Sverige behöver ”For Swedish Eyes Only”

Det finns sekretessbelagda uppgifter som andra stater inte ska få insyn i. En skydds­åtgärd är att märka handlingar så att det framgår att en handling innehåller uppgifter som inte ska röjas till andra stater. I dag saknas svenska bestämmelser för en sådan märkning. Det finns därför en risk att sådana uppgifter oavsiktligt röjs. Den vanliga sekretess­markeringen är inte tillräcklig.

Exempel på hur en svensk märkning, som varnar för att en handling innehåller uppgifter som inte får röjas till en annan stat, skulle kunna se ut.

I offentlighets- och sekretesslagen (OSL) finns i 8 kap. 3 § villkor för när en uppgift som omfattas av sekretess enligt OSL får röjas till en utländsk myndighet eller en mellanfolklig organisation. Grunden är att sekretessbelagda uppgifter inte ska röjas till en annan stat.

För uppgifter som omfattas av försvarssekretess (15 kap. 2 § OSL) finns särskilda bestämmelser i förordningen (2010:649) om utlämnande av sekretessbelagda uppgifter vid samarbete med utländsk myndighet. Där anges villkor för när Försvarsmakten, FMV och FOI får lämna ut uppgifter som omfattas av försvarssekretess. Där anges också att uppgifter ”som är av synnerlig betydelse för rikets säkerhet eller som kan ge underlag för utveckling av motmedel mot Sveriges försvarssystem” inte ska lämnas ut.

I de fall en uppgift som omfattas av försvarssekretess och villkoren i förordningen eller villkoren i 8 kap. 3 § OSL inte uppfylls ska uppgiften inte röjas för en annan stat.

Enbart en sekretessmarkering är inte tillräcklig. I internationella samarbeten kan sekretess­belagda uppgifter, och därmed sekretess­markerade handlingar, delges till utländska myndigheter. Det finns därför en risk för oavsiktligt röjande.

En säkerhetsskyddsåtgärd för att förhindra sådana oavsiktliga röjanden skulle kunna vara en ny märkning av handlingarna det är fråga om. Den nya märkningen uppmärksammar de personer som hanterar handlingarna att de innehåller sekretess­belagda uppgifter som inte ska röjas till en annan stat.

Informationssäkerheten för uppgifter som omfattas av sekretess enligt OSL och som rör rikets säkerhet, liksom övriga delar av säkerhets­skyddet, styrs genom bestämmelser som är bindande för myndigheter och i vissa fall även för företag. Att det finns bindande bestämmelser är ett viktigt styrmedel för informations­säkerheten. I de fall bestämmelser saknas uppstår ett tomrum där skyddet är odefinierat inom en myndighet eller mellan myndigheter. Hade en svensk myndighet i dag försett en handling med märkningen ”For Swedish Eyes Only” betyder den ingenting, då det i säkerhetsskydds­lagstiftningen saknas bestämmelser om märkningen.

En fråga är om märkningen endast ska vara en varningssignal eller om den med bindande verkan ska begränsa en myndighets hantering av handlingen? Märkningen måste vara teknik­neutral, handlingar förekommer såväl i elektronisk form som på papper.

En ”For Swedish Eyes Only”-märkning är mer nödvändig i verksamheter där det förekommer internationella samarbeten, t ex i materiel­utveckling, försvars­underrättelse­verksamhet, multi­nationella staber och vid insatser utomlands. Behovet av den nya märkningen ökar om försvaret av Sverige i större utsträckning ska genomföras i samarbete med andra stater.

Märkningen är vad som internationellt brukar kallas caveat. I informations­säkerhets­sammanhang avses med caveat en begränsning i att delge eller använda en handling. Hur ser då sådana märkningar ut hos andra stater?

Inom det amerikanska försvars­departementet används beteckning NOFORN som står för ”Not Releasable to Foreign Nationals”. Användningen av NOFORN är där begränsad till främst underrättelse­information.1

USA:s utrikesdepartement använder beteckningen SBU-NF eller SBU/NOFORN som står för ”Sensitive But Unclassified-NOFORN” för information som omfattas av sekretess, men som inte är Classified National Security Information, och som endast får delges amerikanska medborgare.2 3

Exempel på användning av NOFORN i ett amerikanskt sk ambassadtelegram (via WikiLeaks).

I Australien används beteckningen ”Eyes Only” för att visa att delgivning av uppgifter som är begränsad till viss nationalitet. Märkningen AUSTEO som står för ”Australian Eyes Only” används då endast australiska medborgare får ta del av uppgifterna.4 5

Exempel på märkningen AUSTEO. Hämtad från den australiska regeringens ”Information security management guidelines – Protectively marking and handling sensitive and security classified information”

Hur borde den nya märkningen vara utformad? Behövs den verkligen? Är beteckningen ”For Swedish Eyes Only” lämplig? Ska den vara på svenska? Jämförbart med kravet på svenskt medborgarskap i säkerhetsklassade anställningar (29 § säkerhetsskyddslagen) skulle kanske en lämplig beteckning kunna vara: ”Delges Endast Svenska Medborgare”?

/Kim Hakkarainen

Blogginlägget innehåller hänvisningar till bestämmelser eller andra källor som inte längre gäller. Även om de har ersatts kan påståenden och slutsatser fortfarande vara giltiga.


  1. Sidan 63 i DoD Manual 5200.01, Volume 2 ”DoD Information Security Program: Marking of Classified Information”. ↩︎

  2. Sidan 111 i DoD Manual 5200.01, Volume 2 ”DoD Information Security Program: Marking of Classified Information”. ↩︎

  3. Sidorna 6-7 i U.S. Department of State Foreign Affairs Manual Volume 12 Diplomatic Security 12 FAM 540. ↩︎

  4. Sidan 18 i Information security management guidelines – Australian Government security classification system. ↩︎

  5. Sidan 18 i Information security management guidelines – Protectively marking and handling sensitive and security classified information. ↩︎