Spretig inventering av hemliga handlingar

En av de viktigaste skyddsåtgärderna i den administrativa informationssäkerheten är inventering av hemliga handlingar (sådana som rör rikets säkerhet). [1] Inventering av hemliga handlingar genomförs för att kontrollera om de är i behåll eller om de har förlorats. Slarvas det med inventeringen leder det till stora svårigheter att senare få ordning på de hemliga handlingarna. När det gått flera år är det svårt att få klarhet i vad som har hänt.

Utdrag från TT-nyhet i Helsingsborgs Dagblad. Bland de försvunna handlingarna fanns militära uppgifter.

Utdrag från TT-nyhet på Helsingsborgs Dagblads webbplats. Bland de försvunna handlingarna fanns militära uppgifter.

För att en inventering av hemliga handlingar ska vara effektiv ur säkerhetssynpunkt måste den genomförs av en oberoende part. Det betyder inte att den person som innehar handlingarna inte ska få närvara under inventeringen. Hen är ju den som förvarar handlingarna och ansvarar för dessa, även under en inventering. Om inventering inte genomförs av en oberoende part kan ju den person som förvarar de hemliga handlingarna intyga om att handlingarna är i behåll, utan att ha genomfört inventeringen, eller ljuga om att en viss handling saknas.

Inventering har ett starkt samband med registrering av hemliga handlingar. Registreringen sker då av varje exemplar av en hemlig handling, t ex om den har kopierats. När ett exemplar av en hemlig handling registreras anges vem som handlingen är avsedd för. Ett register över hemliga handlingar kan användas för att ta fram listor för en inventering.

Dessa olika skyddsåtgärder är en del av livscykelhanteringen av hemliga handlingar där man upprätthåller kontroll från det att ett exemplar av en handling skapas till dess att exemplaret har förstörts eller arkiverats.

Inventering av hemliga handlingar är en av få konkreta skyddsåtgärder som specifikt har pekats ut i förarbeten till säkerhetsskyddslagen (se bilden nedan).

Utdrag ur författningskommentar på sidan 75 regeringens proposition 1995/96:129]. Författningskommentaren handlar här om 7 § säkerhetsskyddslagen. Där anges vad säkerhetsskyddet ska förebygga.

Utdrag ur författningskommentar på sidan 75 regeringens proposition 1995/96:129. Författningskommentaren handlar här om 7 § säkerhetsskyddslagen. Där anges vad säkerhetsskyddet ska förebygga.

Hur ofta behöver man inventera hemliga handlingar?

Det är upp till varje myndighet och andra [2] som ska följa säkerhetsskyddsförordningen att bestämma hur ofta inventering ska genomföras. [3] Säkerhetspolisen och Försvarsmakten har föreskriftsrätt vad gäller säkerhetsskydd utom när det gäller ”omfattningen av inventeringen av hemliga handlingar”. [4] Det tycker jag är en begränsning för expertmyndigheterna som får konsekvenser för rikets säkerhet. Säkerhetspolisen och Försvarsmakten ger rådet att hemliga handlingar ska inventeras minst en gång per år med hänsyn till att preskriptionstiden för brottet vårdslöshet med hemlig uppgift är två år.[5] [6] [7] I Försvarsmakten är inventeringsintervallet bestämt till ett år. [8] Om inventering genomförs med ett längre tidsintervall än ett år förlorar straffbestämmelsen betydelse. Ett eventuellt brott hinner preskriberas. [9]

Att upptäcka förluster av hemliga handlingar är dock inte endast en fråga om lagföring. Minst lika viktigt är vetskapen om att en viss hemlig handling har röjts och vilka konsekvenser det skulle kunna få för den verksamhet som uppgifterna i handlingen rör. Ett exempel är om en hemlig handling tappas bort vid en länsstyrelse och handlingen har sänts dit från Försvarsmakten. Beroende på hur en hemlig handling har förkommit kan det vara aktuellt att vidta åtgärder för att begränsa skadan av förlusten. Ju längre tidsförhållanden det är fråga om desto svårare är det att utreda hur en förlust har skett och vidta åtgärder.

