Ett lagringsmedium (t ex en hårddisk) som ingår i ett IT-system som är avsett för behandling av uppgifter som omfattas av sekretess och som rör rikets säkerhet måste livscykelhanteras. Det handlar om att upprätthålla kontinuerlig kontroll över lagringsmediet från det tillfälle den är avsedd att användas till dess att den är förstörd.
Ibland uppstår diskussion om ett lagringsmedium i ett IT-system är en allmän handling enligt tryckfrihetsförordningen (TF). Säkerhetsskyddet för handlingar som är under utarbetande (sk arbetshandlingar) är lägre än för allmänna handlingar.1 2 Arbetshandlingar behöver t ex inte registreras eller inventeras. Analogt med arbetshandlingar i pappersform skulle lagringsmedier i ett IT-system inte behöva registreras och inventeras. Det underlättar hanteringen, men inget kan ur säkerhetsskyddssynpunkt vara mer fel!
Det inte är adekvat att använda begreppet allmän handling för att avgöra vilket säkerhetsskydd som ett lagringsmedium ska ha. Följande fyra punkter visar varför statusen enligt TF saknar betydelse.
Bara det att säkerhetskopior är undantagna från att vara allmänna handlingar pekar på det tokiga i att använda begreppet allmän handling för vilket skydd som ett lagringsmedium ska omfattas av. Säkerhetskopior innehåller ju all information som lagras i ett IT-system. Är det något man måste livscykelhantera är det säkerhetskopior. Det går inte att slippa undan livscykelhantering genom att hävda att lagringsmedier är arbetshandlingar.
Skyddsåtgärden registrering kan vara förvirrande för den som tänker på registrering av allmänna handlingar i ett diarium.9 Om ett lagringsmedium inte är en allmän handling ska den ju inte registreras i ett diarium över allmänna handlingar. Men då registrering är en nödvändig förutsättning för att kunna livscykelhantera lagringsmedier måste det ske i ett register som inte har som syfte att vara ett diarium. Hur ska man annars ha koll på vilka lagringsmedierna man har och var de finns?
Livscykelhantering skapar ordning och reda bland lagringsmedierna, medför att hanteringen är spårbar och gör det möjligt att upptäcka en eventuell förlust som då ska menbedömas.
/Kim Hakkarainen
Blogginlägget innehåller hänvisningar till bestämmelser eller andra källor som inte längre gäller. Även om de har ersatts kan påståenden och slutsatser fortfarande vara giltiga.
2 kap. Försvarsmaktens föreskrifter (FFS 2003:7) om säkerhetsskydd. ↩︎
3 kap. Rikspolisstyrelsens föreskrifter (RPSFS 2010:3) och allmänna råd om säkerhetsskydd. ↩︎
Sidorna 36-39 och 41-42, Allmänna handlingar i elektronisk form – offentlighet och integritet (SOU 2010:4). ↩︎
Sidan 90, Om nya grundlagsbestämmelser angående allmänna handlingars offentlighet prop. 1975/76:160. ↩︎
Sidan 34, Allmänna handlingar i elektronisk form – offentlighet och integritet (SOU 2010:4). ↩︎
Sidorna 33-34, Allmänna handlingar i elektronisk form – offentlighet och integritet (SOU 2010:4). ↩︎
5 kap. 1-2 §§ offentlighets- och sekretesslagen (2009:400). ↩︎