Transportstyrelsen och informationen

Vilken slags information som Transportstyrelsen hanterar och som berörs av myndighetens outsourcing är i dag inte fullt ut klarlagt offentligt. Säkerhetspolisens förundersökning fokuserar på ett fåtal typer av uppgifter. Gärningsbeskrivningen i förhörsprotokollet med den tidigare generaldirektören tar endast upp sekretessen i 18 kap 5 § OSL, som handlar om skydd för kvalificerade skyddsidentiteter. Att Transportstyrelsen har till uppgift att förse kvalificerade skyddsidentiteter med körkort framgår av lagstiftningen. Det är offentliga uppgifter.

Tredje punkten i 2 § lagen om kvalificerade skyddsidentiteter avser kontoret för särskild inhämtning (KSI) vid MUST. Det är väl beskrivet i förarbeten och offentligt. Är det nödvändigt att peka på detta? Ja, enligt min mening, för att man ska förstå vilket intresse som kan ha påverkats negativt av outsourcingen.

Utdrag ur sidan 28 i propositionen 2005/06:149 (PDF), med förslag till lag om kvalificerade skyddsidentiteter.

MUST har på begäran av Säkerhetspolisen lämnat en menbedömning. Menbedömningen ingår i förundersökningsprotokollet men är där nästintill helt maskad. SVT begärde ut menbedömningen från Försvarsmakten och i den versionen framgår att det är fråga om uppgifter i det militära fordonsregistret. Det framgår dock inte i MUST bedömning om uppgifterna omfattas av någon sekretess, om uppgifterna i sådant fall rör rikets säkerhet och i sådant fall vilket men som ett röjande av uppgifterna har gett eller skulle kunna ge.

Utdrag ur den menbedömning som MUST lämnat till Säkerhetspolisen och som SVT har publicerat (klicka på ”Visa alla (6)”).

SVT publicerade nyheten att hela det militära fordonsregistret hade röjts av Transportstyrelsen. Transportstyrelsen dementerade och skrev att man inte hade något med det militära fordonsregistret att göra. ”Det hanteras av militären själva.” En sanning med modifikation eftersom det i militärtrafikförordningen står att Försvarsmakten ska lämna uppgifter till Transportstyrelsen om fordon som både är registrerade i det militära fordonsregistret och i Transportstyrelsens vägtrafikregister. SVT intervjuar en pressekreterare på Försvarsmakten som bekräftar att det finns uppgifter ur det militära fordonsregistret hos Transportstyrelsen. Vad det är för uppgifter kan han i intervjun inte kommentera då det omfattas av sekretess.

5 kap 5 § militärtrafikförordningen (2009:212).

Överbefälhavaren Micael Bydén har på presskonferensen den 24 juli bekräftat att det för Försvarsmaktens del handlar om fordon och kvalificerade skyddsidentiteter. De risker som Transportstyrelsens outsourcing medfört kan enligt ÖB dock hanteras. Det som hänt har ”inte märkbart påverkat försvarsunderrättelseförmågan”. Det har enligt ÖB heller inte medfört ”någon påtaglig påverkan på Försvarsmaktens samlade operativa förmåga”. Men brukar beskrivas i en skala på fyra nivåer och uttalandena indikerar att det är fråga om men i de lägre nivåerna. Vilken nivå har inte offentliggjorts.

Försvarsmakten vet inte vilka andra slag av uppgifter som kan ha röjts och har därför frågat Transportstyrelsen om att få information om ”personuppgifter, fordonsuppgifter och uppgifter som rör totalförsvars- och beredskapsplanering som är kopplade till Försvarsmakten och som Transportstyrelsen kan ha i sina system”. Den bild som hittills framkommit av men för rikets säkerhet är inte komplett. Förundersökningen har bara undersökt några få typer av information – tillräckligt för att få den tidigare generaldirektören att erkänna brott.

≈ ≈ ≈

En relevant fråga är hur man på Transportstyrelsen såg på vilka skyddsvärda tillgångar man hade och vilken information som omfattades av sekretess enligt OSL och rörde rikets säkerhet. Myndigheter är skyldiga att undersöka och dokumentera detta i en säkerhetsanalys (5 § säkerhetsskyddsförordningen). Säkerhetsanalysen är en grund för säkerhetsskyddsarbetet – man måste veta vad som är skyddsvärt för att kunna vidta anpassade säkerhetsskyddsåtgärder.

Förundersökningen ger med 16 protokoll från förhör med 14 personer en unik inblick i hur det ser ut i en svensk myndighet. Bilden nedan innehåller utdrag ur förhör med olika personer. Utdragen visar att personalens kunskap om vilken slags information vid Transportstyrelsen som omfattades av sekretess och som rörde rikets säkerhet var extremt begränsad.

