Till innehåll på sidan

Sekretess i risk- och sårbarhetsanalys

Offentlighetsprincipen är en av hörnstenarna i ett demokratiskt samhälle vilket innebär att offentliga aktörers verksamheter, inklusive deras risk- och sårbarhetsanalysarbete, i så stor utsträckning som möjligt bör vara öppna för insyn.

Huvudregeln är att risk- och sårbarhetsanalyser (RSA), liksom alla andra handlingar hos en myndighet, ska vara offentliga. RSA:er kan dock i många fall innefatta information som om den kommer ut skulle kunna innebära skada för myndigheten, enskilda eller samhället i stort. I sådana fall kan det vara nödvändigt att begränsa insynen genom att belägga delar av RSA:n med sekretess.

Sekretessbedömning 

En RSA-redovisning kan innehålla information av sådan karaktär att allmänhetens möjlighet att ta del av den behöver begränsas. I sådana fall kan delar av RSA-redovisningen behöva beläggas med sekretess. Det är av stor vikt att, utifrån RSA, bedriva aktiv riskkommunikation även om RSA beläggs med sekretess exempelvis genom att publicera och kommunicera ett öppet utdrag. Beslutsprocessen bakom att belägga en handling med sekretess samt de rättsliga bestämmelser som finns på området kan delas in i tre steg.

Steg 1 – Avgör om RSA-redovisningen innehåller uppgifter som kan behöva beläggas med sekretess

Avgörande för om en RSA-redovisning bör omfattas av sekretess eller inte är typen av uppgifter som finns med i redovisningen.

Detta innebär att en bedömning måste göras om det i redovisningen finns uppgifter som skulle kunna medföra att myndighetens, enskildas eller samhällets säkerhet skulle äventyras om de blev kända. Exempel på sådana uppgifter kan vara:

  • Information om stabers uthållighet.
  • Information om gränssättande tekniska faktorer (såsom brist på kapacitet och redundans i kritiska system).
  • Detaljerade beskrivningar av beroendeförhållanden, exempelvis till specifika leverantörer.
  • Detaljerade beskrivningar av hur myndigheten och dess personal ska agera i en situation av kris eller svår påfrestning.
  • Specifik information om olika slags kritiska anläggningar, exempelvis geografisk placering av beredskapsanläggningar.

Om myndigheten gör bedömningen att det finns risker med att vissa uppgifter röjs kan dessa behöva beläggas med sekretess. För att sekretessbelägga en uppgift behöver det finnas ett lagstöd, vilket i praktiken innebär att en hänvisning måste göras till någon av sekretessbestämmelserna i Offentlighets- och sekretesslagen (OSL). Steg 2 blir därför att söka rättsligt stöd för en eventuell sekretessbeläggning i OSL.

Steg 2 – Avgöra sekretessbeläggning enligt OSL

För att kunna belägga vissa uppgifter i RSA-redovisningen med sekretess måste det finnas en bestämmelse i OSL som kan tillämpas på den/de uppgifter som bedömts behöva beläggas med sekretess. Samtidigt innebär det att vissa särskilda förutsättningar/villkor, s.k. rekvisit, måste vara uppfyllda för att sekretess ska gälla i ett enskilt fall.

Utifrån OSL kan en RSA-redovisning beläggas med två huvudsakliga typer av sekretess – försvarssekretess (enligt 15 kap. 2 § OSL) och annan slags sekretess som utgår från fredstida hot och kriser, också kallat "RSA-sekretess" (enligt kapitel 18 kap. 13 § OSL). Uppgifter i en RSA-redovisning kan också beläggas med sekretess enligt exempelvis 18 kap. 8 § eller 9 § OSL; detta är dock mer avgränsat i fokus och betydligt mindre vanligt förekommande än sekretess enligt 15 kap. 2 § eller 18 kap. 13 § OSL. Sekretessen medför att allmänhetens rätt att ta del av redovisningen begränsas, samt ett förbud att röja den/de uppgifter som belagts med sekretess. Nedan ges mer ingående information om de olika sekretessbestämmelserna.

Försvarssekretess enligt 15 kap. 2 § OSL

Uppgifter som beläggs med försvarssekretess enligt 15 kap. 2 § OSL gäller för sådana uppgifter vars röjande kan antas skada Sveriges försvarsförmåga, eller på annat sätt skulle kunna vålla fara för Sveriges säkerhet. I första stycket i 15 kap. 2 § OSL återfinns följande formulering:

"Sekretess gäller för uppgift som rör verksamhet för att försvara landet eller planläggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs."

Med landets försvar avses alla de olika verksamheter som är av betydelse för landets samlade försvarsåtgärder. Försvarssekretessen inkluderar således inte bara rent militära företeelser utan också åtgärder med avseende på totalförsvaret i övrigt. Totalförsvar är enligt lagen (1992:1403) om totalförsvar och höjd beredskap sådan verksamhet som behövs för att förbereda Sverige för krig. Totalförsvar består av militärt försvar och civilt försvar. Hit räknas bl.a. befolkningsskyddet, försörjningsberedskapen och det psykologiska försvaret.

För att en uppgift ska rymmas i sekretessområdet krävs att ett röjande av uppgiften innebär en minskad förmåga att försvara landet (avser främst det militära försvaret) eller minskade möjligheter att uthärda ett krig (till exempel försörjningsfrågor). Uppgifter inom det civila försvaret kan också omfattas av försvarssekretess om uppgifterna rör verksamhet som behövs för att förbereda det civila samhället för krig. Om det kan antas att ett röjande av en uppgift leder till att Sverige får minskad försvarsförmåga, försvarsvilja eller eliminerar eller minskar effekten av ett framtaget försvarssystem, så anses ett sådant röjande skada landets försvar. En sådan uppgift omfattas således av försvarssekretess.

