Hantering av säkerhetsskydds-klassificerade handlingar handlar om kontroll
Ta del av Kim Hakkarainen praktiska råd om hantering av handlingar.
Kim Hakkarainen, senior rådgivare inom säkerhetsskydd, Týr Cyber Defense talar på konferensen Nationell mötesplats för säkerhetsskydd den 25-26 mars.
Hantering av säkerhetsskyddsklassificerade handlingar handlar om kontroll
Kim Hakkarainen, senior rådgivare inom säkerhetsskydd, Týr Cyber Defense talar på konferensen Nationell mötesplats för säkerhetsskydd 2025 den 25-26 mars.
Här kan du läsa Kim Hakkarainens praktiska råd om hantering av handlingar.
Säkerhetsskyddsklassificerade uppgifter finns inte bara elektroniskt i informationssystem. I säkerhetskänslig verksamhet förekommer också fysiska säkerhetsskyddsklassificerade handlingar som behöver skyddas med säkerhetsskydd.
Hantering av en fysisk säkerhetsskyddsklassificerad handling i säkerhetsskyddsklass konfidentiell eller högre kan beskrivas som en livscykel med åtgärder. Åtgärderna ska säkerställa att verksamhetsutövaren har kontroll över samtliga fysiska exemplar från det att handlingen kommer in eller upprättas till dess att handlingen har förstörts, arkiverats eller distribuerats till en annan verksamhetsutövare.
I det här inlägget går jag igenom några av åtgärderna i livscykeln. Kursiverade meningar anger krav i författningar, men är inte alltid direkta citat. Inlägget är skrivet för verksamhetsutövare inom det civila området som ska följa Säkerhetspolisens föreskrifter om säkerhetsskydd.
Livscykel med åtgärder för säkerhetsskyddsklassificerade fysiska handlingar i säkerhetsskyddsklass konfidentiell och högre. Registret över handlingarna är centralt för åtgärderna och verksamhetsutövarens kontroll över handlingarna. Pilar till och från registret visar att uppgifter om handlingar hämtas från eller skrivs till registret.
Figur från boken Säkerhetsskydd – En introduktion av Kim Hakkarainen.
Handlingar står under uppsikt eller förvaras
En säkerhetsskyddsklassificerad handling ska vara under kontroll eller förvaras i ett godkänt förvaringsutrymme. [1]
Med vara under kontroll avses att obehöriga har svårt att komma åt handlingen utan att upptäckas, exempelvis att handlingen är under uppsikt eller ligger i en väska som är under uppsikt.
Eftersom handlingen innehåller säkerhetsskyddsklassificerade uppgifter måste förvaringens utformning och verksamhetsutövarens rutiner motverka att någon person kommer åt handlingen i syfte att gå främmande makt tillhanda. Säkerhetsskyddsklassificerade uppgifter ska ju skyddas mot spioneri. Det gäller såväl verksamhetsutövarens personal som andra personer som uppehåller sig i verksamhetsutövarens lokaler. Förvaringen måste utformas så att ingen annan, än den som ansvarar för handlingen, kan komma åt den.
Undvik samförvaring. Det är inte lämpligt att förvaringsutrymme används av flera personer samtidigt så att personerna kan komma åt varandras handlingar. Om en handling saknas kommer det inte vara möjligt att i efterhand komma fram till vad som har hänt och var den saknade handlingen finns.
Anteckning om säkerhetsskyddsklass
En säkerhetsskyddsklassificerad handling ska förses med en anteckning om vilken säkerhetsskyddsklass uppgifterna i handlingen har. [2]
Märkningen med säkerhetsskyddsklass gör det tydligt för den som hanterar handlingen vilka krav på säkerhetsskydd som gäller.
Registrering av fysiska exemplar
I ett register över säkerhetsskyddsklassificerade fysiska handlingar i säkerhetsskyddsklassen konfidentiell eller högre ska handlingarnas beteckning, säkerhetsskyddsklass, antal exemplar och mottagare av respektive exemplar framgå. [3]
Registret är centralt för att verksamhetsutövaren ska kunna upprätthålla kontroll över fysiska handlingar i sin verksamhet. Ett uppdaterat register gör det möjligt för verksamhetsutövaren att kunna inventera handlingarna och säkerställa att alla handlingar lämnas tillbaka när personal avslutar sin anställning. Registret behövs även vid utredningar om brott mot Sveriges säkerhet, t ex för att ta reda på vilka handlingar som en viss person har haft tillgång till.
