Kompletteringar till regelverket om säkerhetsskydd i riksdagen och dess myndigheter (Utredning från Riksdagsförvaltningen 2020/21:URF3)

Kompletteringar till regelverket om

säkerhetsskydd i riksdagen

och dess myndigheter

ISSN 1651-6885

ISBN 978-91-7915-030-3

Riksdagstryckeriet, Stockholm, 2021

2020/21:URF3

Till riksdagsstyrelsen

Riksdagsstyrelsen beslutade den 10 juni 2020 om direktiv till en särskild utredare att göra en fortsatt översyn av regelverket om säkerhetsskydd i riksdagen och dess myndigheter. Samma dag utsågs f.d. lagmannen Stefan Strömberg till utredare. Riksdagsstyrelsen beslutade vidare att ge riksdagsdirektören i uppdrag att bl.a. utse experter och sekreterare.

Den 2 juli 2020 beslutade riksdagsdirektören att som experter utse kanslichef Lars Franzén, kammarsekreterare Anna Aspegren, tf. informationssäkerhetsansvarige Joacim Häggmark, verksjuristen (numera säkerhetsstrategen) Charlotta Berglund (samtliga från Riksdagsförvaltningen), f.d. kanslichefen hos Riksdagens ombudsmän (JO) Agneta Lundgren, biträdande chefsjuristen (numera tf. chefsjuristen) Rikard Bergman (Riksrevisionen) samt funktionsansvariga för säkerhetsskydd Elisabeth Sjöblom (Riksbanken). Till sekreterare utsågs verksjuristen Anne Olsson.

Stefan Strömberg har varit ensam utredningsman och svarar ensam för innehållet i betänkandet. Experterna ställer sig dock, i de delar som är relevanta för respektive myndighet, till stora delar bakom utredningens bedömningar och förslag. Betänkandet har därför formulerats i vi-form. Skilda uppfattningar i principiella frågor har kommit till särskilt uttryck.

Utredningen, som har antagit namnet Utredningen om en fortsatt översyn av regelverket om säkerhetsskydd i riksdagen och dess myndigheter, överlämnar nu betänkandet Kompletteringar till regelverket om säkerhetsskydd i riksdagen och dess myndigheter. Uppdraget är härmed slutfört.

Stockholm i april 2021

Stefan Strömberg

/Anne Olsson

2020/21:URF3

Innehållsförteckning


Till riksdagsstyrelsen ......................................................................................				3
1 Sammanfattning........................................................................................				10
2	Författningsförslag....................................................................................			19
	2.1	Förslag till lag om ändring i lagen (2011:745) med instruktion
	för Riksdagsförvaltningen ..........................................................................			19
	2.2	Förslag till lag om ändring i säkerhetsskyddslagen (2018:585)...........		20
	2.3	Förslag till lag om ändring i lagen (2018:218) med
	kompletterande bestämmelser till EU:s dataskyddsförordning ..................			21
	2.4	Förslag till lag om ändring i lagen (2019:109) om
	säkerhetsskydd i riksdagen och dess myndigheter .....................................			22
3	Inledning...................................................................................................			28
	3.1	Bakgrund .............................................................................................		28
	3.2	Utredningens uppdrag .........................................................................		29
	3.3	Arbetets bedrivande.............................................................................		29
	3.4	Betänkandets disposition .....................................................................		30
4	Säkerhetsskyddsregleringen enligt säkerhetsskyddslagen och
säkerhetsskyddsförordningen m.m. ..............................................................				32
	4.1	Bakgrund till den nuvarande lagstiftningen.........................................		32
	4.1.1		Reglering före 1996 .......................................................................	32
	4.1.2		Säkerhetsskyddslagen (1996:627) och
	säkerhetsskyddsförordningen (1996:633) ................................................			33
	4.1.3		Om den nuvarande lagstiftningen ..................................................	33
	4.2	Vem regleringen gäller för ..................................................................		35
	4.3	Vad som avses med säkerhetsskydd ....................................................		36
	4.4	Skyldigheter för den som bedriver säkerhetskänslig verksamhet ........		37
	4.5	De olika säkerhetsskyddsåtgärderna....................................................		38
	4.5.1		Informationssäkerhet......................................................................	38
	4.5.2		Fysisk säkerhet...............................................................................	39
	4.5.3		Personalsäkerhet.............................................................................	40
	4.6	Säkerhetsskyddsklassificering .............................................................		40
	4.7	Säkerhetsprövning ...............................................................................		40
	4.7.1		Vem som ska säkerhetsprövas och varför ......................................	40
	4.7.2		Ansvar för säkerhetsprövningen.....................................................	41
	4.7.3		Placering i säkerhetsklass...............................................................	42
	4.7.4		Registerkontroll och särskild personutredning...............................	43
	4.8	Säkerhetsskyddsavtal...........................................................................		44
	4.9	Överlåtelse av säkerhetskänslig verksamhet och viss egendom ..........		46
	4.10	Internationell säkerhetsskyddssamverkan och säkerhetsintyg ...........		46
	4.11	Tystnadsplikt .....................................................................................		47
	4.12	Tillsyn, föreskrifter och rådgivning...................................................		47
	4.13	Föreslagna ändringar enligt lagrådsremissen Ett starkare		48
	skydd för Sveriges säkerhet ........................................................................			48
	4.13.1 Bakgrund......................................................................................			48
	4.13.2		Föreslagna ändringar i fråga om säkerhetsskyddschefen .............	48
	4.13.3		Föreslagna ändringar i fråga om säkerhetsskyddsavtal ................	49
	4.13.4		Föreslagna ändringar i fråga om utkontraktering m.m. ................	51

INNEHÅLLSFÖRTECKNING2020/21:URF3

4.14 Föreslagna ändringar enligt promemorian
Säkerhetsskyddsreglering för Regeringskansliet,
utlandsmyndigheterna och kommittéväsendet (Ds 2020:11) ......................	53
4.14.1 Bakgrund......................................................................................	53

4.14.2Samtliga bestämmelser i säkerhetsskyddslagen bör gälla för Regeringskansliet, utlandsmyndigheterna och

kommittéväsendet ....................................................................................

4.14.3Även flertalet bestämmelser i säkerhetsskyddsförordningen bör gälla för Regeringskansliet, utlandsmyndigheterna och


kommittéväsendet ....................................................................................			55
4.14.4		Säkerhetsskyddet bör granskas.....................................................	56
5 Säkerhetsskyddsregleringen enligt lagen om säkerhetsskydd i
riksdagen och dess myndigheter ...................................................................			57
5.1	Bakgrund till den nuvarande lagstiftningen.........................................		57
5.1.1		Lagen (1983:953) om säkerhetsskydd i riksdagen .........................	57
5.1.2		Lagen (2006:128) om säkerhetsskydd i riksdagen och dess
myndigheter .............................................................................................			58
5.2	Om den nuvarande lagstiftningen........................................................		59
5.3	Vem lagen gäller för............................................................................		60
5.4	Definitioner .........................................................................................		60
5.5	Utformningen av säkerhetsskyddet......................................................		61
5.6	Säkerhetsskyddsåtgärder .....................................................................		62
5.7	Säkerhetsskyddsklassificering, säkerhetsprövning och
säkerhetsintyg.............................................................................................			62
5.8	Säkerhetsskyddsavtal...........................................................................		63
5.9	Övrigt ..................................................................................................		63

6Finns det behov av ändringar i befintliga bestämmelser eller av ytterligare bestämmelser i lagen om säkerhetsskydd i riksdagen och

dess myndigheter? ........................................................................................		65
6.1 Utgångspunkter ...................................................................................		65
6.1.1	Säkerhetsskyddets betydelse måste lyftas upp ...............................	65
6.1.2	Den lägstanivå som lagstiftaren har lagt fast genom
säkerhetsskyddslagen bör gälla för hela statsförvaltningen......................		65
6.2 Riksdagen och Riksdagsförvaltningen ................................................		66
6.2.1	Riksdagens och Riksdagsförvaltningens uppgifter.........................	66
6.2.2	Förhållandet riksdagen–Riksdagsförvaltningen när det gäller
säkerhetsskyddet ......................................................................................		67
6.2.3	Riksdagsförvaltningens organisation .............................................	67
6.2.4	Interna föreskrifter etc. om säkerhetsskydd....................................	69
6.2.5	Revision och granskningen av efterlevnaden av
säkerhetsskyddsbestämmelserna ..............................................................		71
6.3 Riksbanken ..........................................................................................		72
6.3.1	Riksbankens uppgifter....................................................................	72
6.3.2	Riksbankens organisation...............................................................	72
6.3.3	Interna föreskrifter etc. om säkerhetsskydd....................................	74
6.3.4	Revision och granskningen av efterlevnaden av
säkerhetsskyddsbestämmelserna ..............................................................		75
6.4 Riksdagens ombudsmän (JO) ..............................................................		76
6.4.1	JO:s uppgifter.................................................................................	76
6.4.2	JO:s organisation............................................................................	76

2020/21:URF3

INNEHÅLLSFÖRTECKNING
6.4.3	Interna föreskrifter etc. om säkerhetsskydd samt det
pågående arbetet med säkerhetsskyddsfrågor ..........................................		77
6.4.4	Revision och granskningen av efterlevnaden av
säkerhetsskyddsbestämmelserna ..............................................................		78
6.5 Riksrevisionen .....................................................................................		78
6.5.1	Riksrevisionens uppgifter...............................................................	78
6.5.2	Riksrevisionens organisation..........................................................	79
6.5.3	Interna föreskrifter etc. om säkerhetsskydd....................................	81
6.5.4	Revision och granskningen av efterlevnaden av
säkerhetsskyddsbestämmelserna ..............................................................		81
6.6 Nämndmyndigheterna under riksdagen ...............................................		82
6.6.1	Lagen om säkerhetsskydd i riksdagen och dess myndigheter
gäller även i verksamhet hos nämnderna .................................................		82
6.6.2	Nämndernas uppgifter och organisation.........................................	82
6.7 Överväganden rörande frågan om säkerställande av
säkerhetsskydd på annat sätt än genom tillsyn ...........................................		85
6.7.1	Uppdraget i denna del ....................................................................	86
6.7.2	Tillsyn ger ett skydd genom att eventuella brister synliggörs ........	86

6.7.3För att ge ett liknande skydd som det som tillsyn ger bör den interna och den externa granskningen utvecklas och vara inriktad

på efterlevnad och ändamålsenlighet .......................................................	87
6.7.4 En intern och en extern granskning bör tålas, men
självständigheten bör vara styrande för hur den ska utformas .................	89

6.7.5De som utför den interna respektive den externa granskningen bör inte ha rätt att meddela några beslut om åtgärder och det bör finnas rätt att neka granskning eller tillgång till

uppgifter...................................................................................................

6.7.6Ansvaret för den interna granskningen bör ligga på säkerhetsskyddschefen som till sin hjälp bör ha en särskild

granskningsfunktion.................................................................................

6.7.7Svårigheter med kompetensen på säkerhetsskyddsområdet gör att det inte finns någon myndighet under riksdagen som kan

utföra den externa granskningen ..............................................................	94
6.7.8 Den externa granskningen bör utföras av Säkerhetspolisen i
nära dialog med den som granskas...........................................................	95

6.7.9Det bör finnas ett krav att till respektive myndighetsledning, och för den externa granskningen även till konstitutionsutskottet eller finansutskottet, årligen redovisa bl.a. hur förslag till åtgärder

har tagits om hand....................................................................................		97
6.7.10	Sekretess borde i de flesta fall inte lägga hinder i vägen för
granskningen............................................................................................		99
6.7.11	Den interna granskningen bör regleras i interna föreskrifter
medan den externa granskningen bör regleras i lag ...............................		100

6.8Överväganden rörande frågan om det ska införas en anmälnings- och rapporteringsskyldighet vid säkerhetshotande

händelser ..................................................................................................	101
6.8.1 Uppdraget i denna del ..................................................................	101

6.8.2Säkerhetsskyddslagens anmälnings- och rapporteringsskyldighet innebär en skyldighet att meddela vissa

hot och incidenter till en extern aktör.....................................................

102

	INNEHÅLLSFÖRTECKNING		2020/21:URF3
6.8.3	Anmälnings- och rapporteringsskyldigheten är till både för
Säkerhetspolisen och för verksamhetsutövarna......................................		103
6.8.4	Det finns ett behov även för riksdagen och dess myndigheter
att skyndsamt anmäla vissa hot och incidenter till en extern aktör ........		104
6.8.5	Närmare om innebörden av en anmälningsskyldighet, hur
den bör regleras och att anmälan bör göras till Säkerhetspolisen...........		105
6.8.6	Anmälningsskyldigheten bör medföra undantag från
artiklarna 33 och 34 i dataskyddsförordningen ......................................		107
6.9 Överväganden rörande frågan om utkontraktering m.m....................		110
6.9.1	Uppdraget i denna del ..................................................................	111
6.9.2	Angreppssätt och betydelsen av vissa termer...............................	111

6.9.3Det finns för riksdagens myndigheter ett behov av utvidgade och förtydligade bestämmelser om säkerhetsskyddsavtal samt

bestämmelser om utkontraktering och liknande förfaranden .................		112
6.9.4	Närmare om utvidgade och förtydligade regler rörande
säkerhetsskyddsavtal..............................................................................		114
6.9.5	Närmare om utkontraktering och liknande förfaranden ...............	119
6.10 Överväganden rörande frågan om säkerhetsskyddschef..................		122
6.10.1	Uppdraget i denna del ................................................................	122
6.10.2	Det finns ett behov av en funktion med ett övergripande
ansvar för säkerhetsskyddsarbetet..........................................................		123

6.10.3Funktionen bör vara direkt underställd riksdagsdirektören, Riksbankens direktion, chefsjustitieombudsmannen respektive

riksrevisorn, benämnas säkerhetsskyddschef och regleras i lag.............		124
6.10.4 Konstitutionella aspekter har betydelse vad gäller
säkerhetsskyddschefens befogenheter i dennes granskande roll ............		126
6.10.5 Även ansvarsfördelning och organisation är av betydelse .........		126
7 Några frågor om partigruppernas kanslier ..............................................		128
7.1	Partikansliernas sammansättning och uppgifter.................................	128
7.2	Reglering av stödet till partikanslierna ..............................................	129
7.3	Reglering av säkerhet och säkerhetsskydd ........................................	129
7.4	Överväganden rörande frågan om säkerhetsprövning av

anställda vid partigruppernas kanslier ......................................................		132
7.4.1	Uppdraget i denna del ..................................................................	132
7.4.2	En utredning från 2014 utgör grunden .........................................	132
7.4.3	Innehållet i överenskommelsen....................................................	133
7.4.4 Ordningen med överenskommelserna verkar fungera bra............		136
7.4.5	Säkerhetsskyddsanalysen bör utgöra grund för vem som ska
säkerhetsprövas ......................................................................................		136

7.4.6Säkerhetsprövning enligt säkerhetsskyddslagen och riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och

partikanslierna........................................................................................

138

7.4.7Det krävs en tydligare reglering om den nuvarande ordningen med en uppdelning av ansvaret för säkerhetsprövningen

ska kunna bestå ......................................................................................	140
7.4.8 Riksdagsförvaltningen bör självständigt göra den slutliga
bedömningen i säkerhetsprövningen av registerkontrollerade
partikanslianställda ................................................................................	141
7.4.9 Säkerhetsskyddsavtal kan inte användas utan det behövs en
lagändring ..............................................................................................	142

2020/21:URF3

INNEHÅLLSFÖRTECKNING

7.5Överväganden rörande frågan om tillämpligheten av 5 kap. 2 § första stycket säkerhetsskyddslagen på anställda vid partigruppernas

kanslier .....................................................................................................		143
7.5,1	Uppdraget i denna del ..................................................................	143
7.5.2	Allmänt ........................................................................................	144
7.5.3	Tystnadsplikt enligt offentlighets- och sekretesslagen.................	144
7.5.4	Särskilda bestämmelser om sekretess vid sammanträde med
riksdagens kammare, beslut och protokoll .............................................		145
7.5.5	Särskilda regler för riksdagens ledamöter ....................................	147
7.5.6	Brott mot tystnadsplikten .............................................................	148
7.5.7	Konstitutionsutskottets uttalanden om tystnadsplikt för
anställda i partikanslierna.......................................................................		148
7.5.8	2019 års riksdagsöversyn .............................................................	149

7.5.9Lydelsen av 5 kap. 2 § säkerhetsskyddslagen och dess förarbeten gör att det råder osäkerhet om vilka som omfattas av

bestämmelsen.........................................................................................

