Dato: 06.01.2025 Svartype: Med merknad For oversiktens skyld velger Forsvarsbygg (FB) å dele innspillene i tre hovedpunkter: Styrking av hjemmelsgrunnlaget for innhenting og behandling av personopplysninger knyttet til prosessen med autorisasjon for BEGRENSET. Fellesautorisasjon. Opplysningsplikten for klarert og autorisert personell. Hjemmelsgrunnlag for innhenting av personopplysninger FB er enig i at det er viktig å styrke det formelle grunnlaget for å kunne innhente relevante personopplysninger ved autorisasjon til BEGRENSET. I situasjoner hvor det ikke finnes utfylt POB, kan flere faktorer påvirke hvilken informasjon autorisasjonsansvarlige har mulighet/kapasitet til innhente i forkant av en autorisasjonssamtale. Forhold som fremdrift i et prosjekt, behov for å autorisere et større antall personer samtidig og mangelfull kompetanse/erfaring hos autorisasjonsansvarlige, kan slå uheldig ut på flere måter både for virksomheten som skal autorisere og for dem som skal autoriseres. FB mener derfor at det er viktig å tydelig definere (= liste opp i fremtidig forskriftstekst) hvilken informasjon som skal legges til grunn ved vurdering av sikkerhetsmessig skikkethet for BEGRENSET. På den måten kan det skapes nødvendig forutsigbarhet for begge parter og legge fundamenet for at autorisasjonsavgjørelser til BEGRENSET vil være basert på det samme informasjonsgrunnlaget. Når det er sagt så er det også viktig å være nøktern i forhold til mengden informasjon som må innhentes for å kunne stadfeste sikkerhetsmessig skikkethet for det laveste graderingsnivået. Dersom det i praksis vil bli tale om tilsvarende mengde informasjon som i POB, så er FB redd for at formålet med og effekten av fellesautorisasjoner langt på vei vil bortfalle. I et slikt scenario vil man måtte nedlegge et betydelig arbeid i forkant av fellesautorisasjoner for å innhente og sortere informasjon, og deretter muligens måtte dele personellet inn i hvem som kan delta på fellesautorisasjon og hvem som må gjennomføre individuell samtale. Et annet forhold som anses aktuelt for vurdering i forbindelse med lovendringen, er om det bør gis retningslinjer for varigheten av B-autorisasjoner for personer som ikke har sikkerhetsklarering. Personell som har sikkerhetsklarering, vil ofte ha autorisasjon med samme utløpsdato som klareringen, jf. sl § 8-10 annet ledd, litra b. Ved B-autorisasjoner uten klarering, er det erfaringsmessig dessverre litt mer «svevende» hvor lenge autorisasjonen er gyldig – selv om loven har klare retningslinjer for når en autorisasjon bortfaller. Manglende sikkerhetsklarering «i bånn» innebærer at det ikke finnes en sikkerhetsventil som sikrer at autorisasjonen utløper på en konkret dato. På generelt grunnlag er det derfor formålstjenlig å ha en formalisert begrensning for varigheten på en B-autorisasjon slik at de ikke varer «evig». Fellesautorisasjon FB gjennomfører regelmessig et betydelig antall fellesautorisasjoner for leverandørpersonell som skal benyttes til arbeid som ikke krever sikkerhetsklarering. Dette gjelder både ved arbeid med konkret behov for tilgang til (lav)gradert informasjon og i situasjoner hvor det ikke er behov for gradert informasjon, men hvor objekteier (Forsvaret) krever at personellet må autoriseres for BEGRENSET for å kunne få adgang til vedkommende lokasjon eller område på lokasjonen (uten av lokasjonen er klassifisert som SVO/SVI). FB er enig i at formen på fellesautorisasjoner ikke må undergrave opplysningsplikten og behovet for skjerming av personopplysninger. FB understreker imidlertid at eventuelle presiseringer i regelverket ikke må innskrenke mulighetene til å gjennomføre fellesautorisasjoner da disse er meget viktige for å kunne ivareta fremdriften i prosjekter hvor det er nødvendig å autorisere et større antall leverandørpersonell i løpet av kort tid. FB anser det som formålstjenlig å definere begrepet «kortvarig behov» i relasjon til tidsbegrenset behov for tilgang til høygradert informasjon, jf. vsfs § 68 fjerde ledd. Opplysningsplikten FB er avhengig av et stort antall leverandørpersonell med sikkerhetsklarering for å kunne realisere nåværende og fremtidige EBA-prosjekter. For å sikre nødvendig «gripbarhet» når det skal gjøres avrop på en rammeavtale, må FB igangsette klareringsprosessen snarest mulig etter avtaleinngåelse slik at flest mulig leverandørpersonell er ferdig klarert når det fysiske arbeidet starter. Tiden som går fra klarering foreligger til arbeidet starter, varierer mye fra prosjekt til prosjekt og person til person. Endringsforslaget vil i slike tilfeller innebære at sikkerhetsklarert personell ikke lenger vil ha en lovpålagt plikt til å informere klareringsmyndigheten (KM) om forhold som kan ha betydning for vedkommendes sikkerhetsmessige skikkethet. Ettersom personellet på det aktuelle tidspunktet ikke har blitt autorisert, er det heller ingen