Dato: 06.01.2025 Svartype: Med merknad GlobalConnect viser til forslaget om endringer i sikkerhetsloven om autorisasjon for BEGRENSET mv, og høringsnotatet av 1. oktober fra Justis- og beredskapsdepartementet (JD). Departementet foreslår å styrke hjemmelsgrunnlaget for behandling av personopplysninger knyttet til prosessen med autorisasjon for BEGRENSET. Bakgrunnen er at det har vært reist spørsmål om hvor langt dagens hjemmelsgrunnlag strekker seg når det gjelder hva man kan innhente av opplysninger og hvordan informasjonen skal håndteres ved autorisasjon for BEGRENSET, der det ikke er en forutgående prosess med sikkerhetsklarering Departementet foreslår med bakgrunn i dette å innta en klar hjemmel i sikkerhetslovens § 8-9 om at det kan gis forskrift om krav til egenopplysninger før autorisasjon, slik det er krav om ved sikkerhetsklarering og adgangsklarering, jf. klareringsforskriften §§ 6 og 7. Etter departementets vurdering skal det legges opp til å innhente mindre omfattende opplysninger enn ved klarering, da autorisasjon for BEGRENSET innebærer en lavere risiko enn tilgang til høyere gradert informasjon. I henhold til Sikkerhetslovens (SIKKL) § 8-9 2. ledd kan autorisasjon bare gis dersom den autorisasjonsansvarlige ikke har opplysninger som gir rimelig grunn til å tvile på om en person er sikkerhetsmessig skikket. I forarbeidene til sikkerhetsloven står det at « hvorvidt vedkommende er sikkerhetsmessig skikket, må baseres på en konkret helhetsvurdering av de opplysninger autorisasjonsansvarlig har tilgjengelig, og på det inntrykket som gis i autorisasjonssamtalen » I § 8-4 fremkommer det at « i vurderingen (av sikkerhetsmessig skikkethet) skal det legges vekt på forhold som er relevante for personens pålitelighet, lojalitet og dømmekraft i forbindelse med behandling av gradert informasjon og tilgang til skjermingsverdige objekter og infrastruktur. Vurderingen skal gjøres på grunnlag av en personkontroll ». § 8-4 4. ledd lister videre opp forhold som kan tillegges vekt. For å kunne vurdere en persons sikkerhetsmessige skikkethet er det avgjørende at en autorisasjonsansvarlig får tilgang til opplysninger som søker å avklare dette spørsmålet. Dette støttes av Virksomhetsikkerhetsforskriften § 68 2. ledd bokstav c og d. For adgangsklarering innhentes det egenopplysninger ihht. Klareringsforskriftens § 6 første ledd bokstav a, c, e (personalia, bostedsadresser og opphold utenfor Norge samt utdanning- og arbeidsforhold). Dersom det for BEGRENSET skal gis mindre omfattende egenopplysninger enn dette, er det lite som tilsier at det er mulig å vurdere sikkerhetsmessig skikkethet. Det er allerede i dag i liten grad mulig å vurdere en persons pålitelighet, lojalitet og dømmekraft ved autorisasjon for begge typer adgangsklarering med bakgrunn i personopplysningsblanketten. Departementet begrunner dette med at autorisasjon for BEGRENSET innebærer en lavere risiko enn tilgang til høyere gradert informasjon. I henhold til SIKKL § 5-3 kan informasjon sikkerhetsgradert BEGRENSET i noen grad få skadefølger for nasjonale sikkerhetsinteresser. Dersom autorisasjonsansvarlig ikke har anledning til å hente inn egenopplysninger som favner under økonomiske forhold, straffbare forhold, forhold til narkotika og doping, helsesituasjon eller tilknytning til andre stater er det vanskelig å kunne vurdere og drøfte en persons sårbarheter. Det bør derfor ved vurderingen av sikkerhetsmessig skikkethet stilles spørsmål rundt samtlige forhold listet opp under SIKKL § 8-4 4.ledd. Når autorisasjonsansvarlig har alle opplysninger tilgjengelig og eventuelle sårbarheter er avdekket, må det være graderingsnivået som fastsetter hvilken risiko virksomheten kan akseptere, og hvilke tiltak som må iverksettes for å sørge for et forsvarlig sikkerhetsnivå jf. SIKKL § 4-3. Dersom det skal innhentes mindre omfattende opplysninger enn ved klarering, mener GlobalConnect at autorisasjon for BEGRENSET vil resultere i et utilstrekkelig grunnlag for å vurdere om en person er sikkerhetsmessig skikket. Dette kan videre resultere i en falsk trygghet for ivaretagelse av gradert informasjon og beskyttelse av skjermingsverdige verdier. Vi vil videre hevde at autorisasjon for BEGRENSET bare delvis bidrar til å redusere risiko. Tilstrekkelige egenopplysninger og selve autorisasjonssamtalen kan bidra til å avdekke sårbarheter hos en person, og synliggjøre relasjoner som kan utgjøre en risiko for at en person kan settes under press. Det vil imidlertid være vanskelig å identifisere personer med ondsinnede intensjoner ettersom det ikke gjøres en uavhengig kontroll av klareringsmyndighetene. Med bakgrunn i dette mener GlobalConnect at det bør vurderes om autorisasjon for BEGRENSET skal reduseres til en sikkerhetsbrief med formål å øke bevisstheten rundt sikkerhetsbestemmelser, trusler og risiko hos den som skal autoriseres, uten en vurdering av sikkerhetsmessig skikkethet. Alternativt må Sikkerhetsloven med forskrifter stille klare krav til vurderingen av sikkerhetsmessig skikkethet og hvilke forhold og faktorer som inngår i vurderingen. Egenopplysninger som skal leveres i forkant av autorisasjonssamtalen må bidra til denne vurderingen. Ved å tydeliggjøre kriteriene for vurdering av sikkerhetsmessig skikkethet i lov og forskrift, og hvilken grad av risiko de forskjellige gradsnivåene tillater vil både autorisasjonsansvarlig og den autoriserte vite hvilke faktorer som skal vurderes og hvilke personopplysninger som må deles. Dette vil bidra til å forhindre misforståelser og sikre en mer ensartet praksis for alle virksomheter som autoriserer personell. Justis- og beredskapsdepartementet Til høringen Til toppen