150

7.5.10Legalitetsprincipen gör att 5 kap. 2 § första stycket säkerhetsskyddslagen inte är tillämplig på partikanslianställda i nu

aktuell situation......................................................................................		152
7.5.11 Det är inte möjligt att helt avskärma partikanslianställda
från säkerhetsskyddsklassificerade uppgifter.........................................		153
7.5.12 Föreskrifter eller förbehåll kan inte användas för att ge
säkerhetsskyddsklassificerade uppgifter ett heltäckande skydd .............		154
7.5.13 Det behövs en reglering i lag för att säkerställa skyddet för
säkerhetsskyddsklassificerade uppgifter ................................................		155
7.5.14 Särskilt om krigsdelegationens förberedande verksamhet .........		156
8 Tidigare riksdagsledamöters rätt till tillträde till riksdagens lokaler.......		158
8.1	Allmänt om tillträdesrätt....................................................................	158
8.2	Bakgrund till den nuvarande regleringen...........................................	158
8.3	Om den nuvarande regleringen..........................................................	160
8.3.1 Grundläggande bestämmelser finns i lagen om
säkerhetsskydd i riksdagen och dess myndigheter .................................		160

8.3.2Detaljregleringen finns i riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen,


Riksdagsförvaltningen och partikanslierna ............................................			160
8.4	Tillträdesrätten för tidigare riksdagsledamöter i praktiken................		163
8.5	Internationell utblick .........................................................................		163
8.5.1		Allmänt ........................................................................................	163
8.5.2		Estland .........................................................................................	164
8.5.3		Finland .........................................................................................	164
8.5.4		Frankrike (senaten) ......................................................................	164
8.5.5		Island............................................................................................	164
8.5.6		Israel.............................................................................................	165
8.5.7		Lettland ........................................................................................	165
8.5.8		Litauen .........................................................................................	165
8.5.9		Nederländerna (andra kammaren)................................................	165
8.5.10 Norge .........................................................................................			165
8.5.11		Storbritannien.............................................................................	166
8.5.12		Tyskland.....................................................................................	166
8.5.13		Österrike (gemensamt för nationalrådet och förbundsrådet) ......	166

		INNEHÅLLSFÖRTECKNING		2020/21:URF3
8.6	Överväganden rörande frågan om tidigare riksdagsledamöters
rätt till tillträde till riksdagens lokaler ......................................................			167
8.6.1		Uppdraget i denna del ..................................................................	167
8.6.2		Vi ser på frågan ur perspektivet fysisk säkerhet...........................	168
8.6.3		Det finns inte någon grundläggande rätt att få tillträde till
riksdagens lokaler ..................................................................................			168
8.6.4		Behovet måste vara styrande........................................................	169
8.6.5		Tidigare riksdagsledamöter har inte behov av någon särskild
tillträdesrätt utöver den som gäller för besökare ....................................			170
8.6.6		Avslutande reflektioner................................................................	171
9 Ikraftträdande- och övergångsbestämmelser...........................................			173
9.1 Överväganden....................................................................................			173
9.1.1		Ikraftträdande...............................................................................	173
9.1.2		Övergångsbestämmelser ..............................................................	173
10 Konsekvenser av utredningens förslag..................................................			175
10.1 Överväganden..................................................................................			175
10.1.1		Uppdraget i denna del ................................................................	175
10.1.2		Ekonomiska och organisatoriska konsekvenser för
Riksdagsförvaltningen, Riksbanken, JO och Riksrevisionen.................			175
10.1.3		Ekonomiska och organisatoriska konsekvenser för
nämndmyndigheterna.............................................................................			177
11 Författningskommentar.........................................................................			178
11.1	Förslag till lag om ändring i lagen (2011:745) med instruktion
för Riksdagsförvaltningen ........................................................................			178
11.2	Förslag till lag om ändring i säkerhetsskyddslagen (2018:585).......		178
11.3	Förslag till lag om ändring i lagen (2018:218) med
kompletterande bestämmelser till EU:s dataskyddsförordning ................			179
11.4	Förslag till lag om ändring i lagen (2019:109) om
säkerhetsskydd i riksdagen och dess myndigheter ...................................			180
Bilagor
Direktiv.......................................................................................................			188
Överenskommelse om säkerhetsprövning och säkerhetsskydd...................			204

2020/21:URF3

1 Sammanfattning

Uppdraget

Riksdagsstyrelsen beslutade den 10 juni 2020 om direktiv till en särskild utredare att göra en fortsatt översyn av regelverket om säkerhetsskydd i riksdagen och dess myndigheter. Utredningen ska komplettera de förslag som lämnades i framställningen Ny lag om säkerhetsskydd i riksdagen och dess myndigheter (framst. 2018/19:RS6). De frågor utredningen har att besvara kan delas in i tre delar med underavsnitt.

Den första delen rör frågan om det finns behov av ändringar i befintliga bestämmelser eller av ytterligare bestämmelser i lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter. Frågan består i sin tur av fyra delar, nämligen

•att utreda om det är möjligt att genom andra åtgärder än den tillsyn som regleras i säkerhetsskyddslagen (2018:585) åstadkomma ett motsvarande skydd för säkerhetsskyddsklassificerade uppgifter och säkerhetskänslig verksamhet i riksdagen och dess myndigheter

•att analysera behovet och konsekvenserna av en anmälnings- och rapporteringsskyldighet för riksdagen och dess myndigheter vid säkerhetshotande händelser samt överväga om en sådan ska införas

•att analysera behovet av ytterligare reglering för att förebygga att säkerhetsskyddsklassificerade uppgifter och säkerhetskänslig verksamhet inom riksdagen och dess myndigheter utsätts för risker i samband med utkontraktering samt

•att analysera behovet av en säkerhetsskyddschef hos riksdagen och dess myndigheter (dock inte nämndmyndigheterna under riksdagen) samt vid behov föreslå vilka uppgifter och befogenheter sådana säkerhetsskyddschefer ska ha och hur sådana uppgifter och befogenheter ska regleras.

Den andra delen utgörs av några frågor om partigruppernas kanslier, närmare bestämt att överväga om säkerhetsprövning och placering i säkerhetsklass av anställda vid partigruppernas kanslier bör regleras i lag eller om det även fortsättningsvis är lämpligare med en överenskommelse samt att analysera om och i vilken utsträckning anställda vid partigruppernas kanslier omfattas av 5 kap. 2 § första stycket säkerhetsskyddslagen. Utredaren ska också föreslå de ändringar som bedöms nödvändiga i lagen om säkerhetsskydd i riksdagen och dess myndigheter eller i riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna för att säkerställa skyddet för säkerhetsskyddsklassificerade uppgifter och säkerhetskänslig verksamhet.

Den tredje delen rör tidigare riksdagsledamöters rätt till tillträde till riksdagens lokaler. Utredaren ska analysera tillämpningen av gällande reglering om tillträde för tidigare riksdagsledamöter och utreda vad som gäller för tidigare

1 SAMMANFATTNING

2020/21:URF3

ledamöters tillträde till parlamenten i jämförbara länder. Utredaren ska se över vilka skäl – utöver ledamotsuppdragets speciella karaktär – som kan finnas för tillträdesrätt till riksdagens lokaler för tidigare ledamöter och ta ställning till hur en sådan tillträdesrätt bör utformas. Utredaren ska lämna nödvändiga författningsförslag.

Förslag som rör behovet av ändringar i befintliga bestämmelser eller av ytterligare bestämmelser i lagen om säkerhetsskydd i riksdagen och dess myndigheter

Utgångspunkter

Säkerhetshoten mot Sverige har ökat och Säkerhetspolisen bedömer att de kommer att fortsätta öka de närmaste åren. Det är därför viktigt att i alla organisationer lyfta upp säkerhetsskyddets betydelse. Det gäller inte minst för riksdagen och dess myndigheter.

Genom den säkerhetsskyddslag med tillhörande förordning som trädde i kraft den 1 april 2019 får lagstiftaren anses ha lagt fast en lägstanivå för säkerhetsskyddet. Säkerhetsskyddslagen gäller dock bara till vissa delar för riksdagen och dess myndigheter. För dessa gäller i övrigt lagen om säkerhetsskydd i riksdagen och dess myndigheter.

Enligt vår mening måste utgångspunkten vara att det är den nivå som framgår av säkerhetsskyddslagen som ska gälla för hela statsförvaltningen och därmed även för riksdagen och dess myndigheter. Det innebär inte att bestämmelserna måste se exakt likadana ut för alla verksamheter. Exempelvis kan konstitutionella skäl göra att en annan konstruktion i vissa fall behöver väljas för riksdagen och dess myndigheter.

Säkerhetsskyddet bör säkerställas genom en utveckling av den interna och den externa granskningen

Tillsyn enligt säkerhetsskyddslagen kan sägas ge ett skydd genom att den synliggör eventuella brister på säkerhetsskyddsområdet. Redan i dag förekommer det hos några av de institutioner vi har att titta på en viss aktivitet som syftar till att upptäcka sådana brister. För att skapa ett skydd liknande det som tillsyn ger bör dock, enligt vår mening, den interna och den externa granskningen av hur säkerhetsskyddsbestämmelserna hos riksdagen och dess myndigheter följs utvecklas, och bestämmelser om den externa granskningen bör föras in i lagen om säkerhetsskydd i riksdagen och dess myndigheter. Granskningen bör innefatta att granska efterlevnaden av lagen om säkerhetsskydd i riksdagen och dess myndigheter och de interna föreskrifter som har meddelats i anslutning till lagen samt säkerhetsskyddslagen i tillämpliga delar. Eftersom riksdagen och dess myndigheter är självreglerande utöver de lagar som nämns ovan bör det även ingå en granskning av de interna föreskrifternas ändamålsenlighet.

2020/21:URF3

1SAMMANFATTNING

Vid utformningen av en intern respektive extern granskning är de konstitutionella aspekterna av betydelse. För riksdagen, talmannen, en enskild riksdagsledamot, en justitieombudsman (även en ställföreträdande ombudsman), riksrevisorn (även en tillförordnad riksrevisor) och riksrevisionsdirektören är självständigheten viktig. När det gäller Riksbanken kan dess självständighet närmast sägas handla om penningpolitiken.

Enligt vår mening kan dock självständigheten inte tas till intäkt för att de aktuella institutionerna eller aktörerna aldrig kan granskas. Vi kan inte heller se att självständigheten i alla lägen utesluter en granskning initierad och utförd av en myndighet under regeringen. Styrande för hur granskningen kan och bör se ut måste i stället vara att den utformas på ett sådant sätt att det inte finns någon risk för att självständigheten för riksdagen, talmannen, en enskild riksdagsledamot, en justitieombudsman (även en ställföreträdande ombudsman), riksrevisorn (även en tillförordnad riksrevisor), riksrevisionsdirektören eller Riksbankens ansvar för penningpolitiken kan komma att påverkas eller ifrågasättas.

Därför anser vi att ansvaret för den interna granskningen bör ligga på säkerhetsskyddschefen (se mer om den funktionen nedan) som till sin hjälp bör ha en särskild granskningsfunktion. När det gäller nämndmyndigheterna bedriver de, enligt deras egen utsago, ingen säkerhetskänslig verksamhet. De har heller inte någon säkerhetsskyddschef. Om någon nämnd i framtiden skulle komma att bedriva säkerhetskänslig verksamhet bör den dock kunna låta den interna granskningen utföras av någon annan myndighet under riksdagen.

När det så gäller den externa granskningen anser vi att den bör utföras av Säkerhetspolisen, i nära dialog med den som granskas.

För att slå vakt om självständigheten för riksdagen och de nämnda aktörerna samt Riksbankens ansvar för penningpolitiken bör, vid såväl den interna som den externa granskningen, säkerhetsskyddschefen respektive Säkerhetspolisen inte kunna besluta om några åtgärder med anledning av granskningen. I stället bör de enbart kunna komma med förslag till åtgärder. Som en yttersta garant för självständigheten bör det också finnas en form av säkerhetsventil. Den bör innebära att om det finns särskilda skäl så ska, för riksdagens, talmannens eller en enskild riksdagsledamots del, riksdagsstyrelsen ha rätt att helt eller delvis neka säkerhetsskyddschefen respektive Säkerhetspolisen att utföra en granskning samt att neka dessa tillgång till uppgifter. Samma rätt bör gälla för en justitieombudsman (även en ställföreträdande ombudsman), riksrevisorn (även en tillförordnad riksrevisor), riksrevisionsdirektören samt myndigheterna Riksdagsförvaltningen, Riksbanken, Riksdagens ombudsmän (JO) och Riksrevisionen. Med särskilda skäl avser vi t.ex. att granskningen riskerar att självständigheten för riksdagen, de nämnda aktörerna eller Riksbankens ansvar för penningpolitiken kan komma att påverkas eller ifrågasättas eller att det ur sekretessynpunkt inte bedöms lämpligt eller möjligt att låta säkerhetsskyddschefen eller Säkerhetspolisen ta del av vissa uppgifter.

För att ytterligare inskärpa vikten av granskningen och för att ge en vägledning i vilka fall det kan finnas skäl att göra avsteg från de föreslagna åtgärderna

1 SAMMANFATTNING

2020/21:URF3

anser vi att det också bör finnas ett krav för riksdagens myndigheter att till respektive myndighetsledning årligen i en skrivelse redovisa vilka granskningsinsatser som säkerhetsskyddschefen respektive Säkerhetspolisen har gjort och hur de åtgärder som dessa har föreslagit har tagits om hand. När det gäller den externa granskningen bör skrivelsen för Riksdagsförvaltningens, JO:s, Riksrevisionens och nämndmyndigheternas del skickas även till konstitutionsutskottet och för Riksbankens del även till finansutskottet. Det är sedan upp till respektive utskott att eventuellt agera utifrån vad som framkommer i skrivelsen.

Det bör finnas en anmälningsskyldighet till Säkerhetspolisen vid säkerhetshotande händelser och verksamhet

Enligt 2 kap. 1 § tredje stycket säkerhetsskyddslagen är en verksamhetsutövare skyldig att anmäla och rapportera sådant som är av vikt för säkerhetsskyddet. Av 2 kap. 10 § säkerhetsskyddsförordningen följer en anmälningsskyldighet vid vissa säkerhetshotande händelser och verksamhet. I vissa andra bestämmelser används i stället begreppet rapportera.

Enligt vår mening utgör skyldigheten att anmäla respektive rapportera, oaktat vilket begrepp som används, en viktig beståndsdel i säkerhetsskyddet. Skyldigheten bidrar till att ge framför allt Säkerhetspolisen en överblick över och bredare kunskap om vilka skyddsvärden, hot och sårbarheter som finns. Det i sin tur gör att Säkerhetspolisen bättre kan stötta verksamhetsutövare med råd och stöd.

De nämnda bestämmelserna gäller dock inte för riksdagen och dess myndigheter. Vi anser att det därmed saknas en viktig pusselbit i säkerhetsskyddet, både för Sverige som land och för riksdagen och dess myndigheter. Mot den bakgrunden bör det i lagen om säkerhetsskydd i riksdagen och dess myndigheter införas en skyldighet att skyndsamt anmäla säkerhetshotande händelser och verksamhet i den egna verksamheten till Säkerhetspolisen. Bestämmelser om vad som ska anmälas – vi tänker oss sådana händelser som anges i 2 kap. 10 § säkerhetsskyddsförordningen som t.ex. att en säkerhetsskyddsklassificerad uppgift kan ha röjts – bör placeras i respektive institutions interna föreskrifter.

