Kryptonycklar som allmänna handlingar

Jag har länge fått höra att en kryptonyckel inte är en allmän handling. Någon förklaring till varför det skulle vara så känner jag inte till. Jag påstår att det inte stämmer. Kryptonycklar är allmänna handlingar som omfattas av sekretess, men hanteras inte som andra allmänna handlingar.

Utdrag ur sidorna 154 och 157 i regeringens proposition 1975/76:160 om nya grundlagsbestämmelser angående allmänna handlingars offentlighet.

PDF (18,7 MB)

Frågan om en handling är en allmän handling eller inte är intressant inte bara för offentlighetsprincipen. I informationssäkerhetssammanhang är frågan också intressant för vilket

skydd som en handling ska omfattas av. För handlingar som omfattas av sekretess enligt OSL och som rör rikets säkerhet gäller att säkerhetsskyddet är mer omfattande för allmänna handlingar än för handlingar som inte är allmänna (de senare kan vi kalla ”arbetshandlingar”). Frågan är även intressant för andra aspekter i informationshanteringen, t ex arkivering.

Jag som arbetar med informationssäkerhet som del av säkerhetsskyddet stöter ibland på frågan om en viss typ av handling är en allmän handling eller inte. Ibland kan en verksamhet ha gjort en felaktig bedömning vilket medför att informationssäkerheten inte blir den som det var tänkt. Att t ex markera HEMLIG ARBETSHANDLING på en handling kan inte upphäva villkoren i tryckfrihetsförordningen (TF) om när den är en allmän handling.

Är en kryptonyckel en allmän handling?

En kryptonyckel för ett kryptosystem som har godkänts av Försvarsmakten brukar typiskt innehålla uppgifter om för vilket system nyckeln är avsedd för, giltighetstid, exemplarnummer mm. Själva kryptonyckeln i pappersform kan anges som en maskinläsbar streckkod eller i form av bokstäver och siffror. En kryptonyckel brukar också vara sekretessmarkerad.1

En handling är en enligt TF en ”framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel”.2 En kryptonyckel uppfyller därför villkoren att vara en handling. Enligt TF är en handling hos en myndighet en allmän handling om den är inkommen till eller upprättad och den förvaras hos myndigheten.3

Det finns undantag i TF som talar om när en handling inte är en allmän handling. Ett exempel är undantaget för säkerhetskopior i IT-system som tillkom i efterdyningarna av tsunamikatastrofen i Asien.4 Frågan om kryptonycklar skulle undantas från att vara allmänna handlingar togs upp när tryckfrihetsförordningen ändrades under 1970-talet (se bilden ovan).5 Något undantag infördes inte. Jag har inte kunnat se om frågan varit uppe sedan dess. Min bedömning är att det i TF inte finns något undantag som kan gälla för kryptonycklar.

En kryptonyckel som har skapats inom en myndighet uppfyller villkoren att vara en allmän handling. En kryptonyckel som distribueras till en annan myndighet uppfyller också villkoren att vara en allmän handling. Det får konsekvenser för hur kryptonycklar får hanteras.

Registrering av allmänna handlingar

Grundregeln är att allmänna handlingar som innehåller någon uppgift som omfattas av sekretess enligt OSL ska registreras.6 Av registret ska det framgå datum då en handling kom in eller upprättades, diarienummer eller annan beteckning, avsändare eller mottagare samt i korthet vad handlingen rör.7

Kryptonycklar distribueras i emballage som ska överlämnas till den som är signalskyddschef (eller någon annan om myndigheten har bestämt det).8 En följesedel medföljer kryptonycklarna och den ska registreras vid mottagandet.9 En snabb undersökning bland några myndigheters diarier på Internet visar att t ex ”signalskydd följesedel” eller ”signalskyddsärende” finns registrerade. Att enbart registrera en följesedel och inte varje kryptonyckel menar jag strider mot 5 kap 1 § OSL. Hur skulle det se ut om myndigheter klumpade ihop allmänna handlingar, distribuerade dessa mellan sig och enbart registrerade varje klump som en ”följesedel”?

Jag tycker inte att den praktiska hanteringen av kryptonycklar stämmer överens med den reglering vi har om myndigheters hantering av allmänna handlingar. Samtidigt tycker jag inte att varje kryptonyckel behöver registreras som en allmän handling. Det finns möjligheter för regeringen att med stöd av OSL bestämma om undantag.10 Sådana undantag eller en ändring av TF behöver undersökas för att hanteringen av kryptonycklar ska överensstämma med bestämmelserna om hantering av allmänna handlingar. Vissa kan säkert tycka att det här är en bagatell. Jag menar att det är en viktig principfråga, för att motverka att inte någon får för sig att andra slag av handlingar kan hanteras på samma sätt.

Förstöring av allmänna handlingar

Allmänna handlingar får gallras om det finns stöd i Riksarkivets föreskrifter eller beslut. Om det finns särskilda gallringsföreskrifter i lag eller förordning får allmänna handlingar också gallras.11

De viktigast villkoren för att bevara allmänna handlingar är om bevarandet tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen, och forskningens behov.12 En kryptonyckel som inte längre behövs uppfyller knappas något av dessa villkor för att bevaras. Det borde därför vara ok att i sin helhet få gallra kryptonycklar.

En myndighet ska gallra allmänna handlingar som är av tillfällig eller ringa betydelse för myndighetens verksamhet. En sådan gallring får endast ske om allmänhetens rätt till insyn inte åsidosätts och handlingarna bedöms sakna värde för rättskipning, förvaltning och forskning.13 Innan en myndighet gallrar handlingar som är av tillfällig eller ringa betydelse ska det finnas ett tillämpningsbeslut om gallringen.14 Tillämpningsbeslutet anger vilka slag av handlingar som får gallras och eventuella villkor för när gallringen ska ske.