Begreppet "rikets säkerhet" är inte definierat i lagstiftningen. Innebörden får därför bestämmas utifrån förarbeten, rättspraxis och myndigheternas tillämpning. Med rikets säkerhet brukar man avse såväl den yttre säkerheten för det nationella oberoendet (främst totalförsvaret) som den inre säkerheten för det demokratiska statsskicket.

Uppgifter som omfattas av försvarssekretess rör alltid rikets säkerhet och är därmed hemliga uppgifter.

Sekretess enligt 18 kap. 13 § OSL (RSA-sekretess)

Uppgifter som beläggs med sekretess enligt 18 kap. 13 § OSL gäller för sådana uppgifter som framgår av en myndighets RSA och vars röjande kan antas motverka myndighetens eller samhällets förmåga att hantera fredstida krissituationer. I OSL återfinns följande formulering:

"Sekretess gäller för uppgift som hänför sig till en myndighets verksamhet som består i risk- och sårbarhetsanalyser avseende fredstida krissituationer, planering och förberedelser inför sådana situationer eller hantering av sådana situationer, om det kan antas att det allmännas möjligheter att förebygga och hantera fredstida kriser motverkas om uppgiften röjs."

Sekretess enligt 18 kap. 13 § OSL skiljer sig alltså från försvarssekretessen genom att endast lägga fokus på fredstida kriser.

Steg 3 – Säkerställ att redovisningen hanteras på rätt sätt

Som redan framgått är hanteringen av handlingar belagda med sekretess annorlunda än vad som gäller för öppna offentliga handlingar. Denna skillnad består av en begränsning av allmänhetens rätt att ta del av handlingen (vilket innebär att den inte kan lämnas ut på samma sätt som en öppen offentlig handling) samt ett förbud att röja den/de uppgifter som omfattas av sekretess. Nedan ges mer ingående beskrivningar av de hanteringsregler som finns för handlingar belagda med sekretess.

Sekretessmarkering

En handling som innehåller en uppgift som kan antas omfattas av sekretess får förses med en särskild anteckning, en sekretessmarkering. Denna markering ska innehålla följande uppgifter:

  • Tillämplig sekretessbestämmelse
  • Datum när anteckningen gjordes
  • Den myndighet som har gjort anteckningen.

Om handling som försetts med en sekretessmarkering begärs ut ska frågan om utlämnande prövas på vanligt sätt. En sekretessmarkering befriar inte myndigheten från skyldigheten att göra en sådan prövning, utan fungerar som en varningssignal.

Det finns inga lagstadgade krav för hantering av en handling som innehåller uppgifter belagda med sekretess enligt 18 kap. 13 § OSL. Sådana handlingar måste dock hanteras på ett sådant sätt att obehöriga inte tar del av de sekretessbelagda uppgifterna. I många fall har myndigheter egna interna rutiner som stöd för hantering av handlingar belagda med sekretess enligt 18 kap. 13 § OSL.

Hanteringsregler när en sekretessbelagd handling också är säkerhetsskyddsklassificerad 

Uppgifter kan vara belagda med sekretess i en mängd olika syften, men alla är inte säkerhetsskyddsklassificerade. ”Säkerhetsskyddsklassificering av uppgift” är inte ett begrepp som återfinns i OSL utan återfinns istället i säkerhetsskyddslagen (2018:585). Säkerhetsskyddsklassificerade uppgifter avser uppgifter av betydelse för Sveriges säkerhet.

Sådana uppgifter omfattas också av OSL, men det omvända gäller alltså inte. Uppgifter som uppfyller kriterierna för klassificering ska tilldelas en av fyra olika säkerhetsskyddsklasser ” utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet”.

Dessa klasser återfinns i säkerhetsskyddslagen 2 kap. 5§ och är:

  1. kvalificerat hemlig vid en synnerligen allvarlig skada,
  2. hemlig vid en allvarlig skada,
  3. konfidentiell vid en inte obetydlig skada, eller
  4. begränsat hemlig vid endast ringa skada.

Säkerhetsskyddsklassificerade uppgifter kräver enligt lagen säkerhetsskydd och ska hanteras i enlighet med  Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2019:2) eller  Försvarsmaktens föreskrifter om säkerhetsskydd (FFS 2019:2).

Om en handling innehåller säkerhetsskyddsklassificerade  uppgifter ska den också förses med en sekretessmarkering som hänvisar till ett kapitel och en paragraf i OSL. Detta är en upplysning om att det finns information i handlingen som är säkerhetsskyddsklassificerad och att en sekretessbedömning ska göras vid begäran om utlämnande.

Anteckning om säkerhetsskyddsklass ska också göras på handlingen. Den indikerar hur säkerhetsskyddsklassificerade uppgifter ska hanteras för att ett tillräckligt säkerhetsskydd ska uppnås exempelvis avseende förvaring av handlingen, vilka som kan få tillgång till den med mera.

Notera att det som enligt tidigare lagstiftning kallades ”hemlig uppgift” nu alltså benämns säkerhetsskyddsklassificerad uppgift och att ”hemlig” numera istället är en av de fyra säkerhetsskyddsklasser som säkerhetsskyddsklassificerade uppgifter kan placeras i. Det som benämndes ”hemligt” tidigare är alltså inte nödvändigtvis ”hemligt” i den nuvarande lagstiftningens mening.

Kontakt RSA

RSA
Till toppen av sidan