Denna anmälningsskyldighet bör enligt vår mening medföra undantag från artiklarna 33 och 34 i EU:s dataskyddsförordning. I artiklarna finns bestämmelser om rapportering till tillsynsmyndigheten (för Sveriges del Integritetsskyddsmyndigheten) av en personuppgiftsincident samt om information till den registrerade om en sådan incident. Av säkerhetsskyddskäl finns det dock i 1 kap. 4 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, förkortad dataskyddslagen, ett undantag som innebär att artiklarna inte ska tillämpas i fråga om incidenter som ska rapporteras enligt säkerhetsskyddslagen eller föreskrifter som har meddelats i anslutning till den lagen. Vi anser att säkerhetsskyddskäl kan göras gällande även för personuppgiftsincidenter som ska anmälas enligt de bestämmelser om anmälnings-

2020/21:URF3

1SAMMANFATTNING

skyldighet i lagen om säkerhetsskydd i riksdagen och dess myndigheter eller föreskrifter som har meddelats i anslutning till den lagen som vi föreslår. Den nämnda bestämmelsen i dataskyddslagen bör därför kompletteras med ett sådant undantag.

Kravet på säkerhetsskyddsavtal bör utvidgas och förtydligas och det behövs ytterligare åtgärder för att skydda säkerhetskänslig verksamhet som exponeras för utomstående

Regeringen föreslår i lagrådsremissen Ett starkare skydd för Sveriges säkerhet bl.a. utvidgade och förtydligade bestämmelser om säkerhetsskyddsavtal samt bestämmelser om utkontraktering och liknande förfaranden. Med tanke på den roll riksdagens myndigheter har anser vi att det finns ett behov av att i lagen om säkerhetsskydd i riksdagen och dess myndigheter föra in liknande bestämmelser även för riksdagens myndigheter. Sådana bestämmelser hjälper bl.a. till att hantera riskerna vid dylika förfaranden och stärker skyddet för säkerhetsskyddsklassificerade uppgifter och annan säkerhetskänslig verksamhet.

Vi föreslår därför att skyldigheten för riksdagens myndigheter att ingå säkerhetsskyddsavtal bör utvidgas så att den även gäller vid andra förfaranden än upphandlingar och andra anskaffningar. En myndighet under riksdagen som avser att genomföra en upphandling, ingå ett avtal eller inleda en samverkan eller ett samarbete med en annan aktör, bör vara skyldig att ingå ett säkerhetsskyddsavtal med aktören, om aktören genom förfarandet kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Myndigheten bör även vara skyldig att ingå ett säkerhetsskyddsavtal med en underleverantör som anlitas för att fullgöra den andra aktörens förpliktelse, om underleverantören genom sitt uppdrag kan få en sådan tillgång till den säkerhetskänsliga verksamheten som nyss har beskrivits. Säkerhetsskyddsavtalet bör ingås innan motparten kan få tillgång till den säkerhetskänsliga verksamheten. Vidare bör det införas bestämmelser om vad ett säkerhetsskyddsavtal ska innehålla, att myndigheten ska revidera säkerhetsskyddsavtalet om det krävs på grund av ändrade förhållanden och att myndigheten, om motparten inte följer säkerhetsskyddsavtalet, ska vidta de åtgärder som behövs för att tillgodose kraven på säkerhetsskydd.

Från kravet på säkerhetsskyddsavtal bör det dock finnas vissa undantag. Mellan riksdagens myndigheter och mellan sådana myndigheter och andra statliga myndigheter bör kravet på säkerhetsskyddsavtal gälla endast vid anskaffning av en vara, tjänst eller byggentreprenad. Kravet på säkerhetsskyddsavtal bör inte heller gälla när Riksdagsförvaltningen inom ramen för sina huvuduppgifter tillhandahåller resurser och service för riksdagsorganens (däribland utskotten och myndigheterna under riksdagen) verksamhet. Eftersom det kan finnas även andra situationer där det inte framstår som rimligt eller nödvändigt med ett krav på säkerhetsskyddsavtal anser vi att en myndighet, i

1 SAMMANFATTNING

2020/21:URF3

ett enskilt fall, bör kunna besluta om undantag från skyldigheten att ingå ett sådant avtal.

Vår uppfattning är att de upphandlingar som riksdagens myndigheter gör redan i dag föregås av en noggrann planering, bl.a. i form av en bedömning av om det planerade förfarandet är lämpligt ur säkerhetsskyddssynpunkt. Det bör dock i lagen om säkerhetsskydd i riksdagen och dess myndigheter införas ett uttryckligt krav på att myndigheten, innan den inleder ett förfarande som kräver säkerhetsskyddsavtal, genom en särskild säkerhetsskyddsbedömning ska identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den andra aktören kan få tillgång till och som kräver säkerhetsskydd. Det bör också finnas ett krav att myndigheten, med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter, ska göra en lämplighetsprövning av det planerade förfarandet och att den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen ska dokumenteras. Om lämplighetsprövningen leder till bedömningen att förfarandet är olämpligt från säkerhetsskyddssynpunkt bör förfarandet inte få inledas. Leder lämplighetsprövningen i stället till bedömningen att det planerade förfarandet inte är olämpligt från säkerhetsskyddssynpunkt bör myndigheten i vissa angivna fall vara skyldig att samråda med Säkerhetspolisen innan den inleder förfarandet.

Det finns behov av en säkerhetsskyddschef med ett övergripande ansvar för säkerhetsskyddsarbetet

De säkerhetsskyddsfrågor riksdagens myndigheter har att hantera blir alltmer komplexa. Bland annat mot bakgrund av det anser vi att det hos Riksdagsförvaltningen (då även i egenskap av ansvarig för riksdagens säkerhet), Riksbanken, JO och Riksrevisionen bör finnas en funktion i form av en säkerhetsskyddschef som har ett övergripande ansvar för säkerhetsskyddet. Vi har inte haft i uppdrag att utreda ett behov av en säkerhetsskyddschef hos nämndmyndigheterna. Det yttersta ansvaret för säkerhetsskyddet ska dock även fortsättningsvis den som är chef för verksamhetsutövaren ha.

Säkerhetsskyddschefens ansvar bör regleras i lagen om säkerhetsskydd i riksdagen och dess myndigheter. Denna chef bör ha ett ansvar för att leda myndighetens säkerhetsskyddsarbete och inom ramen för det dra upp huvudlinjerna för det arbetet. Vidare bör det ingå ett ansvar för att samordna myndighetens säkerhetsskyddsarbete och ett ansvar att granska att tillämpliga säkerhetsskyddsbestämmelser följs. I granskningsansvaret bör det också ligga att

2020/21:URF3

1SAMMANFATTNING

granska hur ändamålsenliga de interna föreskrifterna är. Vad säkerhetsskyddschefen i övrigt bör ha för uppgifter anser vi bör vara upp till respektive myndighet att avgöra och reglera i sina interna föreskrifter.

För att inte förta tanken bakom att ha en funktion som har ett övergripande ansvar för säkerhetsskyddsfrågorna är det vår uppfattning att säkerhetsskyddschefens ansvar inte bör kunna delegeras. Bland annat för att säkerhetsskyddsfrågorna ska få hög prioritet anser vi också att säkerhetsskyddschefen bör vara direkt underställd riksdagsdirektören, Riksbankens direktion, chefsjustitieombudsmannen respektive riksrevisorn. Också det bör regleras i lagen om säkerhetsskydd i riksdagen och dess myndigheter.

Även vad gäller säkerhetsskyddschefen måste konstitutionella aspekter beaktas. När det gäller ansvaret för att leda och samordna säkerhetsskyddsarbetet kan vi inte se att det finns någon konstitutionell problematik – ansvaret för säkerhetsskyddschefen i dessa delar innebär inte att denna chef kan tala om hur enskilda, som t.ex. en riksdagsledamot, ska göra eller inte göra. När det gäller den del av ansvaret som handlar om att granska att verksamheten bedrivs i enlighet med tillämpliga säkerhetsskyddsbestämmelser spelar dock konstitutionella aspekter roll. Detsamma gäller i viss mån även den del som rör granskningen av hur ändamålsenliga de interna föreskrifterna är. För att garantera självständigheten bör säkerhetsskyddschefen i sin granskande roll bl.a. inte ha någon befogenhet att besluta om åtgärder, vilket vi har redogjort för i avsnittet som rör granskning.

Förslag som rör några frågor om partigruppernas kanslier

Den nuvarande ordningen i fråga om säkerhetsprövning av partikanslianställda bör behållas men regleras i lag

Anställda vid partigruppernas kanslier som ska arbeta i riksdagens och/eller Riksdagsförvaltningens säkerhetskänsliga verksamhet genomgår säkerhetsprövning och placeras i säkerhetsklass. Säkerhetsprövningen utförs med stöd av överenskommelser som har träffats mellan Riksdagsförvaltningens säkerhetschef och respektive partigrupps kansli, likalydande för samtliga partikanslier. I överenskommelserna delas ansvaret för säkerhetsprövningen upp så att partikansliet ska genomföra den del av säkerhetsprövningen som i den gällande säkerhetsskyddslagen kallas för grundutredning. Partikansliet ansvarar också för att besluta om en säkerhetsprövad (men inte registerkontrollerad) person ska godkännas. Riksdagsförvaltningen å sin sida ansvarar för att besluta om placering i säkerhetsklass och i ett sådant fall begära registerkontroll hos Säkerhetspolisen. Riksdagsförvaltningen ska också självständigt avgöra om en registerkontrollerad person ska få anlitas.

De partikanslier vi har varit i kontakt med verkar vara nöjda med ordningen och de tycker att samarbetet med Riksdagsförvaltningen fungerar bra. Vår uppfattning är att den nuvarande ansvarsuppdelningen bör bestå. Sedan över-

1 SAMMANFATTNING

2020/21:URF3

enskommelsen utarbetades har dock en ny säkerhetsskyddslag trätt i kraft. För att även fortsättningsvis möjliggöra den nuvarande uppdelningen bör det därför göras ett tillägg i 3 kap. säkerhetsskyddslagen så att det framgår att den slutliga bedömningen enligt 3 kap. 4 § säkerhetsskyddslagen görs av Riksdagsförvaltningen när det gäller partikanslianställda som har placerats i säkerhetsklass för deltagande i riksdagens eller Riksdagsförvaltningens verksamhet.

Bestämmelsen i 5 kap. 2 § första stycket säkerhetsskyddslagen är inte tillämplig på partikanslianställda varför det behövs en ny bestämmelse om tystnadsplikt

En av huvuduppgifterna för de partikanslianställda är att de ska biträda riksdagsledamöterna i deras arbete. Vi ser det därför som ofrånkomligt att säkerhetsskyddsklassificerade uppgifter i enstaka fall kan komma partikanslianställda till del. Det ska dock betonas att så bara får ske i de fall där det finns ett behov, något som kan sägas förekomma i ett ytterst litet antal fall. Att det måste finnas ett behov återspeglas också i 3 kap. 1 § riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna.

Om partikanslianställda faktiskt har fått del av en säkerhetsskyddsklassificerad uppgift är det viktigt att uppgiften har ett skydd hos dessa. Partikanslianställda omfattas inte av tystnadsplikten enligt offentlighets- och sekretesslagen (2009:400). Även i 5 kap. 2 § säkerhetsskyddslagen finns en bestämmelse om tystnadsplikt. Enligt dess första stycke får den som på grund av anställning eller på annat sätt deltar eller har deltagit i säkerhetskänslig verksamhet inte obehörigen röja eller utnyttja säkerhetsskyddsklassificerade uppgifter. Vi anser dock att lydelsen av bestämmelsen och dess förarbeten medför att det råder osäkerhet om partikanslianställda omfattas av den när de deltar i riksdagens och/eller Riksdagsförvaltningens säkerhetskänsliga verksamhet. I det sammanhanget måste det också beaktas att brott mot tystnadsplikten är straffsanktionerat. Med hänsyn till legalitetsprincipens obestämdhetsförbud och analogiförbud anser vi därför att 5 kap. 2 § första stycket säkerhetsskyddslagen inte är tillämplig i de fall där partikanslianställda i sitt deltagande i riksdagens eller Riksdagsförvaltningens säkerhetskänsliga verksamhet får del av säkerhetsskyddsklassificerade uppgifter.

Därmed bör det, för att skydda säkerhetsskyddsklassificerade uppgifter som kommit partikanslianställda till del, införas en ny bestämmelse i lagen om säkerhetsskydd i riksdagen och dess myndigheter. Innebörden av den bör vara att en partikanslianställd inte obehörigen får röja eller utnyttja säkerhetsskyddsklassificerade uppgifter som han eller hon har fått del av vid deltagande i riksdagens eller Riksdagsförvaltningens säkerhetskänsliga verksamhet. Återigen vill vi betona att tanken med en reglering av tystnadsplikten för partikanslianställda inte är att utöka möjligheterna för dessa att få ta del av säkerhetsskyddsklassificerade uppgifter. Även fortsättningsvis måste utgångspunkten vara att de inte ska ta del av sådana uppgifter.

2020/21:URF3

1SAMMANFATTNING

Förslag som rör tidigare riksdagsledamöters rätt till tillträde till riksdagens lokaler

Behovet av tillträde till riksdagens lokaler för tidigare riksdagsledamöter kan tillgodoses genom de bestämmelser som finns för besökare i övrigt

Tidigare riksdagsledamöter har sedan gammalt en vidsträckt möjlighet till tillträde till riksdagens lokaler. Jämfört med den grupp som närmast ligger till hands att titta på, dvs. besökare som liksom tidigare riksdagsledamöter inte har någon anställning eller något uppdrag kopplat till riksdagens lokaler, kan en tidigare riksdagsledamot själv skaffa sig tillträde genom att begagna sig av ett passerkort som kan användas vid de bemannade entréerna till riksdagens lokaler under deras öppettider. En tidigare riksdagsledamot behöver inte ledsagas av en besöksmottagare eller liknande utan får röra sig fritt i de utrymmen inom riksdagens lokaler som Riksdagsförvaltningen har gett tillträde till.

I 7 § lagen om säkerhetsskydd i riksdagen och dess myndigheter finns bestämmelser om fysisk säkerhet. Sådan säkerhet handlar om att skydda mot att obehöriga får tillträde till platser där säkerhetskänslig verksamhet bedrivs och mot skadlig inverkan på säkerhetskänslig verksamhet. Centralt för tillträdesfrågan är alltså vem som kan sägas vara behörig respektive obehörig. Mot den bakgrunden bör, enligt vår mening, det avgörande för vilka möjligheter som bör finnas till tillträde till riksdagens lokaler vara vilket behov en person har av ett sådant tillträde. Givetvis måste bl.a. den grundlagsstadgade rätten att närvara vid kammarens offentliga sammanträden beaktas.

Såvitt vi kan se har det inte någon gång förts ett resonemang om just behovet av tillträde för tidigare riksdagsledamöter. I direktiven talas det i och för sig om ”riksdagsledamotsuppdragets speciella karaktär”. Vad som ligger i det argumentet är dock för oss oklart när det gäller tidigare riksdagsledamöter – en tidigare riksdagsledamot är ju inte längre riksdagsledamot. Varken de samtal som vi har haft med partikanslierna eller vad som har framkommit om ordningen i andra länder ger enligt vår mening stöd för att det behövs en sådan villkorslös tillträdesrätt som det gör nu. Vi har inte heller kunnat finna några andra skäl för den.

