Regler om gallring av handlingar inom Stockholm universitets arbete med informationssäkerhet

Rektor har 2024-12-03 beslutat om Regler om gallring av handlingar inom Stockholm universitets arbete med informationssäkerhet (dnr SU FV-4010-24).

Ansvarig enhet: Stockholms universitetsbibliotek

Kontaktperson: arkivet@su.se

(Dokumentet har aktualitetsgranskats 2025.)

Beskrivning

Detta dokument anger regler om gallring av handlingar inom Stockholm universitets arbete med informationssäkerhet och vänder sig till samtliga delar av organisationen. Allmänna handlingar får gallras men bara om det kvarvarande beståndet tillgodoser de ändamål som anges i Arkivlagen och gallringen har stöd i författningar. I detta regeldokument ingår inte tillämpning av handlingar som ingår i Bilaga 2 (handlingar inom säkerhetsskydd), RA-FS 2021:3 och 2024:7.

Inledning

Syftet med detta styrdokument är att beskriva hur här definierade handlingar inom informationssäkerhet ska hanteras vid Stockholms universitet.

Nationell reglering

Allmänna handlingar får gallras men bara om det kvarvarande beståndet tillgodoser de ändamål som anges i Arkivlagen och gallringen har stöd i författningar. Vissa handlingar ska bevaras. Med stöd av Riksarkivets föreskrifter och allmänna råd om gallring av handlingar inom myndigheters arbete med informationssäkerhet och säkerhetsskydd (RA-FS 2021:3 och 2024:7) gäller detta regeldokument vid Stockholms universitet.

Aktualitetsgranskning

Centrala arkiv- och registraturfunktionen vid Stockholms universitetsbibliotek ansvarar för att aktualitetsgranska regelverket gällande allmänna handlingar och vid behov uppdatera tillämpningsbesluten vid Stockholms universitet. Uppdateringen sker i samråd med övriga delar av Stockholms organisation.

Avgränsning

Reglerna i detta beslut gäller inte om det finns avvikande regler om bevarande eller gallring i lag eller förordning eller i föreskrifter eller beslut som grundar sig på lag eller förordning.

I detta regeldokument ingår inte tillämpning av handlingar som ingår i Bilaga 2 (handlingar inom säkerhetsskydd), RA-FS 2021:3 och 2024:7. Beslutet om att undanta handlingarna är fattat i samråd med Säkerhetsskyddssamordnare, vid Fastighetsavdelningen.

Gallring

Gallringen får endast ske under förutsättning att allmänhetens rätt till insyn inte åsidosätts och att handlingarna bedöms sakna värde för rättskipning, förvaltning och forskning.
För allmänna handlingar som får gallras när de inte behövs för verksamheten ska fristen eller tidpunkten för gallring fastställas så att inte handlingarna gallras innan:

  • föreskriven bearbetning, redovisning eller kontroll har slutförts,
  • tidsfrist för revision och preskription har gått ut,
  • betydelse för styrkande av rättigheter och skyldigheter eller
  • betydelse för förståelse av andra handlingar har upphört.

Tillämpning

Detta dokument vänder sig till samtliga delar av Stockholm universitets organisation.

Stockholms universitet är en arkivbildare och alla institutioner, centrumbildningar under fakultet och förvaltningsavdelningar är följaktligen delarkivbildare med ansvar för sin del av den gemensamma arkivbildningen. Ansvaret för dokumenthantering och arkivvård ligger hos ledningen på respektive organisation. Handläggningsordning för arkiv- och registraturorganisation förtydligar ansvarsfördelningen ytterligare.

Stockholms universitet ska kontinuerligt genomföra analyser av sin tillämpning av detta regeldokument. Resultatet av analyserna ska ligga till grund för bedömningen av vilka handlingar som behöver bevaras för förståelse av Stockholm universitets arbete med informationssäkerhet och hur omvärlden har påverkat detta arbete.

Reglerna får tillämpas retroaktivt.

