Gallring är ett arbetsmoment som kan underlättas och förenklas avsevärt om man tar sig tid att planera för gallring redan i ett tidigt skede av informationens livscykel. Här beskrivs hur man planerar för gallring samt hur själva gallringen ska gå till.
All form av gallring ska ske under kontrollerade former (stadens arkivregler, 5 kap 5 §). Att säkerställa att så sker innebär ofta att förvaltningen behöver vidta olika åtgärder beroende på om informationen finns lagrad på ett analogt eller ett digital medium.
10.1 Planera gallringen
Pappershandlingar som ska gallras bör inte blandas med handlingar som ska bevaras. Det leder till tidsödande sortering, så kallad plockgallring. Förvara bara handlingar som ska gallras samma år i samma pärm eller kartong.
Pappershandlingar som ska gallras behöver inte placeras i arkivboxar. Man måste dock kunna söka även bland dessa handlingar innan de har gallrats och lämna ut dem om de
efterfrågas. Därför bör pärmryggen (eller kartongen) märkas med handlingstypens namn, årtal och andra uppgifter som kan underlätta återsökning. Dessutom är det viktigt att det framgår att handlingarna ska gallras och vilket år de ska gallras.
För digital information gäller att funktioner som att kunna styra, planera och genomföra gallring måste finnas, exempelvis bör information som ska gallras kunna separeras från information som ska bevaras. Informationens gallringsfrist ska framgå av
handlingarnas metadata. Gallringen kan sedan antingen utföras automatiskt eller manuellt. Handlingar som förvaras på gruppdiskar och projektplatser behöver sorteras så att det underlättar framtida gallring. Det kan man till exempel göra genom att gruppera gallringsbara handlingar i mappar efter gallringsfrist: 2 års handlingar i en mapp, 10 års handlingar i en annan mapp och så vidare.
10.2 Genomföra gallringen
De flesta pappershandlingar kan lämnas till återvinning
Merparten av alla pappershandlingar som ska gallras kan lämnas till återvinning. Förvaltningen måste då försäkra sig om att det som ska
gallras verkligen förstörs under kontrollerade former. Det är inte tillåtet att lämna ifrån sig handlingar som ska gallras till någon utanför förvaltningen bara för att de är gallringsbara.
Sekretessbelagda uppgifter på papper måste förstöras
Handlingar med uppgifter som omfattats av sekretess eller känsliga uppgifter enligt GDPR måste alltid gallras på ett mer betryggande sätt. Om det rör sig om små mängder analoga handlingar kan dokumentförstöraren vara bra att använda till gallring. För större mängder kan det i stället vara lämpligt att anlita ett
avfallshanteringsföretag som genomför gallringen under betryggande former, ofta genom bränning.
Digitala uppgifter kan raderas, om de inte är sekretessbelagda eller känsliga enligt GDPR
Gallring av digitalt lagrade uppgifter kan antingen genomföras i form av radering av uppgifter ur ett system eller av enstaka filer.
Mediet kan därefter återanvändas. Raderingen innebär dock i de allra flesta fall inte att informationen verkligen raderas från mediet, utan att filnamnet ändras så att datorn inte kan hitta filen. Därför kan det gå att återskapa filer som har ”raderats”. Detta är ändå tillräckligt om det rör uppgifter som inte omfattas av sekretess.
Vid byte av hårddisk ska den utbytta hårddisken alltid förstöras mekaniskt eller skrivas över med överskrivningsprogram så att lagrad information inte kan återskapas. Om sekretessklassad information eller känsliga personuppgifter har lagrats på disken räcker det inte med överskrivning, då ska disken alltid förstöras mekaniskt.
Destruktionsintyg eller signerad anteckning om överstrykning ska arkiveras.
Digitala uppgifter som är sekretessbelagda kan behöva gallras på olika nivåer
Gallring av sekretessbelagda digitala uppgifter är betydligt mer komplicerad. Om informationen finns på ett fysiskt medium, till exempel ett magnetband, kan mediet förstöras mekaniskt. Om informationen finns i system måste det beaktas att uppgifterna av IT-säkerhetsskäl även kan finnas i historikversioner, loggar och på backupband. Gallring kan behöva verkställas på flera nivåer. Ibland räcker det med att gallra sökvägarna. Andra gånger måste även informationen som sökvägarna leder till gallras. Detta är något som förvaltningen måste göra en bedömning av.
Särskilda krav på gallring av säkerhetsskyddad information Säkerhetsskyddsklassificerade uppgifter, dvs uppgifter som rör säkerhetskänslig verksamhet som regleras i Säkerhetsskyddslagen (2018:585) och Säkerhetsskyddsförordningen (2018:658), ska delas in i säkerhetsskyddsklasser utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet. Indelningen görs i fyra nivåer: kvalificerat hemlig, hemlig, konfidentiell och begränsat hemlig. För nivåerna kvalificerat hemlig och hemlig krävs
ytterligare säkerhetsåtgärder vid gallring, än de ovan beskrivna.
Stadens riktlinjer för informationssäkerhet
Förvaltningen ska följa stadens riktlinjer för informationssäkerhet. I dessa framgår hur hantering av sekretessbelagda uppgifter generellt ska ske och vad som gäller vid till exempel gallring och distribution av sekretessbelagda handlingar.
När det gäller gallring av säkerhetsskyddad information kan det vara svårt att nå upp till kraven eftersom det är IT-leverantören som styr vad som är möjligt att göra. Rådgör alltid med förvaltningens informationssäkerhetssamordnare eller stadens centrala funktion för
Olika tekniker för att förstöra sekretessklassad information:
Överskrivningsprogram som skriver över/raderar lagringsutrymme på media. Här rekommenderas att använda program som inte fungerar via
operativsystemet, utan kan kringgå detta, för att uppnå fullständig datasökning och förstöring av på alla områden av disken. Överskrivning ska ske enligt standard DoD 5520-22 och kan inte användas för media som är skadad.
Reningsmetod som exponerar magnetiska media till ett starkt magnetfält eller elektromagnetisk spole för att störa de inspelade magnetiska domänerna. Detta kan vara en effektiv metod för att förstöra information i skadade medier.
Hårddiskar, USB-minnen, CD-skivor och andra media kan destrueras genom sönderdelning, förbränning och smältning.
säkerhetsfrågor innan ni ska gallra digital information som omfattas av sekretess eller integritetskänsliga uppgifter.