Sekretesstider och säkerhetsskyddsåtgärdernas effektivitet
Från och med den 1 september 2015 har sekretesstiden förlängts från 70 till 95 år för uppgifter som omfattas av försvarssekretess och som rör underrättelseverksamhet. Sekretesstiderna är intressanta då de anger under hur lång tid uppgifterna måste skyddas mot ett röjande. Sekretesstiderna är därför en dimensionerande faktor i en myndighets informationssäkerhetsarbete.
Sekretessbestämmelserna i OSL anger den längsta sekretesstiden för uppgifter i allmänna handlingar, och i praktiken även hur lång tid som tystnadsplikten gäller. Sekretesstidernas längd skiftar beroende på vilket skyddsintresse som sekretessen är avsedd att skydda. Sekretessbelagda uppgifter som avser enskildas ekonomiska förhållanden har i allmänhet en sekretesstid på 20 år. Sekretesstiden för uppgifter om enskildas personliga förhållanden brukar som längst vara 70 år.
För uppgifter som omfattas av försvarssekretess (15 kap 2 § OSL) är sekretesstiden högst 40 år. Om det finns särskilda skäl kan regeringen förlänga sekretesstiden för för sådana uppgifter. I 4 § offentlighets- och sekretessförordningen (OSF) (2009:641) har sekretesstiden förlängts för sex uppgiftstyper.
Jurister utan kunskap om informationssäkerhet påstår ibland att sekretess enligt OSL endast är intressant för att pröva om en allmän handling får lämnas ut, enligt bestämmelserna om allmänna handlingars offentlighet i 2 kap TF. Det är enligt min mening inte sant. Så länge som villkoren i en sekretessbestämmelse är uppfylld, och sekretesstiden inte har överskridits, gäller tystnadsplikt och förbud mot att lämna ut allmänna handlingar (handlingssekretess). Att uppgifterna ska skyddas mot ett röjande påverkar så klart informationssäkerhetsarbetet vad gäller konfidentialitetsaspekten.
I det fall en uppgift som omfattas av sekretess och rör rikets säkerhet ska uppgiften omfattas av ett säkerhetsskydd (6 och 7 §§ säkerhetsskyddslagen [1996:627]). Om en hemlig uppgift om försvarsanläggningar skapas i dag ska uppgiften skyddas mot spioneri och andra brott som kan hota rikets säkerhet i upp till 150 år. Säkerhetsskyddet i form av tekniska säkerhetsskyddsåtgärder i IT-system, förstöring av pappershandlingar och lagringsmedier, kryptering mm måste anpassas för detta extrema tidskrav.
En sak som jag funderat mycket på är hur effektiva säkerhetsskyddsåtgärderna är att under en längre tid skydda uppgifter som rör rikets säkerhet. Ett exempel är kryptering. Jag har från flera företrädare för signalskyddstjänsten fått höra att kryptoapparater ska skydda uppgifterna mot insyn i 50 år. Det finns till och med ett offentligt uttalande i frågan där en mellanchef på MUST till tidskriften TechWorld anger tidsgränsen 50 år. Nu är mina matematiska kunskaper mycket begränsade och jag, har jämfört med kryptologerna, oerhört begränsade kunskaper om kryptering – men jag saknar 100 år.
Är 50 år tillräckligt för att skydda hemliga uppgifter om sekretesstiden för uppgifterna är 95 eller 150 år?
Artikel i TechWorld (publicerad 2015-04-27 och hämtad 2015-08-31): Vår vilja att kryptera våra data ökar enormt. Men räcker dagens krypton för att skydda oss?
Är det verkligen så att de kryptoapparater som vi har i dag inte klarar av att skydda uppgifter i underrättelseverksamheten mot insyn i 95 år? Kan det vara så att vi behöver ett begrepp för informationsklassificeringen som anger att de hemliga uppgifterna ska skyddas i mer än 40 år? ”Långtidshemligt” kan kanske vara ett sådant begrepp för att uppmärksamma det långsiktiga skyddsvärdena i informationshanteringen?
≈ ≈ ≈
Varför har då regeringen förlängt sekretesstiden med 25 år? En möjlig förklaring är att det bland en eller flera försvarsunderrättelsemyndigheter förekommer uppgifter från efterkrigstiden som om de röjs fortfarande kan antas skada landets försvar eller vålla fara för rikets säkerhet. Villkoren i försvarssekretessen är alltjämnt uppfyllda, men sekretesstiden håller på att löpa ut.
/Kim Hakkarainen
Blogginlägget innehåller hänvisningar till bestämmelser eller andra källor som inte längre gäller. Även om de har ersatts kan påståenden och slutsatser fortfarande vara giltiga.