* = När en handlingstyp/rad eller anmärkning markeras med en asterisk efter sig så förtydligar det att denna handling eller anmärkning inte omnämns specifikt i Riksarkivets ursprungliga föreskrift utan att den har lagts till för att förtydliga för Stockholms universitet. Riksarkivet tar fram generella föreskrifter och allmänna råd för myndigheter, som sedan fattar ett lokalt beslut hur föreskrifterna ska tillämpas vid myndigheten, och som för Stockholms universitet utgörs av detta dokument. Det ges ofta utrymme från Riksarkivet att förtydliga, och i vissa fall även anpassa, vissa beslut för den särskilda myndigheten.

Gallring av handlingar inom Stockholm universitets arbete med informationssäkerhet utom säkerhetsskydd

Handlingar och lagringsmedium*

*Riksarkivets definition: Fysiskt underlag för handlingar som används för att kunna lagra och läsa uppgifter i t.ex. USB-minnen, mobiltelefoner, bärbara datorer, kopiatorer och skrivare.

Handlingar

Gallring

Anmärkning

Dokumentation över förstörda handlingar eller lagringsmedium.

 

Gallras 5 år efter det att handlingen upprättades.

Undantag från gallring:
Rapporter, listor och protokoll som utgör underlag i ett annat ärende ska hanteras enligt reglerna för det ärendet.

Avser till exempel:

  • Förstörings- eller gallringsrapporter
  • Makuleringslistor.
  • Kassations- och avyttringsprotokoll/rapporter.

Dokumenterade tillstånd om att föra ut utrustning, handlingar eller datorprogram utanför organisationens lokaler.

  1. Tillfälliga tillstånd gallras senast 6 månader efter det att uppdraget som tillståndet avsåg har avslutats.
  2. Tillsvidare tillstånd gallras 2 år efter det att anställningen eller uppdraget har avslutats.

 

Avser till exempel:

  • Tillstånd att under anställning eller uppdrag ta med datorutrustning och programvaror.
  • Tillstånd att ta med datorutrustning och programvaror vid konferenser eller annat utbyte.

 

 

Handlingar rörande ansökan och beslut om tillstånd för export av produkter med dubbla användningsområde och av tekniskt bistånd.*

 

 

Gallras 5 år efter det att tillståndet upphört att gälla.

 


Tulldeklaration vid export av produkter med dubbla användningsområden och av tekniskt bistånd.*

 

Gallras 5 år efter det att tillståndet upphört att gälla.

 


Checklista - forskarens beslut om att tillstånd för export av produkter med dubbla användningsområden och av tekniskt bistånd inte behöver sökas.*

Gallras 10 år efter att projektet/motsvarande avslutats


Checklista - forskarens beslut om att tillstånd för export av produkter med dubbla användningsområden och av tekniskt bistånd behöver sökas.*

Gallras 6 månader efter det att tillstånd från Inspektionen för strategiska produkter (ISP) inkommit.


Dokumentation om import av produkter med dubbla användningsområden och av tekniskt bistånd.*

Gallras 10 år efter det att projektet/motsvarande avslutats


Undantag från gallring:
Om t.ex. forskningsdata eller handlingar rörande teknikutveckling bevaras ska även dokumentationen om import bevaras.


Dokumentation över transport av handlingar och lagringsmedium.

Gallras 1 år efter det att gallringsfristen baserad på handlingarnas och informationens på lagringsmediums skyddsnivå är passerad.

Avser dokumentation om hur handlingar och lagringsmedium skyddas mot obehörig åtkomst, missbruk eller förvanskning under transport.

 

Avser till exempel:

  • Transportsäkerhetsanalyser.
  • Transportsäkerhetsplaner.
  • Beslut om transportnivåer.

Handlingar och uppgifter rörande hantering av användaråtkomst eller behörighetskontroll till handlingar och informationssystem.

Gallras 1 år efter det att gallringsfristen baserad på systemets skyddsnivå är passerad.

Avser handlingar och uppgifter om att styra och begränsa åtkomst till handlingar och informationssystem, säkerställa behörig användaråtkomst och att förhindra obehörig åtkomst till informationssystem och tjänster samt att förhindra obehörig åtkomst till system och tillämpningar.


Avser till exempel:

  • Dokumenterade beslut om tilldelning av användaridentitet och behörighet.
  • Förteckningar över användare med åtkomsträttigheter eller behörigheter.
  • Handlingar rörande autentisering och behörighetskontroll.
  • Lösenord.
  • Användarkonton, administratörskonton och testkonton.