Tack och lov ska åtminstone alla kvalificerat hemliga handlingar inventeras minst en gång per år. [10] För sådana handlingar kan inte en myndighet försämra skyddet genom egna regler.

Hur ofta genomförs inventering av hemliga handlingar vid olika myndigheter?

Jag har undersökt några myndigheters interna bestämmelser om säkerhetsskydd för att ta reda på hur inventeringen av hemliga handlingar regleras utanför Säkerhetspolisens och Försvarsmaktens bemyndigande.

Regeringskansliet

Utdrag ur 8 kap 2 § Regeringskansliets föreskrifter om säkerhetsskyddet i Regeringskansliet (beslutade 1997). Med försvarshemlig handling avses en hemlig handling som innehåller någon uppgift som rör totalförsvaret eller rikets säkerhet i övrigt (definition i 2 kap 2 §).

Utdrag ur 8 kap 2 § Regeringskansliets föreskrifter om säkerhetsskyddet i Regeringskansliet (beslutade 1997). Med försvarshemlig handling avses en hemlig handling som innehåller någon uppgift som rör totalförsvaret eller rikets säkerhet i övrigt (definition i 2 kap 2 §). Även uppgifter som omfattas av sekretess enligt 15 kap 1 § OSL (sk utrikessekretess) och som rör rikets säkerhet är då ”försvarshemliga”.

Vid Regeringskansliet ska inventering ske med ”lämpliga tidsmellanrum”. Vad som är lämpligt framgår inte. Utifrån det jag skrivit ovan är denna otydliga bestämmelse inte alls bra.

Företag som hanterar hemliga uppgifter åt FMV

Utdrag ur FMV industrisäkerhetsmanual (ISM) som används för att bestämma säkerhetsskyddet vid företag som får arbeta med hemliga uppgifter i egna lokaler.

Utdrag ur FMV industrisäkerhetsmanual (ISM) som används för säkerhetsskyddet vid företag som åt FMV får arbeta med hemliga uppgifter i egna lokaler.

Industrin som utför uppdrag åt FMV ska inventera vart tredje år. Dessutom ska egenkontroll årligen genomföras av den som innehar hemliga handlingar. Jag tycker tre år är en för lång tid. FMV har dock tänkt till om när inventering i övrigt ska genomföras. Det är bra.

Länsstyrelsen i Stockholms län

Utdrag ur Länsstyrelsens i Stockholms läns särskilda föreskrifter om säkerhetsskyddet. Föreskrifterna finns på sidorna 36-37 i Beslut om arbetsordning för Länsstyrelsen i Stockholm län.

Utdrag ur Länsstyrelsens i Stockholms läns särskilda föreskrifter om säkerhetsskyddet. Föreskrifterna finns på sidorna 35-36 i PDF:en Beslut om arbetsordning för Länsstyrelsen i Stockholm län.

Länsstyrelsen i Stockholms län har kanske ett ännu mer godtyckligt inventeringsintervall än vad Regeringskansliet har. En udda konstruktion.

Försäkringskassan

Årlig inventering är bra.

Älvsbyns kommun

Utdrag ur Säkerhetsskyddsplan för Älvsbyns kommun (beslutad av kommunfullmäktige 2011-10-03 och gäller t o m 2013-12-31).

Utdrag ur Säkerhetsskyddsplan för Älvsbyns kommun (beslutad av kommunfullmäktige 2011-10-03 och gäller t o m 2013-12-31).

Hemliga handlingar kan även förekomma hos kommuner. I Älvsbyns kommun ska handlingarna inventeras en gång vart femte år. Ett för långt inventeringsintervall, enligt min mening.

Havs- och vattenmyndigheten

På Havs- och vattenmyndighetens webbplats finns flera interna styrdokument publicerade. T ex en säkerhetspolicy och en rutin för hantering av allmänna handlingar. Enligt myndighetens arbetsordning ska det finnas en säkerhetsskyddschef. Jag har inte funnit några styrdokument på deras webbplats som handlar om informationssäkerhet för hemliga handlingar. Sådana styrdokument kan så klart ändå finnas.