Vår bedömning är därför att behovet av tillträde till riksdagens lokaler för en tidigare riksdagsledamot inte ser annorlunda ut än att det kan tillgodoses genom de bestämmelser som finns för besökare i övrigt. Att under de förhållandena ha en villkorslös, mer generell tillträdesrätt för tidigare riksdagsledamöter än för besökare skulle till och med kunna sägas strida mot bestämmelsen i 1 kap. 9 § regeringsformen om allas likhet inför lagen och saklighet. De särskilda bestämmelser som finns i riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna i fråga om tillträdesrätten för tidigare riksdagsledamöter bör därför utmönstras.

2 Författningsförslag

2.1Förslag till lag om ändring i lagen (2011:745) med instruktion för Riksdagsförvaltningen

Härigenom föreskrivs i fråga om lagen (2011:745) med instruktion för Riksdagsförvaltningen att det ska införas en ny paragraf, 11 a §, av följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
	11 a §
	En bestämmelse om styrelsens rätt
	att neka Säkerhetspolisen att göra en
	sådan granskning som avses i 21 §
	första stycket lagen (2019:109) om
	säkerhetsskydd i riksdagen och dess
	myndigheter samt att neka Säkerhets-
	polisen tillgång till uppgifter vid en
	sådan granskning finns i 21 § andra
	stycket nämnda lag.

Denna lag träder i kraft den 1 juli 2022.

2020/21:URF3

2FÖRFATTNINGSFÖRSLAG

2.2Förslag till lag om ändring i säkerhetsskyddslagen (2018:585)

Härigenom föreskrivs i fråga om säkerhetsskyddslagen (2018:585) dels att 3 kap. 4 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 3 kap. 4 b §, av följande lydelse.

Nuvarande lydelseFöreslagen lydelse

Ansvar för säkerhetsprövningen

3 kap.

4 §1

Säkerhetsprövningen ska utgå från uppgifter som kommit fram när grundutredningen gjordes och den kännedom som i övrigt finns om den som ska prövas, uppgifter som har lämnats ut efter registerkontroll och särskild personutredning, arten av den verksamhet som prövningen gäller samt omständighet-

erna i övrigt.	Bedömningen görs av den som be-
Bedömningen görs av den som be-	Bedömningen görs av den som be-
slutar om anställning eller annat del-	slutar om anställning eller annat del-
tagande i den säkerhetskänsliga verk-	tagande i den säkerhetskänsliga verk-
samheten, om inte annat följer av	samheten, om inte annat följer av
tredje stycket eller 4 a §.	tredje stycket, 4 a § eller 4 b §.

Om en myndighet har det bestämmande inflytandet över den prövades lämplighet att delta i säkerhetskänslig verksamhet hos en enskild verksamhetsutövare, är det i stället myndigheten som gör den slutliga bedömningen.

Om det finns anledning till det, ska en tidigare gjord bedömning av en persons lämplighet att delta i den säkerhetskänsliga verksamheten omprövas.

3 kap.

4 b §

Den slutliga bedömningen enligt 4 § görs av Riksdagsförvaltningen när det gäller anställda vid sådana kanslier som avses i 3 kap. 6 § lagen (2016:1109) om stöd till partigrupperna för riksdagsledamöternas arbete i riksdagen som har placerats i säkerhetsklass för deltagande i riksdagens eller Riksdagsförvaltningens verksamhet.

Denna lag träder i kraft den 1 juli 2022.

1Senaste lydelse 2021:76.

Artiklarna 33 och 34 i EU:s dataskyddsförordning tillämpas inte i fråga om personuppgiftsincidenter som ska rapporteras enligt säkerhetsskyddslagen (2018:585), anmälas enligt lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter eller enligt föreskrifter som har meddelats i anslutning till de lagarna.

2 FÖRFATTNINGSFÖRSLAG

2.3Förslag till lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning

Härigenom föreskrivs att 1 kap. 4 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 kap.

4 §2

Artiklarna 33 och 34 i EU:s dataskyddsförordning tillämpas inte i fråga om personuppgiftsincidenter som ska rapporteras enligt säkerhetsskyddslagen (2018:585) eller föreskrifter som har meddelats i anslutning till den lagen.

Denna lag träder i kraft den 1 juli 2022.

2Senaste lydelse 2018:1248.

2020/21:URF3

2FÖRFATTNINGSFÖRSLAG

2.4Förslag till lag om ändring i lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter

Härigenom föreskrivs i fråga om lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter

dels att 3 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 3 a §, och närmast före den en rubrik av följande lydelse,

dels att 12 § ska ha följande lydelse,

dels att nuvarande 13 och 14 §§ ska betecknas 22 respektive 23 §§,

dels att rubrikerna närmast före 13 och 14 §§ ska sättas före nya 22 respektive 23 §§,

dels att det ska införas nio nya paragrafer, 13–21 §§, och närmast före 20 § och 21 § nya rubriker av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

3 §

Den som bedriver säkerhetskänslig verksamhet ska utreda behovet av säkerhetsskydd (säkerhetsskyddsanalys). Säkerhetsskyddsanalysen ska dokumenteras.

Med utgångspunkt i analysen ska verksamhetsutövaren planera och vidta de säkerhetsskyddsåtgärder som anges i 5–9 §§ och som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter.

Verksamhetsutövaren ska kontrollera säkerhetsskyddet i den egna verksamheten och i övrigt vidta de åtgärder som krävs enligt denna lag och enligt säkerhetsskyddslagen (2018:585) i tillämpliga delar.

Verksamhetsutövaren är skyldig att skyndsamt anmäla säkerhetshotande händelser och verksamhet i den egna verksamheten till Säkerhetspolisen.

Säkerhetsskyddschef 3 a §

Vid Riksdagsförvaltningen, Riksbanken, Riksdagens ombudsmän och Riksrevisionen ska det finnas en säkerhetsskyddschef.

Säkerhetsskyddschefen ska leda och samordna säkerhetsskyddsarbetet samt granska att denna lag och de föreskrifter som har meddelats i anslutning till lagen samt säkerhets-

En myndighet som anges i 1 § och som avser att genomföra en upphandling, ingå ett avtal eller inleda en samverkan eller ett samarbete med en annan aktör, ska ingå ett säkerhetsskyddsavtal med aktören, om aktören genom förfarandet kan få tillgång till 1. säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller 2. annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Myndigheten ska även ingå ett säkerhetsskyddsavtal med en underleverantör som anlitas för att fullgöra den andra aktörens förpliktelse, om underleverantören genom sitt uppdrag kan få en sådan tillgång till den säkerhetskänsliga verksamheten som anges i första stycket. Ett säkerhetsskyddsavtal ska ingås innan motparten kan få tillgång till den säkerhetskänsliga verksamheten. 13 § Mellan myndigheter som anges i 1 § och mellan sådana myndigheter och andra statliga myndigheter gäller kravet på säkerhetsskyddsavtal enligt 12 § endast vid anskaffning av en vara, tjänst eller byggentreprenad.

2 FÖRFATTNINGSFÖRSLAG

2020/21:URF3

skyddslagen (2018:585) i tillämpliga delar följs. Säkerhetsskyddschefen ska också granska föreskrifternas ändamålsenlighet. Detta ansvar får inte delegeras.

Säkerhetsskyddschefen ska vara direkt underställd riksdagsdirektören, Riksbankens direktion, chefsjustitieombudsmannen respektive riksrevisorn.

12 §

Om en myndighet som anges i 1 § avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader, ska den se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd enligt 3 § ska tillgodoses av leverantören om

1. det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller

2. upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Myndigheten ska kontrollera att leverantören följer säkerhetsskyddsavtalet.

2020/21:URF3 2 FÖRFATTNINGSFÖRSLAG

Kravet på säkerhetsskyddsavtal enligt 12 § gäller inte heller när Riksdagsförvaltningen inom ramen för 1 § andra stycket 1 lagen (2011:745) med instruktion för Riksdagsförvaltningen tillhandahåller resurser och service för riksdagsorganens verksamhet.

Om det finns särskilda skäl får en myndighet som anges i 1 § i ett enskilt fall besluta om undantag från skyldigheten att ingå säkerhetsskyddsavtal.

14 §

Ett säkerhetsskyddsavtal ska innehålla de krav på motparten som behövs för att kraven på säkerhetsskydd enligt 3 § ska kunna tillgodoses.

Ett säkerhetsskyddsavtal ska även reglera hur en myndighet som anges i 1 § ska få kontrollera att motparten följer säkerhetsskyddsavtalet och att myndigheten har rätt att revidera avtalet om det krävs på grund av ändrade förhållanden.

15 §

Bestämmelserna i 3 kap. säkerhetsskyddslagen (2018:585) och föreskrifter som har meddelats i anslutning till de bestämmelserna får tilllämpas för säkerhetsprövning enligt ett säkerhetsskyddsavtal.

16 §

En myndighet som anges i 1 § ska kontrollera att motparten följer säkerhetsskyddsavtalet och revidera avtalet om det krävs på grund av ändrade förhållanden.

Om motparten inte följer säkerhetsskyddsavtalet ska myndigheten vidta de åtgärder som behövs för att tillgodose kraven på säkerhetsskydd.

2FÖRFATTNINGSFÖRSLAG

Skyldigheter inför förfaranden som kräver säkerhetsskyddsavtal

17§

En myndighet som anges i 1 § som

avser att genomföra ett förfarande som innebär ett krav på säkerhetsskyddsavtal enligt 12 § första stycket ska göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning enligt 18 §. Myndigheten ska också samråda med Säkerhetspolisen enligt 19 §.

18§

Innan ett sådant förfarande som

avses i 12 § första stycket inleds ska en myndighet som anges i 1 § genom en särskild säkerhetsskyddsbedömning identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den andra aktören kan få tillgång till och som kräver säkerhetsskydd.

Med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter ska myndigheten pröva om det planerade förfarandet är lämpligt från säkerhetsskyddssynpunkt.

Den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen ska dokumenteras.

Om lämplighetsprövningen leder till bedömningen att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt, får det inte inledas.

19 §

Om lämplighetsprövningen enligt

18 § leder till bedömningen att det planerade förfarandet inte är olämpligt från säkerhetsskyddssynpunkt,

2020/21:URF3

2020/21:URF3 2 FÖRFATTNINGSFÖRSLAG

ska en myndighet som anges i 1 § innan den inleder förfarandet samråda med Säkerhetspolisen, om det planerade förfarandet innebär att den andra aktören kan få tillgång till

1. säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre, eller

2. annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Tystnadsplikt 20 §

En anställd vid ett sådant kansli som avses i 3 kap. 6 § lagen (2016:1109) om stöd till partigrupperna för riksdagsledamöternas arbete i riksdagen får inte obehörigen röja eller utnyttja säkerhetsskyddsklassificerade uppgifter som han eller hon har fått del av vid deltagande i riksdagens eller Riksdagsförvaltningens säkerhetskänsliga verksamhet.

Granskning 21 §

Säkerhetspolisen ska, med de undantag som anges i andra stycket, granska att denna lag och de föreskrifter som har meddelats i anslutning till lagen samt säkerhetsskyddslagen (2018:585) i tillämpliga delar följs. Säkerhetspolisen ska också granska föreskrifternas ändamålsenlighet. Säkerhetspolisen får inte besluta om några åtgärder med anledning av granskningen.

Om det finns särskilda skäl får riksdagsstyrelsen, för riksdagens, talmannens eller en enskild riksdagsledamots del, helt eller delvis, neka Sä- kerhetspolisen att utföra en granskning enligt första stycket samt neka

2 FÖRFATTNINGSFÖRSLAG

2020/21:URF3

Säkerhetspolisen tillgång till uppgifter vid en granskning. Samma rätt gäller för en justitieombudsman, riks-

revisorn, riksrevisionsdirektören samt myndigheterna Riksdagsförvaltningen, Riksbanken, Riksdagens ombudsmän och Riksrevisionen.

De myndigheter som anges i 1 § ska årligen skriftligen redovisa vilka granskningsinsatser Säkerhetspolisen har gjort och hur förslag till åtgärder som Säkerhetspolisen har lämnat har tagits om hand. Riksdagsförvaltningens skrivelse ska innehålla även en redovisning av föreslagna åtgärder för riksdagen. Redovisningen ska lämnas till myndighetens ledning samt, för Riksbankens del, till finansutskottet och för övriga myndigheters del till konstitutionsutskottet.

1.Denna lag träder i kraft den 1 juli 2022.

2.Den upphävda 12 § gäller för säkerhetsskyddsavtal som har ingåtts före ikraftträdandet.

2020/21:URF3

3 Inledning

I det här kapitlet redogör vi för bakgrunden till varför det har tillsatts en utredning för att göra en fortsatt översyn av regelverket om säkerhetsskydd i riksdagen och dess myndigheter. Vi beskriver också uppdraget i korthet samt förklarar hur utredningen har bedrivit sitt arbete och hur betänkandet är upplagt.

3.1 Bakgrund

Säkerhetsskydd innebär förebyggande åtgärder för att skydda Sveriges säkerhet mot spioneri, sabotage, terroristbrott och andra brott. Kraven på säkerhetsskyddet förändras ständigt genom bl.a. utvecklingen i omvärlden och på informationsteknikområdet.

Den 1 april 2019 trädde säkerhetsskyddslagen (2018:585) och säkerhetsskyddsförordningen (2018:658) i kraft. I det följande kallas de ibland den nya säkerhetsskyddslagen och den nya säkerhetsskyddsförordningen. Författningarna ersatte säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordningen (1996:633), vilka i det följande kallas 1996 års säkerhetsskyddslag och säkerhetsskyddsförordning. Liksom i 1996 års säkerhetsskyddslag är det bara vissa bestämmelser i säkerhetsskyddslagen som gäller för riksdagen och dess myndigheter, närmare bestämt bestämmelserna om säkerhetsskyddsklasser i 2 kap. 5 §, säkerhetsprövning i 3 kap. och säkerhetsintyg i 4 kap. (för uppräkningen, se 1 kap. 3 § första stycket säkerhetsskyddslagen). Eftersom säkerhetsskyddsförordningen är just en förordning gäller den över huvud taget inte för riksdagen och dess myndigheter, se även 1 kap. 1 § andra stycket säkerhetsskyddsförordningen.

I sitt betänkande Indelning i utgiftsområden och en sammanhållen budgetprocess (bet. 2017/18:KU40) konstaterade konstitutionsutskottet att det behövde göras en översyn av den dåvarande lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter, för att den nya säkerhetsskyddslagens bestämmelser om säkerhetsskyddsklasser, säkerhetsprövning och säkerhetsintyg ska kunna tillämpas på ett tillfredsställande sätt på riksdagen och dess myndigheter. I juni 2018 beslutade riksdagen på förslag av konstitutionsutskottet att rikta ett tillkännagivande till riksdagsstyrelsen om att se över bestämmelserna om säkerhetsskydd i riksdagen och dess myndigheter samt föreslå de ändringar som bedömdes vara nödvändiga med anledning den nya säkerhetsskyddslagen. Riksdagsförvaltningen tog därför fram en promemoria med förslag till en ny lag om säkerhetsskydd i riksdagen och dess myndigheter. Riksdagsstyrelsen lämnade sedan en framställning som var baserad på promemorian till riksdagen, Ny lag om säkerhetsskydd i riksdagen och dess myndigheter (framst. 2018/19:RS6), med förslag om att den dåvarande lagen om säkerhetsskydd i riksdagen och dess myndigheter skulle ersättas av en ny lag. Konstitutionsutskottet gjorde i betänkandet Ny lag om säkerhetsskydd i

3 INLEDNING

2020/21:URF3

riksdagen och dess myndigheter (bet. 2018/19:KU16) endast några små ändringar i framställningen och riksdagen följde utskottet i sitt beslut (rskr. 2018/19:133). Lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter trädde i kraft den 1 april 2019.

I framställningen till riksdagen nämnde riksdagsstyrelsen också några frågor om tillsyn, anmälnings- och rapporteringsskyldighet samt utkontraktering som behövde utredas och övervägas ytterligare. Konstitutionsutskottet delade i sitt betänkande den uppfattningen. Vidare ansåg utskottet att riksdagsstyrelsen i det fortsatta arbetet borde överväga behovet av att se över även andra frågor av betydelse för säkerhetsskyddet i riksdagen och dess myndigheter. Det är alltså mot den bakgrunden denna utredning har tillsatts.