Handlingar rörande kryptografiska säkerhetsåtgärder.

Gallras 6 månader efter det att ärendet eller aktiviteten är avslutad.


Undantag från gallring:
Rutiner, dokumentation om arbetssätt och styrdokument om hantering av kryptonycklar eller motsvarande ska bevaras

Avser handlingar för sådant som hantering av krypteringsnycklar och krypteringsmateriel vid generering, lagring, hämtning, distribution, återkallande och destruering.

 

Avser till exempel:
Meddelande om att byta kryptonyckel

Kryptonycklar*

Kryptonycklar ska gallras senast nästa arbetsdag efter det att den upphört att gälla.


Algoritm för skapande av kryptonycklar*

Algoritm för skapande av kryptonycklar ska gallras senast nästa arbetsdag efter det att den upphört att gälla.


Handlingar rörande aktiva kort och mjuka certifikat.

Gallras senast 6 månader efter det att anställningen är avslutad.


Hantering vid Stockholms universitet:
Certifikat gallras inte, men upphör att gälla och är efter det inte längre användbart.

Avser till exempel:

  • Beställningshandlingar.
  • Kvittenser.
  • Register över kort och certifikat.
  • Kortet eller certifikatet.

Informationssystem*

*Riksarkivets definition: Applikationer, tjänster eller andra komponenter som hanterar information, i begreppet ingår också nätverk och infrastruktur.

Handlingar

Gallring

Anmärkning

Uppgifter och handlingar som rör säkerhet vid utveckling av och ändringar i informationssystem.

Gallras 1 år efter det att gallringsfristen baserad på systemets skyddsnivå är passerad.

Avser handlingar och uppgifter som syftar till att säkerställa att för-ändringar är säkra, kontrollerade, godkända och införs på ett systematiskt, spårbart och kontrollerat sätt.
Kan ingå i en samlad dokumentation avseende utveckling och ärenden om ändringar.


Avser till exempel:

  • Ändringsförslag.
  • Lösningsförslag.
  • Rapporter om genomförda förändringar.
  • Handlingar rörande test.

Avser inte den dokumentation som behövs för att dokumentera elektroniska handlingar som ska bevaras.

Förteckningar över tillgångar kopplade till informationssystem.

Gallras 1 år efter det att gallringsfristen baserad på systemets skyddsnivå är passerad.

Avser förteckningar som identifierar och kartlägger sådant som maskinvaruenheter, programvaror och tjänster i syftet att skaffa överblick över tillåtna och otillåtna enheter och programinstallationer och att ha kontroll över gällande konfigurationer

Handlingar och uppgifter som beskriver ingående delar i informationssystem och som har betydelse för verksamhetens säkerhet.

 

Gallras 1 år efter det att gallringsfristen baserad på systemets skyddsnivå är passerad.

 

Avser dokumentation som redogör för de säkerhetsåtgärder som avser informationssystemet och vad som är av betydelse för att kunna upprätthålla säkerheten i och kring systemet.

 

Kan ingå i en samlad dokumentation som beskriver ingående delar i informationssystemet.
Avser inte den dokumentation som behövs för att dokumentera elektroniska handlingar som ska bevaras.

Handlingar rörande ändringshantering inom IT-drift.

 

Gallras efter det att systemet har avvecklats och 1 år efter det att gallringsfristen baserad på systemets skyddsnivå är passerad.

 

Avser handlingar och uppgifter rörande säkerheten vid ändringar i informationssystem.


Avser till exempel:

  • Uppgifter i register över ändringar.
  • Bedömningar av den potentiella påverkan, inbegripande påverkan på informationssäkerhet.
  • Verifieringar av att informationssäkerhetskrav är uppfyllda.


Kan ingå i en samlad dokumentation som rör ändringshantering.

 

Avser inte den dokumentation som behövs för att dokumentera elektroniska handlingar som ska bevaras

Handlingar rörande kapacitetshantering.

Gallras 6 månader efter det att systemet har avvecklats eller att förändringar implementerats baserade på prognoser.

Avser handlingar och uppgifter om när användningen av informationssystem övervakas och justeras samt när prognoser görs av framtida kapacitetskrav.

