Sveriges radio begärde under våren en sammanställning över namnen på samtliga läkare som är fast anställda på Region Blekinge. Regionen avslog begäran med hänvisning till att uppgifterna omfattas av totalförsvarssekretess enligt 15 kap. 2 § offentlighets- och sekretesslagen (2009:400)(OSL)
Beslutet överklagades, varefter kammarrätten i Jönköping (mål 2256–22) avslog överklagandet i november 2022. Detta betyder att en sammanställning där namnen på alla fast anställda läkare i Region Blekinge måste säkerhetsskydds- klassificeras. Hur många regioner har säkerhetsskyddsklassificerat sina förteckningar där fast anställd vårdpersonal kan identifieras?
Region Blekinge gjorde bedömningen givet omvärldsläget att information gällande Region Blekinges personal visar på regionens samlade förmåga, kapaciteter och resurser inom organisationen såväl i fredstid som vid höjd beredskap. Då regioner är en del i civilförsvaret som är en del av totalförsvaret ansåg regionen att sammanställningen skulle omfattas av sekretess enligt 15 kap. 2 § OSL. Sveriges radio överklagade och menade att regionen själva i sin årsredovisning redovisar uppgift om antalet anställda läkare med och utan specialistkompetens. Även om uppgift om själva kapaciteten i form av antal anställda offentliggjorts så skulle det, enligt kammarrätten, kunna skada landets försvar eller på annat sätt vålla fara för rikets säkerhet om namnen på dessa fast anställda läkare röjs. Kammarrätten hänvisade i sitt avgörande till ett fall från Högsta förvaltningsdomstolen från den 16 januari 2020 (mål 6453-19), som rörde utlämnande av en sammanställning av namnuppgifter och löner avseende samtliga anställda på en kriminalvårdsanstalt.
Innebörden av att en förteckning över samtliga fast anställda läkare i regionen omfattas av försvarssekretess får inte enbart konsekvenser för allmänhetens tillgång till uppgifter. Informationssystemet som innehåller uppgifterna som avses här ska skyddas i enlighet med säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2022:1). Uppgifterna återfinns sannolikt i HR-system och inte sällan i kataloger som ligger till grund för behörighetsstyrande attribut för tillgång till andra informationssystem som används inom vården. Domen innebär också, beroende på vilken informationssäkerhetsklass som de samlade uppgifterna har, att samråd med Säkerhetspolisen kan behöva genomföras innan drift eller vid väsentliga förändringar av informationssystemen. Befattningar som har behörighet till de säkerhetsskyddsklassificerade uppgifterna ska placeras i lämplig säkerhetsklass och personal som innehar dessa befattningar måste säkerhetsprövas i enlighet med den säkerhetsklass befattningen har.
Detta var inte normalläget innan det säkerhetspolitiska läget i Europa försämrades markant. Frågan är dock om detta är det nya normala? Frågan är vidare om det går nu går inflation i säkerhetsskydd? Det finns flera exempel där man – förmodligen av osäkerhet – tillämpat regelverket väl generöst för att vara på den säkra sidan.
Det finns en risk att just avslag med hänvisning till totalförsvarssekretess enligt 15 kap. 2 § OSL är en enkel väg ut för en myndighet som av olika anledningar inte vill lämna ut uppgifter, oaktat exemplet här. Det är dock av yttersta vikt att förstå konsekvenserna av att tillämpa sekretessbestämmelser med hänvisning till Sveriges säkerhet. Ett helt batteri av regulatoriska krav kommer att läggas som en våt filt över verksamheten som kommer att behöva hantera en hel del friktion med anledning av detta. Det är så det ska vara när skydd av uppgifter eller verksamhet verkligen är påkallat för Sveriges säkerhet och det är bland annat därför som lagstiftaren har påtalat vikten av att vara restriktiv med tillämpningen, prop. 2017/18:89 s. 66.
Om ett HR-system inte kan föda en katalog, eller om en katalog inte kan bära uppgifter om roller och behörigheter leder det till att den nationella referensarkitekturen inom vård och omsorg tappar en del av sitt fotfäste. Det går självfallet att möta kraven som följer av kapitel 4 i säkerhetspolisens föreskrifter om säkerhetsskydd även om det medför utmaningar för att bedriva verksamheten. Det ska dock sägas att flera av kraven som följer av föreskrifterna linjerar väl med kraven för att skydda känsliga personuppgifter och patientuppgifter. De mer tunga kraven som exempelvis krav på skydd mot röjande signaler gäller först vid behandling av säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre. Det är inte känt vilken säkerhetsskyddsklass som uppgiftssamlingen i Region Blekinge har.
Detta resonemang begränsar sig inte till regionernas förteckningar över läkare, utan också förteckningarna som återfinns hos fackförbund, facktidskrifter, arrangörer av konferenser etc. Ringarna på vattnet sträcker sig långt. Region Blekinges bedömning behöver givetvis inte vara vägledande i sig därför att varje organisation ska göra sin egen säkerhetsskyddsanalys och med den som grund upprättas en säkerhetsskyddsplan med säkerhetsskyddsåtgärder. Råder det en osäkerhet huruvida organisationen berörs av säkerhetsskydd eller inte ska säkerhetsskyddsanalysen ge svaret. Betänkt dock att om det visar sig att ni omfattas av säkerhetsskydd så måste ni redan då vara rustade för att exempelvis hantera säkerhetsskyddsklassificerade uppgifter. Här finns ett moment 22 som bland annat kan lösas med att tillse viss förmåga redan innan säkerhetsskyddsanalysen påbörjas, risken är dock att man tar i för mycket – eller för lite.
Kammarrättens jämförelse med en sammanställning över namn och lön för anställda vid en kriminalvårdsanstalt är väsensskilt från namn på fast anställda läkare i en region. Till att börja med är Kriminalvården en statlig myndighet och verksamheten är av en helt annan karaktär än den som bedrivs av regioner. Därtill är namn på läkare typiskt sett något som många personer ur allmänheten har intresse av och får del av dagligdags, något som inte kan sägas med motsvarande tyngd beträffande anställda vid en anstalt. Samtidigt har vi sett att vissa hotaktörer faktiskt pekar ut dessa grupper som måltavlor. Var gränsen ska dras när det gäller säkerhetsskydd för en mängd ackumulerade uppgifter för namn på läkare bör prövas noggrant. En prövning av högsta förvaltningsdomstolen vore därför önskvärt för att ge bättre vägledning här. Särskilt med tanke på de stora konsekvenser en sådan bedömning kan få för regionernas dagliga arbete, konsekvenser som verkligen är nödvändiga om skyddet är påkallat, men som kan skapa stor friktion i arbetet om det inte påverkar Sveriges säkerhet i praktiken.
