fra Norsk TotalforsvarsForum (NTF)
Justis- og beredskapsdepartementet har sendt på høring forslag til endringer i lov av 1. juni 2018 nr. 24 om nasjonal sikkerhet (sikkerhetsloven). Sikkerhetsloven trådte i kraft 1. januar 2019 og erstattet lov av 20. mars 1998 nr. 10 om forebyggende sikkerhetstjeneste.
Etter sikkerhetsloven skal personer som skal få tilgang til sikkerhetsgradert informasjon, autoriseres. Det samme gjelder personer som skal ha adgang til skjermingsverdige objekter og infrastruktur som det er fattet vedtak om adgangsklarering.
Tilgang til BEGRENSET krever i dag ikke sikkerhetsklarering. Det innebærer at reglene om personkontroll i sikkerhetsloven om sikkerhetsklarering og annen klarering ikke kommer til anvendelse.
Ved tilgang til informasjon gradert BEGRENSET stiller sikkerhetsloven krav om autorisasjon og autorisasjonssamtale. Loven forutsetter at det før/under gjennomføring av autorisasjonssamtalen innhentes opplysninger om vedkommende som skal autoriseres.
Norsk TotalforsvarsForum, NTF, har behandlet høringsnotatet med følgende kommentarer:
Generelle kommentarer
Innen totalforsvaret er det flere råd og utvalg der det kan være behov for kjennskap til gradert informasjon. Som eksempel kan nevnes Landsrådet for Heimevernet og tilhørende Distriktsråd.
Mye av den informasjonen som kan styrke råd og utvalg sin ivaretagelse av sine oppgaver, kan gis i form av å være gradert BEGRENSET. I spesielle tilfeller kan det være hensiktsmessig at personer har høyere klarering/autorisasjon, men dette ivaretas av dagens sikkerhetslov og omtales ikke her.
Norsk TotalforsvarsForum mener det vil styrke tilgangen på informasjon som øker forståelsen for totalforsvaret og beredskapen, herunder trusselvurdering og situasjonsforståelse, ved å ha muligheten for i nødvendig grad å kunne gi autorisasjon for BEGRENSET.
Dagens ordning har ikke klare regler om innhenting av personopplysninger for autorisasjon BEGRENSET. Dette kan medføre forskjellig praksis fra autorisasjonsansvarlig samt usikkerhet i forhold til personvernet til den som skal autoriseres. En presisering av hvilke opplysninger som skal innhentes og hvordan
disse behandles, vil slik NTF ser det, skape en mer entydig, forutsigbar og trygg praksis ved autorisasjon.
Spesielle kommentarer
NTF mener, i denne sammenheng, at en autorisasjon basert på et fast oppsatt system for innhenting av personopplysninger – en tilpasset personopplysningsblankett – vil lette arbeidet i forhold til autorisasjon og gjennomføring av autorisasjonssamtale.
Selv om en autorisasjon kan være tidsbegrenset og begrenset til konkrete saker og avdelinger, vil tilstedeværelsen av en autorisasjon – oppbevarte personopplysninger – lette det fremtidige arbeidet for autorisasjonsansvarlig.
Det bør også vurderes om en autorisasjon gitt ved en avdeling av en autorisasjonsansvarlig, skal ha en lengere gyldighet eller om den kun skal gjelde for det enkelte tilfelle. Den som skal autoriseres har uansett, slik endringsforslaget beskriver, en plikt til å opplyse den autorisasjonsansvarlige om forhold som kan være av betydning for sikkerhetsmessig skikkethet. Dette innebærer, slik NTF ser det, opplysning om eventuelle endringer i forhold til tidligere utfylt personopplysningsblankett. Det burde derfor være mulig at en autorisasjon kan gis varighet utover et enkelt tilfelle.
Det vil, på samme måte som for klareringer, kunne foreligge en «klarering» for BEGRENSET. Prosessen kan derfor forenkles ved at den som skal autoriseres, eller gis tilgang til skjermingsverdige objekter og infrastruktur (på nivå BEGRENSET), raskt kan re-autoriseres.
NTF tenker det kan være hensiktsmessig å vurdere om personopplysninger, på tilpasset blanket, kan være tilgjengelig for andre autorisasjonsansvarlige dersom det skulle være behov for dette.
NTF er enig i departementets vurdering at det er nødvendig å holde autorisasjon for BEGRENSET på et nivå som ivaretar at det handler om autorisasjon for det laveste graderingsnivået etter sikkerhetsloven.