 

Kan ingå i en samlad dokumentation om kapacitetshantering.

Handlingar rörande skydd mot skadlig kod.

Gallras 6 månader efter det att uppdatering är implementerad.

Avser till exempel inkomna program och handlingar rörande uppdatering av program för upptäckt av skadlig kod m.m.

Uppgifter i loggar som registrerar händelser som kan påverka säkerheten i eller kring ett informationssystem.

 

Gallras 1 år efter det att det att loggen är upprättad. Gallringsfristen är 1 år efter det att systemets skyddsnivå är passerad.

 

Undantag från gallring:
Loggar som ingår som underlag i incidentärenden hanteras enligt reglerna för dessa ärenden.

 

Avser manuell eller automatisk registrering av uppgifter i loggar som syftar till att upptäcka och utreda sådant som skadlig eller otillåten påverkan, obehörig åtkomst och funktionsstörningar i informationssystem. Kan benämnas som säkerhetsloggar.

Dokumenterade analyser av innehållet i säkerhetsloggar.

Gallras 1 år efter det att det att analysen är upprättad. Gallringsfristen är 1 år efter det att systemets skyddsnivå är passerad.

Avser även de uppgifter i loggar som identifierats, samlats in, kopierats för att ligga till grund för analys. Uppgifter i analyser kan bestå av t.ex. beskrivning av händelser som för ändringar och störningar i driften, be dömd orsak och vidtagen åtgärd.

 

Kan ingå i myndighetens incidenthantering.

Lista/förteckning med uppgift om vem som har tillgång till informationssystem och handlingar/information samt under vilken tidsperiod.*

Gallras 1 år efter det att gallringsfristen baserad på handlingens/informationens skyddsnivå är passerad.

Avser lista/förteckning över behörighet till system.

Personalsäkerhet*

*Riksarkivets definition: Säkerställa att anställda eller de som deltar i verksamheten förstår sitt ansvar och är lämpliga för de roller som de är tilltänkta för.

Handlingar

Gallring

Anmärkning

Handlingar rörande bakgrundskontroll för den som inte anställs eller anlitas.

  1. Gallras efter 1 månad om kontrollen avbryts av arbetsgivaren eller om den sökande återtar ansökan.
  2. Gallras 2 år efter det att beslutet om anställning har vunnit laga kraft.
  3. Vid preskriptionsavbrott enligt diskrimineringslagen (2008:567) får handlingar istället gallras först då den väckta talan avslutats genom dom eller beslut som vunnit laga kraft.

Avser den bakgrundskontroll som kan göras på sökande som ska anställas eller anlitas.


Avser inte handlingar rörande den som anställts eller anlitats.


*Avser inte säkerhetsprövning.

Handlingar rörande tystnadsplikt.

Gallras 10 år efter det att anställningen eller uppdraget vid Stockholms universitet är avslutat.

Avser till exempel:

  • Sekretessbevis.
  • Sekretessförbindelser.
  • Tystnadspliktsförbindelser

Gallringsfristen baseras på följande:

  • Brottsbalken 20 kap 3 §
    Brott mot tystnadsplikt ger böter eller fängelse i högst 2 år.
    Grovt brott mot tystnadsplikt ger fängelse i lägst 6 månader och högst 4 år.
  • Brottsbalken 35 kap 1 §
    Bortfallande av påföljd efter 5 år för brott som vid dags datum ger max 2 års fängelse.

Bortfallande av påföljd efter 10 år för brott som vid dags datum ger max 4 års fängelse.

Förteckningar över leverantörers personal som är behörig att komma åt eller ta emot myndighetens information.

 

Gallras 1 år efter det att gallringsfristen baserad på handlingens/informationens skyddsnivå är passerad.

 


Larmlistor.

 

Gallras senast 6 månader efter det att ny larmlista upprättats.

 

Avser listor med kontaktuppgifter för att nå personal vid t.ex. händelse av kris.

Anvisning för anmälan vid allvarlig händelse*.

Gallras senast 6 månader efter det att informationen i anvisningen inte längre är aktuell.


Fysisk säkerhet*

*Riksarkivets definition: förhindra eller försvåra fysisk åtkomst till, skador på och störningar i tillgången till organisationens information och informationssystem.