3.2 Utredningens uppdrag

Enligt direktiven till uppdraget ska utredaren bl.a.

•utreda om det är möjligt att genom andra åtgärder än den tillsyn som regleras i säkerhetsskyddslagen åstadkomma ett motsvarande skydd för säkerhetsskyddsklassificerade uppgifter och säkerhetskänslig verksamhet i riksdagen och dess myndigheter

•analysera behovet och konsekvenserna av en anmälnings- och rapporteringsskyldighet för riksdagen och dess myndigheter vid säkerhetshotande händelser samt överväga om en sådan ska införas

•analysera behovet av ytterligare reglering för att förebygga att säkerhetsskyddsklassificerade uppgifter och säkerhetskänslig verksamhet inom riksdagen och dess myndigheter utsätts för risker i samband med utkontraktering

•analysera behovet av en säkerhetsskyddschef hos riksdagen och dess myndigheter (dock inte för nämnderna under riksdagen3) samt vid behov föreslå vilka uppgifter och befogenheter sådana säkerhetsskyddschefer ska ha och hur sådana uppgifter och befogenheter ska regleras

•se över vissa frågor som rör anställda vid partigruppernas kanslier, bl.a. tystnadsplikt, säkerhetsprövning och placering i säkerhetsklass

•se över regleringen om tillträde till riksdagens lokaler för tidigare riksdagsledamöter.

Uppdraget i dess helhet framgår av bilaga 1.

3.3 Arbetets bedrivande

Utredningsarbetet har bedrivits på sedvanligt sätt, om än med något fler digitala möten än vad som var planerat från början. Utredaren och sekreteraren har

3Dessa nämnder är Partibidragsnämnden, Riksdagens arvodesnämnd, Statsrådsarvodesnämnden, Nämnden för prövning av statsråds och vissa andra befattningshavares övergångsrestriktioner, Nämnden för lön till riksdagens ombudsmän och riksrevisorn, Riksdagens överklagandenämnd, Valprövningsnämnden och Riksdagens ansvarsnämnd.

2020/21:URF3

3INLEDNING

regelbundet haft kontakt och haft möten för planering, överläggningar, genomgång av texter m.m. Fyra sammanträden har hållits då utredningens samtliga experter har deltagit. Därutöver har utredaren och sekreteraren haft enskilda möten och kontakt med experterna samt med andra personer från riksdagen och dess myndigheter. Utredaren och sekreteraren har också haft möten med företrädare för Säkerhetspolisen för att få veta mer om bl.a. den myndighetens rådgivande funktion.

I enlighet med direktiven har Riksdagsförvaltningen hållits informerad om det löpande arbetet. Utredaren och sekreteraren har haft kontakt med Regeringskansliet för att följa beredningen av betänkandet Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82) och departementspromemorian Sä- kerhetsskyddsreglering för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet (Ds 2020:11). Samråd har skett med den parlamentariska utredning som ska göra en översyn av Riksdagens ombudsmän (JO). Resultaten av den parlamentariska utredningen 2019 års riksdagsöversyn (2020/21:URF1) har beaktats. I de frågor som berör partigruppernas kanslier har utredaren och sekreteraren hållit möten med företrädare för samtliga partikanslier, förutom ett partikansli som avböjt möte.

3.4 Betänkandets disposition

Betänkandet har elva kapitel. Efter några inledande kapitel med en sammanfattning i kapitel 1 och författningsförslag i kapitel 2 finns i kapitel 3 en inledning där vi bl.a. redogör för bakgrunden till vårt uppdrag samt hur arbetet har bedrivits.

I kapitel 4 gör vi en genomgång av säkerhetsskyddsregleringen enligt säkerhetsskyddslagen och säkerhetsskyddsförordningen m.m. I samband med det tar vi upp vissa av de ändringar som föreslås i lagrådsremissen Ett starkare skydd för Sveriges säkerhet samt i promemorian Säkerhetsskyddsreglering för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet (Ds 2020:11).

Kapitel 5 innehåller en genomgång av säkerhetsskyddsregleringen enligt lagen om säkerhetsskydd i riksdagen och dess myndigheter.

Därefter följer betänkandet i huvudsak den ordning som frågorna har i utredningens direktiv. I kapitel 6 diskuterar vi om det finns behov av ändringar i befintliga bestämmelser eller av ytterligare bestämmelser i lagen om säkerhetsskydd i riksdagen och dess myndigheter. Vi tar där upp frågan om säkerställande av säkerhetsskydd på annat sätt än genom tillsyn, frågan om det ska införas en anmälnings- och rapporteringsskyldighet vid säkerhetshotande händelser, frågan om utkontraktering m.m. samt frågan om säkerhetsskyddschef.

I kapitel 7 behandlas några frågor om partikanslierna i form av frågan om säkerhetsprövning av anställda vid partigruppernas kanslier samt frågan om tillämpligheten av 5 kap. 2 § första stycket säkerhetsskyddslagen på anställda vid partigruppernas kanslier.

3 INLEDNING

2020/21:URF3

Kapitel 8 tar upp frågan om tidigare riksdagsledamöters rätt till tillträde till riksdagens lokaler.

I kapitel 9 diskuterar vi lämplig tidpunkt för när de föreslagna bestämmelserna ska träda i kraft samt behovet av övergångsbestämmelser.

I kapitel 10 tar vi upp vilka konsekvenser våra förslag kan få. Kapitel 11 innehåller en författningskommentar.

Sist i betänkandet finns två bilagor i form av utredningens direktiv (bilaga 1) samt en överenskommelse om säkerhetsprövning och säkerhetsskydd som gäller för partikanslierna (bilaga 2).

Hänvisningar till lagar och annan författning avser den lydelse som gäller den 1 april 2021.

2020/21:URF3

4Säkerhetsskyddsregleringen enligt säkerhetsskyddslagen och säkerhetsskyddsförordningen m.m.

Det här kapitlet inleds med en redogörelse för bakgrunden till säkerhetsskyddslagen och säkerhetsskyddsförordningen. Vi tar också upp vad som i samband med att den regleringen och dess föregångare togs fram har sagts om tillämpligheten för riksdagen och dess myndigheter.

Därefter går vi igenom huvuddragen i säkerhetsskyddslagen och i viss mån även säkerhetsskyddsförordningen. Förvisso är det bara vissa bestämmelser i säkerhetsskyddslagen – bestämmelserna om säkerhetsskyddsklasser i 2 kap. 5 §, säkerhetsprövning i 3 kap. och säkerhetsintyg i 4 kap. – som gäller för riksdagen och dess myndigheter. Säkerhetsskyddsförordningen är över huvud taget inte tillämplig. Vi anser dock att det är viktigt att redogöra för lagstiftningen i dess helhet eftersom den får sägas gälla brett för hela statsförvaltningen.

4.1 Bakgrund till den nuvarande lagstiftningen

4.1.1 Reglering före 1996

Under andra världskriget och därefter växte ett system för personalkontroll fram. I personalkontrollkungörelsen (1969:446) fanns bestämmelser som i huvudsak innebar att personalkontroll fick göras avseende vissa befattningshavare vid de organ som angavs i kungörelsen, företrädesvis statliga myndigheter med uppgifter av betydelse för totalförsvaret men också vissa företag. Uppgifter i samband med personalkontroll hämtades ur bl.a. polisens person- och belastningsregister och Säkerhetspolisens register. Rikspolisstyrelsens styrelse avgjorde vilka uppgifter som skulle lämnas ut. Prövningen av den kontrollerades lämplighet från säkerhetssynpunkt gjordes av den myndighet som beslutat om kontroll.

I förordningen (1981:421) om säkerhetsskyddet vid statliga myndigheter fanns bestämmelser för att åstadkomma ett skydd inom statliga myndigheter i syfte att förhindra att obehöriga fick del av information av betydelse för totalförsvaret eller landets säkerhet i övrigt. Enligt förordningen var det varje statlig myndighets ansvar att se till att det fanns ett tillfredsställande säkerhetsskydd inom myndighetens verksamhetsområde. Säkerhetsskyddet omfattade enligt förordningen sekretesskydd, tillträdesskydd, infiltrationsskydd, information och kontroll. Förordningen innehöll inte några detaljerade regler för hur säkerhetsskyddet skulle vara utformat. Rikspolisstyrelsen och myndigheten Överbefälhavaren hade till uppgift att utfärda närmare bestämmelser och att kontrollera att bestämmelserna följdes. För att skapa motsvarande skydd för

4SÄKERHETSSKYDDSREGLERINGEN ENLIGT SÄKERHETSSKYDDSLAGEN OCH SÄKERHETSSKYDDSFÖRORDNINGEN M.M.

riksdagens verksamhet kom, efter mönster från den nämnda förordningen, lagen (1983:953) om säkerhetsskydd i riksdagen till. Också för Regeringskansliet, som i princip inte omfattades av förordningen, beslutades särskilda föreskrifter.

4.1.2Säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordningen (1996:633)

I november 1987 tillkallades en parlamentarisk kommitté med uppgift att bl.a. se över personalkontrollförfarandet. Syftet med översynen var både att öka kontrollens effektivitet och att stärka den enskildes rättssäkerhet i samband med kontrollen. Kommitténs arbete utmynnade i slutbetänkandet Säkerhetspolisens arbetsmetoder, personalkontroll och meddelarfrihet (SOU 1990:51). Slutbetänkandet, remissinstansernas synpunkter samt det faktum att Sveriges ansökan om medlemskap i EG hade förändrat förutsättningarna för bedömningen av kommitténs förslag ledde fram till en översyn av personalkontrollförfarandet (dir. 1993:81). Målet för den s.k. Säkerhetsskyddsutredningens uppdrag var enligt direktiven att redovisa ett förslag till en lag om personalkontroll som byggde på s.k. säkerhetsklarering (security clearance). Genom tilläggsdirektiv (dir. 1993:123) fick utredningen även i uppdrag att se över frågan om att lagreglera säkerhetsskyddet hos myndigheter m.m. I direktiven sades uttryckligen att det inte ingick att ta ställning till säkerhetsskyddet hos regering och riksdag.

Säkerhetsskyddsutredningen lämnade i sitt betänkande Säkerhetsskydd (SOU 1994:149) förslag till en säkerhetsskyddslag och en säkerhetsskyddsförordning. Utredningens förslag kom i allt väsentligt att ligga till grund för regeringens förslag till säkerhetsskyddslag i propositionen Säkerhetsskydd (prop. 1995/96:129). Där angavs att bara vissa bestämmelser skulle gälla för riksdagen och dess myndigheter och att regeringen i fråga om Regeringskansliet fick förordna om undantag från andra bestämmelser i lagen än sådana som gällde registerkontroll. Några närmare skäl för detta redovisades inte.4

Lagförslaget antogs av riksdagen. Den 1 juli 1996 trädde säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordningen (1996:633) i kraft. De ersatte då personalkontrollkungörelsen och förordningen om säkerhetsskyddet vid statliga myndigheter.

4.1.3 Om den nuvarande lagstiftningen

I december 2011 beslutade regeringen att ge en särskild utredare i uppdrag att göra en översyn av säkerhetsskyddslagstiftningen. I direktiven (dir. 2011:94) konstaterades bl.a. att säkerhetsskyddslagstiftningen hade varit i kraft i mer än femton år och att förutsättningarna för säkerhetsskyddet under den tiden hade förändrats på många sätt. 1996 års säkerhetsskyddslags begränsade tillämplig-

4För redogörelsen, se SOU 2015:25 s. 119 f.

2020/21:URF3

4SÄKERHETSSKYDDSREGLERINGEN ENLIGT SÄKERHETSSKYDDSLAGEN OCH SÄKERHETSSKYDDSFÖRORDNINGEN M.M.

het i fråga om riksdagen och Regeringskansliet nämndes endast under redovisningen av gällande ordning.

Utredningen lämnade i mars 2015 sitt betänkande En ny säkerhetsskyddslag (SOU 2015:25) med bl.a. förslag till ny säkerhetsskyddslag och tillhörande förordning. Utredningen hade under sitt arbete haft inledande dialog med Riksdagsförvaltningen och Regeringskansliet angående lagens tillämplighet för riksdagen och Regeringskansliet. Vad som fördes fram där föranledde inte utredningen att gå närmare in på frågan. Utredningens utgångspunkt var därför att, utan någon ändring i sak, föra över gällande bestämmelser om säkerhetsskyddslagens tillämplighet i fråga om riksdagen och Regeringskansliet till förslaget om en ny säkerhetsskyddslag. Några ändringar i sak gjordes dock genom att utredningen föreslog att säkerhetsskyddslagens bestämmelser om informationssäkerhetsklass, säkerhetsprövning och säkerhetsintyg skulle gälla också för riksdagen och dess myndigheter samt för Regeringskansliet.5

Betänkandet kom, så när som på vissa förslag om tillsyn och sanktioner, att ligga till grund för regeringens förslag till säkerhetsskyddslag i propositionen Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag (prop. 2017/18:89). Efter att några remissinstanser väckt frågor om varför lagen inte skulle omfatta även Regeringskansliet och riksdagen och dess myndigheter sa regeringen i propositionen att den kunde förstå den kritik som förts fram och att man kunde ifrågasätta lämpligheten av att det inte finns likvärdiga krav på säkerhetsskydd i alla verksamheter. Regeringen ansåg dock att den reglering som fanns för Regeringskansliet, bl.a. genom föreskrifter, var tillräcklig. Samma sak gällde för utlandsmyndigheterna. När det gällde riksdagen sa regeringen att det kunde finnas behov av att överväga ytterligare ändringar i regleringen och att regeringen kunde komma att återkomma i den frågan.6

Lagförslaget antogs av riksdagen och den 1 april 2019 trädde nuvarande säkerhetsskyddslag och säkerhetsskyddsförordning i kraft. Vi kommer i avsnitt 4.2–4.12 att redogöra för vad säkerhetsskyddslagen innebär. Som en jämförelse med 1996 års lagstiftning kan sägas att nuvarande säkerhetsskyddslag har moderniserats för att svara mot de förändrade kraven på säkerhetsskyddet, bl.a. när det gäller utvecklingen på området informationsteknik, en ökad internationell samverkan, en ökad sårbarhet i samhällsviktiga funktioner och att säkerhetskänslig verksamhet i allt större omfattning bedrivs i enskild regi. När det gäller lagens tillämpningsområde finns två huvudsakliga förändringar i förhållande till 1996 års säkerhetsskyddslag. I den tidigare lagen talades det om ”rikets säkerhet”. Det har nu ersatts med ”Sveriges säkerhet”. Det har också lagts till en skrivning om att lagen även gäller för den som till någon del bedriver verksamhet som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.

Förändringarna innebär att säkerhetsskyddslagens tillämpningsområde är vidare än 1996 års säkerhetsskyddslag. Det har dessutom förtydligats att säker-

5SOU 2015:25 s. 505 f.

6Prop. 2017/18:89 s. 122.

4SÄKERHETSSKYDDSREGLERINGEN ENLIGT SÄKERHETSSKYDDSLAGEN OCH SÄKERHETSSKYDDSFÖRORDNINGEN M.M.

hetsskyddsbestämmelserna inte bara gäller i allmän verksamhet utan för alla som till någon del bedriver säkerhetskänslig verksamhet. Lagen innehåller krav på säkerhetsskyddsåtgärder som syftar till att skydda uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt åtagande om säkerhetsskydd. Även skyddet av annan säkerhetskänslig verksamhet, t.ex. samhällsviktiga informationssystem, har förbättrats. Den nya lagen tydliggör också skyldigheterna för den som bedriver säkerhetskänslig verksamhet, och säkerhetsskyddsanalysen ges en central roll. En säkerhetsskyddsklassificering har införts som bygger på fyra säkerhetsskyddsklasser av internationell modell. Säkerhetsskyddsklasserna påverkar utformningen av säkerhetsskyddsåtgärderna informationssäkerhet, fysisk säkerhet och personalsäkerhet.

