Kommentar till Nils Funckes frågor om informationssäkerhet
Nils Funcke, journalist och expert i yttrandefrihetsfrågor har med anledning av Saudiaffären ställt frågor om bl a informationssäkerhet i en debattartikel i Expressen. Han har, liksom jag, läst den nedlagda förundersökningen avseende de sekretessbelagda handlingar från FOI som lämnades till Sveriges Radio. Frågorna som rör informationssäkerhet sammanfattar han i ett inlägg på sin egen blogg:
2. Hur har regeringen och FOI (Försvarets forskningsinstitut) hanterat sekretessfrågorna? Hur stämmer överenskommelserna som ingåtts med offentlighets- och sekretesslagstiftningen? Hur får svenska myndigheter använda begrepp som “secret” som FOI använder i sin sekretesstämpel? Har FOI ingått något sekretessavtal med saudierna och hur se det i så fall ut?
Då detta är ett område som jag behärskar tänkte jag genom en kommentar på Nils Funckes webbplats bringa klarhet i frågorna. Tyvärr valde han att inte publicera min kommentar. Jag självpublicerar därför här istället, kompletterat med bilder som ursprungligen inte fanns med.
≈ ≈ ≈
Här är bakgrund till dina frågeställningar under punkten 2 ovan. Som du väl känner till prövas frågor om sekretess i Sverige enligt offentlighets- och sekretesslagen (2009:400) (OSL). I en myndighets internationella samarbeten torde främst sekretess enligt 15 kap. 1 § OSL (utrikessekretess) vara aktuell. Förekommer det uppgifter i ett internationellt samarbete som rör försvaret av Sverige kan sådana uppgifter omfattas av sekretess enligt 15 kap. 2 § OSL (försvarssekretess). Ett exempel på det senare fallet är utvecklings- och anskaffningsprojekt av försvarsmateriel avsedda för försvaret av Sverige.
I Sverige gäller att en allmän handling som innehåller någon uppgift som bedöms omfattas av sekretess enligt OSL får sekretessmarkeras (5 kap. 5 § 1 st OSL). Allmänna handlingar som innehåller uppgifter som omfattas av sekretess enligt OSL och som är av synnerlig betydelse för rikets säkerhet ska sekretessmarkeras (följer av 5 kap. 5 § 2 st OSL).
För de myndigheter som Rikspolisstyrelsen föreskriver om säkerhetsskydd för gäller att alla allmänna handlingar som innehåller uppgifter som omfattas av sekretess enligt OSL och som rör rikets säkerhet ska förses med en hemligbeteckning, som inte ska sammanblandas med sekretessmarkering (3 kap. 1-2 §§ RPSFS 2010:3). Exempel på hemligbeteckning finner du på sidan 20 i Säkerhetspolisens vägledning om säkerhetsskydd.
Exempel på hemligbeteckning. Hämtad från Säkerhetspolisens vägledning om säkerhetsskydd.
För de myndigheter som Försvarsmakten föreskriver om säkerhetsskydd för gäller att allmänna handlingar som innehåller någon uppgift som omfattas av sekretess enligt OSL och som rör rikets säkerhet ska sekretessmarkeras (2 kap. 1 § FFS 2003:7). Alla handlingar, såväl allmänna som icke allmänna, ska dessutom placeras i en informationssäkerhetsklass som anger vilket säkerhetsskydd handlingarna ska omfattas av (2 kap. 2 § FFS 2003:7), t ex vad gäller ett förvaringsutrymmes förmåga att motstå intrång. Informationssäkerhetsklasserna är HEMLIG/RESTRICTED, HEMLIG/CONFIDENTIAL, HEMLIG/SECRET och HEMLIG/TOP SECRET (1 kap. 4 § FFS 2003:7).
Exempel på informationssäkerhetsklasserna. Hämtad från Handbok för Försvarsmaktens säkerhetstjänst, Säkerhetsskyddstjänst (H SÄK Skydd).