Registret är vanligtvis ett informationssystem som stöder exemplarhanteringen med bland annat kvittenser och underlag för inventering.
För varje exemplar som förvaras hos verksamhetsutövaren ska det av registret framgå vem som har kvitterat exemplaret, när exemplaret har inventerats och om exemplaret har återlämnats, förkommit, arkiverats eller förstörts. [4]
Ett exemplar avser alla förekomster av en handling i fysisk form, såväl original som kopior. Registret över säkerhetsskyddsklassificerade handlingar utformas så att en handlings beteckning tillsammans med ett exemplarnummer alltid är unikt.
En säkerhetsskyddsklassificerad fysisk handling i säkerhetsskyddsklassen konfidentiell eller högre ska förses med en anteckning om handlingens exemplarnummer. [5]
Exemplarnummer är en förutsättning för att verksamhetsutövaren ska kunna ha kontroll över varje exemplar av en handling, bl a genom kvittering vid mottagande, inventering och dokumenterad förstöring.
Distribution
Verksamhetsutövaren ska se till att nödvändiga säkerhetsskyddsåtgärder vidtas vid distribution av säkerhetsskyddsklassificerade uppgifter. En försändelse med en säkerhetsskyddsklassificerad fysisk handling i säkerhetsskyddsklassen konfidentiell eller högre ska sändas med en distributör som har godkänts av verksamhetsutövaren. [6]
När en fysisk handling behöver överföras till en annan verksamhetsutövare är det lämpligt att den funktion hos verksamhetsutövaren som ansvarar för registrering av sådana handlingar, t ex registrator eller dokumenthanteringsenhet, förbereder distributionen och lämnar över försändelsen till distributören. Funktionerna utgör gränssnitt mellan verksamhetsutövare som säkerställer en kontrollerad överföring mellan dessa.
Distribution av fysiska handlingar i säkerhetsskyddsklass konfidentiell eller högre sker mellan respektive registraturer. Registraturerna tar emot respektive lämnar över handlingarna till personalen samt uppdaterar register.
Figur från boken Säkerhetsskydd – En introduktion av Kim Hakkarainen.
Distribution bör alltid ske mellan sådana funktioner hos verksamhetsutövarna, för att säkerställa att såväl avsändande som mottagande verksamhetsutövare har kontroll över handlingarna. Dels ska den avsändande verksamhetsutövaren uppdatera sitt register med vem som är mottagare av exemplaret, dels ska den mottagande verksamhetsutövaren registrera exemplaret som kommer in till mottagaren.
Även om en säkerhetsskyddsklassificerad handling egentligen är avsedd för en viss befattning eller person hos den mottagande verksamhetsutövaren, är personadresserade försändelser olämpliga. Sådan adressering ökar sannolikheten för att handlingar inte kommer att registreras hos mottagaren, vilket bland annat innebär att den inte kommer att inventeras och att handlingens existens inte kommer att uppmärksammas när personen avslutar sin anställning. Av samma skäl bör personlig överlämning mellan personer hos skilda verksamhetsutövare undvikas.
Mottagaren kvitterar mottagandet
Den som tar emot en säkerhetsskyddsklassificerad fysisk handling i säkerhetsskyddsklassen konfidentiell eller högre ska kvittera mottagandet. [7]
Kvitteringen är en del av exemplarhanteringen som tillsammans med registrering av exemplar, inventering och dokumenterad förstöring syftar till att skapa ordning i hanteringen av fysiska handlingar. För att åtgärden ska vara effektiv från säkerhetsskyddssynpunkt måste det vara någon annan person, än den som ska ta emot handlingen, som hanterar kvittenserna. Den personen lämnar, efter kvitteringen, över handlingen till personen som kvitterat mottagandet. Vanligtvis är det verksamhetsutövarens registratur eller motsvarande funktion som hanterar handlingarna som ska kvitteras samt förvarar kvittenserna.