13 utdrag ur Säkerhetspolisens förhörsprotokoll. Förundersökningen innehåller 16 protokoll från förhör med 14 personer. Maskningarna är mina för att ta bort personnamn från förhören.

≈ ≈ ≈

Den tidigare generaldirektören Staffan Widlert, som har gått i pension, säger i en intervju i DN att han blev uppkallad till Säkerhetspolisen och MUST när han var ny på myndigheten. Han informerades då om de hemligaste delarna av verksamheten. Budskapet från deras sida var, enligt Staffan Widlert, att ju mindre man pratade om detta, desto bättre, och ju mindre han själv visste om det desto bättre.

Det ledde till att vi pratade väldigt lite, egentligen ingenting alls, i ledningsgruppen om de här allra känsligaste frågorna, säger Staffan Widlert till DN. ”De flesta visste inte alls att vi sysslade med hemliga identiteter och sådana saker. I efterhand kan man se att det inte var bra. Det bidrog nog till att alla var lite naiva när vi gick in i upphandlingen.”

Att Säkerhetspolisen och MUST var så måna om att skydda Transportstyrelsens delaktighet i arbetet med kvalificerade skyddsidentiteter ledde paradoxalt nog till att Transportstyrelsens personal senare inte var medvetna om myndighetens delaktighet. Genom outsourcingen gavs utländska medborgare i andra länder möjlig åtkomst till uppgifterna. Den inställning som Säkerhetspolisen och MUST uppvisade och överförde till Transportstyrelsens dåvarande GD utsatte de egna skyddsvärdena för risker.

Det är inte bara Transportstyrelsen och Regeringskansliet som har något att lära sig av den här affären. Även Säkerhetspolisen och MUST har något att fundera på.

/Kim Hakkarainen

8 kommentarer

Publicerad i Brott mot Sveriges säkerhet, Offentlighet och sekretess, Säkerhetskultur, Säkerhetsskydd

8 kommentarer till Transportstyrelsen och informationen

  1. CS

    Ett som vanligt intressant inlägg från din sida. Du närmar dig två frågeställningar som jag funderar över.
    – Kan verkligen något hemligt anses ha röjts?
    – Har inte Försvarsmakten och Säkerhetspolisen genom sina uttalanden höjt ribban för vad som kan komma att omfattas av försvarssekretess?

    F.d. Generaldirektören har ju redan godtagit sitt strafföreläggande för vårdslöshet med hemlig uppgift (BB 19:9) så utifrån det låter det ju rimligt att anta att något hemligt har förekommit i Transportstyrelsens uppgifter. I gärningsmannabeskrivningen nämns dock ingenting om försvarssekretess. Istället nämns kvalificerade skyddsidentiteter, säkerhetsskyddslagen och Transportstyrelsens interna riktlinjer som punkter där GD fallerat. Här uppstår en delfråga. Kan något vara hemligt om det inte omfattas av försvarssekretess? Personligen tycker jag det är rimligt att en skyddad individ vid exempelvis MUST omfattas av sekretessen både för kvalificerade skyddsidentiteter och försvarssekretess men så verkar ju inte vara fallet utifrån skrivningarna i förundersökningen.

    Som du nämner ovan, baserat på uttalanden från Försvarsmakten och Säkerhetspolisen, så verkar inget som kan ha röjts ha utgjort något av verklig betydelse för rikets säkerhet. Därmed får i alla fall jag intrycket av att kvalificerade skyddsidentiteter enligt myndigheterna bedömning inte når upp till något verkligt betydelsefullt. Därmed faller helt plötsligt många argument som myndigheterna annars använder vid domstolar för att neka utlämnande av uppgifter i allmänna handlingar. Ganska få uppgifter, jämfört med dagens interna praxis i Försvarsmakten, torde därmed vara av sådan dignitet att de omfattas av försvarssekretess .

    Jag är en novis inom aktuellt sekretessområde, särskilt när vi går in på förordningarna och föreskrifter under Offentlighets- och sekretesslagen, så jag skulle uppskatta din syn på mina frågeställningar ovan.

  2. Mycket bra genomgång Kim!

    Jag tror inte att det finns anledning att anta att citaten från förhören är unika för just den här myndigheten (vilket du också hintar om). Liknande svar fås nästan säkert av majoriteten av våra myndigheter, landsting och kommuner.

    Att misstroendeförklara några ministrar för det här känns därför rätt underligt.

