Spretig inventering av hemliga handlingar

En av de viktigaste skyddsåtgärderna i den administrativa informationssäkerheten är inventering av hemliga handlingar (sådana som rör rikets säkerhet). Inventering av hemliga handlingar genomförs för att kontrollera om de är i behåll eller om de har förlorats. Slarvas det med inventeringen leder det till stora svårigheter att senare få ordning på de hemliga handlingarna. När det gått flera år är det svårt att få klarhet i vad som har hänt.

Hemliga handlingar försvunna i Skåne. Hemliga handlingar som rör rikets säkerhet har försvunnit hos länsstyrelsen i Skåne. Upptäckten gjordes efter en flera år försenad inventering.

Utdrag från TT-nyhet på Helsingsborgs Dagblads webbplats. Bland de försvunna handlingarna fanns militära uppgifter.

Helsingsborgs Dagblad

För att en inventering av hemliga handlingar1 ska vara effektiv ur säkerhetssynpunkt måste den genomförs av en oberoende part. Det betyder inte att den person som innehar handlingarna inte ska få närvara under inventeringen. Hen är ju den som förvarar handlingarna och ansvarar för dessa, även under en inventering. Om inventering inte genomförs av en oberoende part kan ju den person som förvarar de hemliga handlingarna intyga om att handlingarna är i behåll, utan att ha genomfört inventeringen, eller ljuga om att en viss handling saknas.

Inventering har ett starkt samband med registrering av hemliga handlingar. Registreringen sker då av varje exemplar av en hemlig handling, t ex om den har kopierats. När ett exemplar av en hemlig handling registreras anges vem som handlingen är avsedd för. Ett register över hemliga handlingar kan användas för att ta fram listor för en inventering.

Dessa olika skyddsåtgärder är en del av livscykelhanteringen av hemliga handlingar där man upprätthåller kontroll från det att ett exemplar av en handling skapas till dess att exemplaret har förstörts eller arkiverats.

Inventering av hemliga handlingar är en av få konkreta skyddsåtgärder som specifikt har pekats ut i förarbeten till säkerhetsskyddslagen (se bilden nedan).

För en tillfredställande informationssäkerhet bör vidare krävas att handlingar med sekretessbelagda uppgifter förvaras på ett betryggande sätt och att man fortlöpande kontrollerar att handlingarna är i behåll.

Utdrag ur författningskommentar på sidan 75 regeringens proposition 1995/96:129. Författningskommentaren handlar här om 7 § säkerhetsskyddslagen. Där anges vad säkerhetsskyddet ska förebygga.

Proposition 1995/96:129

Hur ofta behöver man inventera hemliga handlingar?

Det är upp till varje myndighet och andra2 som ska följa säkerhetsskyddsförordningen att bestämma hur ofta inventering ska genomföras.3 Säkerhetspolisen och Försvarsmakten har föreskriftsrätt vad gäller säkerhetsskydd utom när det gäller ”omfattningen av inventeringen av hemliga handlingar”.4 Det tycker jag är en begränsning för expertmyndigheterna som får konsekvenser för rikets säkerhet. Säkerhetspolisen och Försvarsmakten ger rådet att hemliga handlingar ska inventeras minst en gång per år med hänsyn till att preskriptionstiden för brottet vårdslöshet med hemlig uppgift är två år.5 6 7 I Försvarsmakten är inventeringsintervallet bestämt till ett år.8 Om inventering genomförs med ett längre tidsintervall än ett år förlorar straffbestämmelsen betydelse. Ett eventuellt brott hinner preskriberas.9

Att upptäcka förluster av hemliga handlingar är dock inte endast en fråga om lagföring. Minst lika viktigt är vetskapen om att en viss hemlig handling har röjts och vilka konsekvenser det skulle kunna få för den verksamhet som uppgifterna i handlingen rör. Ett exempel är om en hemlig handling tappas bort vid en länsstyrelse och handlingen har sänts dit från Försvarsmakten. Beroende på hur en hemlig handling har förkommit kan det vara aktuellt att vidta åtgärder för att begränsa skadan av förlusten. Ju längre tidsförhållanden det är fråga om desto svårare är det att utreda hur en förlust har skett och vidta åtgärder.

Tack och lov ska åtminstone alla kvalificerat hemliga handlingar inventeras minst en gång per år.10 För sådana handlingar kan inte en myndighet försämra skyddet genom egna regler.

Hur ofta genomförs inventering av hemliga handlingar vid olika myndigheter?

Jag har undersökt några myndigheters interna bestämmelser om säkerhetsskydd för att ta reda på hur inventeringen av hemliga handlingar regleras utanför Säkerhetspolisens och Försvarsmaktens bemyndigande.

Regeringskansliet

Utdrag ur 8 kap 2 § Regeringskansliets föreskrifter om säkerhetsskyddet i Regeringskansliet</a> (beslutade 1997). Med försvarshemlig handling avses en hemlig handling som innehåller någon uppgift som rör totalförsvaret eller rikets säkerhet i övrigt (definition i 2 kap 2 §). Även uppgifter som omfattas av sekretess enligt 15 kap 1 § OSL (sk utrikessekretess) och som rör rikets säkerhet är då ”försvarshemliga”.

Vid Regeringskansliet ska inventering ske med ”lämpliga tidsmellanrum”.11 Vad som är lämpligt framgår inte. Utifrån det jag skrivit ovan är denna otydliga bestämmelse inte alls bra.

