Operationssekretess (OPSEC) används i Försvarsmakten. Ett problemfyllt ord som vad gäller offentlighet och sekretess inte betyder någonting. Begreppet hänger inte ihop med den modell som används för informationsklassificering i Försvarsmakten. En anställd har ingen tystnadsplikt för uppgifter som kan komma i fråga för operationssekretess då stöd för sekretessen saknas i lag.
Definitionen av operationssekretess i Försvarsmakten är:
OPSEC är verksamhet för att systematiskt och metodiskt vidta åtgärder för att undanhålla egen kritisk information för en motståndare eller annan aktör i syfte att bibehålla egen handlingsfrihet.
Sidan 33 i Försvarsmaktens Grundsyn Informationsoperationer.
Enligt grundsynen handlar operationssekretess om att ”identifiera, kontrollera och skydda icke hemlig information och verksamhet som har med känsliga delar av en operation eller andra aktiviteter att göra, s k kritisk information.”
Operationssekretess är enligt grundsynen ”inte detsamma som sekretess av information” utan omfattar de ”öppna delarna av en operation”. En beskrivning av operationssekretess i Handbok Informationsoperationer är: ”Till skillnad från sekretesslagens uppgift att skydda klassificerad information, handlar OPSEC om processen att identifiera, kontrollera och skydda generellt oklassificerade indikatorer som kan kopplas till känsliga operationer (eller delar av) eller andra aktiviteter.”
Som exempel på ”icke hemlig information”, sk kritisk information, anges: ”Så att inte information som tillsammans med annan öppen information avslöjar kommande operativa avsikter vid t ex presskonferenser, information på hemsidor, nyhetsutsändningar.” Jag tolkar detta som att operationssekretess endast kan komma i fråga för uppgifter som inte omfattas av sekretess enligt offentlighets- och sekretesslagen (OSL).
Kunskap om en förestående insats behöver normalt döljas för en motståndare. Information som leder till sådan kunskap skulle en motståndare kunna utvinna genom att observera skeenden (t ex förflyttningar, övningar och andra förberedelser) och jämföra dessa med en normalbild. Information om en förestående insats finns i egna IT- och sambandssystem, personalen pratar med varandra om det och kanske går det även att utläsa i deras kommunikation med anhöriga. Massmedias rapportering eller vår egen rapportering i sociala medier kan avslöja detaljer om en förestående insats som en motståndare kan ha nytta av.
Det kan finnas ett behov att kontrollera tillgång till information om en förestående insats som kanske går utöver den informationssäkerhet som vi känner igen från stabstjänst i fredstid. Operationssekretess, som den beskrivs i grundsynen och handboken om informationsoperationer, är radikalt annorlunda från den informationssäkerhet som ska finnas i Försvarsmakten.
Om man placerar operationssekretess i Försvarsmaktens modell för informationsklassificering hamnar det i området för uppgifter som inte omfattas av sekretess enligt OSL (bilden nedan).
Operationssekretess omfattar endast information som inte omfattas av sekretess enligt OSL. Men enligt grundsynen är ändå ”klassificering av information ett sätt att höja operationssekretessen under en operation”. Vänta nu, hur kan man ”klassificera” information som inte omfattas av sekretess? Grundvillkoret för att placera information i någon av de fyra informationssäkerhetsklasserna är att informationen omfattas av sekretess enligt OSL.
Yttrandefriheten, dvs frihet att i tal, skrift eller bild eller på annat sätt meddela upplysningar samt uttrycka tankar, åsikter och känslor, får i vissa fall begränsas genom lag. I det allmännas verksamhet gäller sekretess enligt bestämmelser i OSL.
Operationssekretess kan uppfattas vara ett förbud att röja en uppgift, men operationssekretess finns inte OSL. Det finns ingen tystnadsplikt för operationssekretess. I fråga om allmänna handlingar där sådana uppgifter finns gäller inte någon handlingssekretess. En anställd i Försvarsmakten eller någon annan är därför inte pliktig att hålla tyst om något som kan komma i fråga för operationssekretess.
En militär chef kan knappast beordra någon operationssekretess för något förhållande som de anställda har kunskap om. Det skulle vara en inskränkning av yttrandefriheten som inte har lagstöd. Om en anställd, eller en person i uppdrag, i Försvarsmakten ”röjer” en uppgift som har kommit ifråga för operationssekretess kan hen inte ställas till ansvar.
Målet med operationssekretess, enligt Handbok Informationsoperationer, är ”att öka effekten av våra åtgärder i en operation genom att våra operativa avsikter inte röjs.”
Men om en uppgift om svenska åtgärder i en operation som rör försvaret av Sverige röjs och uppgiften röjer ”operativa avsikter”, innebär det då inte att uppgiften omfattas av försvarssekretess? På samma sätt borde motsvarande uppgifter omfattas av utrikessekretess när det gäller Försvarsmaktens deltagande i en internationell militär insats. Används operationssekretess som ett substitut för försvars- och utrikessekretesserna?
Det finns inga bestämmelser i Försvarsmakten för hur kritisk information ska skyddas. För IT-säkerhet gäller de krav som finns för uppgifter som inte omfattas av sekretess enligt OSL. Jag har inte hittat begreppen operationssekretess eller OPSEC i:
Operationssekretess faller således utanför Försvarsmaktens regelverk om informationssäkerhet. Om kritisk information är så betydelsefull att den måste döljas för en motståndare kanske den också behöver ett definierat skydd?
≈ ≈ ≈
Ordet operationssekretess är illa valt då sekretess vid en svensk myndighet endast gäller om det finns stöd i OSL. Operationssekretess bildar en gråzon utanför Försvarsmaktens bestämmelser och utanför de lagar som bestämmer vad en anställd får göra och inte göra med information.
En person som inte har kunskap om offentlighet och sekretess kan felaktigt tro att operationssekretess verkligen innebär ett förbud att röja en uppgift. Operationssekretess kan medföra att uppfattningen om det sekretessbelagda området (sekretess med stöd i OSL) förskjuts mot områden som inte omfattas av sekretess. Detta kan orsaka tolkningsproblem när bestämmelser i OSL ska användas. Jag tycker att ordet sekretess i det här sammanhanget endast ska få användas när det finns stöd i lag.
Det kan finnas en risk att operationssekretess medför en urholkning av sekretessbestämmelser som faktiskt finns, t ex försvars- och utrikessekretess. En oro jag har är att operationssekretess kan vara ett sätt att kringgå bestämmelserna om skydd för informationstillgångar.
Försvarsmakten kan inte, får inte, hitta på ett egen sekretess.
/Kim Hakkarainen
Blogginlägget innehåller hänvisningar till bestämmelser eller andra källor som inte längre gäller. Även om de har ersatts kan påståenden och slutsatser fortfarande vara giltiga.