Nils Funcke, journalist och expert i yttrandefrihetsfrågor har med anledning av Saudiaffären ställt frågor om bl a informationssäkerhet i en debattartikel i Expressen. Han har, liksom jag, läst den nedlagda förundersökningen avseende de sekretessbelagda handlingar från FOI som lämnades till Sveriges Radio. Frågorna som rör informationssäkerhet sammanfattar han i ett inlägg på sin egen blogg:
2. Hur har regeringen och FOI (Försvarets forskningsinstitut) hanterat sekretessfrågorna? Hur stämmer överenskommelserna som ingåtts med offentlighets- och sekretesslagstiftningen? Hur får svenska myndigheter använda begrepp som “secret” som FOI använder i sin sekretesstämpel? Har FOI ingått något sekretessavtal med saudierna och hur se det i så fall ut?
Då detta är ett område som jag behärskar tänkte jag genom en kommentar på Nils Funckes webbplats bringa klarhet i frågorna. Tyvärr valde han att inte publicera min kommentar. Jag självpublicerar därför min kommentar här istället. Jag har dock kompletterat med bilder som inte fanns med i min ursprungliga kommentar.
≈ ≈ ≈
Här är bakgrund till dina frågeställningar under punkten 2 ovan. Som du väl känner till prövas frågor om sekretess i Sverige enligt offentlighets- och sekretesslagen (2009:400) (OSL). I en myndighets internationella samarbeten torde främst sekretess enligt 15 kap. 1 § OSL (utrikessekretess) vara aktuell. Förekommer det uppgifter i ett internationellt samarbete som rör försvaret av Sverige kan sådana uppgifter omfattas av sekretess enligt 15 kap. 2 § OSL (försvarssekretess). Ett exempel på det senare fallet är utvecklings- och anskaffningsprojekt av försvarsmateriel avsedda för försvaret av Sverige.
I Sverige gäller att en allmän handling som innehåller någon uppgift som bedöms omfattas av sekretess enligt OSL får sekretessmarkeras (5 kap. 5 § 1 st OSL). Allmänna handlingar som innehåller uppgifter som omfattas av sekretess enligt OSL och som är av synnerlig betydelse för rikets säkerhet ska sekretessmarkeras (följer av 5 kap. 5 § 2 st OSL).
För de myndigheter som Rikspolisstyrelsen föreskriver om säkerhetsskydd för gäller att alla allmänna handlingar som innehåller uppgifter som omfattas av sekretess enligt OSL och som rör rikets säkerhet ska förses med en hemligbeteckning, som inte ska sammanblandas med sekretessmarkering (3 kap. 1-2 §§ RPSFS 2010:3). Exempel på hemligbeteckning finner du på sidan 20 i Säkerhetspolisens vägledning om säkerhetsskydd.
Exempel på hemligbeteckning. Hämtad från Säkerhetspolisens vägledning om säkerhetsskydd.
För de myndigheter som Försvarsmakten föreskriver om säkerhetsskydd för gäller att allmänna handlingar som innehåller någon uppgift som omfattas av sekretess enligt OSL och som rör rikets säkerhet ska sekretessmarkeras (2 kap. 1 § FFS 2003:7). Alla handlingar, såväl allmänna som icke allmänna, ska dessutom placeras i en informationssäkerhetsklass som anger vilket säkerhetsskydd handlingarna ska omfattas av (2 kap. 2 § FFS 2003:7), t ex vad gäller ett förvaringsutrymmes förmåga att motstå intrång. Informationssäkerhetsklasserna är HEMLIG/RESTRICTED, HEMLIG/CONFIDENTIAL, HEMLIG/SECRET och HEMLIG/TOP SECRET (1 kap. 4 § FFS 2003:7).
Exempel på informationssäkerhetsklasserna. Hämtad från Handbok för Försvarsmaktens säkerhetstjänst, Säkerhetsskyddstjänst (H SÄK Skydd).
Informationssäkerhetsklasserna är främst en indelning av säkerhetsskyddet utifrån vilket men för rikets säkerhet ett röjande får. Märkning med informationssäkerhetsklass är skild från sekretessmarkeringen. Det är alltså, analogt med Rikspolisstyrelsens hemligbeteckning, fråga om två märkningar där sekretessmarkeringen avser sekretess enligt OSL och informationssäkerhetsklassen anger hur handlingen ska skyddas och praktiskt hanteras av den person som har handlingen.
Indelningen av säkerhetsskyddet i fyra informationssäkerhetsklasser överensstämmer med andra staters och mellanfolkliga organisationers motsvarande indelning av skydd. Några exempel på motsvarighet till informationssäkerhetsklasser för stater i EU hittar du i Appendix B till Rådets beslut om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter (2011/292/EU) (sidorna 44-45).
Exempel på andra staters motsvarigheter till informationssäkerhetsklasser.