Medförande utanför verksamhetsutövarens lokaler
Om en säkerhetsskyddsklassificerad handling medförs till eller från verksamhetsutövarens lokaler ska den vara under kontroll eller förvaras i ett godkänt förvaringsutrymme. [8]
Ibland kan det finnas behov att för arbetet medföra en fysisk säkerhetsskyddsklassificerad handling utanför verksamhetsutövarens lokaler. Det kan vara fråga om att tillfälligt ta med sig en handling för ett möte hos en annan verksamhetsutövare.
Medförandet innebär en tillfällig men nödvändig försämring av skyddet för handlingen och innebär också ett tillfälle för en antagonist att försöka komma åt handlingen. Därför är uppsikten över handlingen av stor betydelse för att kunna upptäcka om obehöriga kommer åt handlingen. Den medförda handlingen hålls hela tiden under uppsikt av den person som medför handlingen, till exempel genom att handlingen ligger i en väska som hålls under uppsikt.
Handlingen får inte låsas in i en förvaringsbox, i ett hotellrum, ett låsbart fack på en konferensanläggning eller något annat förvaringsutrymme som verksamhetsutövaren inte har godkänt. Om handlingen ändå låses in i ett sådant utrymme kommer den person som medför handlingen inte kunna upptäcka om obehöriga kommer åt handlingen. Verksamhetsutövaren har inte längre kontroll över handlingen och de säkerhetsskyddsklassificerade uppgifterna är inhämtningsbara för andra staters underrättelsetjänster.
Årlig inventering
Säkerhetsskyddsklassificerade handlingar som innehåller uppgifter i säkerhetsskyddsklassen kvalificerat hemlig ska inventeras minst en gång per år. [9]
Inventering av säkerhetsskyddsklassificerade fysiska handlingar i säkerhetsskyddsklassen konfidentiell eller hemlig ska ske minst en gång per år. [10]
Inventering innebär en regelbunden kontroll av att varje exemplar av en handling är i behåll. För att en inventering ska få avsedd effekt bör det vara någon annan än den person som har kvitterat handlingarna, som kontrollerar om handlingarna är i behåll. Underlag för inventering hämtas från verksamhetsutövarens register över säkerhetsskyddsklassificerade fysiska handlingar i säkerhetsskyddsklassen konfidentiell eller högre.
Resultatet av en inventering antecknas i registret där det för varje exemplar ska framgå när det inventerades och om det har förkommit.
För arkiverade handlingar gäller att handlingar i säkerhetsskyddsklass kvalificerat hemlig ska inventeras minst en gång per år. [11]
Återlämning av exemplar
När en säkerhetsskyddsklassificerad fysisk handling i säkerhetsskyddsklassen konfidentiell eller högre återlämnas, ska detta antecknas på kvittensen. [12]
När ett exemplar inte längre behövs för arbetet återlämnas exemplaret till den funktion hos verksamhetsutövaren som ansvarar för registrering av sådana handlingar, t ex registrator eller dokumenthanteringsenhet. Det är lämpligt att den person som återlämnar ett exemplar får en kopia på den ursprungliga kvittensen efter att anteckningen har gjorts, så att personen kan visa att exemplaret är återlämnad.
Förstöring så att uppgifter inte kan återskapas
Förstöring av säkerhetsskyddsklassificerade uppgifter ska ske så att uppgifterna inte kan återskapas. [13]
Metoder för förstöring är till exempel dokumentförstörare eller bränning. Vid användning av dokumentförstörare måste verksamhetsutövaren säkerställa att spån efter förstöring inte går att utläsa och att det inte går att återskapa handlingen.
Den kontrollerade livscykeln, för säkerhetsskyddsklassificerade fysiska handlingar i säkerhetsskyddsklass konfidentiell eller högre, upphör i och med att handlingen har förstörts och förstöringen framgår av registret.
