Personuppgifter av säkerhetsklassad personal omfattas av försvarssekretess

2018-04-11
Tveksamt om den säkerhetsskyddade verksamheten ens förmår att hantera personuppgifterna digitalt.

Säkerhetsklassad personal omfattas av försvarssekretess enligt en dom meddelad av kammarrätten i Göteborg (Mål nr 357-18).

En telefonbok hos Göteborg energi innehållande samtliga anställdas namn, befattning och nummer till fasta och mobila telefoner begärdes ut som allmän handling av en journalist. Bolaget tillmötesgick delvis begäran varpå journalisten överklagade beslutet till Kammarrätten. Bolaget omprövade en del av beslutet och lämnade ut ytterligare uppgifter som fanns publicerade på hemsidan. Resterande personuppgifter var fortsatt sekretessbelagda med hänvisning till att personuppgifterna omfattades av sekretess enligt offentlighets- och sekretesslag (2009:400) kap.15 § 2 (försvarssekretess).

Göteborg Energi bedriver el- värme- och gasverksamhet samt stads- och optofiberverksamhet, vilket utgör livsnödvändig försörjning. Med hänsyn till detta krävs att bolaget skyddar verksamheten för att upprätthålla det säkerhetsskydd verksamheten omfattas av enligt säkerhetsskyddslagen (1996:627), vilket medfört att en del av de anställda säkerhetsprövas då de får del av uppgifter som omfattas av försvarssekretess och som är av betydelse för rikets säkerhet. Bolaget argumenterade för att “ett röjande av dessa uppgifter innebär spridning av information som lätt kan utnyttjas av en angripare som planerar sabotage eller spioneri eller vidtagande av andra åtgärder till förhindrande eller försvårande av el-, värme-, gas-, stads- och optofiberverksamhet, och därmed minskade möjligheter att uthärda ett krig eller upprätthålla rikets säkerhet”. Kammarrätten gick på bolagets linje och fastslog att uppgifterna omfattas av försvarssekretess enligt offentlighets- och sekretesslag (2009:400) kap. 15 § 2 första stycket och journalisten fick således inte ta del av informationen.

Det går med enkelhet att argumentera för att säkerhetsklassade personer genom sin anställning kan befinna sig i en särskilt utsatt position och att de, men även deras närstående, kan utsättas för påtryckningar och hot för att röja information. Det finns en poäng i ett minska den risken. Men frågan är vilka konsekvenser denna dom kan få? Frågan är viktig och intressant, inte minst ur ett informationssäkerhetsperspektiv.

Kammarrättens domskäl är kortfattade. Innebär domen att all säkerhetsklassad personals personuppgifter omfattas av försvarssekretess? Eller är domen avgränsad till att omfatta befattningar som kommer i kontakt med försvarssekretess? Det skulle innebära enorma förändringsbehov av den informationshantering som behandlar de säkerhetsklassades personuppgifter och därmed få stora konsekvenser för organisationerna som måste uppfylla säkerhetskraven för försvarssekretess. Den kanske viktigaste frågan av dem alla är om svenska organisationer med säkerhetsklassad personal idag är rustade för att leva upp till de (höga) informationssäkerhetskrav som ställs på information (personalens personuppgifter) som omfattas av försvarssekretess?

Domen kan även läsas som att information om all personal som är registerkontrollerad på något sätt omfattas av utrikes- och försvarssekretess. Vilket då innebär att om denna information hanteras i IT-baserade informationssystem måste de systemen uppfylla de krav som ställs och vara ackrediterade till att hantera rikets säkerhet.

Certezza arbetar med att se närmare på denna fråga och återkommer med mer information.

För mer information och frågor kontakta legal@certezza.net