Behandling og opbevaring af personoplysninger

Du kan behandle og opbevare data fra Office-programmer, IT-systemer og lignende mange forskellige steder. Der er nogle særlige regler for, hvor man må håndtere og opbevare personoplysninger, som du skal følge. 


Hvad må jeg, mens jeg arbejder med personoplysninger?

Netværksdrev

Så længe du arbejder på personoplysninger, er det bedste sted at opbevare dem på universitetets netværksdrev. På den måde sikrer du, at personoplysningerne opbevares forsvarligt, og at du har en backup, hvis uheldet er ude.

Der er grundlæggende to typer af netværksdrev: 

  1. Et personligt drev, hvor det kun er dig selv, der har adgang.
  2. Et delt drev/mappe, hvor flere personer har adgang. Opbevares der personoplysninger på et delt drev/mappe, er det vigtigt, at det kun er personer, der har et legitimt behov for at tilgå personoplysninger, som har adgang til drevet/mappen. 
    Læs mere om fælles drev

Logning på netværksdrev/fælles drev

Hvis du har brug for at kunne dokumentere, hvem der har tilgået data hvornår, skal du bestille et netværksdrev med såkaldt logning (registrering). Et drev med logning er kun nødvendigt, når der er tale om personoplysninger.

Se hvordan du bestiller et netværksdrev med logning. 


 

AU arbejdscomputer 

Du bør aldrig udelukkende opbevare (følsomme) personoplysninger på din AU computer. Hvis du har behov for at have en kopi af dine (følsomme) personoplysninger på din AU computer, skal du sikre dig, at computeren er krypteret.

Læs mere om kryptering.   


USB diske/USB nøgler

Hvis du ikke har mulighed for at opbevare personoplysninger på et netværksdrev, men fx er nødt til midlertidigt at opbevare dem på en USB disk eller en USB nøgle, skal du sikre dig, at personoplysningerne er krypteret. 

Læs mere om kryptering. 


Forskningsprogrammer

Det er også muligt at opbevare personoplysninger i dedikerede forskningssystemer, som fx RedCap.


Cloudtjenester

I forbindelse med specifikke tjenester benytter Aarhus Universitet sig af cloud-tjenester. I den forbindelse er der indgået særskilte aftaler. Vær dog opmærksom på, at der ikke er indgået aftaler med cloud-tjenester som OneDrive, Google Drev og DropBox, hvilket betyder, at disse tjenester ikke må benyttes til opbevaring af personoplysninger.

Læs mere om indgåelse af databehandleraftaler. 

Hvad må jeg IKKE, mens jeg arbejder med personoplysninger?

Privat computer eller andet privat udstyr

Du må aldrig opbevare eller behandle fortrolige eller følsomme personoplysninger på din private computer eller andet privat udstyr. Hvis du arbejder med personoplysninger, skal du altid benytte den computer, du som medarbejder har fået udleveret af Aarhus Universitet.


Cloudtjenester

I forbindelse med specifikke tjenester benytter Aarhus Universitet sig af cloud-tjenester. I den forbindelse er der indgået særskilte aftaler. Vær dog opmærksom på, at der ikke er indgået aftaler med cloud-tjenester som OneDrive, Google Drev og DropBox, hvilket betyder, at disse tjenester ikke må benyttes til opbevaring af personoplysninger.

Læs mere om indgåelse af databehandleraftaler. 

Opbevaring af personoplysninger i endelig form

Når du er færdig med at arbejde med personoplysninger, og resultatet ligger i endelig form, skal du være opmærksom på, at der gælder andre regler. Personoplysninger må ikke opbevares i endelig form i AU's mailprogram og Office-programmer. 

Som udgangspunkt har du tre muligheder:

  1. Anonymisere personoplysninger. Dermed gælder der ingen restriktioner.
  2. Slette personoplysninger, når der ikke længere er et legitimt formål med opbevaringen.
  3. Arkivere personoplysninger, fx i Workzone eller hos Dansk Data Arkiv. 
    Find journaliseringsinstruks og journalplan. 

OBS! Videnskabelige medarbejdere skal være opmærksomme på, at man ifølge ”Ansvarlig forskningspraksis ved Aarhus Universitet”, SKAL opbevare primære (og dermed de personhenførbare) oplysninger i minimum 5 år efter ”afslutning” (dvs. i praksis i minimum 5 år efter den seneste offentliggørelses af nye resultater fra et givent datasæt). I den forbindelse forpligter AU sig desuden til at stille servere, arkiver og lignende til rådighed.

Opbevaring af fysisk materiale med personoplysninger

Reglerne for sikker opbevaring af personoplysninger er principielt de samme for digitalt og fysisk materiale. Dvs. at kun betroede personer med et sagligt behov skal have adgang til personoplysningerne. Det fysiske materiale med personoplysninger skal opbevares aflåst, når det ikke bruges, og må kun være tilgængeligt for betroede personer. De fysiske materiale skal destrueres forsvarligt, når formålet med opbevaringen ophører.