Rutiner för behandling av säkerhetsskyddsklassificerade uppgifter och handlingar
Verksamhetsutövaren ska ha rutiner för behandling av säkerhetsskyddsklassificerade uppgifter och handlingar. Rutinerna ska reglera vad som gäller för spårbarhet, upprättande, kopiering, utskrift, utdrag, kvittering, förvaring, distribution, medförande, inventering och förstöring. [14]
Verksamhetsutövarens rutiner behöver beskriva alla åtgärder i livscykeln för säkerhetsskyddsklassificerade handlingar, så att det är tydligt för verksamhetsutövarens personal hur dessa ska hanteras. Styrande dokument för verksamheten kan behöva ses över för att säkerställa att rutinerna följs.
Saknas rutinerna kan inte verksamhetsutövaren sägas ha förmåga att hantera säkerhetsskyddsklassificerade handlingar. Rutinerna behöver också stödjas av teknik (registret över handlingar och exemplar) samt organisation (funktion med personal som stödjer exemplarhanteringen). Rutiner tillsammans med den teknik och organisation som stödjer hanteringen av säkerhetsskyddsklassificerade handlingar, behöver anpassas efter omfattningen av säkerhetsskyddsklassificerade handlingar och verksamhetsutövarens organisation. En större verksamhetsutövare med många säkerhetsskyddsklassificerade handlingar kan behöva mer omfattande stöd, än en mindre verksamhetsutövare med få handlingar.
En strikt hantering av säkerhetsskyddsklassificerade handlingar är nödvändig – annars ballar det ur.
Utdrag från TT-nyhet på Helsingsborgs Dagblads webbplats. Bland de försvunna handlingarna fanns militära uppgifter.
Det är när rutinerna inte följs som verksamhetsutövaren förlorar kontrollen över sina säkerhetsskyddsklassificerade handlingar. Ett exempel kan vara att den årliga inventeringen inte genomförs. Ju längre tid som går, desto större risk för att säkerhetsskyddsklassificerade handlingar saknas när väl en inventering genomförs. Avsaknad av spårbarhet i kombination med personalomsättning medför att det i efterhand inte går att avgöra vad som har hänt med de saknade handlingarna. De är bara borta. Det förblir okänt var de har tagit vägen och om de säkerhetsskyddsklassificerade uppgifterna har röjts till obehöriga.
Även om en verksamhetsutövare endast hanterar säkerhetsskyddsklassificerade handlingar i säkerhetsskyddsklass begränsat hemlig, ska det finnas rutiner för hantering av sådana handlingar.
Signalskydd räcker inte för att kunna hantera säkerhetsskyddsklassificerade handlingar
Ibland kan man få intrycket att säkerhetsskyddsklassificerade handlingar kan hanteras bara det finns signalskyddssystem. Fastna i den signalskyddsfällan. Det räcker inte att signalsskyddssystem har tilldelats för att verksamhetsutövare ska ha kontroll över säkerhetsskyddsklassificerade handlingar.
Så fort en sådan handling, i säkerhetsskyddsklass konfidentiell eller högre, skrivs ut måste det fysiska exemplaret registreras för att det ska kunna kvitteras, inventeras samt för att kunna dokumentera återlämning och eventuell förstöring.
Åtgärder för fysisk säkerhet och personalsäkerhet måste också finnas
Åtgärderna i livscykeln hör till säkerhetsskyddsåtgärden informationssäkerhet. Utöver den måste också åtgärder för fysisk säkerhet och personalsäkerhet finnas. De tre säkerhetsskyddsåtgärderna samverkar och utgör ett sammanhållet system för skydd av säkerhetskänslig verksamhet.
För den fysiska säkerheten ska verksamhetsutövaren bland annat godkänna förvaringsutrymmen och utrymmen för regelbunden behandling av säkerhetsskyddsklassificerade uppgifter. Inom personalsäkerhetsområdet ska verksamhetsutövaren säkerhetspröva de personer som kommer att få del av de säkerhetsskyddsklassificerade uppgifterna samt utbilda personalen hur uppgifterna ska skyddas. En sådan utbildning behöver ta upp rutiner för hantering av säkerhetsskyddsklassificerade handlingar, till exempel åtgärder inför, under och efter ett medförande.