Ved endring i Sikkerhetsloven, slik at det også kan stilles krav til egenopplysninger ved autorisasjon, vil etter NTF sin mening, hjemmelsgrunnlaget for ivaretagelse av kravene i personvernforordningen (GDPR), fortsatt være ivaretatt.
Etter sikkerhetsloven skal personer som skal få tilgang til sikkerhetsgradert informasjon, autoriseres. Det samme gjelder personer som skal ha adgang til skjermingsverdige objekter og infrastruktur som det er fattet vedtak om adgangsklarering.
Tilgang til BEGRENSET krever i dag ikke sikkerhetsklarering. Det innebærer at reglene om personkontroll i sikkerhetsloven om sikkerhetsklarering og annen klarering ikke kommer til anvendelse.
Ved tilgang til informasjon gradert BEGRENSET stiller sikkerhetsloven krav om autorisasjon og autorisasjonssamtale. Loven forutsetter at det før/under gjennomføring av autorisasjonssamtalen innhentes opplysninger om vedkommende som skal autoriseres.
Norsk TotalforsvarsForum, NTF, har behandlet høringsnotatet med følgende kommentarer:
Generelle kommentarer
Innen totalforsvaret er det flere råd og utvalg der det kan være behov for kjennskap til gradert informasjon. Som eksempel kan nevnes Landsrådet for Heimevernet og tilhørende Distriktsråd.
Mye av den informasjonen som kan styrke råd og utvalg sin ivaretagelse av sine oppgaver, kan gis i form av å være gradert BEGRENSET. I spesielle tilfeller kan det være hensiktsmessig at personer har høyere klarering/autorisasjon, men dette ivaretas av dagens sikkerhetslov og omtales ikke her.
Norsk TotalforsvarsForum mener det vil styrke tilgangen på informasjon som øker forståelsen for totalforsvaret og beredskapen, herunder trusselvurdering og situasjonsforståelse, ved å ha muligheten for i nødvendig grad å kunne gi autorisasjon for BEGRENSET.
Dagens ordning har ikke klare regler om innhenting av personopplysninger for autorisasjon BEGRENSET. Dette kan medføre forskjellig praksis fra autorisasjonsansvarlig samt usikkerhet i forhold til personvernet til den som skal autoriseres. En presisering av hvilke opplysninger som skal innhentes og hvordan
disse behandles, vil slik NTF ser det, skape en mer entydig, forutsigbar og trygg praksis ved autorisasjon.
Spesielle kommentarer
NTF mener, i denne sammenheng, at en autorisasjon basert på et fast oppsatt system for innhenting av personopplysninger – en tilpasset personopplysningsblankett – vil lette arbeidet i forhold til autorisasjon og gjennomføring av autorisasjonssamtale.
Selv om en autorisasjon kan være tidsbegrenset og begrenset til konkrete saker og avdelinger, vil tilstedeværelsen av en autorisasjon – oppbevarte personopplysninger – lette det fremtidige arbeidet for autorisasjonsansvarlig.
Det bør også vurderes om en autorisasjon gitt ved en avdeling av en autorisasjonsansvarlig, skal ha en lengere gyldighet eller om den kun skal gjelde for det enkelte tilfelle. Den som skal autoriseres har uansett, slik endringsforslaget beskriver, en plikt til å opplyse den autorisasjonsansvarlige om forhold som kan være av betydning for sikkerhetsmessig skikkethet. Dette innebærer, slik NTF ser det, opplysning om eventuelle endringer i forhold til tidligere utfylt personopplysningsblankett. Det burde derfor være mulig at en autorisasjon kan gis varighet utover et enkelt tilfelle.
Det vil, på samme måte som for klareringer, kunne foreligge en «klarering» for BEGRENSET. Prosessen kan derfor forenkles ved at den som skal autoriseres, eller gis tilgang til skjermingsverdige objekter og infrastruktur (på nivå BEGRENSET), raskt kan re-autoriseres.
NTF tenker det kan være hensiktsmessig å vurdere om personopplysninger, på tilpasset blanket, kan være tilgjengelig for andre autorisasjonsansvarlige dersom det skulle være behov for dette.
NTF er enig i departementets vurdering at det er nødvendig å holde autorisasjon for BEGRENSET på et nivå som ivaretar at det handler om autorisasjon for det laveste graderingsnivået etter sikkerhetsloven.
Ved endring i Sikkerhetsloven, slik at det også kan stilles krav til egenopplysninger ved autorisasjon, vil etter NTF sin mening, hjemmelsgrunnlaget for ivaretagelse av kravene i personvernforordningen (GDPR), fortsatt være ivaretatt.