Myndigheten får här vara ett exempel på när det utifrån den offentligt publicerade information inte har varit möjligt att klarlägga om de har några bestämmelser om hantering av hemliga handlingar. Det är inte helt lätt att googla fram myndigheternas interna bestämmelser. Ofta är de ogoogelbara.

≈ ≈ ≈

Hur ofta inventering av hemliga handlingar sker skiljer sig åt mellan olika myndigheter. De som har ett inventeringsintervall som är längre än ett år riskerar få ett sämre säkerhetsskydd. Säkerhetsskyddet hade blivit bättre om alla inventerade en gång per år. Informationssäkerheten rymmer dock många fler detaljer. Inventering handlar inte bara om regelbundenheten utan även om hur en inventering genomförs och rapportering, t ex när hemliga handlingar saknas. I texten ovan har jag inte gjort någon skillnad mellan allmänna handlingar och arbetshandlingar eller skillnader på grund av en handlings placering i informationssäkerhetsklass.

≈ ≈ ≈

Noter och hänvisningar

  1. En hemlig handling är en handling som innehåller uppgifter som omfattas av sekretess enligt OSL och som rör rikets säkerhet (4 § säkerhetsskyddsförordningen).
  2. Även kommuner, landsting och vissa företag ska följa säkerhetsskyddslagen (1 § säkerhetsskyddslagen) och säkerhetsskyddsförordningen (3 § säkerhetsskyddsförordningen).
  3. Några myndigheter har beslutat interna föreskrifter om säkerhetsskydd med stöd av 45 § säkerhetsskyddsförordningen. Andra myndigheter har valt att ha sådana bestämmelser i sina arbetsordningar (4 § myndighetsförordningen).
  4. 44 § 2 st säkerhetsskyddsförordningen.
  5. 19 kap. 9 § brottsbalken.
  6. Allmänt råd till 3 kap 16 § Rikspolisstyrelsens föreskrifter (RPSFS 2010:3) och allmänna råd om säkerhetsskydd.
  7. Sidan 67 i H SÄK Skydd 2007 samt avsnitt 9.16.1 i kommande H SÄK Infosäk 2013 (gäller fr o m 2013-09-01).
  8. 2 kap 12-13 §§ Försvarsmaktens interna bestämmelser (FIB 2007:2) om säkerhetsskydd och skydd av viss materiel.
  9. Se sidorna 312 och 314-315 i SOU 2012:95 om oaktsam hantering av hemliga handlingar vad gäller brottet vårdslöshet med hemlig uppgift.
  10. 9 § första stycket säkerhetsskyddsförordningen.

/Kim Hakkarainen

7 kommentarer

Publicerad i Säkerhetsskydd

7 kommentarer till Spretig inventering av hemliga handlingar

  1. Ambitiöst sammandrag, Kim! Hur är det med handlingar som förvaras elektroniskt, har de någon motsvarighet till inventering?

    • Tack Stefan!

      Jag menar att en elektronisk handling inte behöver alla skyddsåtgärder som gäller för en hemlig pappershandling. Säkerhetsloggning i ett IT-system kan användas för att uppnå den spårbarhet som man med exemplarhantering vill uppnå för pappershandlingar.

      Inventering av hemliga pappershandlingar är berättigat då handlingen är något du kan hålla i handen och som du kan tappa bort. Inventeringen syftar till att konstatera om pappershandlingen fortfarande är i behåll.

      En användare av ett IT-system kan använda behörighetskontroll på ett felaktigt sätt, så att andra användare får möjlighet att läsa en hemlig elektronisk handling som det inte var tänkt att de skulle få läsa. Men detta är inte samma sak som att tappa bort en hemlig pappershandling. Jag kan inte se att det är meningsfullt att inventera elektroniska handlingar i ett IT-system.