Förtroende mellan verksamhetsutövare kan brista
Om en verksamhetsutövare inte klarar av att hantera säkerhetsskyddsklassificerade fysiska handlingar, kan andra verksamhetsutövares förtroende för denne komma att brista. Vilka andra verksamhetsutövare vill riskera att deras säkerhetsskyddsklassificerade uppgifter kommer på avvägar? Verksamhetsutövaren riskerar att inte få alla säkerhetsskyddsklassificerade uppgifter som denne behöver, trots uppgiftsskyldigheter och sekretessbrytande bestämmelser.
Misstag kan hända. Det är en del av vardagen att upptäcka och hantera säkerhetshotande händelser som innefattar att kontrollen över handlingar förloras. Det är systembristerna, när verksamhetsutövare inte följer bestämmelser om hur säkerhetsskyddsklassificerade fysiska handlingar ska hanteras, som verkligen riskerar Sveriges säkerhet.
Hur bra är vi på att hantera säkerhetsskyddsklassificerade handlingar?
Hanteringen av säkerhetsskyddsklassificerade fysiska handlingar får inte samma uppmärksamhet som elektroniska uppgifter. Inte konstigt med tanke på samhällets beroende av it och ständigt pågående angrepp där informationssystem görs otillgängliga och information kommer på avvägar. Men hur bra är vi på att hantera fysiska handlingar utifrån ett säkerhetsskyddsperspektiv?
Riksrevisionens granskning av Säkerhetspolisens verksamhet visar att tillsynen inom säkerhetsskydd alltför mycket är inriktad mot företeelser som är förutsättningsskapande (säkerhetsskyddsanalyser, säkerhetsskyddplaner och organisatorisk placering av säkerhetsskyddschef), och mindre mot faktiska åtgärder för att upprätthålla personalsäkerhet, fysisk säkerhet och informationssäkerhet [15]. Om tillsynen på säkerhetsskyddsområdet sällan går på djupet i säkerhetsskyddsåtgärden informationssäkerhet är det svårt att svara på frågan – eftersom tillsynsmyndigheterna inte undersöker hur säkerhetsskyddsklassificerade fysiska handlingar hanteras.
/Kim Hakkarainen
I min bok Säkerhetsskydd – En introduktion kan du läsa mer om säkerhetsskydd.
Boken förklarar helheten – från säkerhetsskyddslagen till myndigheternas föreskrifter.
Andra utgåvan av boken är på 433 sidor och innehåller ett hundratal figurer som illustrerar de viktigaste begreppen och förhållandena.
Referenser:
1. 3 kap 9 § första stycket Säkerhetspolisens föreskrifter (PMFS 2022:1) om säkerhetsskydd.
2. 3 kap 7 § första stycket säkerhetsskyddsförordningen (2021:955).
3. 3 kap 10 § första stycket Säkerhetspolisens föreskrifter om säkerhetsskydd.
4. 3 kap 10 § andra stycket Säkerhetspolisens föreskrifter om säkerhetsskydd.
5. 3 kap 5 § Säkerhetspolisens föreskrifter om säkerhetsskydd.
6. 3 kap 12 § Säkerhetspolisens föreskrifter om säkerhetsskydd.
7. 3 kap 14 § första stycket Säkerhetspolisens föreskrifter om säkerhetsskydd.
8. 3 kap 18 § första stycket Säkerhetspolisens föreskrifter om säkerhetsskydd.
9. 3 kap 8 § första stycket säkerhetsskyddsförordningen.
10. 3 kap 21 § andra stycket Säkerhetspolisens föreskrifter om säkerhetsskydd.
11. 3 kap 8 § andra stycket säkerhetsskyddsförordningen.
12. 3 kap 14 § andra stycket Säkerhetspolisens föreskrifter om säkerhetsskydd.
13. 3 kap 22 § Säkerhetspolisens föreskrifter om säkerhetsskydd.
14. 3 kap 3 § första stycket Säkerhetspolisens föreskrifter om säkerhetsskydd.
15. Sidan 17 i Riksrevisionens granskningsrapport om Säkerhetspolisens verksamhet (RiR 2024:24).
Dela: