Til startsiden
  • Personvern
  • Arkiv
  • Nettstedskart
  • Kontakt oss
  • Skriv ut
  • Skriv ut
  • Endre tekststørrelse
English

UDI internmeldinger

IM 2018-010
Dokument-ID : IM 2018-010
Saksnummer : 18/00146-13
Dokumentdato : 02.07.2018
Mottakere :

Utlendingsdirektoratet

Klassifisering og behandling av opplysninger i UDIs IT-systemer


1. Innledning

2. Hvem skal klassifisere informasjon?

3. Hvordan bestemme klassifiseringskategori?

4. Hvordan gjennomføre klassifiseringen?

5. Hvordan behandle informasjon som klassifiseres i henhold til denne internmeldingen?

6. Om vedleggene til denne internmeldingen

6.1 Hva skal vedleggene inneholde?

6.2 Hvem skal utarbeide vedleggene?

1. Innledning

UDI skal behandle informasjon på en lovlig og sikker måte. Denne internmeldingen gir retningslinjer for hvordan informasjon i UDI skal klassifiseres utfra behov for beskyttelse. Klassifisering skal hjelpe medarbeidere i UDI å behandle informasjon i UDIs IT-systemer i samsvar med interne krav og overordnede rettslige rammer.

Retningslinjen følger opp og konkretiserer føringene for informasjonssikkerhet som er gitt i IM 2011-032 Styrende dokumenter for personvern og informasjonssikkerhet med vedlegg.

Skjermingsverdig informasjon som er gradert etter sikkerhetsloven eller beskyttelsesinstruksen skal ikke klassifiseres etter denne internmeldingen. Se IM 2010-037 Behandling av skjermingsverdig sikkerhetsgradert informasjon etter sikkerhetsloven og beskyttelsesinstruksen for retningslinjer om behandling av slik informasjon.

2. Hvem skal klassifisere informasjon?

Den enkelte medarbeider skal selv klassifisere informasjon som han eller hun lagrer i UDIs IT-systemer såfremt IT-systemene har tilrettelagt for dette.

Behovet for å beskytte informasjon kan endre seg. Enhver medarbeider som behandler informasjon skal sørge for å oppdatere klassifiseringen hvis den ikke lenger er korrekt.

3. Hvordan bestemme klassifiseringskategori?

I UDI benytter vi følgende klassifisering:

Klassifisering

Fargekode

Sensitiv

Rød

Intern

Gul

Offentlig

Grønn


Sensitiv (rød)
omfatter informasjon som UDI i henhold til lov eller avtale er forpliktet til å beskytte, inkludert:

  • særlige kategorier av personopplysninger etter personvernforordningen (etnisitet, helse, seksuelle forhold, religiøs, filosofisk eller politisk oppfatning, fagforeningstilhørighet og biometri)
  • opplysninger om straffedommer og lovovertredelser
  • informasjon som er underlagt taushetsplikt etter forvaltningsloven, særlov eller avtale (taushetsbelagt informasjon finnes både i utlendings- og statsborgersaker som UDI behandler, personalforhold (HR) og ved anskaffelser)
  • andre typer opplysninger som UDI mener er nødvendig eller hensiktsmessig å beskytte (for eksempel kan dette gjelde når informasjonen inneholder personopplysninger om mange)

Intern (gul) omfatter informasjon som ikke klassifiseres som «Sensitiv», men som likevel ikke bør være åpent tilgjengelig for alle. Typisk gjelder dette interne saksdokumenter, for eksempel dokumenter under arbeid, og annen informasjon som UDI kan unnta fra innsyn etter offentleglova, men kan også gjelde informasjon som det av andre årsaker er ønskelig å holde innenfor en avgrenset gruppe. Gruppen kan også inkludere aktører utenfor UDI.

Offentlig (grønn) omfatter all informasjon som ikke er verken sensitiv eller intern.

4. Hvordan gjennomføre klassifiseringen?

Hvordan medarbeidere skal gjennomføre klassifiseringen i de enkelte IT-verktøyene fremgår av vedlegg til denne internmeldingen for hvert enkelt IT-verktøy.

5. Hvordan behandle informasjon som klassifiseres i henhold til denne internmeldingen?

De ulike IT-verktøyene kan utfra klassifiseringen bidra til å sikre informasjon som medarbeidere i UDI behandler. Likevel er det medarbeidernes ansvar at behandlingen skjer i henhold til gjeldende regler etter blant annet utlendingsloven, forvaltningsloven, offentlighetsloven, personopplysningsloven, arkivloven, sikkerhetsloven, anskaffelsesloven og bokføringsloven. Klassifiseringen innebærer ikke en forhåndsvurdering av en eventuell begjæring om innsyn.

6. Om vedleggene til denne internmeldingen

6.1 Hva skal vedleggene inneholde?

Vedlegget skal beskrive hvordan en medarbeider gjennomfører og endrer klassifisering av informasjon, og hvilke krav til informasjonssikkerhet som IT-verktøyet ivaretar automatisk på grunnlag av klassifiseringen.

6.2 Hvem skal utarbeide vedleggene?

Den som er ansvarlig for innføringen av nye IT-verktøy som skal legge til rette for klassifisering av informasjon er også ansvarlig for at et vedlegg til denne internmeldingen blir utarbeidet og publisert før IT-verktøyet tas i bruk.


Anne Karin Jeppesen
Avdelingsdirektør

Kontakt:
Avdeling for elektronisk forvaltning, Utvikling.

 

Siste endringer
  • Endret: IM 2018-010 Klassifisering og behandling av opplysninger i UDIs IT-systemer (08.11.2018)

    Vedlegget har blitt endret. Det er utført tekniske endringer for å sende kryptert e-post.

  • Ny: IM 2018-010 Klassifisering og behandling av opplysninger i UDIs IT-systemer (02.07.2018)

    Ny internmelding om klassifisering av informasjon i UDIs IT-systemer. Internmeldingen gir generelle retningslinjer for klassifisering av informasjon og en oversikt over de ulike kategoriene for klassifisering. Vedleggene vil gi mer detaljerte retningslinjer for klassifisering i spesifikke IT-systemer. Vedlegg 1 er publisert, og gir retningslinjer og veiledning for klassifisering i Office 365.

Utlendingsdirektoratet
Postboks 2098 Vika
0125 Oslo

Ansvarlig redaktør: Stephan Mo