autorisasjonsansvarlig å melde fra til, hvilket innebærer at både KM og den fremtidige brukeren av personellet mister muligheten til å få denne meget viktige informasjonen. I beste fall vil virksomheten som skal benytte personellet få opplysningene under den første autorisasjonssamtalen som gjennomføres med vedkommende, men det betinger ærlighet hos den som skal autoriseres og dyktighet hos den autorisasjonsansvarlige. En liknende situasjon oppstår dersom en person som tilhører en rammeavtaleleverandør er «mellom» oppdrag i avtalens gyldighetsperiode. En rammeavtale vil vanligvis gjelde i fem år og i løpet av denne perioden er det utbredt at bedriftens personell har flere oppdrag for FB på forskjellige prosjekter og lokasjoner. I slike tilfeller vil ofte vedkommende bli særskilt autorisert for hvert prosjekt og da for oppdragets varighet. Når vedkommende er «mellom» oppdrag vil han iht. lovforslaget ikke lenger være forpliktet til å holde FB informert om informasjon som er av betydning for skikketheten. Det er således ingen mekanisme som skal sikre at FB får den aktuelle informasjonen før vedkommende skal autoriseres i forbindelse med at et nytt oppdrag skal påbegynnes (da skal innhentes opplysninger fra forrige autorisasjonssamtale iht. vsfs § 68 tredje ledd). Situasjonen er naturligvis annerledes for «personer som bytter jobb eller blir pensjonister», men det er ikke uvanlig at personer på et senere tidspunkt ønsker å gjeninntre eller arbeide på pensjonistvilkår hos tidligere arbeidsgiver, og at det derfor fremdeles er viktig at opplysningsplikten opprettholdes selv om vedkommende ikke lenger er autorisert. Et forslag som har kommet frem i FBs interne høringsrunde, er å åpne for at personer som ikke lenger har behov for/ønsker å ha sikkerhetsklarering, på eget initiativ kan frasi seg klareringen når tjenesten opphører. På den måten vil de ikke lenger være underlagt en opplysningsplikt som er knyttet til en «passiv» sikkerhetsklarering. En viktig del av autorisasjonssamtalen er å gi og kontrollere sikkerhetskunnskap, -bevissthet og -forståelse hos den som skal autoriseres. I en travel hverdag er det imidlertid ikke uforståelig at fokuset hos leverandørpersonell ofte kan ligge mer på deres eget fagområde enn forebyggende sikkerhet. Likeledes kan manglende erfaring hos den autorisasjonsansvarlige medvirke til at kunnskapsnivået hos den autoriserte ikke blir optimalt. Dette i kombinasjon med varierende rutiner for registrering og formidling av varighet på autorisasjoner, kan bidra til usikkerhet om en person fremdeles er autorisert og om opplysningsplikten gjelder for vedkommende. Videre er det ikke gitt at den klarerte/autoriserte selv har et tilfredsstillende bilde av hvilken informasjon som er av betydning for vurdering av vedkommendes skikkethet. FB mener således at det være hensiktsmessig å legge inn en henvisning til oppramsingen i sl § 8-4 fjerde ledd. Selv om det kan oppfattes som en overflødig supplering, så foreslår FB at det vurderes å omformulere teksten i sl § 8-11 og legge til ordet «gyldig». En revidert paragraf kan lyde slik: En klarert og autorisert person skal umiddelbart varsle om forhold som kan være av betydning for om vedkommende er sikkerhetsmessig skikket. Opplysninger som det skal varsles om fremgår av § 8-4 fjerde ledd. Personer med gyldig autorisasjon skal varsle den autorisasjonsansvarlige, mens personer som er klarert, men som ikke har gyldig autorisasjon, skal varsle klareringsmyndigheten. FB opplever ofte at leverandørpersonell er autorisert av flere virksomheter samtidig, f.eks. Forsvaret, Statsbygg og politiet. Det finnes ikke regler for hvordan varsling skal skje i slike tilfeller og FB foreslår derfor at problemstillingen blir regulert i lovverket. Pr. i dag er det tilfeldig hvilken autorisasjonsansvarlig som blir varslet og de autorisasjonsansvarlige har ikke nødvendigvis oversikt over eventuelle andre autorisasjoner som er foretatt av andre virksomheter. I slike saker er det viktig at alle autorisasjonsansvarlige får den aktuelle informasjonen slik at de har mulighet til å vurdere skikketheten og informere øvrige autorisasjonsansvarlige om egne vurderinger og tiltak. En mulig regulering kan f.eks. inntas som annet ledd i § 8-11: Autorisasjonsansvarlige som får varsel om forhold som kan være av betydning for en persons sikkerhetsmessige skikkethet, skal undersøke om personen er autorisert av flere virksomheter. Dersom en person har flere parallelle autorisasjoner, skal den autorisasjonsansvarlige underrette øvrige virksomheter om de aktuelle opplysningene og eventuelle tiltak som er iverksatt. Justis- og beredskapsdepartementet Til høringen Til toppen <div class="page-survey" data-page-survey="133" data-page-survey-api="/api/survey/SubmitPageSurveyAnswer" data-text-hidden-title="Tilbakemeldingsskjema" data-text-question="Fant du det du lette etter?"