Företag som hanterar hemliga uppgifter åt FMV

Utdrag ur FMV industrisäkerhetsmanual (ISM) som används för säkerhetsskyddet vid företag som åt FMV får arbeta med hemliga uppgifter i egna lokaler.

Industrin som utför uppdrag åt FMV ska inventera vart tredje år.12 Dessutom ska egenkontroll årligen genomföras av den som innehar hemliga handlingar. Jag tycker tre år är en för lång tid. FMV har dock tänkt till om när inventering i övrigt ska genomföras. Det är bra.

Länsstyrelsen i Stockholms län

Utdrag ur Länsstyrelsens i Stockholms läns särskilda föreskrifter om säkerhetsskyddet.

Länsstyrelsen i Stockholms län har kanske ett ännu mer godtyckligt inventeringsintervall än vad Regeringskansliet har.13 En udda konstruktion.

Försäkringskassan

Utdrag ur 11 § Försäkringskassans föreskrifter (FKFS 2010:1) om säkerhetsskydd.

Årlig inventering är bra.14

Älvsbyns kommun

Utdrag ur Säkerhetsskyddsplan för Älvsbyns kommun.

Hemliga handlingar kan även förekomma hos kommuner. I Älvsbyns kommun ska handlingarna inventeras en gång vart femte år.15 Ett för långt inventeringsintervall, enligt min mening.

Havs- och vattenmyndigheten

På Havs- och vattenmyndighetens webbplats finns flera interna styrdokument publicerade. T ex en säkerhetspolicy och en rutin för hantering av allmänna handlingar. Enligt myndighetens arbetsordning ska det finnas en säkerhetsskyddschef. Jag har inte funnit några styrdokument på deras webbplats som handlar om informationssäkerhet för hemliga handlingar. Sådana styrdokument kan så klart ändå finnas.

Myndigheten får här vara ett exempel på när det utifrån den offentligt publicerade information inte har varit möjligt att klarlägga om de har några bestämmelser om hantering av hemliga handlingar. Det är inte helt lätt att googla fram myndigheternas interna bestämmelser. Ofta är de ogoogelbara.

≈ ≈ ≈

Hur ofta inventering av hemliga handlingar sker skiljer sig åt mellan olika myndigheter. De som har ett inventeringsintervall som är längre än ett år riskerar få ett sämre säkerhetsskydd. Säkerhetsskyddet hade blivit bättre om alla inventerade en gång per år. Informationssäkerheten rymmer dock många fler detaljer. Inventering handlar inte bara om regelbundenheten utan även om hur en inventering genomförs och rapportering, t ex när hemliga handlingar saknas. I texten ovan har jag inte gjort någon skillnad mellan allmänna handlingar och arbetshandlingar eller skillnader på grund av en handlings placering i informationssäkerhetsklass.

/Kim Hakkarainen

Blogginlägget innehåller hänvisningar till bestämmelser eller andra källor som inte längre gäller. Även om de har ersatts kan påståenden och slutsatser fortfarande vara giltiga.


  1. En hemlig handling är en handling som innehåller uppgifter som omfattas av sekretess enligt OSL och som rör rikets säkerhet (4 § säkerhetsskyddsförordningen). ↩︎

  2. Även kommuner, landsting och vissa företag ska följa säkerhetsskyddslagen (1 § säkerhetsskyddslagen) och säkerhetsskyddsförordningen (3 § säkerhetsskyddsförordningen). ↩︎

  3. Några myndigheter har beslutat interna föreskrifter om säkerhetsskydd med stöd av 45 § säkerhetsskyddsförordningen. Andra myndigheter har valt att ha sådana bestämmelser i sina arbetsordningar (4 § myndighetsförordningen). ↩︎

  4. 44 § 2 st säkerhetsskyddsförordningen. ↩︎

  5. 19 kap. 9 § brottsbalken. ↩︎

  6. Allmänt råd till 3 kap 16 § Rikspolisstyrelsens föreskrifter (RPSFS 2010:3) och allmänna råd om säkerhetsskydd. ↩︎

  7. Sidan 67 i H SÄK Skydd 2007 samt avsnitt 9.16.1 i kommande H SÄK Infosäk 2013 (gäller fr o m 2013-09-01). ↩︎

  8. 2 kap 12-13 §§ Försvarsmaktens interna bestämmelser (FIB 2007:2) om säkerhetsskydd och skydd av viss materiel. ↩︎

  9. Se sidorna 312 och 314-315 i SOU 2012:95 om oaktsam hantering av hemliga handlingar vad gäller brottet vårdslöshet med hemlig uppgift. ↩︎

  10. 9 § första stycket säkerhetsskyddsförordningen. ↩︎

  11. 8 kap 2 § Regeringskansliets föreskrifter om säkerhetsskyddet i Regeringskansliet (beslutade 1997). ↩︎

  12. FMV industrisäkerhetsmanual (ISM 2013). ↩︎

  13. Föreskrifterna finns på sidorna 35-36 i PDF:en Beslut om arbetsordning för Länsstyrelsen i Stockholm län. ↩︎

  14. 11 § Försäkringskassans föreskrifter (FKFS 2010:1) om säkerhetsskydd. ↩︎

  15. Utdrag ur Säkerhetsskyddsplan för Älvsbyns kommun (beslutad av kommunfullmäktige 2011-10-03 och gäller t o m 2013-12-31). ↩︎