Lagt kort ligger

2023-04-27
I krönikan november 2022 uppmärksammade vi Sveriges Radios överklagande till kammarrätten mot bakgrund av att Region Blekinge avslog Sveriges Radios begäran om en sammanställning över namnen på samtliga läkare som är fast anställda på regionen med hänvisning till att uppgifterna omfattades av totalförsvarssekretess enligt 15 kap. 2 § offentlighets- och sekretesslagen (2009:400)(OSL).

 

Sveriges Radio överklagade kammarrättens beslut till Högsta förvaltningsdomstolen som nu i april beslutade att inte meddela prövningstillstånd (mål 7038-22). Det innebär att den aktuella sekretessen står fast för sammanställning över namnen på samtliga fast anställda läkare inom Region Blekinge.
Eftersom sekretessbelagda uppgifter enligt 15 kap. 2 § OSL rör totalförsvar så innebär det per automatik att uppgifterna ska vara säkerhetsskyddsklassificerade och att säkerhetsskyddsregelverket måste tillämpas på uppgiftssamlingen.

I krönikan förde vi flera resonemang kring Kammarrätten i Jönköpings grund för deras beslut (mål 2256–22). Vi delade inte uppfattningen och vi tycker det är rimligt att det görs en bedömning vilken konsekvens det skulle få för Sverige om samlingen av uppgifterna skulle röjas för obehörig aktör med avsikt att orsaka skada för Sverige. Detta i skenet av att regionen själva i sin årsredovisning, liksom Sveriges Kommuner och Regioner i sin statistikdatabas, löpande publicerar uppgifter om en sammanställning av antal anställda per personalkategori, där det går att få uppgift om antalet anställda läkare med och utan specialistkompetens.

Avgöranden från Högsta förvaltningsdomstolen är vägledande. Detta är dock inte fallet när Högsta förvaltningsdomstolen inte beviljar prövningstillstånd. Med andra ord får vi ingen prejudicerande vägledning om hur vi rättsligt kan resonera när det gäller bedömning av ackumulerade uppgifter i sekretess-sammanhang. Däremot står det helt klart att region Blekinges sammanställning av uppgifter om namn på samtliga fast anställda läkare inom regionen faktiskt omfattas av försvarssekretess vid tillfället för utlämnandet. Det innebär att informationssystem på Region Blekinge som exempelvis HR-system och kataloger (ex AD) innehåller en sammanställning över namnen på samtliga läkare som är fast anställda på regionen. Dessa informationssystem bör i sig vara säkerhetsskyddsklassificerade då de innehåller en säkerhetsskyddsklassad informationssamling. Kraven på skyddsåtgärder enligt Säkerhetspolisens föreskrifter (PMFS 2022:1) måste därför också tillämpas.

HR-system och kataloger (ex AD) har ofta en central roll i en organisations it-infrastruktur till grund för identitet och behörighet. I det här exemplet kommer de att bli en “röd” miljö som logiskt, kanske fysiskt, skiljs från organisationens övriga it-miljö beroende på säkerhetsskyddsklassificeringen.
Säkerhetsskyddslagen ställer också krav på att alla verksamheter som hanterar säkerhetsskyddsklassificerade uppgifter som ska kommuniceras till ett informationssystem utanför verksamhetsutövarens kontroll, skyddar uppgifterna med hjälp av kryptografiska funktioner som har godkänts av Försvarsmakten. Detta enligt 3 kap 5 § i säkerhetsskyddsförordningen (2018:658). Här gäller det att fundera båda en och två gånger om organisationen tänker sig en integration med en katalog i molnet (ex Azure) eller en nationell katalog.

Något som dessutom kan innebära särskilda utmaningar eftersom det, enligt 3 kap. 9 § säkerhetsskyddsförordningen och punkt 6 i övergångsbestämmelserna i samma förordning, från och med den 1 januari 2025 kommer att vara förbjudet att lämna säkerhetskyddsklassade uppgifter till en utländsk leverantör. Då kommer det inte spela någon roll att det från och med den 1 juli 2023 finns en sekretessbrytande bestämmelse som möjliggör för myndigheter (efter en inte olämplighets-bedömning) att dela sekretessbelagda uppgifter med leverantörer för enbart teknisk bearbetning och lagring, prop. 2022/23:97 (beslutas av riksdagen den 31 maj 2023). Även om sekretessen bryts är ju uppgiftssamlingen fortfarande säkerhetsskyddsklassificerad. Dessutom kan man ifrågasätta lämpligheten i att ge en sådan leverantör tillgång till säkerhetsskyddsklassificerade uppgifter. Men har inte USA ett generella säkerhetsskyddsavtal med Sverige då (SÖ 1981:80 och SÖ 2004:8)? Då borde frågan vara löst?  Njae, inte direkt. Sveriges och USA:s generella säkerhetsskyddsavtal gäller endast för militärt och industriellt samarbete.

Vad gäller sekretess så är det färskvara. De beslut som regionen fattade våren 2022 i samband med Sveriges Radios begäran behöver inte alls vara den samma om samma begäran görs våren 2023. Samtidigt är det relativt mödosamt att förändra informationssystem och it-infrastruktur utifrån dagsform utan de är av naturen förändringströga. Det systematiska informations- och cybersäkerhetsarbetet är självfallet ledstången här som i alla andra sammanhang. Viktigt att det går i takt med säkerhetsskyddsarbetet som fortfarande bär tydliga spår av systematik avseende informations- och cybersäkerhet. Även lagstiftaren går lite i otakt när olika regleringar ställs mot varandra.

I avsaknad av tydlig vägledning så kommer det att finnas rader av exempel där det görs olika bedömningar huruvida en samling uppgifter som röjs för en obehörig aktör orsakar skada för Sverige. I detta fallet hade vi fått betydelsefull vägledning om Högsta förvaltningsdomstolen hade gjort en prövning. Nu är rättsläget fortsatt oklart och bedömningen kommer att variera från fall till annat. För att undvika att hamna här är det viktigt att få handfast vägledning, inte minst när det är en relativt ny lagstiftning som ska tillämpas. Det finns betydligt mer att önska sig från såväl lagstiftaren som från expertmyndigheterna för att inte trampa snett.