Alla talar om Lantmäteriet – men en potentiellt lika stor sårbarhet har gått under den mediala radarn

2024-11-28

Det kan knappast ha undgått någon att efter Expressens avslöjande har Lantmäteriets generaldirektör i dagarna – med rätta – fått svara på viktiga frågor om hur säkerhetsskyddsarbetet, GDPR och utlämnandefrågor hanteras på myndigheten. Frågan uppmärksammades tidigt av riksdagen som ställde frågor till ansvarig minister som då inte såg någon anledning att gå vidare med frågan.  Samtidigt har den statliga myndigheten SMHI sedan 2019 varit fullt medvetna om att det finns ett behov av att inventera sina informationsmängder där det inte kan uteslutas att det finns säkerhetsskyddsklassificerade uppgifter och därtill överklagat föreläggande om att genomföra inventeringen innan årsskiftet 2024. Förvaltningsrätten har dock satt ner foten och slagit fast att inventeringen ska vara gjord innan årsskiftet.  

Bakgrund

Efter tillsyn beslutade Länsstyrelsen i Västra Götaland den 26 augusti 2024 att förelägga Sveriges meteorologiska och hydrologiska institut (SMHI) att vidta och redovisa vissa åtgärder, bl.a. att senast den 31 december 2024 inventera de informationsmängder där det inte kan uteslutas att det finns säkerhetsskyddsklassificerade uppgifter samt dela in informationen i säkerhetsskyddsklass.

SMHI å sin sida ville att åtgärden skulle vara klar senast den 31 mars 2025. Bland annat för att SMHI har stora mängder information sparad och det är en omfattande arbetsuppgift att gå igenom dessa. SMHI uppgav vidare att arbetet med att åtgärda den aktuella bristen påbörjades innan tillsynen. En särskild tidsplan har utarbetats men myndigheten ville att tidsfristen skulle sättas till den 31 mars 2025 för att åtgärderna ska kunna genomföras med tillräcklig noggrannhet.

Bristande säkerhetsskyddsarbete

SMHI medgav att myndighetens arbete med inventering och genomgång av eventuella säkerhetsskyddsklassificerade uppgifter och handlingar innehåller brister och att det därför fanns skäl för länsstyrelsen att rikta ett föreläggande för att komma till rätta med det. Frågan i det aktuella ärendet var om åtgärden skulle vara klar den 31 december 2024 eller senare under 2025.

SMHI har haft långvarig kännedom om bristerna

Förvaltningsrätten konstaterar att SMHI i den nuvarande säkerhetsskyddsanalysen från 2023 angett att det finns ett behov av inventering och klassificering av information. Det är också utrett att SMHI redan 2019 identifierade ett sådant behov i den tidigare gällande säkerhetsskyddsanalysen. SMHI har således under flera års tid haft kännedom om bristen och tillsammans med aktuellt föreläggande dessutom fått nästan fem månader ytterligare på sig att vidta åtgärder. Även med beaktande av mängden information som SMHI måste gå igenom borde alltså myndigheten hunnit vidta åtgärderna innan årsskiftet 2024.

Informationssäkerhetsarbetet är en central skyldighet

Mot bakgrund av att informationssäkerhetsarbetet hos verksamhetsutövare som bedriver säkerhetskänslig verksamhet är en central skyldighet är det mycket angeläget att inventeringen och informationsklassningen färdigställs menar förvaltningsrätten. Dessa omständigheter, samt styrkan och arten av de intressen som föreläggandets föreskrifter och bakomliggande lagstiftning avser tillgodose, talar enligt domstolen, emot att ge SMHI ytterligare tid för att genomföra åtgärderna. Sammantaget bedömde förvaltningsrätten att SMHI fått skälig tid på sig att inventera de informationsmängder där det inte kan uteslutas att det finns säkerhetsskyddsklassificerade uppgifter och dela in dem i säkerhetsskyddsklass.

Vem behöver fiender med sådana myndigheter

Det måste ändå anses anmärkningsvärt att en statlig myndighet sedan den nya säkerhetsskyddslagen trädde i kraft dvs i nästan fyra och ett halvt år haft dokumenterad kännedom om en potentiellt allvarlig sårbarhet och säkerhetsbrist och inte åtgärdat den. När sedan tillsynsmyndigheten påtalar detta försöker myndigheten köpa sig ytterligare tid genom att överklaga föreläggandet. Det kan knappast ha undgått någon inom statsförvaltningen att det försämrade säkerhetspolitiska läget sedan 2014 medfört att Sverige har en säkerhetsskyddsskuld som måste betalas och att dessa frågor är prioriterade – inte bara för att regeringen säger det – utan för att det finns ett reellt hot som måste hanteras. Jag hoppas att SMHIs generaldirektör har förstått allvaret i frågorna och säkerställer att SMHIs säkerhetsskyddschef och verksamheten ges tillräckliga resurser för att reda ut detta så snart som möjligt. Det vore sorgligt om vi skulle få se ett föreläggande med vite mot SMHI efter årsskiftet.

Vårt råd till alla generaldirektörer/VD:ar ute i landet är att lyssna på er säkerhetsskyddschef, hen vill dig, verksamheten och Sverige det bästa. Vi har flera ärenden i domstol där tillsynsmyndigheterna vill se att säkerhetsskyddschefen ska vara direkt underställda högsta chefen inklusive med personalansvar – ni behöver inte vänta på avgörandena för att säkerställa en bra organisation. Se till att säkerställa resurser för ert systematiska säkerhetskyddsarbete.

Överklagande ger bättre tillsynseffekt

Det positiva med att SMHI överklagade till förvaltningsrätten är att vi som arbetar med säkerhetsskydd får ytterligare exempel  (utöver Lantmäteriet) på betydelsen av inventering och klassificering samt får ammunition för vårt stöd till vår egen verksamhet. Hade SMHI inte överklagat föreläggandet hade vi paradoxalt nog inte fått kännedom om omständigheterna för att använda det som lärande exempel i det systematiska säkerhetsskyddsarbetet eftersom de närmare detaljerna i tillsynsbeslutet omfattas av försvarssekretess hos tillsynsmyndigheten.

Säkerhetspolisen skriver i sin redovisning på regeringsuppdraget om hur arbetet med tillsyn inom säkerhetsskyddsområdet har bedrivits att ”Förekomsten av uppgifter som omfattas av sekretess och säkerhetsskyddsklassificerade uppgifter medför också att tillsynseffekten är mindre än inom andra tillsynsområden eftersom besluten inte kommer till allmänhetens kännedom. Säkerhetspolisen arbetar aktivt med att se över på vilket sätt Säkerhetspolisen kan tillgängliggöra information från tillsynsärenden. Detta är nödvändigt för att syftet […] ska nås och fler verksamhetsutövare ska få förståelse för kraven som ställs.”, diarienummer 2024-8614-4, s. 16 f. Jag hoppas att vi snart får se frukten av Säkerhetspolisens arbete i detta avseende.

Den som vill ta del av förvaltningsrättens avgörande avseende föreläggandet till SMHI hittar det här:

FR – föreläggande SMHI – SM 13-24 Dom 2024-11-01