Kommentar till Nils Funckes frågor om informations­säkerhet

Nils Funcke, journalist och expert i yttrande­frihets­frågor har med anledning av Saudi­affären ställt frågor om bl a informations­säkerhet i en debatt­artikel i Expressen. Han har, liksom jag, läst den nedlagda förundersökningen avseende de sekretess­belagda handlingar från FOI som lämnades till Sveriges Radio. Frågorna som rör informations­säkerhet samman­fattar han i ett inlägg på sin egen blogg:

2. Hur har regeringen och FOI (Försvarets forskningsinstitut) hanterat sekretessfrågorna? Hur stämmer överenskommelserna som ingåtts med offentlighets- och sekretesslagstiftningen? Hur får svenska myndigheter använda begrepp som “secret” som FOI använder i sin sekretesstämpel? Har FOI ingått något sekretessavtal med saudierna och hur se det i så fall ut?

Då detta är ett område som jag behärskar tänkte jag genom en kommentar på Nils Funckes webbplats bringa klarhet i frågorna. Tyvärr valde han att inte publicera min kommentar. Jag själv­publicerar därför här istället, kompletterat med bilder som ursprungligen inte fanns med.

≈ ≈ ≈

Här är bakgrund till dina frågeställningar under punkten 2 ovan. Som du väl känner till prövas frågor om sekretess i Sverige enligt offentlighets- och sekretesslagen (2009:400) (OSL). I en myndighets internationella samarbeten torde främst sekretess enligt 15 kap. 1 § OSL (utrikessekretess) vara aktuell. Förekommer det uppgifter i ett internationellt samarbete som rör försvaret av Sverige kan sådana uppgifter omfattas av sekretess enligt 15 kap. 2 § OSL (försvarssekretess). Ett exempel på det senare fallet är utvecklings- och anskaffningsprojekt av försvarsmateriel avsedda för försvaret av Sverige.

I Sverige gäller att en allmän handling som innehåller någon uppgift som bedöms omfattas av sekretess enligt OSL får sekretessmarkeras (5 kap. 5 § 1 st OSL). Allmänna handlingar som innehåller uppgifter som omfattas av sekretess enligt OSL och som är av synnerlig betydelse för rikets säkerhet ska sekretessmarkeras (följer av 5 kap. 5 § 2 st OSL).

För de myndigheter som Rikspolisstyrelsen föreskriver om säkerhetsskydd för gäller att alla allmänna handlingar som innehåller uppgifter som omfattas av sekretess enligt OSL och som rör rikets säkerhet ska förses med en hemligbeteckning, som inte ska sammanblandas med sekretessmarkering (3 kap. 1-2 §§ RPSFS 2010:3). Exempel på hemligbeteckning finner du på sidan 20 i Säkerhetspolisens vägledning om säkerhetsskydd.

Exempel på hemligbeteckning. Hämtad från Säkerhetspolisens vägledning om säkerhetsskydd.

För de myndigheter som Försvarsmakten föreskriver om säkerhetsskydd för gäller att allmänna handlingar som innehåller någon uppgift som omfattas av sekretess enligt OSL och som rör rikets säkerhet ska sekretessmarkeras (2 kap. 1 § FFS 2003:7). Alla handlingar, såväl allmänna som icke allmänna, ska dessutom placeras i en informationssäkerhets­klass som anger vilket säkerhetsskydd handlingarna ska omfattas av (2 kap. 2 § FFS 2003:7), t ex vad gäller ett förvaringsutrymmes förmåga att motstå intrång. Informations­säkerhets­klasserna är HEMLIG/RESTRICTED, HEMLIG/CONFIDENTIAL, HEMLIG/SECRET och HEMLIG/TOP SECRET (1 kap. 4 § FFS 2003:7).

Exempel på informationssäkerhetsklasserna. Hämtad från Handbok för Försvarsmaktens säkerhetstjänst, Säkerhetsskyddstjänst (H SÄK Skydd).