4.2 Vem regleringen gäller för

Enligt 1 kap. 1 § första stycket säkerhetsskyddslagen gäller lagen för den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd, i lagen kallat säkerhetskänslig verksamhet (se mer om det i avsnittet nedan). Att det står just ”till någon del” innebär att det för lagens tillämplighet inte krävs att hela verksamheten kan anses utgöra säkerhetskänslig verksamhet.7 I lagen finns också bestämmelser om bl.a. internationell samverkan i övrigt på säkerhetsskyddsområdet, se andra stycket samma bestämmelse.

Det är bara vissa bestämmelser i lagen som gäller för riksdagen och dess myndigheter, nämligen bestämmelserna om säkerhetsskyddsklasser i 2 kap. 5 §, säkerhetsprövning i 3 kap. och säkerhetsintyg i 4 kap. I övrigt gäller lagen om säkerhetsskydd i riksdagen och dess myndigheter, se 1 kap. 3 § första stycket säkerhetsskyddslagen. Även för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet finns en begränsning för vilka bestämmelser i säkerhetsskyddslagen som är tillämpliga. Regeringen har enligt 1 kap. 3 § andra stycket säkerhetsskyddslagen rätt att meddela föreskrifter om undantag från andra bestämmelser i lagen än de om säkerhetsskyddsklasser, säkerhetsprövning och säkerhetsintyg. I 1 kap. 2 § säkerhetsskyddsförordningen regleras det närmare vilka bestämmelser i säkerhetsskyddslagen och förordningen som gäller för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet.8

7Prop. 2017/18:89 s. 133.

8I 1 kap. 2 § säkerhetsskyddsförordningen anges att för Regeringskansliet och utlandsmyndigheterna gäller endast 1 kap. 1–3 §§, 2 kap. 1–6 §§, 3 kap., 4 kap. och 5 kap. 3 och 5 §§ säkerhetsskyddslagen samt 1 kap. 4 och 5 §§, 2 kap. 1, 3 och 4 §§, 2 kap. 6 § första stycket och 2 kap. 6 § andra stycket 1, 3 kap. 1, 3 och 10 §§, 5 kap. och 6 kap. säkerhetsskyddsförordningen. För sådana kommittéer och särskilda utredare som avses i kommittéförordningen (1998:1474) gäller endast 2 kap. 5 §, 3 kap. och 4 kap. säkerhetsskyddslagen samt 5 kap. och

6kap. säkerhetsskyddsförordningen.

2020/21:URF3

4SÄKERHETSSKYDDSREGLERINGEN ENLIGT SÄKERHETSSKYDDSLAGEN OCH SÄKERHETSSKYDDSFÖRORDNINGEN M.M.

4.3 Vad som avses med säkerhetsskydd

Med säkerhetsskydd avses enligt 1 kap. 2 § första stycket säkerhetsskyddslagen skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter. Säkerhetsskyddet knyts alltså dels till säkerhetskänslig verksamhet, dels till säkerhetsskyddsklassificerade uppgifter.

Säkerhetskänslig verksamhet definieras i 1 kap. 1 § första stycket säkerhetsskyddslagen som verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd. Enligt förarbetena tar uttrycket ”Sveriges säkerhet” sikte på förhållanden av grundläggande betydelse för Sverige. På samma sätt som tidigare gäller lagens krav på säkerhetsskydd för såväl militär som civil verksamhet. Vilka verksamheter som är av betydelse för att upprätthålla Sveriges säkerhet måste bedömas i ljuset av samhällsutvecklingen. Vad som behöver skyddas för att förebygga hot mot Sveriges säkerhet kan därför i viss utsträckning förändras över tid. Utgångspunkten för bedömningen av om en verksamhet, helt eller till viss del, har betydelse för Sveriges säkerhet bör även fortsättningsvis vara uppdelningen i Sveriges yttre och inre säkerhet. Sveriges yttre säkerhet kan delas in i territoriell suveränitet och politisk självständighet. Sveriges oberoende och handlingsfrihet, politisk självständighet, handlar om att upprätthålla förmågan att förebygga och avvärja brott enligt framför allt spionerilagstiftningen i 19 kap. brottsbalken. Sveriges inre säkerhet rör påverkan på förmågan att upprätthålla och säkerställa Sveriges statsidé avseende funktion, handlingsfrihet och oberoende. Säkerhetsskyddet för Sveriges inre säkerhet handlar till stor del om att skydda särskilt kritiska anläggningar, funktioner och informationssystem för Sveriges demokratiska statsskick, rättsväsen eller brottsbekämpande förmåga. I förarbetena sägs det också att alla delar i en verksamhet som har betydelse för Sveriges säkerhet omfattas av paragrafen. Det kan t.ex. röra sig om uppgifter som är hemliga med hänsyn till Sveriges säkerhet och som kan finnas i informationssystem eller fysiska handlingar. Det kan också röra sig om personal, fastigheter och andra anläggningar samt informationssystem som inte i första hand behöver skyddas för att de innehåller hemliga uppgifter utan för att de är vitala för förmågan att upprätthålla kritiska samhällsfunktioner, t.ex. för Sveriges demokratiska statsskick, rättsväsen eller brottsbekämpande förmåga.

Med uttrycket ”som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd” avses enligt förarbetena uppgifter som är säkerhetskänsliga för andra stater och mellanfolkliga organisationer och som Sverige genom säkerhetsskyddsöverenskommelser har åtagit sig att skydda. Be- stämmelsen ger även stöd för säkerhetsskyddsåtgärder som följer av folkrättsliga förpliktelser i övrigt, bl.a. EU-rättsliga bestämmelser inom t.ex. luftfartsskyddsområdet.9

9Prop. 2017/18:89 s. 44 och 133 f.

4SÄKERHETSSKYDDSREGLERINGEN ENLIGT SÄKERHETSSKYDDSLAGEN OCH SÄKERHETSSKYDDSFÖRORDNINGEN M.M.

Med säkerhetsskyddsklassificerade uppgifter avses enligt 1 kap. 2 § andra stycket säkerhetsskyddslagen uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400), förkortad OSL, eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig. Det uppställs alltså inte något krav på att verksamheter som säkerhetsskyddslagen gäller ska omfattas av bestämmelserna om sekretess i offentlighets- och sekretesslagen för att en uppgift ska kunna anses vara säkerhetsskyddsklassificerad. Däremot förutsätts att en säkerhetsskyddsklassificerad uppgift till sin natur är sådan att uppgiften materiellt sett kan hänföras till en bestämmelse om sekretess, med hänsyn till antingen Sveriges säkerhet eller Sveriges förbindelser med någon annan stat eller mellanfolklig organisation. Särskilt relevant för vägledning i fråga om vilka uppgifter som till sin natur medför krav på säkerhetsskydd är enligt förarbetena den s.k. försvarssekretessen i 15 kap. 2 § OSL och bestämmelserna om sekretess i underrättelseverksamhet i 18 kap. 2 § OSL. Även andra bestämmelser om sekretess kan vara tillämpliga på denna typ av uppgifter som t.ex. den s.k. utrikessekretessen i 15 kap. 1 § OSL och bestämmelsen om sekretess i det internationella samarbetet i 15 kap. 1 a § OSL.10

Säkerhetsklassificerade uppgifter ska enligt 2 kap. 5 § säkerhetsskyddslagen delas in i säkerhetsskyddsklasser utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet, se mer om säkerhetsskyddsklassificering i avsnitt 4.6.

4.4Skyldigheter för den som bedriver säkerhetskänslig verksamhet

I 2 kap. 1 § säkerhetsskyddslagen anges vilka skyldigheter den som bedriver säkerhetskänslig verksamhet (verksamhetsutövaren) har. Enligt bestämmelsens första och andra stycke ska verksamhetsutövaren utreda behovet av säkerhetsskydd (säkerhetsskyddsanalys). Resultatet av säkerhetsskyddsanalysen ska dokumenteras. Med utgångspunkt i analysen ska verksamhetsutövaren planera och vidta de säkerhetsskyddsåtgärder (se mer om dem i avsnittet nedan) som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter.

Säkerhetsskyddsanalysen regleras inte närmare i säkerhetsskyddslagen. I 2 kap. 1 § andra stycket säkerhetsskyddsförordningen sägs dock att säkerhetsskyddsanalysen innebär att säkerhetsskyddsklassificerade uppgifter och vad som i övrigt behöver ett säkerhetsskydd ska identifieras. Vilka delar av verksamheten som är skyddsvärda med hänsyn till Sveriges säkerhet samt vilka hot och sårbarheter som finns kopplade till skyddsvärdet ska också identifieras. Säkerhetsskyddsanalysen ska även innehålla en bedömning av vilka säkerhetsskyddsåtgärder som är nödvändiga. Analysen ska hållas uppdaterad. Säkerhetsskyddsanalysen är alltså kärnan i ett väl anpassat säkerhetsskydd, för att

10Prop. 2017/18:89 s. 135.

2020/21:URF3

4SÄKERHETSSKYDDSREGLERINGEN ENLIGT SÄKERHETSSKYDDSLAGEN OCH SÄKERHETSSKYDDSFÖRORDNINGEN M.M.

identifiera skyddsvärde, hot och sårbarheter i en säkerhetskänslig verksamhet.11

Verksamhetsutövaren har enligt 2 kap. 1 § tredje stycket säkerhetsskyddslagen en skyldighet att kontrollera säkerhetsskyddet i den egna verksamheten, anmäla och rapportera sådant som är av vikt för säkerhetsskyddet och i övrigt vidta de åtgärder som krävs enligt den lagen. Bestämmelsen kompletteras med en reglering i 2 kap. 10 § säkerhetsskyddsförordningen där det sägs att en verksamhetsutövare skyndsamt ska anmäla till Säkerhetspolisen om en säkerhetsskyddsklassificerad uppgift kan ha röjts, om det inträffat en it-incident i ett informationssystem som verksamhetsutövaren är ansvarig för och som har betydelse för säkerhetskänslig verksamhet och där incidenten allvarligt kan påverka säkerheten i systemet eller om verksamhetsutövaren får kännedom eller misstanke om någon annan för denne allvarlig säkerhetshotande verksamhet. I vissa fall kan anmälan även behöva göras till Försvarsmakten. Vad som nu har sagts om anmälnings- och rapporteringsskyldigheten gäller alltså inte för riksdagen och dess myndigheter, se 1 kap. 3 § första stycket säkerhetsskyddslagen.

4.5 De olika säkerhetsskyddsåtgärderna

I 2 kap. 2–4 §§ säkerhetsskyddslagen beskrivs säkerhetsskyddets inriktning och vad de olika säkerhetsskyddsåtgärderna syftar till. Enligt 2 kap. 1 § fjärde stycket säkerhetsskyddslagen ska säkerhetsskyddsåtgärderna så långt det är möjligt utformas så att de inte medför någon skada eller annan olägenhet för andra allmänna eller enskilda intressen. Med andra allmänna intressen avses enligt förarbetena bl.a. skyddet för den personliga integriteten.12

4.5.1 Informationssäkerhet

Informationssäkerhet regleras i 2 kap. 2 § säkerhetsskyddslagen. Den ska dels förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs, dels förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.

Den första delen innebär ett skydd för såväl uppgifternas konfidentialitet som deras tillgänglighet och riktighet. Om ett informationssystem ska hantera säkerhetsskyddsklassificerade uppgifter ska informationssystemets säkerhetsfunktioner anpassas för att förebygga att sådana uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs. Om det förekommer uppgifter som har delats in i olika säkerhetsskyddsklasser enligt 2 kap. 5 § säkerhetsskyddslagen ska systemet vara inrättat med säkerhetsfunktioner som motsvarar den högsta skyddsnivån.13

11Prop. 2017/18:89 s. 56. Se även nämnda prop. s. 43 där det sägs att en verksamhetsutövares egen säkerhetsskyddsanalys fyller en mycket viktig funktion för att uppnå en väl avvägd nivå för säkerhetsskyddet.

12Prop. 2017/18:89 s. 137.

13Prop. 2017/18:89 s. 138.

4SÄKERHETSSKYDDSREGLERINGEN ENLIGT SÄKERHETSSKYDDSLAGEN OCH SÄKERHETSSKYDDSFÖRORDNINGEN M.M.

Den andra delen tar framför allt sikte på skyddsåtgärder för att tillgodose behov av tillgänglighet och riktighet i fråga om uppgifter och informationssystem som inte utgör eller innehåller säkerhetsskyddsklassificerade uppgifter, men som ändå bedöms som säkerhetskänsliga respektive ha ett högt skyddsbehov. Vad gäller vilken inverkan som ska anses som skadlig sägs i förarbetena att det alltid är en bedömning som måste göras i den specifika verksamheten. I säkerhetsskyddsanalysen behöver skyddsvärde, hot och sårbarheter identifieras och eventuella konsekvenser analyseras, vilket ska ligga till grund för slutsatser om bl.a. vilken robusthet som måste finnas för olika typer av informationssystem som används i organisationen.14

I 3 kap. säkerhetsskyddsförordningen finns ytterligare bestämmelser om informationssäkerhet. Det uppställs krav på förberedande åtgärder inför driftsättning av informationssystem samt säkerhetskrav för informationssystem som används i säkerhetskänslig verksamhet. Där anges också bl.a. att verksamhetsutövaren i vissa fall ska samråda med Säkerhetspolisen alternativt Försvarsmakten. De båda myndigheterna har dessutom i vissa delar ett bemyndigande att meddela föreskrifter om undantagen från kraven. Det finns också bestämmelser om hanteringen av säkerhetsskyddsklassificerade handlingar i form av anteckning på handlingen om vilken säkerhetsskyddsklass uppgifterna i handlingen har, bestämmelser om inventering och arkivering samt bestämmelser om skydd för uppgifter som lämnas till utländska aktörer.

4.5.2 Fysisk säkerhet

Fysisk säkerhet regleras i 2 kap. 3 § säkerhetsskyddslagen. Den fysiska säkerheten ska dels förebygga att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs, dels förebygga skadlig inverkan på sådana områden, byggnader, anläggningar eller objekt. Den närmare regleringen av vilka åtgärder som bör vidtas inom ramen för den fysiska säkerheten får enligt förarbetena göras i föreskrifter. På motsvarande sätt som när det gäller åtgärder som vidtas för att stärka informationssäkerheten ska nivån av åtgärder för att stärka den fysiska säkerheten beslutas med verksamhetsutövarens säkerhetsskyddsanalys som grund.15

Säkerhetsskyddsförordningen innehåller endast en bestämmelse om fysisk säkerhet. Enligt 4 kap. 1 § säkerhetsskyddsförordningen ska områden, byggnader och andra anläggningar eller objekt där säkerhetsskyddsklassificerade uppgifter förvaras eller annars behandlas, eller där säkerhetskänslig verksamhet i övrigt bedrivs, vara försedda med funktioner för att upptäcka, försvåra och hantera obehörigt tillträde och skadlig inverkan utifrån ett identifierat säkerhetsskyddsbehov.

14Prop. 2017/18:89 s. 70.

15Prop. 2017/18:89 s. 73.

2020/21:URF3

4SÄKERHETSSKYDDSREGLERINGEN ENLIGT SÄKERHETSSKYDDSLAGEN OCH SÄKERHETSSKYDDSFÖRORDNINGEN M.M.

4.5.3 Personalsäkerhet

Bestämmelser om personalsäkerhet finns i 2 kap. 4 § säkerhetsskyddslagen. Personalsäkerhet ska förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av annan anledning är säkerhetskänslig samt säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräckliga kunskaper om säkerhetsskydd.

Tätt sammankopplad med personalsäkerheten är säkerhetsprövningen, se mer om den i avsnitt 4.7. Även i 5 kap. säkerhetsskyddsförordningen finns det bestämmelser om personalsäkerhet.