  3. Mats L

    Visserligen är det bara Staffan Widlerts egna uppgifter att han fått höra att ”ju mindre han själv visste om det desto bättre”, men har man sagt så till honom är det onekligen kontraproduktivt. Dock kan man inte bortse från risken att han missuppfattat budskapet i säkerhetssamtal – den första delen är ju inte fel; ”ju mindre man pratade om detta, desto bättre”. Naturligtvis då med inriktning på prat med såna som inte var behöriga att ta del av informationen och inte ens behövde veta att den fanns. Svårt att tro att någon uppmanat honom att inte ens prata med behöriga.

    https://www.transportstyrelsen.se/sv/Blanketter/Vag/Personuppgifter-PUL/Begaran-om-registerutdrag/ visar förhoppningsvis vilken information (eller i alla fall vilka register med personuppgifter) som Transportstyrelsen hanterar.

    • Kim Hakkarainen

      Citatet från Staffan Widlert som DN publicerade den 25 juli får han stå för. Han intervjuades på nytt i en ny artikel som DN publicerade den 27 juli och delar av citatet återgavs även då. Citatet tillsammans med Staffan Widlerts utsagor i Säkerhetspolisens förhör med honom utgör den sakliga grunden för slutklämmen i mitt blogginlägg. Man får spekulera i om Staffan Widlert har missuppfattat budskapet från Säkerhetspolisen och MUST. Det finns inget som pekar på det. Hans uttalande överensstämmer även med mina egna erfarenheter av den kontraproduktiva säkerhetskultur som emellanåt kan finnas i mycket säkerhetskänsliga verksamheter.

  4. Lasse

    Hej Kim!

    Intressant genomgång. Det är ju tyvärr alldeles uppenbart att man inte har haft någon grundläggande koll på det interna informationssäkerhetsarbetet. Tyvärr inte så ovanligt även om det vanligtvis inte handlar om information som omfattas av säkerhetsskyddslagen.

    CS, när det gäller hemlig information så finns det gott om sådana som inte omfattas av säkerhetsskyddslagen. Kvarskrivning eller fingerade identiteter är exempel på sådan information. Misstänker också att dom sitter på en hel del information som rör transportbranschen som kan leda till skada för tredje person eller företag om informationen kommer i fel händer.

    Rent juridiskt spelar det ingen större roll om informationen har kommit i orätta händer eller inte. Den kan ha hamnat i orätta händer och får därför anses som röjd. Att det sedan gäller alla svenskars personuppgifter och foton som har ett körkort är ju rätt jobbigt oavsett skyddsidentiteter eller inte.

    • CS

      Lasse, du blandar ihop begreppen. Sekretessbelagda uppgifter är inte samma sak som hemliga uppgifter. Offentlighets- och sekretesslagen använder endast begreppet sekretess. Hemlig uppgift definieras i Säkerhetsskyddsförordningen. En hemlig uppgift anges där vara en uppgift som omfattas av sekretess enlig Offentlighets- och sekretesslagen och rör rikets säkerhet. Om man därefter åter tittar i Offentlighets- och sekretesslagen så är det endast 15 kapitlet 2 paragrafen om försvarssekretess som tydligt handlar om rikets säkerhet.

  5. PL

    Nyckelfrågan i denna ”affär” som nu (enligt min personliga uppfattning) antagit oproportionerliga dimensioner är skyddsvärden. Dvs. vad är den potentiella skadan av att Transportstyrelsen lagt ut driften av vissa informationssytem på en leverantör som sköter driften från utlandet? Att Transportstyrelsens f.d. GD tagit beslut om att göra avsteg från krav på säkerhetsprövning kan tyckas anmärkningsvärt och t.o.m. stötande, men såvida de utlagda informationssytemen inte innehållit hemliga uppgifter, går i alla fall inte jag i spinn över beslutet. Det är oerhört olyckligt att Maria Å. accepterade strafföreläggandet i stället för att saken fick prövas i domstol! Som en konsekvens av detta blir det nu svårt att få klarhet i hur alla inblandade parter agerat. T.ex. skulle det vara mycket intressant att förstå hur utredare och åklagare värderat de menbedömningar från drabbade verksamheter som måste ha varit centrala i förundersökningen. Det är inte helt orimligt att tro att Transportstyrelsen nu ensam får bära hundhuvudet för slarv och inkompetens även hos andra myndigheter. Förvisso är det Transportstyrelsens skyldighet att göra en säkerhetsanalys men detta låter sig inte göras med någon större kvalitet om det inte görs i nära samarbete med och stöd från de verksamheter som drabbas av skadekonsekvenser vid ett röjande av de skyddsvärda uppgifterna. Hur har Polismyndigheten, Säkerhetspolisen och FM agerat mot Transportstyrelsen innan denna ”affär” rullades upp? Jag befarar att säkerhetsskyddskollektivet i Sverige kommer att missa en sällsynt möjligheten att lära sig mer från en skarp incident och därmed också missa en möjlighet att vässa sitt viktiga arbete.

  6. Pingback: Cybersäkerhetskompetens i styrelser | IT-säkerhet och kryptering

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *