Informationsklassningsmodell Karolinska Institutet (KI) Under omarbetning

All information inom KI ska klassificeras utifrån aspekterna:

 Konfidentialitet – att information inte tillgängliggörs eller avslöjas för obehöriga.

 Riktighet – att säkerställa tillförlitlighet och fullständighet gällande informationen.

 Tillgänglighet – att informationen är åtkomlig vid begäran av behörig.

Kombinationen av de olika klasserna (Kx, Rx, Tx) ska anges på därför avsedd plats i elektroniska handlingar och pappersdokument där informationen återfinns, och det ska framgå av systemdokumentation eller motsvarande vilken/vilka informationsklasser respektive system hanterar.

När en handling inkommer till, eller upprättas hos, Karolinska Institutet ska den således informationsklassificeras. Trots nedanstående principer för informations-klassificering måste KI alltid pröva en begäran om utlämnande i det enskilda fallet. Nedanstående principer för informations-klassificering av en uppgift är aldrig överordnad den enskilda prövningen enligt lagen om offentlighet och sekretess, utan klassificeringen kan behöva frångås i enskilda fall.

Viss information kan också vara av sådan typ att den vandrar mellan de olika klasserna över tiden (exempelvis kan forskningsinformation ha hög konfidentialitets-klass innan informationen formellt har publicerats, men när den väl är publicerad har den låg konfidentialitetskonfidentialitets-klass), och det måste därför säkerställas att informat-ionen är värderad på rätt sätt vid varje tidpunkt. Ansvarig för att detta görs är informationsansvarige.

Informationsklass Konfidentialitet Riktighet Tillgänglighet

4. Allvarlig

a) orsakar en allvarlig begränsning i KI:s förmåga att lösa sina verk-samhetsuppgifter i en utsträckning och varaktighet som innebär att verksamheten inte kan fullgöra en eller flera av sina primära uppgif-ter;

b) resulterar i omfattande skador på verksamhetens eller annan parts tillgångar;

c) resulterar i stora ekonomiska förluster för KI eller annan part, eller

d) förorsakar allvarligt negativ påver-kan på enskild individs rättigheter eller liv och hälsa.

Informationstillgång som innehåller känslig informa-tion som om den kommer i orätta händer kan medföra allvarlig skada.

Generellt tillämpligt för:

1. Informationstillgång som är eller kan bli föremål för sekretess enligt offentlighets- och sekretesslagen (t.ex. uppgifter om enskildas sjukdomar och missbruk, pågående ärende om avskiljande av studerande från högskoleutbildning).

2. Informationstillgång som kan bli föremål för tillämpningskrav enligt särskild lagstiftning (t.ex.

patientdata, sjukdomsuppgifter tillsammans med pers.nr.).

3. Informationstillgång som utgör den egna eller annan verksamhets företagshemligheter (t.ex. forsknings-rådata som härrör till enskild individ, ej offentliggjord forskningsdata, lösenord, IT-säkerhetsinställningar).

4. Informationstillgång som inte utgör allmän handling och vilken kan innehålla för enskild individ eller enskilt företag/verksamhet känslig information (t.ex.

forskningsinformation från personer i brottsregistret).

5. Information om djurförsök med avsevärd svårig-hetsgrad för djuren.

6. Information som identifierar personer som handhar

Information som, om den inte är korrekt och fullständig, kan medföra allvarlig skada.

Generellt tillämpligt för:

1. Informationstillgång med särskilt höga krav på

riktighet (t.ex. personuppgifter och metadata om forskningsdata).

2. IT-system eller informationstillgång för kritiska processer i verksamheten (t.ex.

………) .

IT-system eller informationstillgång som ingår i eller stödjer kontinuerlig verksamhet där avbrott kan medföra allvarlig skada.

Generellt tillämpligt för:

1. För verksamheten mycket kritiska IT-system eller informationstillgångar (t.ex.

………).

Karolinska Institutet - Riktlinjer och regler för informationssäkerhet 4 (28) Informationsklass: K1R2T1

Version 2.0 2013-10-01

djur som ingår i djurförsök.

7. Information om fysisk förvaring av djurförsöksdjur (t.ex. byggnadsritningar, information om transport av djur).

Informationsklass Konfidentialitet Riktighet Tillgänglighet

3. Betydande

a) orsakar en signifikant minskning i förmågan att lösa KI:s verksam-hetsuppgifter i en utsträckning och varaktighet innebärande att effekti-viteten i att fullgöra verksamhetens primära uppgifter är påtagligt redu-cerad;

b) resulterar i betydande skador på verksamhetens eller annan parts tillgångar;

c) resulterar i betydande ekonomiska förluster för KI eller annan part, eller

d) förorsakar betydande negativ på-verkan på enskild individs rättig-heter eller hälsa.

Informationstillgång som innehåller känslig informa-tion som om den kommer i orätta händer kan medföra betydande skada.

