Brister i lärosätenas arbete med att hantera skyddsvärda forskningsdata
Svenska universitet och högskolor bedriver inte ett effektivt informationssäkerhetsarbete för att hantera skyddsvärda forskningsdata, visar Riksrevisionens granskning. Ofta saknar lärosätena kunskap både om vad som är skyddsvärt och hur det ska skyddas.
Foto: Maskot
Främmande staters underrättelsearbete mot svenska universitet och högskolor har intensifierats under senare år. Behovet av ett effektivt informationssäkerhetsarbete har därmed ökat.
Riksrevisionens granskning av de 24 lärosäten som bedriver naturvetenskaplig och teknisk forskning visar att de inte arbetar effektivt för att identifiera och hantera skyddsvärda forskningsdata* – trots krav på detta i föreskrifter ända sedan 2008.
– Informationssäkerhetsarbetet kring forskningsdata har varit eftersatt vid lärosätena under lång tid och har inte bedrivits effektivt. Ansvaret för detta vilar i första hand på lärosätena, men regeringen och andra myndigheters åtgärder för att följa upp och stärka lärosätenas informationssäkerhetsarbete har varit otillräckliga, säger riksrevisor Helena Lindberg.
En övervägande del av forskningsdata behöver inte skyddas utan kan vara tillgänglig för alla. Men för att kunna identifiera vilka data som är skyddsvärda behövs kännedom om de forskningsdata som hanteras i verksamheterna. Eftersom lärosätena har bristande kännedom om vilka skyddsvärda data som de hanterar, och om det sker på rätt sätt, saknas underlag för korrekta riskbedömningar. Det försvårar i sin tur beslut om att införa ändamålsenliga säkerhetsåtgärder.
Många forskare har otillräckliga kunskaper och kompetens i frågor som rör informationssäkerhet. Det gäller bland annat kunskap om hur information ska skyddas rent praktiskt och hur forskningsdata ska klassas i förhållande bland annat till gällande regelverk och externa krav – inklusive säkerhetsskyddslagen.
– Lärosätenas ledningar har inte prioriterat arbetet med informationssäkerhet i tillräcklig utsträckning och beslutade riktlinjer, rutiner och arbetssätt har inte implementerats fullt ut, säger Sara Monaco, projektledare för granskningen.
Dessutom har regeringen varit senfärdig i sin uppföljning av informationssäkerheten vid lärosätena. Först 2019 började regeringen följa upp dessa frågor mer systematiskt i myndighetsdialoger med lärosätena och genom olika återrapporteringskrav.
De olika utbildningsinsatser och stöd som bland andra Myndigheten för samhällsskydd och beredskap (MSB) tillhandahåller har heller inte haft tillräckligt genomslag i högskolesektorn.
Rekommendationer i korthet
Riksrevisionen rekommenderar regeringen bland annat att ge MSB i uppdrag att genomföra kompetenshöjande insatser till ledningarna för universitet och högskolor.
Dessutom bör universitet och högskolor få i uppdrag att inrätta en gemensam stödfunktion för informationssäkerhet. Etableringen bör ske i samråd med MSB och andra relevanta myndigheter.
De 24 högskolor och universitet som ingår i granskningen rekommenderas att se till att roller och ansvarsfördelning är tydliga – från ledningsnivå till enskilda medarbetare – så att alla känner till sitt ansvar för att hantera forskningsdata korrekt.
Dessutom bör lärosätena se till att det finns kompetens att analysera informationssäkerhetsrisker kopplade till forskningsdata.
Se granskningsrapporten för fullständiga rekommendationer.
* Med skyddsvärda forskningsdata avses i den här granskningen sådan data som i första hand behöver skyddas på grund av sekretess, dataskyddsreglering eller annan specialreglering. Det kan exempelvis röra stora mängder eller känsliga personuppgifter, företagshemligheter eller säkerhetskänslig verksamhet.
Presskontakt: Olle Castelius, tel: 08-5171 40 04.
Dela i sociala medier och via e-post
Kontakta oss
Skicka dina frågor eller synpunkter via formuläret nedan så ser vi till att de når rätt handläggare. Ange gärna om din fråga har att göra med informationen på just den här sidan. Genom att skicka in en fråga till oss medger du behandling av dina personuppgifter i enlighet med EU:s dataskyddsförordning (GDPR).