Informationssäkerhet

Tillgång till information är en förutsättning för att verksamheten ska kunna bedrivas. En kommunal förvaltning, kommunalförbund eller ett kommunalt VA-bolag har goda skäl att även informera berörda fastighetsägare, VA-kunder och allmänheten om hur olika delar av vattenförsörjningen är anordnad inom ett begränsat område, exempelvis inom en kommun.

Tillgång till information är naturligtvis viktigt, samtidigt som du alltid bör ställa dig frågan om hur tillgängliga uppgifter som rör dricksvattenförsörjningen bör vara och vilka som verkligen har behov av informationen för att utföra arbetsuppgifter de är ålagda. Ju fler som förfogar över uppgifterna, desto mer ökar risken för okontrollerad spridning av känslig information. Den som inte har behov av informationen för att utföra sitt arbete bör därmed inte heller ha tillgång till den.

Detaljerad information som rör vattenförsörjningen, till exempel fullständiga kartor över VA-ledningsnätet, kan slentrianmässigt läggas ut på kommunens eller
förvaltningens intranät eller gemensamma servrar med åtkomst för alla. Det är oftast fullt tillräckligt att kartorna är tillgängliga för ett begränsat antal befattningshavare som behöver informationen i sitt dagliga arbete.

Ett systematiskt säkerhetsarbete underlättar organisationers eller bolags arbete med dessa frågor. Stöd och råd går att hitta bland annat på MSB:s hemsida. Svenskt Vatten ger också kursen Säkerhetsarbete Introduktion.

Att arbeta med informationssäkerhet

Det första steget är att identifiera vilken typ av information som är skyddsvärd. För detta ändamål kan verksamheten genomföra en riskanalys som exempelvis kan inkludera identifierandet av skyddsvärda objekt, en lista över tänkbara händelser och en riskbedömning. Ytterligare information om riskanalyser finns bland annat på Livsmedelsverkets och MSB:s webbplatser.

När en handling upprättas som innehåller skyddsvärda uppgifter ska samtidigt en metodisk sekretessbedömning av handlingens innehåll (uppgifter) med hänvisning till aktuell lagstiftning genomföras. Det räcker alltså inte med att en sekretessbedömning av handlingens innehåll genomförs i samband med exempelvis en begäran om ett utlämnande eller överföring av en sekretessbelagd handling. Sekretessbedömningen bör genomföras av den som ska upprätta handlingen.

Slutligen upprättas rutiner för hantering av sekretessbelagda handlingar. Av rutinerna ska tydligt framgå vad som gäller då en medarbetare hanterar sekretessbelagd information. Rutinerna ska även omfatta utlämnande av material till myndigheter, konsulter, entreprenörer eller andra som för sitt arbete behöver ta del av uppgifterna.

Utlämnande av handling – sammanfattning 

I dag har vem som helst, svensk eller utländsk medborgare, rätt att ta del av allmänna handlingar. Verksamhetsutövaren har inte rätt att efterforska varför personen vill ha vissa handlingar eller vad han eller hon heter eller ska ha handlingarna till.

Oavsett om den allmänna handlingen vid upprättandet har markerats med att den innehåller uppgifter som kan sekretessbeläggas eller inte, ska handlingen sekretessgranskas innan utlämning sker. Om en handling delvis bedöms innehålla uppgifter som kan sekretessbeläggas (det vanligaste är att alla uppgifter i en handling inte bedöms vara lika känsliga) täcker man över, maskar, ”sekretessdelarna” så att de blir oläsliga, varpå handlingen kan lämnas ut.

Organisationen bör ha rutiner för hur handlingar ska hanteras, vem som sekretessgranskar handlingar och vem som lämnar ut handlingar. Vid överlämnande av sekretessbelagd handling till annan myndighet kan följebrev med förklaring av bedömningen av sekretessen bifogas.

Avslag om begäran

Om en myndighet fattar beslut att inte lämna ut en allmän handling på grund av att den innehåller sekretessbelagda/hemliga uppgifter, måste beslutet motiveras med hänvisning till den lagstiftning som gör att uppgiften omfattas av sekretess. Detta bör göras grundligt. Den som efterfrågat materialet ska även informeras om rätten att överklaga beslutet hos kammarrätten.

Mer information

Sekretessbedömning av känsliga uppgifter

Känslig information inom området dricksvattenförsörjning är sådan information som ensam eller tillsammans med annan information kan ge viktig kunskap om hela eller delar av vattenförsörjningskedjan.

För att göra en bedömning av vad som är känslig information kan den som förfogar över informationen överväga vilka uppgifter som kan orsaka skada för samhället eller tredje person om de av misstag kommer i orätta händer. En felaktig hantering av känsliga uppgifter kan medföra allvarliga konsekvenser och skada för verksamhetsutövaren och allmänheten, eller i värsta fall utgöra en risk för Sveriges säkerhet.

Det är främst i offentlighets- och sekretesslagen (2009:400), OSL, och i säkerhetsskyddslagen (2018:585) samt säkerhetsskyddsförordningen (2018:658) som lagstödet till skydd för de skyddsvärda uppgifterna framgår. I OSL finns bestämmelser hur de skyddsvärda uppgifterna ska värderas för att kunna sekretessbeläggas eller ej medan det i säkerhetsskyddslagen och säkerhetsskyddsförordningen framgår hur skyddsvärda uppgifter som har blivit säkerhetsskyddsklassificerade ska skyddas.

Uppgifter i en handling kan sekretessbeläggas med stöd av flera paragrafer i OSL. Det är inte tillåtet att generellt stämpla en handling med sekretess utan att det finns konkreta grunder för sekretess i handlingens innehåll.

Om innehållet i handlingen bedöms kunna sekretessbeläggas förses handlingen med en markering, en så kallad sekretessmarkering (se OSL 5 kap. 5 §). Försvarsmakten och Säkerhetspolisen ska enligt säkerhetsskyddsförordningen förse en säkerhetsskyddsklassificerad handling med en anteckning om vilken säkerhetsskyddsklass uppgifterna i handlingen har.

Exempel på typer av sekretess

Försvarssekretess

Vattenförsörjningen är en samhällsviktig verksamhet och viss vattenförsörjning kan därför ha betydelse för totalförsvaret och till skydd för rikets säkerhet. Det kan handla om särskilt stora anläggningar, anläggningar som levererar dricksvatten till vissa försvarsanläggningar, kärnkraftverk eller liknande. Exempel på uppgifter som kan skyddas med stöd av OSL 15 kap. 2 §:

  • Beskrivning av vitala delar och anläggningar i vattenförsörjningssystem (läge och utformning, tekniska beskrivningar, ritningar, driftinstruktioner).
  • Uppgifter angående drift av vitala anläggningar (till exempel beredskapslager, driftinstruktioner och rutiner). Vitala anläggningars kapacitet, funktion och roll i vattenförsörjningssystemet (till exempel hydrauliska beräkningar och personuppgifter för ett större antal anställda inom totalförsvarsviktig verksamhet).

Säkerhets- eller bevakningsåtgärd

Ett ytterligare skäl till att belägga uppgifter med sekretess är att de kan utnyttjas till brottslig verksamhet om de blir kända för allmänheten. Exempel på sådan uppgift är information som kan bidra till att någon får upplysning om säkerhets- eller bevakningsåtgärder. Exempel på sådana uppgifter som kan skyddas med stöd av OSL 18 kap. 8 § är:

  • Beskrivning av delar och anläggningar i vattenförsörjningssystem (läge och utformning, tekniska beskrivningar, uppgifter om ritningar)
  • Säkerhet kring styr- och övervakningssystem, säkerhetsinstruktioner
  • Skyddsåtgärder (till exempel skalskydd, larm, bevakningsåtgärder, administrativa rutiner för lösenord, loggar och larm)
  • Upphandlingar av skalskydd, larm, passerkontrollsystem och bevakningstjänster.

Risk- och sårbarhetsanalyser, planering och förberedelser

Uppgifter som är av betydelse för eller som har producerats eller samlats in för en myndighets planerings- eller förberedelseverksamhet för fredstida kriser som exempelvis risk- och sårbarhetsanalyser kan träffas av sekretess enligt OSL 18 kap 13 § om det kan antas att det allmännas möjligheter att förebygga och hantera fredstida kriser motverkas om uppgiften röjs. Exempel på uppgifter som kan skyddas av sekretess enligt 18 kap. 13 § OSL är:

  • Var beredskapslager är belägna
  • Listor över nyckelpersoner och deras ansvarsområden vid en krissituation
  • Beroendeförhållande till vissa leverantörer
  • Var det finns svagheter i reaktionstid eller svårigheter att upptäcka incidenter.

Praktiska exempel

Stödet i lagparagraferna kan styras av til exempel anläggningarnas storlek och om det finns speciellt sårbara eller ”viktiga” abonnenter anslutna till den specifika anläggningen. Därför hänvisas ofta till mer än en paragraf, till exempel både 15:2 och 18:8 eller 18:13.

Om en ledningsnätkarta ger information kring ledningsnätets utsträckning som i detta exempel går till statsministerns bostad, kan lagstöd för sekretess finnas i paragraf 15:2. Sådana skyddsvärda uppgifter kan därmed sekretessbeläggas enligt OSL paragraf 15:2. Om däremot en mindre ledningsnätkarta ger information kring ledningsnätets utsträckning till en större idrottsarena eller liknande finns inte lagstödet för sekretess i paragraf 15:2. Man får då göra bedömningen om uppgiften kan sekretessbeläggas enligt någon annan regel i OSL.

Viktiga begrepp inom området informationssäkerhet

Ett förbud att röja en uppgift vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt.

En uppgift för vilken det finns en bestämmelse om sekretess.

En sekretessreglerad uppgift för vilken sekretess gäller i ett enskilt fall.

En uppgift  som rör säkerhetskänslig verksamhet och som omfattas av någon bestämmelse i OSL eller som skulle ha omfattats av den lagen om den varit tillämplig i den aktuella verksamheten. 

En handling är en informationsbärare av något slag. Handlingen kan vara en framställning i skrift eller bild, ett handskrivet dokument eller fotografi. En handling kan också vara elektroniskt förvarad i ett USB-minne, ett e-postmeddelande eller motsvarande.

En allmän handling är en handling som är förvarad, inkommen till eller upprättad hos verksamhetsutövaren. Den behöver dock inte vara offentlig. För att en handling ska vara offentlig krävs att den är en allmän handling och att den inte är sekretessbelagd. För att en handling ska anses vara förvarad hos en verksamhetsutövare ska den finnas tillgänglig hos verksamhetsutövaren.

Begreppet arbetshandling eller ”mellanprodukt” är exempelvis minnesanteckningar, utkast, sammanställningar av svåröverskådligt material, remisser och koncept till beslut. Dessa räknas inte som allmänna handlingar, såvida de inte har diarieförts eller tagits om hand för arkivering. Denna typ av arbetshandlingar är inte att anse som upprättade då de inte nått sin slutliga utformning, och behöver då inte lämnas ut till allmänheten.

Sekretessavtal

I samband med utlämnande av hemlig eller sekretessbelagd information till andra förvaltningar, länsstyrelser, myndigheter, konsulter eller entreprenörer ska, utöver att personen är behörig, ett sekretessavtal tecknas med den som tar emot handlingen.

På så sätt säkerställs att ingen tveksamhet råder om vilka uppgifter som är hemliga eller belagda med sekretess. I samband med tecknandet av sekretessavtal ska den person som tar emot handlingen delges information om innebörden och omfattningen av sekretess. Ett sekretessavtal kan utformas på många olika sätt beroende på informationens innehåll.

Relaterat innehåll