Generellt tillämpligt för:

1. Information som, innan utlämning, alltid ska föregås av en sekretessprövning (t.ex. sjukdomsdiagnoser på avlidna personer som identifieras via löpnummer, arbetsdokument från andra myndigheter).

2. Personuppgifter i allmänhet eller som

enligt PuL är att betrakta som känsliga (t.ex. där sjuk-domsuppgifter framgår men identifiering sker via löpnummer och inte pers.nr, enskilda studentärenden rörande personliga problem).

3. Uppgifter av intern karaktär vilka, utan andra restriktioner, endast egen personal

bör ha tillgång till (t.ex. metodbeskrivningar avseende forskning, information som identifierar manipulation av rådata dvs. forskningsfusk, information om känsliga möten såsom rekryteringar och donatorer, arbets-dokument och minnesanteckningar innehållande känsliga uppgifter).

Information som, om den inte är korrekt och fullständig, kan medföra betydande skada.

Generellt tillämpligt:

1. Informationstillgång som omfattas av lagrum där

riktighetskrav anges (t.ex. PuL, eller speciallag-stiftning).

2. IT-system eller informationstillgång somingår i myndighetsutövning (t.ex. system som lagrar betyg……).

3. Information eller IT-system där krav på spårbar-het eller oavvislighet föreligger.

IT-system eller informationstillgång som ingår i eller stödjer kontinuerlig verksamhet där avbrott kan medföra betydande skada.

Generellt tillämpligt:

1. IT-system eller informationstillgång som ingår i eller utgör stöd för myndighetsutöv-ning

och/eller kärnverksamhet.

2. E-tjänster mot allmänhet och andra intres-senter.

Informationsklass Konfidentialitet Riktighet Tillgänglighet

2. Måttlig

a) orsakar en minskning i förmågan att lösa KI:s verksamhetsuppgifter i en utsträckning och varaktighet innebärande att effektiviteten i att fullgöra verksamhetens primära uppgifter är påvisbart reducerad;

b) resulterar i mindre skador på verk-samhetens eller annan parts till-gångar;

c) resultera i smärre ekonomiska förluster för KI eller annan part, eller d) förorsakar begränsad negativ på-verkan på enskild individs rättigheter eller hälsa.

Informationstillgång som innehåller känslig informa-tion som om den kommer i orätta händer kan medföra måttlig skada.

Generellt tillämpligt för:

1. Information erhållen från andra parter (t.ex. jobban-sökningar).

2. Avidentifierad patientdata, rådata från kliniska försök (ej spårbara till individ) och källkod.

3. Informationstillgång som inte utgör allmän handling och vilken endast innehåller generell information (t.ex.

arbetsmaterial som inte innehåller någon känslig information eller i övrigt någon information som kan härledas till enskilt företag, produkt eller individ).

4. Information som styrs av verksamhetsspecifik lagstiftning.

5. Uppgifter av intern karaktär vilka, utan andra restriktioner, endast egen personal

Information som, om den inte är korrekt och fullständig, kan medföra måttlig skada.

IT-system eller informationstillgång där verksamhetsberoendet är relativt lågt och där avbrott kan medföra måttlig skada.

Informationsklass: K1R2T1

Version 2.0

bör ha tillgång till (t.ex. forskningsplaner, strategisk plan för verksamheten, styrande dokument, utvärde-ringar och omdömen om personal och studenter, personalmeddelanden och kommunikationsplaner).

6. Information om vilka djurslag som KI bedriver djurförsök på.

Informationsklass Konfidentialitet Riktighet Tillgänglighet

1. Ingen/Försumbar Informationstillgång som endast innehåller informa-tion som är offentlig allmän uppgift eller informainforma-tion som om den kommer obehöriga till del medför ingen skada.

Information som är avsedd för eller kan spridas till en obestämd krets mottagare utan risk för negativa konse-kvenser.

Generellt tillämpligt för exempelvis:

1. Färdigställda interna riktlinjer, processbeskriv-ningar, instruktioner, kursmaterial och resultat från tentamina, manualer och arbetsordningar etc. som inte innehåller uppgifter vilka kan bli föremål för sekretess enligt lagen om offentlighet och sekretess.

2. Färdigställda och redan publicerade forskningsrap-porter, publika presentationer, externa nyhetsbrev och övrigt kommunikationsmaterial.

3. Metadata.

4. Beviljade anslagsansökningar, etiktillstånd och därtill hörande forskningsansökningar.

5. Personuppgifter rörande anställda och anknutna personer.

6. Information om ekonomi, utrustning, teknik, kemi-kalier etc. som används inom KI.

Information som, om den inte är korrekt och fullständig, endast kan medföra ringa eller ingen skada.

IT-system eller informationstillgång där verksamhetsberoendet är lågt och avbrott endast kan medföra ringa eller ingen skada.