Informationssäkerhetsklasserna är främst en indelning av säkerhetsskyddet utifrån vilket men för rikets säkerhet ett röjande får. Märkning med informationssäkerhetsklass är skild från sekretessmarkeringen. Det är alltså, analogt med Rikspolisstyrelsens hemligbeteckning, fråga om två märkningar där sekretessmarkeringen avser sekretess enligt OSL och informationssäkerhetsklassen anger hur handlingen ska skyddas och praktiskt hanteras av den person som har handlingen.
Indelningen av säkerhetsskyddet i fyra informationssäkerhetsklasser överensstämmer med andra staters och mellanfolkliga organisationers motsvarande indelning av skydd. Några exempel på motsvarighet till informationssäkerhetsklasser för stater i EU hittar du i Appendix B till Rådets beslut om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter (2011/292/EU) (sidorna 44-45).
Exempel på andra staters motsvarigheter till informationssäkerhetsklasser.
Vad gäller förekomsten av ordet SECRET i FOI sekretessmarkeringar är förklaringen att FOI, enligt min mening, felaktigt sammanfört innehållet i sekretessmarkeringarna och informationssäkerhetsklasserna. Avsikten med informationssäkerhetsklasserna har inte varit att de ska placeras i en sekretessmarkering, utan vara en självständig varningssignal vid sidan om en sekretessmarkering. Alla sekretessmarkerade handlingar vid en myndighet rör inte rikets säkerhet. Det ska därför vara lätt att skilja olika sekretessmarkerade handlingar åt beroende på om de är placerade i informationssäkerhetsklass eller inte.
Exempel på en sekretessmarkering vid FOI. Hämtad från förundersökningen.
Tidigare reglering om innehållet i en hemligstämpel (15 kap. 3 § sekretesslagen) angav att beteckningen hemlig skulle ingå. I OSL har detta krav tagits bort (5 kap. 5 § 1 st OSL). En myndighet får således använda andra uttryck och får även komplettera innehållet i en sekretessmarkering med annan relevant information (sidorna 311-314 i prop. 2008/09:150).
Uppgifterna i handlingarna som beskrivs i förundersökningen rör, enligt min uppfattning, inte rikets säkerhet. Innebörden i säkerhetsskyddsavtal mellan Sverige och andra stater är dock att uppgifterna ömsesidigt ska ges ett skydd (t ex vad gäller förvaring av en handling) som om uppgifterna rörde rikets säkerhet. Sveriges säkerhetsskyddsavtal ingår i Sveriges internationella överenskommelser (SÖ) och publiceras på regeringens webbplats.
Exempel på jämförelsetabell i säkerhetsskyddsavtal med en annan stat. Hämtad från Generellt säkerhetsskyddsavtal med Frankrike rörande ömsesidigt utbyte och skydd av hemliga uppgifter (SÖ 2007:2).
En svensk myndighet kan således ge andra staters uppgifter ett motsvarande säkerhetsskydd. En vägledning i bedömningen om andra staters uppgifter ska ges ett säkerhetsskydd är om en inkommen handling har försetts med beteckningar som anges i ett säkerhetsskyddsavtal med den andra staten. Sådana beteckningar motsvaras av informationssäkerhetsklasserna som beskrivits ovan. I fråga om upprättande av handlingar i ett internationellt samarbete kan det finnas riktlinjer (klassningsguide eller Security Classification Guide) för ett samarbete som beskriver hur uppgifterna i samarbetet bör informationsklassificeras. Sådana riktlinjer förekommer i materielanskaffningsprojekt och kan då även benämnas materielsäkerhetsspecifikation.
Sveriges säkerhetsskyddsavtal innebär inte att handlingar som kan komma att omfattas av avtalens bestämmelser om skydd är undantagna offentlighetsprincipen. Oavsett hur en handling, som förvaras vid en svensk myndighet, är märkt bedöms frågan om sekretess uteslutande enligt bestämmelserna i OSL.
/Kim Hakkarainen
Blogginlägget innehåller hänvisningar till bestämmelser eller andra källor som inte längre gäller. Även om de har ersatts kan påståenden och slutsatser fortfarande vara giltiga.