Vad gäller förekomsten av ordet SECRET i FOI sekretessmarkeringar är förklaringen att FOI, enligt min mening, felaktigt sammanfört innehållet i sekretessmarkeringarna och informationssäkerhetsklasserna. Avsikten med informationssäkerhetsklasserna har inte varit att de ska placeras i en sekretessmarkering, utan vara en självständig varningssignal vid sidan om en sekretessmarkering. Alla sekretessmarkerade handlingar vid en myndighet rör inte rikets säkerhet. Det ska därför vara lätt att skilja olika sekretessmarkerade handlingar åt beroende på om de är placerade i informationssäkerhetsklass eller inte.
Exempel på en sekretessmarkering vid FOI. Hämtad från förundersökningen.
Tidigare reglering om innehållet i en hemligstämpel (15 kap. 3 § sekretesslagen) angav att beteckningen hemlig skulle ingå. I OSL har detta krav tagits bort (5 kap. 5 § 1 st OSL). En myndighet får således använda andra uttryck och får även komplettera innehållet i en sekretessmarkering med annan relevant information (sidorna 311-314 i prop. 2008/09:150).
Uppgifterna i handlingarna som beskrivs i förundersökningen rör, enligt min uppfattning, inte rikets säkerhet. Innebörden i säkerhetsskyddsavtal mellan Sverige och andra stater är dock att uppgifterna ömsesidigt ska ges ett skydd (t ex vad gäller förvaring av en handling) som om uppgifterna rörde rikets säkerhet. Sveriges säkerhetsskyddsavtal ingår i Sveriges internationella överenskommelser (SÖ) och publiceras på regeringens webbplats.
Exempel på jämförelsetabell i säkerhetsskyddsavtal med en annan stat. Hämtad från Generellt säkerhetsskyddsavtal med Frankrike rörande ömsesidigt utbyte och skydd av hemliga uppgifter (SÖ 2007:2).
En svensk myndighet kan således ge andra staters uppgifter ett motsvarande säkerhetsskydd. En vägledning i bedömningen om andra staters uppgifter ska ges ett säkerhetsskydd är om en inkommen handling har försetts med beteckningar som anges i ett säkerhetsskyddsavtal med den andra staten. Sådana beteckningar motsvaras av informationssäkerhetsklasserna som beskrivits ovan. I fråga om upprättande av handlingar i ett internationellt samarbete kan det finnas riktlinjer (klassningsguide eller Security Classification Guide) för ett samarbete som beskriver hur uppgifterna i samarbetet bör informationsklassificeras. Sådana riktlinjer förekommer i materielanskaffningsprojekt och kan då även benämnas materielsäkerhetsspecifikation.
Sveriges säkerhetsskyddsavtal innebär inte att handlingar som kan komma att omfattas av avtalens bestämmelser om skydd är undantagna offentlighetsprincipen. Oavsett hur en handling, som förvaras vid en svensk myndighet, är märkt bedöms frågan om sekretess uteslutande enligt bestämmelserna i OSL.
/Kim Hakkarainen
Nils Funcke har i en e-post till mig den 1 maj förklarat att han inte tar in kommentarer på sin blogg. Han har nu ändrat inställningarna i WordPress så att det inte längre är möjligt att kommentera hans inlägg. Jag förstår och respekterar hans ställningstagande.
Han avslutar med ”Verkar som du har järnkoll på regelverket”. Jag har erbjudit mig att svara honom om han i framtiden har någon fråga som rör skydd av uppgifter som ska ges ett säkerhetsskydd. Att sprida kunskap i ämnet bidrar till att stärka skyddet.
/Kim Hakkarainen
Vilken bra blogg du har Kim !
Tack Jörgen!
Kul att du gillar bloggen! Jag har flera uppslag på nya blogginlägg och min plan är att publicera ett inlägg i veckan. Får se om det håller.. Just nu läser jag in mig på meddelarfrihet och rikets säkerhet, sedan var det kritiken mot förslaget om kriminalisering av utlandsspioneri som borde kommenteras och sedan har jag funderingar kring ”operationssekretess”. Min utgångspunkt är skyddet av information, men det kan då även vara fråga om inlägg som tar upp ett felaktigt skydd (t ex överskydd) eller brister i skyddet (t ex andra myndigheters föreskrifter). Så klart skriver jag inget om förhållanden som omfattas av sekretess. Jag tycker dock att det ofta är möjligt att skriva om hemliga förhållanden, utan att för den sakens skulle röja det som omfattas av sekretess.
Min uppfattning är att det i Sverige finns en stor okunskap om informationssäkerhet för uppgifter som ska ges ett säkerhetsskydd. Jag är övertygad om att en större kunskapsspridning och offentlig diskussion medför positiva effekter för skyddet.
/Kim Hakkarainen
Emellanåt, som nu är det ljuvligt att läsa koncis sakprosa.