Hantering av och skydd för elektronisk information ges stor uppmärksamhet. Det är inte konstigt med tanke på samhällets beroende av it, digitaliseringen och ständigt pågående angrepp där elektronisk information görs otillgänglig eller kommer på avvägar. Men information på papper kan vara minst lika viktig att ha kontroll över – i synnerhet när det handlar om Sveriges säkerhet.
Om säkerhetsskyddsklassificerade uppgifter röjs för obehöriga skadas Sveriges säkerhet. Sådana uppgifter ska enligt säkerhetsskyddslagen skyddas mot bland annat spioneri. Det handlar inte endast om informationssäkerhet utan även om fysisk säkerhet och om att personer som i sitt arbete hanterar uppgifterna är pålitliga och har kunskap om säkerhetsskydd.
Den 1 januari 2023 skärptes reglerna inom det civila området för fysiska handlingar som innehåller säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklass konfidentiell och högre. Tidigare gällde reglerna om exemplarhantering för säkerhetsskyddsklass hemlig. De skärpta reglerna träffar statliga myndigheter, regioner och kommuner men också företag som bedriver verksamhet som är av betydelse för Sveriges säkerhet. Anledningen till skärpningen är att Säkerhetspolisens regler har anpassats till försvarsområdets regler för att skapa ett mer nationellt enhetligt skydd för säkerhetsskyddsklassificerade uppgifter i exempelvis totalförsvarsplaneringen.
Reglerna om hantering av fysiska säkerhetsskyddsklassificerade handlingar finns främst i Säkerhetspolisens föreskrifter (PMFS 2022:1) om säkerhetsskydd men även i säkerhetsskyddsförordningen (2021:955).
Från upprättande till förstöring – en säkerhetsskyddsklassificerad handlings livscykel
Hantering av en handling i säkerhetsskyddsklass konfidentiell eller högre kan beskrivas som en livscykel med åtgärder (se figur). Det ska finnas dokumenterade rutiner för åtgärderna. Åtgärderna säkerställer att den egna organisationen har kontroll över samtliga fysiska exemplar från det att handlingen kommer in eller upprättas till dess att handlingen har förstörts eller arkiverats.
För att upprätthålla kontroll över fysiska handlingar i säkerhetsskyddsklass konfidentiell och högre ska det finnas ett register över vilka fysiska handlingar som finns i den egna verksamheten. Registret är centralt för informationssäkerheten eftersom registret gör det möjligt att inventera handlingarna och säkerställa att alla handlingar har lämnats tillbaka när personal avslutar sin anställning. Registret behövs även vid utredningar om brott mot Sveriges säkerhet, t.ex. för att ta reda på vilka handlingar som en viss person har haft tillgång till.
Normalt hanteras de fysiska handlingarna och registret över handlingarna av en central funktion i verksamheten, vanligtvis en registratur eller annan funktion för dokumenthantering. En nyhet är att registret över säkerhetsskyddsklassificerade handlingar kan vara skilt från diarier över allmänna handlingar. Ett skäl för detta är att säkerhetsskyddsklassificerade handlingar inte endast förekommer hos myndigheter utan även hos företag. Även hos myndigheter kan det vara lämpligt att använda ett diarium för ärendehantering och offentlighetsinsyn, och ett annat register för uppföljning av handlingar i säkerhetsskyddsklass konfidentiell eller högre.
Att ha kontroll över varje exemplar av en handling, bl.a. genom kvittering vid mottagande, inventering och dokumenterad förstöring brukar benämnas exemplarhantering. Varje fysiskt exemplar förses med ett nummer som identifierar exemplaret av en viss handling. Ett vanligt sätt är att det första exemplaret får exemplarnummer 1, det andra exemplaret exemplarnummer 2 och så vidare. Kombinationen av handlingens beteckning och exemplarnummer identifierar unikt varje fysiskt exemplar.
Förutom att registret behöver innehålla uppgifter om varje handling, såsom dess rubrik och beteckning, ska registret även innehålla uppgifter om vem som har tagit emot exemplaret, när exemplaret inventerades och om exemplaret har återlämnats, arkiverats eller förstörts eller om det har förkommit.
Kvittering ger spårbarhet
En viktig åtgärd för att ha kontroll över de enskilda exemplaren är att mottagaren kvitterar att hen tagit emot ett exemplar. Det finns några olika sätt att ordna kvittenserna, där ett sätt är att kvitteringen görs med underskrift på ett kvitto. Kvittot innehåller uppgifter om vilket exemplar som tas emot, vem som tar emot det och när det togs emot.
