Återigen får vi höra om slarv vid hantering av skyddsvärda fysiska handlingar. Om vi ska tro Regeringskansliet är det inte säkerhetsskyddsklassificerade handlingar som kvarglömts på Arlanda denna gång utan handlingar med uppgifter som rör Sveriges förbindelser med en annan stat och det kan antas att det stör Sveriges mellanfolkliga förbindelser om uppgifterna röjs, (15 kap. 1 § offentlighets- och sekretesslagen, OSL). Märk väl att samma bestämmelse även innehåller rekvisitet ”eller på annat sätt skadar landet om uppgiften röjs”. Samma bestämmelse kan alltså mycket väl användas för att säkerhetsskyddsklassificera handlingar.
Det rättsliga efterspelet som nu pågår rörande andra kvarglömda handlingar är intressant. Troligen leder det vidare till en prövning i nästa instans. Det är röjandebegreppet som är i fokus och tidigare domar som t.ex. NJA 1991 s. 103 lär oss att det inte alltid krävs att obehörig faktiskt har fått kännedom om uppgiften, det avgörande för straffansvar är att uppgiften blivit tillgänglig för en obehörig under sådana omständigheter att man måste räkna med att den obehörige kommer att ta del av uppgiften. Det återstår att se vad rätten kommer fram till i denna och i kommande prövningar.
Det är intressant att fundera över skillnaden mellan säkerhetsskyddsklassificerade och inte säkerhetsskyddsklassificerade handlingar. OSL använder rekvisitet ”kan antas skada” för uppgifter som omfattas av sekretessen (jfr t.ex, 15 kap. 1 och 2 §§ OSL) samtidigt är förutsättningen för att säkerhetsskyddsklassificera en uppgift ”den skada som ett röjande kan medföra” (2 kap. 5 § säkerhetsskyddslagen). (Författarens understrykning). Oaktat skrivningarna så är det verkligen en fråga om bedömningar i varje enskilt fall och utan tillräcklig vägledning ökar risken för att uppgifter som bör vara säkerhetsskyddsklassificerade inte blir det och uppgifter som inte bör vara säkerhetsskyddsklassificerade blir säkerhetsskyddsklassificerade.
Från ett informations- och cybersäkerhetsperspektiv gör det stor skillnad om uppgifterna är säkerhetsskyddsklassificerade jämfört med om det endast är uppgifter som omfattas av sekretess enligt OSL som ett informationssystem ska dimensioneras för. Är uppgifterna säkerhetsskyddsklassificerade ska Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2022:1) tillämpas med allt vad det innebär. Om uppgifterna inte är säkerhetsskyddsklassificerade saknas regulatoriska krav på hantering av uppgifterna i informationssystemen, något som kan leda till med att uppgifterna i vissa fall kan anses röjda. Det blir upp till varje verksamhetsutövare att själv avgöra hur de sekretessbelagda uppgifterna ska skyddas.
Ordalydelser som ”kan antas” eller ”kan medföra” skada för Sverige gör alltså stor skillnad i praktiken!
Det finns dock viss ledning att få för att väga upp det faktum att OSL saknar hanteringsregler för sekretessbelagda uppgifter. För myndigheter finns Myndigheten för samhällsskydd och beredskaps (MSB) föreskrifter och för samhällsviktiga verksamheter som träffas av nya Cybersäkerhetslagen (CSL/NIS2) finns viss vägledning där. För informationssystem som behandlar personuppgifter gäller kraven i dataskyddsförordningen (GDPR). Det går att finna fler regelverk, men vi kan samtidigt konstatera att det finns en rad situationer som är helt oreglerade när det gäller hur uppgifterna ska skyddas, där det är upp till verksamhetsutövarens prioriteringar och goda föresatser som sätter gränserna för skyddet.
Det rättsliga ramverket och vägledningen är ojämn. Självklart ska säkerhetsskyddsklassificerade uppgifter regleras strikt, men är det verkligen rimligt att andra sekretessbelagda uppgifter som inte är säkerhetsskyddsklassificerade ska sakna reglering och krav på informationssystemen? Den ökade cybersäkerhetsregleringen från EU täpper till delar av hålen, men långt från alla. Lagstiftaren har en viktig uppgift att fylla här. Inte minst i en tid som inte längre är sig lik.