Sverige behöver ”For Swedish Eyes Only”

Det finns sekretessbelagda uppgifter som andra stater inte ska få insyn i. En skyddsåtgärd är att märka handlingar så att det framgår att en handling innehåller uppgifter som inte ska röjas till andra stater. I dag saknas svenska bestämmelser för en sådan märkning. Det finns därför en risk att sådana uppgifter oavsiktligt röjs. Den vanliga sekretessmarkeringen är inte tillräcklig.

Exempel på hur en svensk märkning, som varnar för att en handling innehåller uppgifter som inte får röjas till en annan stat, skulle kunna se ut.

Exempel på hur en svensk märkning, som varnar för att en handling
innehåller uppgifter som inte får röjas till en annan stat, skulle kunna se ut.

I offentlighets- och sekretesslagen (OSL) finns i 8 kap. 3 § villkor för när en uppgift som omfattas av sekretess enligt OSL får röjas till en utländsk myndighet eller en mellanfolklig organisation. Grunden är att sekretessbelagda uppgifter inte ska röjas till en annan stat.

För uppgifter som omfattas av försvarssekretess (15 kap. 2 § OSL) finns särskilda bestämmelser i förordningen (2010:649) om utlämnande av sekretessbelagda uppgifter vid samarbete med utländsk myndighet. Där anges villkor för när Försvarsmakten, FMV och FOI får lämna ut uppgifter som omfattas av försvarssekretess. Där anges också att uppgifter ”som är av synnerlig betydelse för rikets säkerhet eller som kan ge underlag för utveckling av motmedel mot Sveriges försvarssystem” inte ska lämnas ut.

I de fall en uppgift som omfattas av försvarssekretess och villkoren i förordningen eller villkoren i 8 kap. 3 § OSL inte uppfylls ska uppgiften inte röjas för en annan stat.

Enbart en sekretessmarkering är inte tillräcklig. I internationella samarbeten kan sekretessbelagda uppgifter, och därmed sekretessmarkerade handlingar, delges till utländska myndigheter. Det finns därför en risk för oavsiktligt röjande.

En säkerhetsskyddsåtgärd för att förhindra sådana oavsiktliga röjanden skulle kunna vara en ny märkning av handlingarna det är fråga om. Den nya märkningen uppmärksammar de personer som hanterar handlingarna att de innehåller sekretessbelagda uppgifter som inte ska röjas till en annan stat.

Informationssäkerheten för uppgifter som omfattas av sekretess enligt OSL och som rör rikets säkerhet, liksom övriga delar av säkerhetsskyddet, styrs genom bestämmelser som är bindande för myndigheter och i vissa fall även för företag. Att det finns bindande bestämmelser är ett viktigt styrmedel för informationssäkerheten. I de fall bestämmelser saknas uppstår ett tomrum där skyddet är odefinierat inom en myndighet eller mellan myndigheter. Hade en svensk myndighet i dag försett en handling med märkningen ”For Swedish Eyes Only” betyder den ingenting, då det i säkerhetsskyddslagstiftningen saknas bestämmelser om märkningen.

En fråga är om märkningen endast ska vara en varningssignal eller om den med bindande verkan ska begränsa en myndighets hantering av handlingen? Märkningen måste vara teknikneutral, handlingar förekommer såväl i elektronisk form som på papper.

En ”For Swedish Eyes Only”-märkning är mer nödvändig i verksamheter där det förekommer internationella samarbeten, t ex i materielutveckling, försvarsunderrättelseverksamhet, multinationella staber och vid insatser utomlands. Behovet av den nya märkningen ökar om försvaret av Sverige i större utsträckning ska genomföras i samarbete med andra stater.

≈ ≈ ≈

Märkningen är vad som internationellt brukar kallas caveat. I informationssäkerhetssammanhang avses med caveat en begränsning i att delge eller använda en handling. Hur ser då sådana märkningar ut hos andra stater?

Inom det amerikanska försvarsdepartementet används beteckning NOFORN som står för ”Not Releasable to Foreign Nationals”. Användningen av NOFORN är där begränsad till främst underrättelseinformation. [1]

USA:s utrikesdepartement använder beteckningen SBU-NF eller SBU/NOFORN som står för ”Sensitive But Unclassified-NOFORN” för information som omfattas av sekretess, men som inte är Classified National Security Information, och som endast får delges amerikanska medborgare. [2] [3]

Exempel på användning av NOFORN i ett amerikanskt sk ambassadtelegram (via WikiLeaks).

Exempel på användning av NOFORN i ett amerikanskt sk ambassadtelegram (via WikiLeaks).

I Australien används beteckningen ”Eyes Only” för att visa att delgivning av uppgifter som är begränsad till viss nationalitet. Märkningen AUSTEO som står för ”Australian Eyes Only” används då endast australiska medborgare får ta del av uppgifterna. [4] [5]

Exempel på märkningen AUSTEO. Hämtad från den australiska regeringens ”Information security management guidelines - Protectively marking and handling sensitive and security classified information”.

Exempel på märkningen AUSTEO. Hämtad från den australiska regeringens ”Information security management guidelines – Protectively marking and handling sensitive and security classified information”.

Hur borde den nya märkningen vara utformad? Behövs den verkligen? Är beteckningen ”For Swedish Eyes Only” lämplig? Ska den vara på svenska? Jämförbart med kravet på svenskt medborgarskap i säkerhetsklassade anställningar (29 § säkerhetsskyddslagen) skulle kanske en lämplig beteckning kunna vara: ”Delges Endast Svenska Medborgare”?

≈ ≈ ≈

Noter och hänvisningar:

  1. Sidan 63 i DoD Manual 5200.01, Volume 2 ”DoD Information Security Program: Marking of Classified Information”.
  2. Sidan 111 i DoD Manual 5200.01, Volume 2 ”DoD Information Security Program: Marking of Classified Information”.
  3. Sidorna 6-7 i U.S. Department of State Foreign Affairs Manual Volume 12 Diplomatic Security 12 FAM 540.
  4. Sidan 18 i Information security management guidelines – Australian Government security classification system.
  5. Sidan 18 i Information security management guidelines – Protectively marking and handling sensitive and security classified information.

/Kim Hakkarainen

Lämna en kommentar

Publicerad i Internationella samarbeten, Offentlighet och sekretess, Säkerhetsskydd

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *