Sekretess i risk- och sårbarhetsanalys

Offentlighetsprincipen är en av hörnstenarna i ett demokratiskt samhälle vilket innebär att offentliga aktörers verksamheter, inklusive deras risk- och sårbarhetsanalysarbete, i så stor utsträckning som möjligt bör vara öppna för insyn.

Sekretessbedömning 

Huvudregeln är att risk- och sårbarhetsanalyser (RSA), liksom alla handlingar hos en myndighet, ska vara offentliga. RSA:er kan dock i många fall innehålla information som om den kommer ut skulle kunna innebära skada för myndigheten eller samhället i stort. I sådana fall kan det vara nödvändigt att begränsa insynen genom att belägga delar av RSA:n med sekretess.

Det är av stor vikt att, utifrån RSA, bedriva aktiv riskkommunikation även om RSA beläggs med sekretess exempelvis genom att publicera och kommunicera ett öppet utdrag. Tillvägagångssättet för att sekretessbelägga uppgifter kan delas in i tre steg.

Steg 1 – Avgöra aktuell sekretessbestämmelse enligt OSL

För att kunna belägga uppgifter i RSA-redovisningen med sekretess måste det finnas en bestämmelse i OSL som omfattar uppgifterna. Sekretessbestämmelserna sätter ramen för vilka uppgifter som kan sekretessbeläggas och under vilka omständigheter genom så kallade rekvisit. Rekvisiten reglerar bland annat vilka verksamheter som kan använda sekretessbestämmelsen, vilka uppgifter som omfattas och hur stark sekretessen är.

För RSA-redovisningar är det i huvudsak två sekretessbestämmelser som blir aktuella. Det är dels försvarssekretess enligt 15 kap. 2 § OSL och sekretess för uppgifter om fredstida kriser enligt kapitel 18 kap. 13 § OSL, också kallat "RSA-sekretess". Uppgifter i en RSA-redovisning kan också beläggas med sekretess enligt andra bestämmelser i OSL, exempelvis 18 kap. 8 § eller 9 § OSL. Dessa är dock mindre vanligt förekommande än sekretess enligt 15 kap. 2 § eller 18 kap. 13 § OSL.

Nedan ges mer ingående information om de två vanligaste sekretessbestämmelserna.

Försvarssekretess enligt 15 kap. 2 § OSL

Försvarssekretess enligt 15 kap. 2 § OSL omfattar uppgifter vars röjande kan antas skada Sveriges försvarsförmåga, eller på annat sätt skulle kunna vålla fara för Sveriges säkerhet. Av 15 kap. 2 § första stycket OSL framgår:

"Sekretess gäller för uppgift som rör verksamhet för att försvara landet eller planläggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs."

Med landets försvar avses alla de olika verksamheter som är av betydelse för landets samlade försvarsåtgärder. Försvarssekretessen inkluderar således inte bara rent militära företeelser utan också åtgärder med avseende på totalförsvaret i övrigt. Totalförsvar är enligt lagen (1992:1403) om totalförsvar och höjd beredskap sådan verksamhet som behövs för att förbereda Sverige för krig. Totalförsvar består av militärt försvar och civilt försvar. Hit räknas bland annat befolkningsskyddet, försörjningsberedskapen och det psykologiska försvaret.

För att en uppgift ska rymmas i sekretessområdet krävs att ett röjande av uppgiften innebär en minskad förmåga att försvara landet (avser främst det militära försvaret) eller minskade möjligheter att uthärda ett krig (till exempel försörjningsfrågor). Uppgifter inom det civila försvaret kan också omfattas av försvarssekretess om uppgifterna rör verksamhet som behövs för att förbereda det civila samhället för krig. Om det kan antas att ett röjande av en uppgift leder till att Sverige får minskad försvarsförmåga, försvarsvilja eller eliminerar eller minskar effekten av ett framtaget försvarssystem, så anses ett sådant röjande skada landets försvar. En sådan uppgift omfattas således av försvarssekretess.

Begreppet "rikets säkerhet" är inte definierat i lagstiftningen. Innebörden får därför bestämmas utifrån förarbeten, rättspraxis och myndigheternas tillämpning. Med rikets säkerhet brukar man avse såväl den yttre säkerheten för det nationella oberoendet (främst totalförsvaret) som den inre säkerheten för det demokratiska statsskicket.

Uppgifter som omfattas av försvarssekretess rör alltid rikets säkerhet. Om uppgifter bedöms omfattas av försvarssekretess aktualiseras även reglerna om säkerhetsskyddsklassificering och hantering enligt Säkerhetsskyddslagen (2018:585) för uppgifterna.

Sekretess enligt 18 kap. 13 § OSL (RSA-sekretess)

Sekretess enligt 18 kap. 13 § OSL gäller för uppgifter som bland annat framgår av en myndighets RSA och vars röjande kan antas motverka myndighetens eller samhällets förmåga att hantera fredstida krissituationer. Av bestämmelsen framgår:

"Sekretess gäller för uppgift som hänför sig till en myndighets verksamhet som består i risk- och sårbarhetsanalyser avseende fredstida krissituationer, planering och förberedelser inför sådana situationer eller hantering av sådana situationer, om det kan antas att det allmännas möjligheter att förebygga och hantera fredstida kriser motverkas om uppgiften röjs."

Bestämmelsen är avsedd att användas för uppgifter som är av betydelse för den fredstida delen av krishanteringssystemet och är tillämplig på uppgifter som har insamlats eller producerats inom ramen för statens, kommuners och regioners analys-, planerings- eller förberedelseverksamhet avseende fredstida kriser.

Sekretess enligt 18 kap. 13 § OSL skiljer sig alltså från försvarssekretessen genom att endast lägga fokus på fredstida kriser.

Steg 2 – Avgöra om RSA-redovisningen innehåller uppgifter som ska sekretessbeläggas

Efter att relevanta sekretessbestämmelser har identifierats ska en sekretessprövning av RSA-redovisningen göras. Det innebär att redovisningen gås igenom och eventuella uppgifter vars röjande kan skada något av de intressen som sekretessen skyddar maskeras. Detta innebär att en bedömning måste göras om det i redovisningen finns uppgifter som skulle kunna medföra att myndighetens eller samhällets säkerhet skulle äventyras om de blev kända. Exempel på sådana uppgifter kan vara:

  • Specifik information om olika slags kritiska anläggningar, exempelvis geografisk placering av beredskapsanläggningar.
  • Detaljerade beskrivningar av beroendeförhållanden, exempelvis till specifika leverantörer.
  • Information om stabers uthållighet.
  • Detaljerade beskrivningar av hur myndigheten och dess personal ska agera i en situation av kris eller svår påfrestning.
  • Information om gränssättande tekniska faktorer (såsom brist på kapacitet och redundans i kritiska system).

Uppgifter kan omfattas av fler än en sekretessbestämmelse. Uppgifter som exempelvis kan skada en myndighets möjlighet att hantera fredstida kriser kan vid ett röjande även skada landets totalförsvar eller rikets säkerhet. Exemplen ovan skulle med andra ord kunna omfattas av både 15 kap. 2 § OSL och 18 kap. 13 § OSL.

Steg 3 – Säkerställ att redovisningen hanteras på rätt sätt

Som redan framgått är hanteringen av handlingar belagda med sekretess annorlunda än vad som gäller för öppna offentliga handlingar. Denna skillnad består av en begränsning av allmänhetens rätt att ta del av handlingen (vilket innebär att den inte kan lämnas ut på samma sätt som en öppen offentlig handling) samt ett förbud att röja den/de uppgifter som omfattas av sekretess. Nedan ges mer ingående beskrivningar av de hanteringsregler som finns för handlingar belagda med sekretess.

Sekretessmarkering

En handling som innehåller en uppgift som kan antas omfattas av sekretess får förses med en särskild anteckning, en sekretessmarkering. Denna markering ska innehålla följande uppgifter:

  • Tillämplig sekretessbestämmelse
  • Datum när anteckningen gjordes
  • Den myndighet som har gjort anteckningen.

Om handling som försetts med en sekretessmarkering begärs ut ska frågan om utlämnande prövas på vanligt sätt. En sekretessmarkering befriar inte den utlämnande myndigheten från skyldigheten att göra en sådan prövning, utan fungerar som en varningssignal.

Det finns inga lagstadgade krav för hantering av en handling som innehåller uppgifter belagda med sekretess enligt 18 kap. 13 § OSL. Sådana handlingar måste dock hanteras på ett sådant sätt att obehöriga inte tar del av de sekretessbelagda uppgifterna. I många fall har myndigheter egna interna rutiner som stöd för hantering av handlingar belagda med sekretess enligt 18 kap. 13 § OSL.

Hanteringsregler när en sekretessbelagd handling också är säkerhetsskyddsklassificerad 

Uppgifter kan vara belagda med sekretess i en mängd olika syften, men alla är inte säkerhetsskyddsklassificerade. ”Säkerhetsskyddsklassificering av uppgift” är inte ett begrepp som återfinns i OSL utan återfinns istället i säkerhetsskyddslagen. Säkerhetsskyddsklassificerade uppgifter avser uppgifter av betydelse för Sveriges säkerhet.

Säkerhetsskyddsklassificerade uppgifter omfattas också av OSL, men det omvända gäller alltså inte. Uppgifter som uppfyller kriterierna för klassificering ska tilldelas en av fyra olika säkerhetsskyddsklasser ” utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet”.

Dessa klasser återfinns i säkerhetsskyddslagen 2 kap. 5§ och är:

  1. kvalificerat hemlig vid en synnerligen allvarlig skada,
  2. hemlig vid en allvarlig skada,
  3. konfidentiell vid en inte obetydlig skada, eller
  4. begränsat hemlig vid endast ringa skada.

Säkerhetsskyddsklassificerade uppgifter kräver enligt lagen säkerhetsskydd och ska hanteras i enlighet med Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2019:2) eller Försvarsmaktens föreskrifter om säkerhetsskydd (FFS 2019:2).

Om en handling innehåller säkerhetsskyddsklassificerade uppgifter ska den också förses med en sekretessmarkering som hänvisar till ett kapitel och en paragraf i OSL. Detta är en upplysning om att det finns information i handlingen som är säkerhetsskyddsklassificerad och att en sekretessbedömning ska göras vid begäran om utlämnande.

Anteckning om säkerhetsskyddsklass ska också göras på handlingen. Den indikerar hur säkerhetsskyddsklassificerade uppgifter ska hanteras för att ett tillräckligt säkerhetsskydd ska uppnås exempelvis avseende förvaring av handlingen, vilka som kan få tillgång till den med mera.

Notera att det som enligt tidigare lagstiftning kallades ”hemlig uppgift” nu alltså benämns säkerhetsskyddsklassificerad uppgift och att ”hemlig” numera istället är en av de fyra säkerhetsskyddsklasser som säkerhetsskyddsklassificerade uppgifter kan placeras i. Det som benämndes ”hemligt” tidigare är alltså inte nödvändigtvis ”hemligt” i den nuvarande lagstiftningens mening.

Kontakt

E-postadress: rsa@msb.se

Senast granskad: 10 juni 2025

Till toppen av sidan