AAU logo

dataklassifikation og dataopbevaring

Det er vigtigt at overveje, hvilke konsekvenser det får, hvis information kommer i de forkerte hænder. I den forbindelse arbejder AAU med nedenstående dataklassifikationsmodel, hvor information (data) inddeles i fire niveauer: offentlig, intern, fortrolig og følsom, der bestemmer, hvordan du skal behandle, sende og opvare data korrekt. 

Ved dataklassificering skal du foretage en risikovurdering, hvor du overvejer eventuelle skadelige konsekvenser ved at gøre information tilgængelig. Hvor vigtig er tilgængeligheden af informationen fx i forhold til fortrolighed?

It-systemer skal også klassificeres ud fra AAU´s dataklassifikationsmodel. Her placeres systemet på baggrund af den information, systemet indeholder. Hvis et system rummer data inden for flere niveauer, så klassificeres systemet på det højeste niveau af denne data. Eksempelvis skal et system, der bl.a. indeholder følsomme information, klassificeres som følsomt. 

AAU´s dataklassifikationsmodel er gældende for alle systemer og data fra 25. maj 2018 og derefter. For systemer og data fra før 25. maj 2018 er system- og dataejere ansvarlige for at udarbejde en plan for forbedring ud fra en foretaget og dokumenteret risikovurdering.

AAU´s dataklassifikationsmodel

Niveau 0: Offentlige informationer

Informationer som er til rådighed for offentligheden, og hvor offenliggørelse ikke gør skade på AAU. Eksempelvis studiebeskrivelser, nyhedsartikler og medarbejder-stamoplysninger (navn, stillingsbetegnelse, tlf.nr.). Der er derfor ingen krav til mærkning, adgang, opbevaring og forsendelse i forbindelse med dokumenter, mails og hjemmesider med offentlige informationer.

Læs mere om klassifikationen offentlig

Niveau 1: Interne informationer

Informationer som kun brugere med et arbejdsbetinget behov må og kan få adgang til, og hvor et brud på fortroligheden kan få en lav skadesvirkning for AAU, privatpersoner eller samarbejdspartner(e). Eksempelvis aftaler, budgetter, referater, undervisningsmateriale samt personoplysninger i forbindelse med ansættelse og studie. 

  • Interne informationer skal mærkes. Dokumenter mærkes som minimum på forsiden. Hvor mærkning ikke er mulig, skal klassificering fremgå af fil- eller mappenavn.
  • Den elektroniske adgang til interne informationer skal være passwordbeskyttet.
  • Elektronisk opbevaring kan ske på AAU netværksdrev eller andre AAU-godkendte løsninger. Fysisk skal interne informationer opbevares bag lås.
  • Ved forsendelse anbefales, at interne informationer krypteres. 
  • Interne informationer må sendes internt med intern post eller eksternt som almindelig brevpost.

Læs mere om klassifikationen intern

Niveau 2: Fortrolige informationer

Informationer som kun brugere med et arbejdsbetinget behov må og kan få adgang til, og hvor et brud på fortroligheden kan få en middel skadesvirkning for AAU, privatpersoner eller samarbejdspartner(e). Eksempelvis forskning og medarbejderes private personoplysninger. 

  • Fortrolige informationer skal mærkes. Dokumenter skal mærkes på hver enkelt side/synsfelt og skal have en forside (cover-sheet) uden fortrolige informationer. Informationer, der ikke kan mærkes, må kun opbevares i systemer, hvor systemet tydeliggør klassificeringen. 
  • Den elektroniske adgang til fortrolige informationer skal være passwordbeskyttet med AAU-kontooplysninger.
  • Elektronisk opbevaring af fortrolige informationer kan ske på netværksdrev eller andre AAU-godkendte løsninger. Ved eksterne harddiske, USB-sticks eller lignende skal data krypteres. Fysisk skal fortrolige informationer opbevares bag lås.
  • Benyt 'Follow-You'-print ved udskrivning af fortrolige dokumenter. Ved bortskaffelse skal fortrolige dokumenter makuleres.
  • Fortrolige informationer må kun sendes/videregives til samarbejdspartnere på et retsligt grundlag fx i form af en databehandleraftale. Fortrolige informationer må sendes ukrypteteret internt. Ved ekstern forsendelse skal fortrolige informationer krypteres. Fysisk må fortrolige dokumenter sendes internt i lukket konvolut med "att. modtager" eller overbringes personligt, må dog ikke medbringes i offentlig transport såsom bus og tog. 

Læs mere om klassifikationen fortrolig

Niveau 3: Følsomme informationer

Informationer som kun brugere med et arbejdsbetinget behov må og kan få adgang til, og hvor et brud på fortroligheden kan få en høj skadesvirkning for AAU, privatpersoner eller samarbejdspartner(e). Eksempelvis administration og forskning der involverer følsomme personoplysninger. 

  • Følsomme informationer skal mærkes. Dokumenter skal mærkes på hver enkelt side/synsfelt og skal have en forside (cover-sheet) uden følsomme informationer. Informationer, der ikke kan mærkes, må kun opbevares i systemer, hvor systemet tydeliggør klassificeringen. 
  • Den elektroniske adgang skal være passwordbeskyttet med AAU-kontooplysninger samt 2-faktor-validering uden for AAU's netværk. Vær opmærksom på, at andre ikke må kunne se informationerne (skærm/papirer). 
  • Elektronisk opbevaring kan ske på netværksdrev eller andre AAU-godkendte løsninger. Ved eksterne harddiske, USB-sticks eller lignende skal data krypteres. Fysisk skal dokumenter opbevares i et omslag, hvoraf klassifikationssniveauet fremgår, og bag lås.
  • Benyt 'Follow-You'-print ved udskrivning af følsomme dokumenter. Ved bortskaffelse skal følsomme dokumenter makuleres.
  • Følsomme informationer må kun sendes/videregives til samarbejdspartnere på et retsligt grundlag fx i form af en databehandleraftale. Forsendelse af følsomme informationer skal krypteres. Fysisk skal følsomme dokumenter sendes som lukket forsendelse, enten rekommanderet eller med kurér. 

Læs mere om klassifikationen følsom

Dataklassifikation