Handlingar

Gallring

Anmärkning

Handlingar rörande säkerhetsåtgärder för att förhindra otillåten fysisk åtkomst till, skador på och störningar i tillgången till organisationens information och informationssystem.

 

 

Avser handlingar och uppgifter rörande:

  • Tillträdesbegränsning till olika delar av verksamheten, till exempel besökshantering eller hantering av kort, koder, nycklar eller liknande.
  • Skydd mot yttre och miljörelaterade hot.
  • Upptäckande funktioner till exempel yttre och inre larm och objektslarm eller annan systematisk bevakning.

 

Rapport från vaktbolag vid utryckning och rondering.*

Gallras 1 år efter avslutat ärende.

Rapporten kan i förekommande fall ingå som underlag vid fakturering.

Ljud- och bildupptagningar vid kamerabevakning.

 

  1. Gallras efter 1 månad genom att ljud- och bildupptagningen skrivs över.
  2. Vid polisanmälan laddas ljud- och bildtagningen ned från systemet och lämnas till Polisen vid begäran. Gallras 1 månad efter det att Polisen begärt in ljud- och bildupptagningen eller när Stockholms universitet fått besked om att ärendet avslutats.

Handlingar som har överförts till ett ärende gallras enligt reglerna för ärendet i övrigt.

Kopior av handlingar rörande skalskydd som avser golv, väggar, tak, fönster och dörrar för skapande av underlag.*

 

Kopior och underlag gallras 1 månad efter det att uppdateringen är inlagd i systemet.

 

Bygghandlingarna förvaras hos den organisation som äger fastigheten.


I samband med ärenden avseende om- eller tillbyggnader kan Stockholms universitet begära att få tillgång till fastighetsägarens system som förvarar ritningarna.

Kopior av handlingar rörande larm- och områdesbevakning för skapande av underlag.*

Kopior och underlag gallras senast 1 månad efter det att uppdateringen är inlagd i systemet.

Ritningarna förvaras hos leverantören av säkerhetssystemet.

Instruktioner för bevakning ingående i avtal med bevakningsföretag.*

Gallras 1 månad efter det att ny upphandling av bevakningsföretag avslutats och nya avtalet har trätt i kraft.

Instruktionerna förvaras hos bevakningsföretaget.

Underlag till uppdateringar av larmritningar och koder.*

Underlaget gallras 1 månad efter det att uppdateringen är inlagd i systemet.

Larmritningar och koder förvaras hos leverantören av säkerhetssystemet.

Underlag till uppdatering av larmritningar vid sammanslagning av institutioner eller stora förändringar av fastigheter.*

Gallras 1 månad efter det att ny ritning upprättats.

Larmritningar förvaras hos leverantören av säkerhetssystemet.

Register över passerkort*

Uppgift i registret gallras 1 månad efter det att anställning eller uppdrag avslutats.

Passerkort avaktiveras när anställningen eller uppdraget avslutats.


Registret kan uppdateras under tiden en person är kvar på SU om behörigheter till lokaler förändras.

Lista/förteckning med uppgift om vem som har tillgång till vilken lokal samt under vilken tidsperiod.*

Gallras 1 år efter det att gallringsfristen baserad på lokalens skyddsnivå är passerad.

Avser lista/förteckning över behörighet till fysiska lokaler.

Register över fysiska nycklar*

Uppgift i registret gallras 1 månad efter det att anställning eller uppdrag avslutats.

Den fysiska nyckeln återlämnas när anställningen eller uppdraget avslutats.


Registret kan uppdateras under tiden en person är kvar vid Stockholms universitet om behörigheter till lokaler förändras.

Lista för kontroll avseende passerkort och nyckel.*

Gallras 1 månad efter det att uppgifterna i registret är uppdaterade.

Listan skickas var sjätte månad för att kontrollera om personen fortfarande är anställd eller har uppdrag vid Stockholms universitet.

Incidenthantering*

*I ISO 27000-serien definieras informationssäkerhetsincident som en enskild eller flera oönskade eller oväntade informationssäkerhetshändelser som har negativa konsekvenser för verksamheten och dess informationssäkerhet. Incidenthantering definieras som informationssäkerhetprocesser för upptäckande, rapportering, bedömning, agerande, hantering och lärande av informationssäkerhetsincidenter.