      Så fort en elektronisk handling skrivs ut på papper kan det vara aktuellt att exemplarhantera pappershandlingen. En sådan utskrift behöver då registreras och även inventeras.

      /Kim Hakkarainen

      • Det finns ju för- och nackdelar säkerhetsmässigt med både fysiska och elektroniska handlingar. Vad som överväger skulle jag säga beror av innehållet, hur känsligt det är och hur många som behöver tillgång till det. Läs: ju känsligare och ju färre som behöver tillgång desto större anledning till att hantera det offline.

        Hur har attityden till möjligheten att hantera hemligheter elektroniskt förändrats inom myndigheterna de senaste, säg, tio åren?

        Svaret på den här frågan kanske är ett blogginlägg i sig. *wink* *wink*

        • Du har helt rätt i att det finns olika för- och nackdelar med pappershandlingar respektive elektroniska handlingar. Min uppfattning är att man generellt ska kunna hantera alla slag av hemliga uppgifter i ett IT-system som för ändamålet är godkänt ur säkerhetssynpunkt. Detta oavsett hur känsliga uppgifterna är och oavsett hur få personer som är behöriga att ta del av uppgifterna.

          Olika organisationer (t ex stater, myndigheter, kommuner och företag) kan dock ha uppnått olika grader av mognad i sitt informationssäkerhetsarbete. Då det är svårare att uppnå och upprätthålla IT-säkerheten i och kring ett IT-system kan det i vissa fall vara olämpligt att distribuera elektroniska handlingar till en organisation som präglas av lägre grad av mognad. Det kan också finnas andra skäl för att undvika delgivning i elektronisk form till en annan organisation.

          Ett exempel på skillnader i vilken information som får delges elektroniskt är EU:s utbyte av EU classified information (EUCI) med stater utanför EU. EU får t ex delge EUCI till Australien som är placerad i den hösta nivån (TRES SECRET UE/EU TOP SECRET). I fråga om EUCI i elektronisk form får dock endast den lägsta nivån (RESTREINT UE/EU RESTRICTED) delges till Australien (se bild).

          Utdrag ur sidan 4 i Exchange of EU classified information (EUCI) with third States and international organisations.

          Bilden ovan är hämtad från sidan 4 i ”Exchange of EU classified information (EUCI) with third States and international organisations”.

          /Kim Hakkarainen

  2. Jacob Melin

    Här tycker jag att det är värt att nämna att vid inventering skall varje sida i handling räknas – dvs säkerställa att handlingen är komplett. Jag upplever att det slarvas med detta och att den som förrättar inventeringen bara konstaterar att missivets löpnummer stämmer överens med uppgiften i diariet.
    Intressant att läsa om hur det fungerar vid andra myndigheter utöver FM.

    • Nej Jacob, det är inte nödvändigt att räkna sidor när man inventerar hemliga handlingar.

      Jag och mina kolleger har kommit fram till att det oftast är tillräckligt att jämföra handlingens unika dokumentbeteckning och exemplarnummer på handlingens första sida med motsvarande uppgift i en inventeringslista. Detta då en inventering av en hemlig handling syftar till att fastställa om handlingen är i behåll eller har förkommit.

      Jag har skrivit mer om detta i H SÄK Infosäk (sidorna 152-153). Där framgår bl a: ”I det fall en handling består av flera lösa bilagor eller lagringsmedier måste även dessa kontrolleras. Om handlingen har gått sönder, t.ex. då sidor lossnat, bör en noggrannare kontroll av att handlingen är intakt ske. Att räkna varje sida i en hemlig handling, inklusive bilagor, bör endast ske då det finns tydliga indikationer på att handlingen inte är intakt. I detta avseende bör noggrannheten i inventeringen vara större för handlingar som är placerade i informationssäkerhetsklass HEMLIG/TOP SECRET.”

      /Kim Hakkarainen

      • Jacob Melin

        Aha? Jag förutsatte att det var ett krav, då det faller sig så självklart för mig. Inte en dag då man inte lär sig något nytt.
        Tack!

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *