Rikets säkerhet kräver livs­cykel­hantering av lagrings­medier

Ett lagringsmedium (t ex en hårddisk) som ingår i ett IT-system som är avsett för behandling av uppgifter som omfattas av sekretess och som rör rikets säkerhet måste livscykelhanteras. Det handlar om att upprätthålla kontinuerlig kontroll över lagringsmediet från det tillfälle den är avsedd att användas till dess att den är förstörd.

Exempel på skyddsåtgärder under ett lagringsmediums livscykel.

Ibland uppstår diskussion om ett lagringsmedium i ett IT-system är en allmän handling enligt tryckfrihetsförordningen (TF). Säkerhetsskyddet för handlingar som är under utarbetande (sk arbetshandlingar) är lägre än för allmänna handlingar.1 2  Arbetshandlingar behöver t ex inte registreras eller inventeras. Analogt med arbetshandlingar i pappersform skulle lagringsmedier i ett IT-system inte behöva registreras och inventeras. Det underlättar hanteringen, men inget kan ur säkerhetsskyddssynpunkt vara mer fel!

Det inte är adekvat att använda begreppet allmän handling för att avgöra vilket säkerhetsskydd som ett lagringsmedium ska ha. Följande fyra punkter visar varför statusen enligt TF saknar betydelse.

  1. Utvecklingen av lagringsmediers lagringskapacitet har medfört att ett lagrings­medi­um kan innehålla en mycket stor mängd uppgifter samtidigt som den fysiskt kan vara mycket liten. Jämförels­en med pappersdokument är talande - en förlust av ett lagringsmedium kan jämföras med en förlust av tusentals pappershandlingar.
  2. Lagringsmedier används samtidigt för lagring av uppgifter som ingår i allmänna handlingar och arbetshandlingar. I fråga om handlingar som skapas i IT-system kan statusen på sådana handl­ingar och kopior av dessa skifta, t.ex. i samband med att en sådan lagrad handling har expedierats.3
  3. I TF används begreppet ”upptagning för automatiserad behandling” och avser då bl.a. upp­gifter som lagras på ett lagringsmedium. En upptagning är en handling.4 I fråga om en databas eller ett register kan ”varje konstellation av sakligt samman­häng­ande uppgifter” ses som en upptagning för sig.5 Det kan därför vara svårt att på för­hand avgöra vilka s.k. potentiella handlingar6 som ett lagringsmedium innehåller. Uppgift­er i färdiga elektroniska handlingar (slutligt utformade handlingar i elektronisk form med ett bestämt, fixerat innehåll, t.ex. e-post) bildar inte potentiella handlingar.7 Ett lagringsmedium kan samtidigt innehålla såväl potentiella handlingar som färdiga elektroniska handlingar.
  4. En säkerhetskopia är undantagen från att vara en allmän handling.8

Bara det att säkerhetskopior är undantagna från att vara allmänna handlingar pekar på det tokiga i att använda begreppet allmän handling för vilket skydd som ett lagringsmedium ska omfattas av. Säkerhetskopior innehåller ju all information som lagras i ett IT-system. Är det något man måste livscykelhantera är det säkerhetskopior. Det går inte att slippa undan livscykelhantering genom att hävda att lagringsmedier är arbetshandlingar.

Skyddsåtgärden registrering kan vara förvirrande för den som tänker på registrering av allmänna handlingar i ett diarium.9 Om ett lagringsmedium inte är en allmän handling ska den ju inte registreras i ett diarium över allmänna handlingar. Men då registrering är en nödvändig förutsättning för att kunna livscykelhantera lagringsmedier måste det ske i ett register som inte har som syfte att vara ett diarium. Hur ska man annars ha koll på vilka lagringsmedierna man har och var de finns?

Livscykelhantering skapar ordning och reda bland lagringsmedierna, medför att hanteringen är spårbar och gör det möjligt att upptäcka en eventuell förlust som då ska menbedömas.

/Kim Hakkarainen

Blogginlägget innehåller hänvisningar till bestämmelser eller andra källor som inte längre gäller. Även om de har ersatts kan påståenden och slutsatser fortfarande vara giltiga.

  1. 2 kap. Försvarsmaktens föreskrifter (FFS 2003:7) om säkerhetsskydd. ↩︎

  2. 3 kap. Rikspolisstyrelsens föreskrifter (RPSFS 2010:3) och allmänna råd om säkerhetsskydd. ↩︎

  3. Sidorna 36-39 och 41-42, Allmänna handlingar i elektronisk form – offentlighet och integritet (SOU 2010:4). ↩︎

  4. 2 kap. 3 § TF. ↩︎

  5. Sidan 90, Om nya grundlagsbestämmelser angående allmänna handlingars offentlighet prop. 1975/76:160. ↩︎

  6. Sidan 34, Allmänna handlingar i elektronisk form – offentlighet och integritet (SOU 2010:4). ↩︎

  7. Sidorna 33-34, Allmänna handlingar i elektronisk form – offentlighet och integritet (SOU 2010:4). ↩︎

  8. 2 kap. 10 § andra stycket TF. ↩︎

  9. 5 kap. 1-2 §§ offentlighets- och sekretesslagen (2009:400). ↩︎