4.6 Säkerhetsskyddsklassificering

vien synnerligen allvarlig skada, hemlig vid en allvarlig skada, konfidentiell vid en inte obetydlig skada samt begränsat hemlig vid endast ringa skada.

Bestämmelsen är teknikneutral. Klassificeringen ska alltså ske av uppgifter

isåväl fysisk som digital form. I förarbetena anges att om det i en handling förekommer skyddsvärd information av varierande grad ska den uppgift som kan orsaka störst skada om den röjs styra valet av säkerhetsskyddsklass. Det sägs också att verksamhetsutövarens säkerhetsskyddsanalys är av stor betydelse för arbetet med säkerhetsskyddsklassificering.16 Hänsyn kan behöva tas till om det är aggregerade eller ackumulerade uppgifter. Aggregerade uppgifter betyder att flertalet olika typer av uppgifter samlas och tillsammans utgör ett nytt skyddsvärde, medan ackumulerade uppgifter betyder en ökad volym av samma typ av uppgifter.17 Exempelvis kan en sammanställning av uppgifter som var för sig inte är säkerhetsskyddsklassificerade leda till att det går att utvinna en annan och mer känslig information och att uppgifterna därför behöver säkerhetsskyddsklassificeras.18

4.7 Säkerhetsprövning

4.7.1 Vem som ska säkerhetsprövas och varför

Säkerhetsprövning handlar ytterst om att bedöma om en person har tillräckliga förutsättningar och personlig lämplighet att genom anställning eller på annat sätt delta i säkerhetskänslig verksamhet. En helhetsbedömning ska göras som

16Prop. 2017/18:89 s. 140.

17Se Säkerhetspolisens Vägledning i säkerhetsskydd – Informationssäkerhet, utgåva september 2020, s. 10.

18Prop. 2017/18:89 s. 66 och SOU 2018:82 s. 153.

4SÄKERHETSSKYDDSREGLERINGEN ENLIGT SÄKERHETSSKYDDSLAGEN OCH SÄKERHETSSKYDDSFÖRORDNINGEN M.M.

baseras på ett allsidigt underlag och som tydligt relateras till verksamheten och anställningen.19

I 3 kap. säkerhetsskyddslagen finns bestämmelser om säkerhetsprövning. Bestämmelserna kompletteras av 5 kap. säkerhetsskyddsförordningen. Enligt 3 kap. 1 § säkerhetsskyddslagen ska den som genom en anställning eller på något annat sätt ska delta i säkerhetskänslig verksamhet säkerhetsprövas. Vissa uppdrag undantas dock från säkerhetsprövning, däribland uppdrag som statsråd och ledamot av riksdagen. Säkerhetsprövningen syftar enligt 3 kap. 2 § säkerhetsskyddslagen till att klarlägga om en person kan antas vara lojal mot de intressen som skyddas i säkerhetsskyddslagen och i övrigt pålitlig från säkerhetssynpunkt. Vid säkerhetsprövningen ska sådana omständigheter beaktas som kan antas innebära sårbarheter i säkerhetshänseende.

Enligt 3 kap. 3 § första stycket säkerhetsskyddslagen ska säkerhetsprövningen göras innan deltagandet i den säkerhetskänsliga verksamheten påbörjas. Prövningen innefattar flera moment. Den förutsätter en grundutredning som, om placering i s.k. säkerhetsklass krävs, ska kompletteras med registerkontroll och i vissa fall även särskild personutredning. Med grundutredning avses enligt 5 kap. 2 § säkerhetsskyddsförordningen en utredning om personliga förhållanden av betydelse för säkerhetsprövningen. Vidare ska utredningen omfatta betyg, intyg, referenser och uppgifter som den som prövningen gäller har lämnat, samt andra uppgifter i den utsträckning det är relevant för prövningen. Av 3 kap. 18 § säkerhetsskyddslagen framgår att registerkontroll och särskild personutredning får göras endast om den som säkerhetsprövningen gäller har lämnat sitt samtycke.

4.7.2 Ansvar för säkerhetsprövningen

I 3 kap. 4 § säkerhetsskyddslagen regleras vem som har ansvar för säkerhetsprövningen. Enligt bestämmelsens första stycke ska säkerhetsprövningen utgå från uppgifter som kommit fram när grundutredningen gjordes och den kännedom som i övrigt finns om den som ska prövas, uppgifter som har lämnats ut efter registerkontroll och särskild personutredning, arten av den verksamhet som prövningen gäller samt omständigheterna i övrigt. Av andra stycket framgår att bedömningen som huvudregel görs av den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga verksamheten. Två undantag finns dock.

Det ena undantaget finns i 3 kap. 4 § tredje stycket säkerhetsskyddslagen och avser det fall att en myndighet har det bestämmande inflytandet över den prövades lämplighet att delta i säkerhetskänslig verksamhet hos en enskild verksamhetsutövare. Det är då i stället myndigheten som gör den slutliga bedömningen. Som exempel på var detta kan komma i fråga anges i förarbetena luftfartsområdet där det är Transportstyrelsen som beslutar om registerkontroll som en följd av att internationella konventioner anger villkor för tillträde till

19Prop. 2017/18:89 s. 143.

2020/21:URF3

4SÄKERHETSSKYDDSREGLERINGEN ENLIGT SÄKERHETSSKYDDSLAGEN OCH SÄKERHETSSKYDDSFÖRORDNINGEN M.M.

olika slag av behörighetsområden på flygplatser. Efter registerkontrollen meddelar Transportstyrelsen, om det inte finns några uppgifter att lämna ut för säkerhetsprövning, sitt godkännande av säkerhetsprövningen. Om uppgifter efter registerkontrollen lämnas ut till Transportstyrelsen behöver myndigheten göra en bedömning av uppgifternas betydelse för den prövades lämplighet att få tillträde till flygplatsens säkerhetsområden. En ordning motsvarande den som tillämpas på luftfartsskyddsområdet torde enligt förarbetena gälla på fler områden, t.ex. hamn-, sjöfarts- och strålskydd. Också i fråga om säkerhetsskyddad upphandling avtalas i regel om att leverantörer ansvarar för säkerhetsprövningen men att ett godkännande efter registerkontroll krävs från den upphandlande myndigheten.20

Det andra undantaget finns i 3 kap. 4 a § säkerhetsskyddslagen och rör säkerhetsprövning av domare. I bestämmelsen sägs att bedömningen enligt 3 kap. 4 § säkerhetsskyddslagen ska göras av Domarnämnden när det gäller den som är chef för en allmän domstol eller allmän förvaltningsdomstol, Ar- betsdomstolen eller hyres- och arrendenämnderna i Stockholm, Göteborg eller Malmö och av respektive domstol eller nämnd när det gäller övriga ordinarie domare i allmänna domstolar, allmänna förvaltningsdomstolar och Arbetsdomstolen och hyresråd i hyres- och arrendenämnder. Enligt förarbetena till bestämmelsen är det bl.a. av principiella och konstitutionella skäl angeläget att ordningen för säkerhetsprövning av ordinarie domare utformas på ett sätt som värnar domstolarnas och domarnas oberoende ställning. Vad som nu har sagts gäller dock inte ordföranden i Försvarsunderrättelsedomstolen där det är regeringen som har ansvar för säkerhetsprövningen. Vad gäller ansvaret för säkerhetsprövningen av ordinarie domare och hyresråd som inte är chefer för en domstol eller nämnd så innebär bestämmelsen ett förtydligande av den ordning som redan gäller och stämmer överens med grundtanken om att säkerhetsprövningen bäst görs i den verksamhet som deltagandet avser.21

Som vi kommer att återkomma till under våra överväganden i avsnitt 7.4.7 innebär bestämmelsen en skillnad jämfört med vad som gällde enligt 27 § 1996 års säkerhetsskyddslag. Enligt den bestämmelsen var det den som bestämde om registerkontroll som självständigt avgjorde om den person som prövades skulle få anlitas. Det innebar att en aktör kunde ha ansvar för att göra en säkerhetsprövning baserad på de personliga förhållandena medan, om det blev fråga om placering i säkerhetsklass och därmed registerkontroll, det var den aktör som bestämde om registerkontrollen som var ansvarig för säkerhetsprövningen.

4.7.3 Placering i säkerhetsklass

Enligt 3 kap. 5 § säkerhetsskyddslagen ska en anställning eller något annat deltagande i säkerhetskänslig verksamhet placeras i säkerhetsklass i den utsträckning som följer av 3 kap. 6–10 §§ samma lag.

20Prop. 2017/18:89 s. 99.

21Prop. 2020/21:11 s. 11 f.

4SÄKERHETSSKYDDSREGLERINGEN ENLIGT SÄKERHETSSKYDDSLAGEN OCH SÄKERHETSSKYDDSFÖRORDNINGEN M.M.

Det finns tre säkerhetsklasser. Vilken klass anställningen eller deltagandet ska placeras i styrs av vilken tillgång den anställde eller den som på annat sätt deltar i verksamheten har till säkerhetsskyddsklassificerade uppgifter eller vilka möjligheter han eller hon har att, till följd av sitt deltagande i verksamheten, orsaka skada för Sveriges säkerhet, se 3 kap. 6–8 §§ säkerhetsskyddslagen. Vad gäller de säkerhetsskyddsklassificerade uppgifterna är det bara tillgång till uppgifter i skyddsklassen kvalificerat hemlig, hemlig eller konfidentiell som innebär att befattningen placeras i säkerhetsklass. Utöver det är även mängden av uppgifter av betydelse. För att placera en befattning i säkerhetsklass krävs det att det handlar om en ”omfattning som inte är ringa” eller ”i ringa omfattning”. Det innebär att om uppgifter av en viss klass endast förekommer i mindre omfattning ska befattningen placeras i nästa lägre klass. För verksamhet som är säkerhetskänslig på annan grund än hantering av säkerhetsskyddsklassificerade uppgifter delas de säkerhetsklassade befattningarna in utifrån skadenivåerna synnerligen allvarlig, allvarlig eller inte obetydlig skada för Sveriges säkerhet. Enligt förarbetena bör säkerhetsskyddsanalysen användas som stöd för bedömningen.22

Placering i säkerhetsklass kan också enligt 3 kap. 9 § säkerhetsskyddslagen behöva göras till följd av ett internationellt åtagande om säkerhetsskydd. I 3 kap. 10 § säkerhetsskyddslagen sägs att en anställning eller något annat deltagande får placeras i säkerhetsklass endast om behovet av säkerhetsskydd inte kan tillgodoses på något annat sätt. Enligt förarbetena ska det alltid övervägas om verksamheten är organiserad på ett optimalt sätt utifrån skyddsbehovet och om alternativa säkerhetsskyddsåtgärder i stället kan användas.23

I 3 kap. 12 § säkerhetsskyddslagen anges att det är riksdagen och dess myndigheter som beslutar om placering i säkerhetsklass när det gäller riksdagens förvaltningsområde. I övrigt beslutar regeringen om placering i säkerhetsklass. Regeringen får meddela föreskrifter om att myndigheter och andra får besluta om placering i säkerhetsklass. Den beslutanderätten regleras närmare i 5 kap. 6–11 §§ säkerhetsskyddsförordningen.

4.7.4 Registerkontroll och särskild personutredning

Om en anställning eller ett deltagande i verksamheten har placerats i säkerhetsklass ska det enligt 3 kap. 14 § första stycket säkerhetsskyddslagen göras en registerkontroll. Med registerkontroll avses enligt 3 kap. 13 § säkerhetsskyddslagen att uppgifter hämtas från ett register som omfattas av lagen (1998:620) om belastningsregister eller lagen (1998:621) om misstankeregister. Vidare avses också att uppgifter hämtas som behandlas med stöd av lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område eller lagen (2019:1182) om Säkerhetspolisens behandling av personuppgifter. Dessa uppgifter får inhämtas för placering i samtliga säkerhetsklasser. För placering i säkerhetsklass 1 och 2 får uppgifterna hämtas även för

22Prop. 2017/18:89 s. 147.

23Prop. 2017/18:89 s. 147.

2020/21:URF3

4SÄKERHETSSKYDDSREGLERINGEN ENLIGT SÄKERHETSSKYDDSLAGEN OCH SÄKERHETSSKYDDSFÖRORDNINGEN M.M.

den kontrollerades make eller sambo, se 3 kap. 14 § andra stycket säkerhetsskyddslagen. Enligt 3 kap. 14 § första stycket säkerhetsskyddslagen ska uppgifter löpande hämtas under den tid deltagandet i den säkerhetskänsliga verksamheten pågår. Det innebär enligt förarbetena att registerkontrollen i praktiken innebär en kontinuerlig bevakning av tillkommande uppgifter (s.k. spontanutfall).24

Registerkontroll är alltså i huvudsak förbehållen fall där anställningen eller deltagandet i verksamheten har placerats i säkerhetsklass. Om det finns särskilda skäl får dock, enligt 3 kap. 15 § säkerhetsskyddslagen, registerkontroll av någon som ska delta i säkerhetskänslig verksamhet göras utan föregående placering i säkerhetsklass. Regeringen får meddela föreskrifter om sådan registerkontroll. Föreskrifterna får dock inte gälla för riksdagen och dess myndigheter.

Om en befattning har placerats i säkerhetsklass 1 eller 2 ska det enligt 3 kap. 17 § säkerhetsskyddslagen även göras en särskild personutredning. Den ska omfatta en undersökning av den kontrollerades ekonomiska förhållanden. I övrigt ska utredningen ha den omfattning som behövs.

I 5 kap. 12–21 §§ säkerhetsskyddsförordningen finns ytterligare bestämmelser om registerkontroll och särskild personutredning. Där framgår bl.a. att det är Säkerhetspolisen som ska utföra registerkontrollen och den särskilda personutredningen, se 5 kap. 15 och 18 §§ säkerhetsskyddsförordningen.

4.8 Säkerhetsskyddsavtal

Enligt 2 kap. 6 § första stycket säkerhetsskyddslagen ska statliga myndigheter, kommuner och regioner som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader i vissa fall se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd enligt 2 kap. 1 § ska tillgodoses av leverantören. Det ska de göra dels om det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, dels om upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Det senare kan enligt förarbetena inträffa t.ex. vid en upphandling av informationssystem eller andra elektroniska kommunikationslösningar som avser vitala funktioner för samhället och som medför höga krav på tillgänglighet och riktighet. Det kan även gälla situationer där den säkerhetskänsliga verksamheten enbart i begränsad omfattning avser säkerhetsskyddsklassificerade uppgifter.

I 2 kap. 6 § andra stycket säkerhetsskyddslagen anges att verksamhetsutövaren ska kontrollera att leverantören följer säkerhetsskyddsavtalet. Kraven på säkerhetsskyddsavtal och kontroll gäller enligt 2 kap. 6 § tredje stycket säkerhetsskyddslagen även för enskilda verksamhetsutövare som i motsvarande fall

24Prop. 2017/18:89 s. 149.

4SÄKERHETSSKYDDSREGLERINGEN ENLIGT SÄKERHETSSKYDDSLAGEN OCH SÄKERHETSSKYDDSFÖRORDNINGEN M.M.

ingår avtal om varor, tjänster och byggentreprenader med utomstående leverantörer.