Informations­säkerhets­klasserna är främst en indelning av säkerhetsskyddet utifrån vilket men för rikets säkerhet ett röjande får. Märkning med informations­säkerhets­klass är skild från sekretess­markeringen. Det är alltså, analogt med Rikspolisstyrelsens hemligbeteckning, fråga om två märkningar där sekretess­markeringen avser sekretess enligt OSL och informations­säkerhets­klassen anger hur handlingen ska skyddas och praktiskt hanteras av den person som har handlingen.

Indelningen av säkerhetsskyddet i fyra informations­säkerhets­klasser överensstämmer med andra staters och mellanfolkliga organisationers motsvarande indelning av skydd. Några exempel på motsvarighet till informations­säkerhets­klasser för stater i EU hittar du i Appendix B till Rådets beslut om säkerhetsbestämmelser för skydd av säkerhetsskydds­klassificerade EU-uppgifter (2011/292/EU) (sidorna 44-45).

Exempel på andra staters motsvarigheter till informationssäkerhetsklasser.

Vad gäller förekomsten av ordet SECRET i FOI sekretessmarkeringar är förklaringen att FOI, enligt min mening, felaktigt sammanfört innehållet i sekretess­markeringarna och informations­säkerhets­klasserna. Avsikten med informations­säkerhetsklass­erna har inte varit att de ska placeras i en sekretessmarkering, utan vara en självständig varningssignal vid sidan om en sekretess­markering. Alla sekretess­markerade handlingar vid en myndighet rör inte rikets säkerhet. Det ska därför vara lätt att skilja olika sekretess­markerade handlingar åt beroende på om de är placerade i informations­säkerhets­klass eller inte.

Exempel på en sekretessmarkering vid FOI. Hämtad från förundersökningen.

Tidigare reglering om innehållet i en hemligstämpel (15 kap. 3 § sekretesslagen) angav att beteckningen hemlig skulle ingå. I OSL har detta krav tagits bort (5 kap. 5 § 1 st OSL). En myndighet får således använda andra uttryck och får även komplettera innehållet i en sekretessmarkering med annan relevant information (sidorna 311-314 i prop. 2008/09:150).

Uppgifterna i handlingarna som beskrivs i förundersökningen rör, enligt min uppfattning, inte rikets säkerhet. Innebörden i säkerhetsskydds­avtal mellan Sverige och andra stater är dock att uppgifterna ömsesidigt ska ges ett skydd (t ex vad gäller förvaring av en handling) som om uppgifterna rörde rikets säkerhet. Sveriges säkerhetsskyddsavtal ingår i Sveriges internationella överens­kommelser (SÖ) och publiceras på regeringens webbplats.

Exempel på jämförelsetabell i säkerhetsskyddsavtal med en annan stat. Hämtad från Generellt säkerhetsskyddsavtal med Frankrike rörande ömsesidigt utbyte och skydd av hemliga uppgifter (SÖ 2007:2).

En svensk myndighet kan således ge andra staters uppgifter ett motsvarande säkerhetsskydd. En vägledning i bedömningen om andra staters uppgifter ska ges ett säkerhets­skydd är om en inkommen handling har försetts med beteckningar som anges i ett säkerhetsskydds­avtal med den andra staten. Sådana beteckningar motsvaras av informations­säkerhets­klasserna som beskrivits ovan. I fråga om upprättande av handlingar i ett internationellt samarbete kan det finnas riktlinjer (klassningsguide eller Security Classification Guide) för ett samarbete som beskriver hur uppgifterna i samarbetet bör informations­klassificeras. Sådana riktlinjer förekommer i materiel­anskaffnings­projekt och kan då även benämnas materiel­säkerhets­specifikation.

Sveriges säkerhetsskyddsavtal innebär inte att handlingar som kan komma att omfattas av avtalens bestämmelser om skydd är undantagna offentlighets­principen. Oavsett hur en handling, som förvaras vid en svensk myndighet, är märkt bedöms frågan om sekretess uteslutande enligt bestämmelserna i OSL.

/Kim Hakkarainen

Blogginlägget innehåller hänvisningar till bestämmelser eller andra källor som inte längre gäller. Även om de har ersatts kan påståenden och slutsatser fortfarande vara giltiga.