Lagringsregler
Bakgrund
Högskolans information är en viktig resurs och en väl fungerande informationshantering är en förutsättning för en väl fungerande verksamhet. Viss information kan dessutom vara särskilt kritisk för verksamheten eller ha ett stort värde av andra skäl. Utöver detta ställer olika lagar och föreskrifter särskilda krav på högskolans informationshantering. Informationen kan t.ex. omfattas av sekretess, vara särskilt integritetskänslig eller vara av sådant slag att den ska bevaras för framtiden.
Högskolans verksamhet digitaliseras allt mer och därmed finns ett behov av riktlinjer för hantering och lagring av den information som behandlas. Information ska i första hand hanteras i de verksamhetssystem som finns för respektive område.
Syftet med dessa regler är att ge anställda förutsättningar att välja lämpliga lagringsplatser för den typ av information som ska behandlas. Alla system och tjänster har inte samma säkerhet. Därför är det viktigt att använda de tjänster som högskolan har avtal med och att rätt tjänst med rätt skyddsåtgärder används för den typ av information som ska behandlas.
Det är inte tillåtet att använda andra lagringsytor (inklusive samarbetsverktyg) i högskolans verksamhet utan att såväl licens-, säkerhets- och andra relevanta faktorer säkerställts.
Varje användare har ett eget ansvar att göra bedömningen att den information som behandlas inte bryter mot gällande regler.
Regelverk
Krav på högskolans informationshantering finns bland annat i tryckfrihetsförordningen, offentlighets- och sekretesslagen, arkivlagen, Myndigheten för samhällsskydd och beredskaps (MSB) föreskrifter och dataskyddsförordningen.
Privata konton och tjänstekonton
- Privata konton i lagringstjänster får inte användas vid tjänsteutövning.
- Tjänstekonton i lagringstjänster får inte användas för privata ändamål.
Anledningen till att inte använda privata konton till tjänsteutövning eller tjänstekonton till privata ändamål är att högskolan som myndighet måste kunna följa upp, spåra och vid behov lämna ut eller radera information. Detta innebär att all information som har betydelse för de uppgifter man utför för högskolans räkning inte får behandlas på privata konton. Högskolan kan inte heller garantera säkerhetsnivåerna i andra system än de som godkänts av myndigheten.
Arkivering och gallring/radering
Högskolans informationshanteringsplan reglerar hur länge information ska bevaras och hur arkivering ska gå till. Som anställd ansvarar du för att:
- gallra/radera information enligt gallringsfrist i informationshanteringsplanen
- arkivera information som ska bevaras enligt instruktioner i informationshanteringsplanen
Definitioner:
- Information av ringa betydelse för högskolans verksamhet är till exempel information som har ett tillfälligt administrativt värde såsom checklistor, minnesanteckningar, listor och enklare rutinbeskrivningar.
- Verksamhetskritisk information är information som har stor betydelse för högskolans verksamhet och där förlust kan orsaka en betydande skada för individ eller högskolan.
- Harmlösa personuppgifter är personuppgifter som inte innehåller känsliga eller extra skyddsvärda personuppgifter. De får heller inte innehålla sekretess.
Godkända molntjänster
För tillfället är Teams, OneDrive och Forms (Microsoft365) godkända för lagring av information i molnet. Observera att endast information som innehåller harmlösa personuppgifter och som är av ringa betydelse för högskolan enligt ovan definitioner får hanteras i dessa tjänster.
Denna lista kommer att uppdateras när system blir godkända eller plockas bort.
Rekommendation
För att hantera information som är verksamhetskritisk och/eller innehåller känsliga eller extra skyddsvärda personuppgifter eller sekretess så ska högskolans filservrar användas då högskolan tar en egen backup på dessa och lagring sker lokalt. Tänk dock på att kryptering av information kan krävas om rättigheterna på mapparna inte motsvarar de som har rätt att ta del av informationen.