I Försvarsmaktens Tillämpningsbeslut avseende gallring av handlingar av tillfällig eller ringa betydelse från 2005 (reviderade 2007) är inte kryptonycklar medtagna. En sökning på Riksarkivets webbplats ger att det finns gallringsföreskrifter för FRA om att följesedlar till kryptonycklar ska gallras 10 år efter att respektive nyckel har upphört att gälla.15 Hos Luftfartsverket gäller istället att följesedlar ska gallras ett år efter att kryptonycklarna upphört att gälla.16 Någon gallringsföreskrift som omfattar själva kryptonycklarna har jag inte hittat. Det har kanske inte ansetts vara nödvändigt då kryptonycklar ändå regelmässigt förstörs.

Bestämmelsen om att en kryptonyckel som inte längre gäller eller som inte längre behövs för tjänsten rutinmässigt ska förstöras finns i en föreskrift som Försvarsmakten har beslutat.17 Bestämmelsen är, så klart, vare sig lag eller förordning. Det finns således inte stöd för gallring av kryptonycklar i lag, förordning eller Riksarkivets föreskrifter eller beslut.  Riksarkivet beslutade 1972 att kryptonycklar ska förstöras då de upphört att gälla eller då de inte längre behövs för tjänsten. Av gallringsbeslutet framgår också att vissa exemplar ska bevaras.18 19 Gallringsbeslutet behöver ses över då det finns hänvisningar till enheter som inte längre finns.

Sekretess för kryptonycklar

Att en handling är en allmän handling innebär dock inte att den är offentlig. Kryptonycklar innehåller uppgifter som kan omfattas av olika sekretessbestämmelser i OSL. Det finns en särskild sekretessbestämmelse för kryptonycklar (18 kap 9 § OSL). Även försvarssekretessen (15 kap 2 § OSL) och utrikessekretess (15 kap 1 § OSL) kan gälla för en kryptonyckel.

Att kryptonycklar är allmänna handlingar påverkar inte skyddet för nycklarna. Att kryptonycklar omfattas av sekretess är solklart. Det finns sedan lång tid bestämmelser om hur kryptonycklar ska hanteras för att inte obehöriga ska kunna ta del av kryptonycklar. Kryptonycklar måste skyddas mot att obehöriga kan komma över nycklarna. Andra staters signalspaning mot svenska intressen underlättas om de skulle få tillgång till kryptonycklar som har använts. Skyddet för kryptonycklar måste därför vara starkt.

En kryptonyckel, en rad av slumpmässiga tecken, är viktig för informationssäkerheten men intetsägande för människor. Det borde inte finnas någon risk för att allmänhetens insyn hos myndigheter påverkas negativt om kryptonycklar undantogs från att vara allmänna handlingar.

≈ ≈ ≈

Det kan också vara så att jag har missuppfattat alltihop. Att kryptonycklar, trots lagstiftarens tydliga motivering i förarbete till TF, inte är allmänna handlingar. Eller att jag har fått arkivlagstiftningen om bakfoten. Förklara gärna om jag har fel.

≈ ≈ ≈

Uppdaterad 2013-12-26

Avsnittet om förstöring uppdaterad efter att jag uppmärksammades på Riksarkivets gallringsbeslut nr 315 och 668.

/Kim Hakkarainen

Blogginlägget innehåller hänvisningar till bestämmelser eller andra källor som inte längre gäller. Även om de har ersatts kan påståenden och slutsatser fortfarande vara giltiga.

  1. 16 § Försvarsmaktens föreskrifter (FFS 2005:2) om signalskyddstjänsten inom totalförsvaret ↩︎

  2. 2 kap 3 § TF 1 st. ↩︎

  3. 2 kap 3 § TF 1 st. ↩︎

  4. 2 kap 10 § TF 2 st. ↩︎

  5. Sidorna 154-157 i regeringens proposition 1975/76:160 om nya grundlagsbestämmelser angående allmänna handlingars offentlighet. ↩︎

  6. 5 kap 1 § OSL. ↩︎

  7. 5 kap 2 § OSL. ↩︎

  8. 18 § Försvarsmaktens föreskrifter (FFS 2005:2) om signalskyddstjänsten inom totalförsvaret ↩︎

  9. 19 § Försvarsmaktens föreskrifter (FFS 2005:2) om signalskyddstjänsten inom totalförsvaret ↩︎

  10. 5 kap 3 och 4 §§ OSL. ↩︎

  11. 14 § arkivförordningen. ↩︎

  12. 3 § 3 st arkivlagen. ↩︎

  13. 7 § Riksarkivets föreskrifter (RA-FS 1991:6) och allmänna råd om gallring av handlingar av tillfällig eller ringa betydelse (omtryckt genom RA-FS 1997:6 och ändrade genom RA-FS 2012:2). ↩︎

  14. 5 § Riksarkivets föreskrifter (RA-FS 1991:6) och allmänna råd om gallring av handlingar av tillfällig eller ringa betydelse (omtryckt genom RA-FS 1997:6 och ändrade genom RA-FS 2012:2). ↩︎

  15. Riksarkivets föreskrifter (RA-MS 2011:39) om gallring hos Försvarets radioanstalt. ↩︎

  16. Riksarkivets föreskrifter (RA-MS 2010:58) om gallring hos Luftfartsverket. ↩︎

  17. 24 § Försvarsmaktens föreskrifter (FFS 2005:2) om signalskyddstjänsten inom totalförsvaret. ↩︎

  18. Riksarkivets gallringsbeslut nr 315 – Signalskyddsnycklar hos totalförsvaret↩︎

  19. Riksarkivets gallringsbeslut nr 668 – Signalskyddsnycklar hos totalförsvaret. ↩︎