Lagringsregler

Bakgrund

Högskolans information är en viktig resurs och en väl fungerande informationshantering är en förutsättning för en väl fungerande verksamhet. Viss information kan dessutom vara särskilt kritisk för verksamheten eller ha ett stort värde av andra skäl. Utöver detta ställer olika lagar och föreskrifter särskilda krav på högskolans informationshantering. Informationen kan t.ex. omfattas av sekretess, vara särskilt integritetskänslig eller vara av sådant slag att den ska bevaras för framtiden.

Högskolans verksamhet digitaliseras allt mer och därmed finns ett behov av riktlinjer för hantering och lagring av den information som behandlas. Information ska i första hand hanteras i de verksamhetssystem som finns för respektive område.

Syftet med dessa regler är att ge anställda förutsättningar att välja lämpliga lagringsplatser för den typ av information som ska behandlas. Alla system och tjänster har inte samma säkerhet. Därför är det viktigt att använda de tjänster som högskolan har avtal med och att rätt tjänst med rätt skyddsåtgärder används för den typ av information som ska behandlas.

Det är inte tillåtet att använda andra lagringsytor (inklusive samarbetsverktyg) i högskolans verksamhet utan att såväl licens-, säkerhets- och andra relevanta faktorer säkerställts.

Varje användare har ett eget ansvar att göra bedömningen att den information som behandlas inte bryter mot gällande regler.

Regelverk

Krav på högskolans informationshantering finns bland annat i tryckfrihetsförordningen, offentlighets- och sekretesslagen, arkivlagen, Myndigheten för samhällsskydd och beredskaps (MSB) föreskrifter och dataskyddsförordningen.

Privata konton och tjänstekonton

  • Privata konton i lagringstjänster får inte användas vid tjänsteutövning.
  • Tjänstekonton i lagringstjänster får inte användas för privata ändamål.

Anledningen till att inte använda privata konton till tjänstutövning eller tjänstekonton till privata ändamål är att högskolan som myndighet måste kunna följa upp, spåra och vid behov lämna ut eller radera information. Detta innebär att all information som har betydelse för de uppgifter man utför för högskolans räkning inte får behandlas på privata konton. Högskolan kan inte heller garantera säkerhetsnivåerna i andra system än de som godkänts av myndigheten.

Arkivering och gallring/radering

Högskolans informationshanteringsplan reglerar hur länge information ska bevaras och hur arkivering ska gå till. Som anställd ansvarar du för att:

  • gallra/radera information enligt gallringsfrist i informationshanteringsplanen
  • arkivera information som ska bevaras enligt instruktioner i informationshanteringsplanen

Definitioner:

  • Information av ringa betydelse för högskolans verksamhet är till exempel information som har ett tillfälligt administrativt värde såsom checklistor, minnesanteckningar, listor och enklare rutinbeskrivningar.
  • Verksamhetskritisk information är information som har stor betydelse för högskolans verksamhet och där förlust kan orsaka en betydande skada för individ eller högskolan.
  • Harmlösa personuppgifter är personuppgifter som inte innehåller känsliga eller extra skyddsvärda personuppgifter. De får heller inte innehålla sekretess.

Lagringstabell (PDF)

Godkända molntjänster

För tillfället är Box, Teams och OneDrive (Microsoft365) godkända för lagring av information i molnet. Observera att endast information som innehåller harmlösa personuppgifter och som är av ringa betydelse för högskolan enligt ovan definitioner får hanteras i dessa tjänster. På sikt är planen att Box kommer att fasas ut.

Denna lista kommer att uppdateras när system blir godkända eller plockas bort.

Rekommendation

För att hantera information som är verksamhetskritisk och/eller innehåller känsliga eller extra skyddsvärda personuppgifter eller sekretess så ska högskolans filservrar användas då högskolan tar en egen backup på dessa och lagring sker lokalt. Tänk dock på att kryptering av information kan krävas om rättigheterna på mapparna inte motsvarar de som har rätt att ta del av informationen.