som används ska också vara uppdaterade med nödvändiga säkerhetsuppdateringar.
Externa USB-minnen, USB-hårddiskar och pappershandlingar
Används externa lagringsmedia som till exempel USB-minnen eller USB-hårddiskar för att lagra personuppgifter, är det viktigt att dessa hålls under uppsikt eller låses in så att obehöriga inte får tillgång till den sparade informationen. Även pappershandlingar (till exempel utskrifter) som innehåller personuppgifter ska hållas under uppsikt eller låsas in så att obehöriga inte får tillgång till handlingarna.
Hantering av känsliga personuppgifter i uppsatsarbeten
Vid Karlstads universitet är det som huvudregel förbjudet för studenter att behandla känsliga personuppgifter i uppsatsarbeten. Det finns dock undantagssituationer. Känsliga personuppgifter får exempelvis hanteras i uppsatsarbeten av studenter i de ämnen som har fått ett undantag av dekan. Säkerställ med din handledare att du har rätt att behandla känsliga personuppgifter och att personuppgiftsbehandlingen har diarieförts i universitetets register över behandling av personuppgifter i uppsatsarbeten innan du påbörjar insamlingen av personuppgifter.
Studenterna får endast behandla känsliga personuppgifter på IT-tekniska lösningar och tjänster som IT-chefen har bedömt ha adekvat skydd för den aktuella typen av uppgifter och i enlighet med framtagna instruktioner. All annan hantering av känsliga personuppgifter är inte tillåten och kan medföra disciplinära påföljder. Vilka system som kan användas och instruktioner på hur dessa ska användas finns här:
Tips på att välja bra lösenord och pinkod
Lösenordet är det som används för att skydda din information på IT-tjänster och datorer, så att angripare och obehöriga inte kan läsa eller förstöra din information. Därför är det viktigt att du skapar ett starkt lösenord som gör det svårt för angripare och obehöriga att komma åt din information. Nedan följer några råd som är baserade på Internetstiftelsens råd på hur du skapar ett bra lösenord:
Ett unikt lösenord för varje tjänst
Världens bästa lösenord kan bli världens sämsta om du använder det till allt. Läcker lösenordet till en tjänst har den som vill göra intrång plötsligt tillgång till alla dina tjänster. Se därför till att ha olika lösenord för olika tjänster, och använd aldrig samma lösenord på ditt KauID som du har eller har haft på externa tjänster (som exempelvis Google, Spotify eller Netflix). Du ska inte heller återanvända samma lösenord som du har haft tidigare, till exempel på föregående skolor.
Använd ovanliga och opersonliga lösenord
Glöm Sommarlov2023 eller Swifties4Ever. Ett starkt lösenord är ovanligt och innehåller ingenting som kan kopplas till dig som person.
Tänk långt när det gäller lösenord
Ju längre ett lösenord är desto svårare är det att knäcka, ett lösenord ska ha minst 10 tecken. Genom att tänka i fraser blir lösenordet lättare att komma ihåg än ett gäng bokstäver och siffror huller om buller. Med fyra slumpmässigt valda ord kommer du långt.
För mer tips och information om att skapa bra lösenord, se internetstiftelsens webb:
Pinkod
Pinkoder ska som lösenord vara svåra att gissa, välj därför pinkoder som inte har någon koppling till dig som person. Exempel på dåliga pinkoder är siffror i följd som 1234 eller 0000. Även pinkoder som är kopplade till ditt, din partners eller dina barns födelsedatum är även exempel på dåliga pinkoder. Precis som hos lösenord är långa pinkoder säkrare än korta pinkoder, så använd helst pinkoder som är sex tecken eller längre.
Molntjänster och andra externa tjänster
Externa molntjänster som inte tillhandahålls genom Karlstads universitet får inte användas för behandling av personuppgifter. Detta gäller exempelvis lagringstjänster som Dropbox, Google docs, iCloud med flera.
En aktuell förteckning av de tjänster som kan användas finns på:
Inloggning till dessa tjänster ska ske via Karlstads universitets länkar.
Inspelning av intervjuer
När du ska genomföra en intervju, börja då med att tänka på vilken plats du befinner dig på. Du behöver säkerställa att inga obehöriga kan ta del av samtalet. Lämpliga lokaler är till exempel de grupprum som finns på universitetet.
Inspelning av intervjun kan exempelvis ske på följande sätt:
Via Zoom
Inspelning i Zoom kan ske om datorn, mobiltelefonen eller surfplattan som används har tillräcklig säkerhet (se avsnitt ovan). När inspelningen sker i Zoom skapas två filer, en ljudfil och en videofilm. Videofilmen ska raderas så fort intervjun är avslutad såvida inget annat är i förväg överenskommet med din handledare.
Via dator
Lokal programvara i datorn med tillräcklig säkerhet (se avsnitt ovan) kan användas för att spela in intervjun förutsatt att ingen synkning sker av ljudfilen till en molntjänst som Karlstads universitet inte har avtal med (se avsnitt ovan).
Via mobil eller surfplatta
Följande steg behöver tas om en mobiltelefon eller surfplatta som har tillräcklig säkerhet används för att spela in intervjun:
- Sätt mobiltelefonen eller surfplattan i flygplansläge, säkerställ att WiFi är avstängd
- Utför intervjun
- Kopiera filen med intervjun via en kabel till datorn med tillräcklig säkerhet.
- Radera filen som innehåller intervjun från mobilen eller surfplattan
- Ta mobilen eller surfplattan ur flygplansläge
Via en diktafon (som inte är ansluten till internet)
Så länge intervjun är sparad på diktafonen måste den hanteras på ett sådant sätt att obehöriga inte ska kunna höra den inspelade intervjun har möjlighet att göra detta. Detta kan ske genom att du har uppsikt över diktafonen så länge den innehåller intervjun eller att du låser in diktafonen. När intervjun är sparad på en dator med tillräcklig säkerhet (se avsnitt 2 ovan) och sedan raderad från diktafonen behöver ingen speciell hantering ske på diktafonen.
Transkribering
Vid transkribering av personuppgifter (det vill säga när intervjuer skrivs ner i skriftlig form) av ljudfilerna får inga molntjänster eller program som använder en molntjänst användas då det i nuläget inte tillhandahålls någon sådan tjänst av universitetet för studenter. Transkriberingen ska ske av de studenter som ingår i uppsatsarbetet och på en dator med tillräcklig säkerhet (se avsnitt om säkerhet längre upp på sidan).
Radering efter avslutat uppsatsarbete
Efter avslutat uppsatsarbete så ska allt arbetsmaterial som innehåller personuppgifter raderas från datorn och eventuellt andra externa lagringsmedier som till exempel USB-minne. Glöm inte att även radera det som hamnar i datorns papperskorg.
Eventuella handlingar som innehåller personuppgifter som du har skrivits ut på papper ska också förstöras och sedan kastas när uppsatsarbetet är avslutat. Tänk på att förstöra handlingen innan du kastar den i en papperskorg genom att till exempel klippa sönder pappren i mindre bitar eller använd en dokumentförstörare (papperstugg) om du har tillgång till det.