Handlingar

Gallring

Anmärkning

Handlingar rörande incidenter och avvikelser.

 

Avser handlingar om incidenter och avvikelser rörande till exempel information, IT och personal och som efter en tid förlorar betydelse för verksamheten.


Avser inte handlingar som:

  • Ingår i eller leder till brottsutredningar.
  • Leder till att betydande åtgärder eller ändringar vidtas i sådant som till exempel interna regelverk eller informationssystem.
  • Redogör för att och hur incidenten påverkat riktighet, äkthet, autenticitet, tillförlitlighet eller integritet i handlingar som ska bevaras.
  • Redogör för incidenter som innebär otillåten gallring.

Incidentrapportering MSB - dokumentation av notifiering per telefon.*

Gallras senast 6 månader efter det att slutrapport är expedierad till Myndigheten för Samhällsskydd och Beredskap (MSB)

En notifiering per telefon till CERT-SE ska göras inom 6 timmar från det att en incident har identifierats.

Mall för incidentrapportering*

 

Gallras senast 6 månader efter det att nya mall har upprättats.


Incidentrapportering MSB - delrapport*

 

Gallras 1 vecka efter det att slutrapporten till MSB är fastställd och expedierad.

 

 

Delrapporten ska skrivas inom 6 timmar.

 

Incidentrapportering, delrapport – extern annan myndighet*

Gallras senast 6 månader efter det att slutrapport är expedierad till tillsynsmyndigheten.

Särskilda projekt ska rapportera till sin tillsynsmyndighet inom 6 timmar om inte annat anges i avtalet med tillsynsmyndigheten.

 

Avser till exempel rapport till Integritetsskyddsmyndigheten (IMY) och Polisen om läckage av personuppgifter.

Underlag till sammanställning av eventuell påverkan efter IT-attack.*

Gallras 6 månader efter det att sammanställningen är upprättad.

Avser till exempel:

  • Information om läckage av personuppgifter
  • Information om förlust av information i samband med IT-attack eller vid omstart av IT-system

Incidentrapport från bevakningsbolag.*

Gallras 3 år efter det att rapporten upprättats.

 

Undantag från gallring:
Rapporter som ingår som underlag i brottsutredning bevaras.

Avser rapporter utöver normal rapportering från utryckning och rondering.

Rapport – tjänsteman i beredskap*

Gallras 3 år efter det att rapporten upprättats.


Undantag från gallring:
Rapporter som ingår som underlag i brottsutredning bevaras.

Avser rapport av inkomna ärenden av olika dignitet.

Register över passerkort*

Uppgift i registret gallras 1 månad efter det att anställning eller uppdrag avslutats.

Passerkort avaktiveras när anställningen eller uppdraget avslutats.


Registret kan uppdateras under tiden en person är kvar på SU om behörigheter till lokaler förändras.

Rapport - Informations-säkerhetsincidenter*

Gallras 3 år efter det att rapporten upprättats.

Avser rapport av incidenter som inte är rapportpliktig till annan myndighet. Används som underlag till Stockholms universitets förbättringsarbete.

Handlingar rörande dataintrång*

Gallras 5 år efter tidpunkten för dataintrånget.

 

Gallringsfristen baseras på följande:

  • Brottsbalken 4 kap. 9c § Dataintrång ger max 2 års fängelse.
  • Brottsbalken 35 kap. 1 §. Bortfallande av påföljd efter 5 år för brott som vid dags datum ger max 2 års fängelse.

 

Handlingar rörande grovt dataintrång*

Gallras 10 år efter tidpunkten för dataintrånget.

Gallringsfristen baseras på följande:

  • Brottsbalken 4 kap. 9c §
    Grovt dataintrång ger max 6 års fängelse.
  • Brottsbalken 35 kap. 1 § Bortfallande av påföljd efter 10 år för brott som vid dags datum ger max 6 års fängelse.

Styrdokumentet i pdf-format

Regler om gallring av handlingar inom Stockholm universitets arbete med informationssäkerhet Pdf, 414.2 kB.

Senast uppdaterad: 2025-06-10

Sidansvarig: Stockholms universitetsbibliotek