Årlig inventering bidrar till ordning och reda
En kontroll av att varje exemplar av en handling är i behåll ska göras minst en gång per år. Underlag för kontrollen hämtas från registret och resultatet antecknas också i registret. Om ett exemplar konstateras vara saknat, indikerar det en säkerhetshotande händelse. Vissa händelser, bland annat otillåtna röjanden, ska anmälas till Säkerhetspolisen. Den årliga kontrollen bidrar också till ordning och reda bland exemplaren, eftersom de ska kunna visas upp.
Återlämning och förstöring
När ett exemplar inte längre behövs för arbetet lämnas det tillbaka till verksamhetens centrala funktion för hantering av säkerhetsskyddsklassificerade handlingar, som uppdaterar registret med att det har återlämnats. Ett vanligt förfarande är att originalet av den säkerhetsskyddsklassificerade handlingen bevaras, medan alla kopior förstörs efter att de har återlämnats. Dubbletter och kopior av säkerhetsskyddsklassificerade handlingar hos statliga myndigheter kan normalt gallras.
Ett exemplar förstörs så att uppgifterna inte kan återskapas. För pappershandlingar sker det normalt i en dokumentförstörare med spån som är så små att de inte kan pusslas ihop. Även förstöringen av exemplaret dokumenteras i registret. Cirkeln sluts för just det exemplaret.
Säkerhetsskyddsbehovet kvarstår efter arkivering
Ska ett exemplar arkiveras antecknas det i registret. Livscykeln för exemplaret har inte upphört, men avstannat intill att exemplaret tas upp från arkivet för att användas på nytt.
Behovet av säkerhetsskydd upphör inte när en säkerhetsskyddsklassificerad handling har arkiverats – det är fortfarande en säkerhetsskyddsklassificerad handling. Bestämmelser om informationssäkerhet, fysisk säkerhet, personalsäkerhet m.m. i säkerhetsskyddslagen, säkerhetsskyddsförordningen och Säkerhetspolisens föreskrifter om säkerhetsskydd gäller även för de arkiverade handlingarna. Det innebär bl.a. att arkivpersonal som kan komma åt handlingarna måste vara säkerhetsprövade och att arkivlokaler har försetts med funktioner för att upptäcka, försvåra och hantera obehörigt tillträde och skadlig inverkan.
Informationssäkerhet för registret
Som beskrivits ovan har registret över exemplar av fysiska säkerhetsskyddsklassificerade handlingar en stor betydelse för informationssäkerheten. Därför behöver även registret omfattas av åtgärder för informationssäkerhet ur främst riktighets- och tillgänglighetsperspektiven. Registret måste vara tillgängligt för att verksamheten ska kunna hantera sina handlingar. Uppgifterna i registret måste skyddas mot obehörig påverkan, så att verksamheten kan lita på att uppgifterna är korrekta. I vissa fall kan registret också vara skyddsvärt ur ett konfidentialitetsperspektiv, eftersom registret ger en antagonistkunskap om vilka personer som har åtkomst till säkerhetsskyddsklassificerade uppgifter. Kunskap som kan underlätta för andra länders underrättelsetjänster att hitta ingångar för att få tag på den information som de vill komma över.
Källor:
Säkerhetspolisen föreskrifter (PMFS 2022:1) om säkerhetsskydd.
Säkerhetsskydd – En introduktion av Kim Hakkarainen.
Läs mer
– Säkerhetspolisens vägledning om informationssäkerhet.
– Myndigheten för samhällsskydd och beredskaps webbutbildning om hantering av säkerhetsskyddsklassificerade handlingar. Utbildningen har dock inte uppdaterats enligt de regler som gäller nu.
Faktaruta
Säkerhetsskyddsklassificerade uppgifter är uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400). Även företag ska använda den lagen för säkerhetsskyddsklassificerade uppgifter, även om den lagen i övrigt inte gäller för företag.
Säkerhetsskyddsklassificerade uppgifter delas in i fyra säkerhetsskyddsklasser utifrån den skada som ett röjande kan medföra för Sveriges säkerhet. Säkerhetsskyddsklasserna är:
– Kvalificerat hemlig (synnerligen allvarlig skada för Sveriges säkerhet)
– Hemlig (allvarlig skada för Sveriges säkerhet)
– Konfidentiell (inte obetydlig skada för Sveriges säkerhet)
– Begränsat hemlig (endast ringa skada för Sveriges säkerhet)
Kim Hakkarainen är konsult inom säkerhetsskydd på Týr Cyber Defense. Han har de senaste 20 åren arbetat med kvalificerade säkerhetsskydds- och informationssäkerhetsfrågor hos myndigheter
och företag, bl.a. vid den militära underrättelse- och säkerhetstjänsten. En stor del av hans arbete har bestått i att förstå regler, förmedla vad regler betyder, undersöka regelefterlevnad och skriva nya regler om säkerhetsskydd. Han är författare till boken Säkerhetsskydd – En introduktion.