De intressen som säkerhetsskyddslagen slår vakt om ska alltså ha samma skydd oavsett om verksamheten bedrivs av det allmänna eller av enskilda. Hänvisningen till 2 kap. 1 § säkerhetsskyddslagen innebär att säkerhetsskyddet inte får göras mindre långtgående än vad som följer av den bestämmelsen. En enskild aktör som omfattas av lagstiftningen kan alltså inte genom ett säkerhetsskyddsavtal åläggas mindre omfattande säkerhetsskyddsåtgärder än de som redan gäller för verksamheten enligt säkerhetsskyddslagen.25

I 2 kap. 5–8 §§ säkerhetsskyddsförordningen finns ytterligare bestämmelser om säkerhetsskyddsavtal. Enligt 2 kap. 5 § säkerhetsskyddsförordningen gäller en anmälningsskyldighet till tillsynsmyndigheten om en verksamhetsutövare avser att ingå ett säkerhetsskyddsavtal. Anmälan syftar till att uppmärksamma tillsynsmyndigheten på eventuellt behov av placering i säkerhetsklass och ska också utgöra underlag för myndighetens arbete med tillsyn över säkerhetsskyddet. Där sägs också att en statlig myndighet som avser att genomföra en upphandling som innebär krav på säkerhetsskyddsavtal i vissa fall måste vidta särskilda åtgärder. Det gäller om leverantören kan få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre utanför myndighetens lokaler eller om leverantören kan få tillgång till säkerhetskänsliga informationssystem utanför myndighetens lokaler och obehörig åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet. Myndigheten ska i sådana fall, innan förfarandet inleds, genom en särskild säkerhetsskyddsbedömning identifiera och dokumentera vilka säkerhetsskyddsklassificerade uppgifter eller säkerhetskänsliga informationssystem som leverantören kan få del av och som kräver säkerhetsskydd. Myndigheten ska också samråda med den myndighet som utövar tillsyn över den aktuella verksamheten, se 2 kap. 6 § säkerhetsskyddsförordningen. Förutom en anmälningsskyldighet inför ett eventuellt ingående av ett säkerhetsskyddsavtal gäller också enligt 2 kap. 7 § säkerhetsskyddsförordningen en skyldighet för den som har ingått ett säkerhetsskyddsavtal att anmäla det till Säkerhetspolisen. En sådan anmälan ska också göras när ett säkerhetsskyddsavtal upphör att gälla.

I 7 kap. Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd finns kompletterande regler om säkerhetsskyddsavtal. I 7 kap. 1 § föreskriften sägs bl.a. att en verksamhetsutövare som avser att genomföra en upphandling eller motsvarande som rör säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen begränsat hemlig eller säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet, ska säkerställa att säkerhetsskyddet regleras på något annat sätt än genom ett säkerhetsskyddsavtal. Enligt 7 kap. 3 § föreskriften ska ett säkerhetsskyddsavtal ingås på någon av tre nivåer. Vilken nivå som ska väljas beror på i vilka lokaler eller utrymmen (verksamhetsutövarens egna eller andra) leverantören kan komma att få tillgång till säkerhets-

25Prop. 2017/18:89 s. 141.

2020/21:URF3

4SÄKERHETSSKYDDSREGLERINGEN ENLIGT SÄKERHETSSKYDDSLAGEN OCH SÄKERHETSSKYDDSFÖRORDNINGEN M.M.

skyddsklassificerade uppgifter eller säkerhetskänslig verksamhet, vilken klassificering dessa uppgifter har samt vilken skada för Sveriges säkerhet åtkomst till den säkerhetskänsliga verksamheten kan medföra. I föreskriften finns det också bestämmelser om bl.a. bedömning av leverantörens lämplighet och kontroll samt vad som gäller när säkerhetsskyddsavtalet har upphört.

4.9Överlåtelse av säkerhetskänslig verksamhet och viss egendom

I 2 kap. 7–14 §§ säkerhetsskyddslagen finns det bestämmelser om överlåtelse av säkerhetskänslig verksamhet och viss egendom. Enligt bestämmelserna ska det inför sådana överlåtelser göras en särskild säkerhetsskyddsbedömning och lämplighetsprövning. Om lämplighetsprövningen leder till bedömningen att överlåtelsen inte är olämplig från säkerhetsskyddssynpunkt ska verksamhetsutövaren samråda med en särskild samrådsmyndighet, vilken enligt 2 kap. 9 § säkerhetsskyddsförordningen är Säkerhetspolisen eller Försvarsmakten. Samrådsmyndigheten har rätt att, under vissa förutsättningar, förelägga verksamhetsutövaren att vidta åtgärder för att fullgöra sina skyldigheter, och ytterst kan myndigheten besluta att överlåtelsen inte får genomföras.

Bestämmelserna kompletteras av 2 kap. 9–9 c §§ säkerhetsskyddsförordningen.

4.10Internationell säkerhetsskyddssamverkan och säkerhetsintyg

Av internationella överenskommelser som Sverige har ingått framgår att en behörig svensk myndighet ska kunna utfärda säkerhetsintyg för personer och leverantörer på begäran av en annan stat eller mellanfolklig organisation (s.k. security clearance eller certificat de sécurité). Intyget syftar till att visa att en behörig myndighet i ett land har genomfört en utredning och i den kommit fram till att en person eller en leverantör kan anses pålitlig att hantera säkerhetsskyddsklassificerade uppgifter upp till en viss nivå.26

I 4 kap. säkerhetsskyddslagen finns det bestämmelser om internationell säkerhetssamverkan och säkerhetsintyg. I 4 kap. 1 § säkerhetsskyddslagen anges under vilka förutsättningar ett säkerhetsintyg ska kunna utfärdas. Om det behövs för att ett säkerhetsintyg ska kunna utfärdas, får det enligt 4 kap. 2 § säkerhetsskyddslagen göras en säkerhetsprövning som innefattar registerkontroll. Vid en sådan registerkontroll får det göras en särskild personutredning.

26Se prop. 2017/18:89 s. 116.

4SÄKERHETSSKYDDSREGLERINGEN ENLIGT SÄKERHETSSKYDDSLAGEN OCH SÄKERHETSSKYDDSFÖRORDNINGEN M.M.

4.11Tystnadsplikt

I 5 kap. 2 § säkerhetsskyddslagen finns en kompletterande bestämmelse till offentlighets- och sekretesslagen om tystnadsplikt. Av bestämmelsens första stycke framgår att tystnadsplikt gäller för den som på grund av anställning eller på annat sätt deltar eller har deltagit i säkerhetskänslig verksamhet enligt säkerhetsskyddslagen. Bestämmelsen innebär alltså att den som har deltagit i säkerhetskänslig verksamhet inte obehörigen får föra vidare eller på annat sätt utnyttja uppgifter som är av betydelse för Sveriges säkerhet eller som Sverige i förhållande till en annan stat eller mellanfolklig organisation har åtagit sig att skydda. I andra stycket finns en upplysning om att det i det allmännas verksamhet i stället är bestämmelserna i offentlighets- och sekretesslagen som tilllämpas.

Bestämmelsen är ny i förhållande till 1996 års säkerhetsskyddslag och motiveras i förarbetena med att säkerhetsskyddsklassificerade uppgifter bör ha samma skydd oavsett i vilken verksamhet som uppgifterna finns.27 En del av utredningens uppdrag är att utreda tillämpligheten av 5 kap. 2 § första stycket säkerhetsskyddslagen på anställda i partigruppernas kanslier och vi återkommer till den frågan i avsnitt 7.5.

4.12 Tillsyn, föreskrifter och rådgivning

I 5 kap. 4 § säkerhetsskyddslagen anges att den myndighet som regeringen bestämmer ska utöva tillsyn över säkerhetsskyddet hos myndigheter och andra som lagen gäller för. Regeringen bemyndigas också att bestämma vilken myndighet som får utöva tillsyn hos leverantörer som har ingått säkerhetsskyddsavtal. Enligt 5 kap. 5 § säkerhetsskyddslagen kan regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen (RF) meddela verkställighetsföreskrifter.

Vilka myndigheter som ska utöva tillsyn och vilka myndigheter som har rätt att meddela föreskrifter regleras i 7 kap. 1–9 §§ säkerhetsskyddsförordningen. Av bestämmelserna framgår bl.a. att det är Säkerhetspolisen som ska utöva tillsyn över säkerhetsskyddet när det gäller merparten av myndigheterna under regeringen.

I 7 kap. 10 § säkerhetsskyddsförordningen sägs att Säkerhetspolisen och Försvarsmakten på begäran ska lämna råd om säkerhetsskydd till Regeringskansliet, riksdagen och dess myndigheter och Justitiekanslern. Säkerhetspolisen och Försvarsmakten ska informera varandra när de har lämnat råd.

27Prop. 2017/18:89 s. 120.

2020/21:URF3

4SÄKERHETSSKYDDSREGLERINGEN ENLIGT SÄKERHETSSKYDDSLAGEN OCH SÄKERHETSSKYDDSFÖRORDNINGEN M.M.

4.13Föreslagna ändringar enligt lagrådsremissen Ett starkare skydd för Sveriges säkerhet

4.13.1 Bakgrund

Under arbetet med att ta fram den nya säkerhetsskyddsregleringen uppmärksammades att det fanns behov av även andra åtgärder än de som dittills hade föreslagits. Exempelvis ställde sig ett flertal remissinstanser kritiska till de förslag som hade lämnats i SOU 2015:25 i fråga om sanktioner och tillsyn. Re- geringen beslutade därför att ge en särskild utredare i uppdrag att titta närmare på bl.a. de frågorna (dir. 2017:32 och 2018:2). Till särskild utredare utsågs f.d. lagmannen Stefan Strömberg.

Utredningen lämnade i november 2018 betänkandet Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82). Betänkandet har resulterat i bestämmelserna i 2 kap. 7–16 §§ säkerhetsskyddslagen som har till syfte att skydda Sveriges säkerhet vid överlåtelser av säkerhetskänslig verksamhet. Be- stämmelserna trädde i kraft den 1 januari 2021.28 Övriga förslag återfinns i lagrådsremissen Ett starkare skydd för Sveriges säkerhet (i fortsättningen kallad lagrådsremissen). I avsnitten nedan finns en redogörelse av de delar som är relevanta för vår utredning.29 Förslagen föreslås träda i kraft den 1 december 2021.

4.13.2 Föreslagna ändringar i fråga om säkerhetsskyddschefen30

I lagrådsremissen konstateras att det finns ett behov av att skärpa säkerhetsskyddslagstiftningen. En del i det är att skärpa säkerhetsskyddschefens roll. Enligt regeringen visar den kartläggning som har gjorts i SOU 2018:82 att det ofta förekommer brister i kommunikationen mellan en verksamhetsutövares säkerhetsfunktion och dess ledning. Samtidigt är det ofta ledningen som beslutar i större frågor som rör den säkerhetskänsliga verksamheten, t.ex. om upphandlingar och utkontrakteringar som kan innebära att någon utomstående får tillgång till verksamheten. För att ett väl anpassat säkerhetsskydd ska kunna upprätthållas måste verksamhetsutövare beakta säkerhetsskyddsaspekter tidigt i olika beslutsprocesser. Bland annat detta visar hur viktigt det är att säkerhetsskyddschefen organisatoriskt finns nära verksamhetsutövarens ledning och chef. En sådan ordning skapar förutsättningar för en bättre kommunikation mellan säkerhetsfunktionen och ledningen och medför att säkerhetsskyddsfrågorna får hög prioritet. Vidare ger det säkerhetsskyddschefen möjlighet att få en bild av hela verksamhetens skyddsvärden, vilket är en förutsättning för det interna säkerhetsskyddsarbetet. Regeringen anser därför att det bör införas ett

28Se propositionen Åtgärder till skydd för Sveriges säkerhet vid överlåtelser av säkerhetskänslig verksamhet (prop. 2020/21:13) med efterföljande bet. 2020/21:JuU10 och rskr. 2020/21:79.

29I lagrådsremissen föreslås även vissa bestämmelser om bl.a. tillsyn, överklagande och handläggning etc. och att det ska införas en möjlighet att i vissa fall tillgripa tvångsåtgärder. För en redogörelse för de förslagen hänvisar vi till lagrådsremissen i fråga.

30Lagrådsremissen Ett starkare skydd för Sveriges säkerhet s. 21 f.

4SÄKERHETSSKYDDSREGLERINGEN ENLIGT SÄKERHETSSKYDDSLAGEN OCH SÄKERHETSSKYDDSFÖRORDNINGEN M.M.

generellt krav på verksamhetsutövare att säkerhetsskyddschefen ska vara direkt underställd chefen för verksamhetsutövarens verksamhet. Genom ett sådant krav kommer säkerhetsskyddschefen typiskt sett att ingå i en ledningsgrupp och vara en organisatorisk del av ledningen, vilket ger bättre förutsättningar för att säkerhetsskyddsfrågor uppmärksammas och beaktas i den dagliga styrningen av verksamheten. Kravet hindrar dock inte att verksamhetsutövare organiserar sitt säkerhetsskyddsarbete på en rad olika sätt, t.ex. genom att bedriva det inom flera enheter i en organisation.

När det så gäller säkerhetsskyddschefens ansvar anser regeringen att säkerhetsskyddschefens nuvarande funktion enligt säkerhetsskyddsförordningen – att kontrollera att verksamheten bedrivs i enlighet med säkerhetsskyddslagen och säkerhetsskyddsförordningen – är viktig och behöver finnas kvar. Kontrollansvaret bör dock även avse de myndighets- och verkställighetsföreskrifter som meddelats i anslutning till säkerhetsskyddslagen. Regeringen ser också skäl för att förtydliga och utvidga säkerhetsskyddschefens roll i arbetet med att ta fram och bibehålla ett väl anpassat säkerhetsskydd. Säkerhetsskyddschefen bör därför även ha som uppgift att leda och samordna säkerhetsskyddsarbetet i verksamheten. På så sätt stärks säkerhetsskyddschefens roll ytterligare. Det fråntar dock inte det ansvar för säkerhetsskyddet som ligger på den som är ytterst ansvarig för verksamhetsutövaren. Vidare anser regeringen att det inte bör vara tillåtet att delegera säkerhetsskyddschefens ansvar. Skälet till det är att det alltid bör finnas en person som har ansvaret för att kontrollera att säkerhetsskyddsregleringen följs och som har en helhetsbild av verksamhetens skyddsvärden och säkerhetsskydd. Eftersom de föreslagna bestämmelserna om krav på säkerhetsskyddschef och dennes organisatoriska ställning och ansvar innebär åligganden för enskilda, bör de placeras i säkerhetsskyddslagen i stället för säkerhetsskyddsförordningen. Liksom tidigare bör kravet på säkerhetsskyddschef endast gälla under förutsättning att det inte är uppenbart obehövligt. Så kan vara fallet om den säkerhetskänsliga verksamheten är av en mycket begränsad omfattning.

4.13.3 Föreslagna ändringar i fråga om säkerhetsskyddsavtal31

Skyldigheten att ingå säkerhetsskyddsavtal utvidgas

I SOU 2018:82 identifieras ett antal situationer där avsaknaden av säkerhetsskyddsavtal kan medföra negativa konsekvenser. Exempelvis krävs det inte säkerhetsskyddsavtal inför avtal, samverkan och samarbeten som inte sker i anslutning till offentlig upphandling eller annan anskaffning. Det finns inte heller krav på säkerhetsskyddsavtal inför förfaranden då verksamhetsutövaren är leverantör och beställaren kan få tillgång till säkerhetskänslig verksamhet genom uppdraget. Vidare är det oklart om det krävs säkerhetsskyddsavtal när statliga myndigheter ska ingå avtal om varor, tjänster eller byggentreprenader med andra statliga myndigheter. Mot bakgrund av de risker för Sveriges säker-

31Lagrådsremissen Ett starkare skydd för Sveriges säkerhet s. 26 f.

2020/21:URF3

4SÄKERHETSSKYDDSREGLERINGEN ENLIGT SÄKERHETSSKYDDSLAGEN OCH SÄKERHETSSKYDDSFÖRORDNINGEN M.M.

het som avsaknad av säkerhetsskyddsavtal kan innebära i vissa situationer – och i linje med principen om att säkerhetskänslig verksamhet ska ha samma skydd oavsett var och hur verksamheten bedrivs – anser regeringen att skyldigheten att ingå säkerhetsskyddsavtal inte bör vara begränsad till offentlig upphandling och andra anskaffningar. I stället bör risken för att en annan aktör får tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet, dvs. själva exponeringen, vara avgörande. Kravet på säkerhetsskyddsavtal bör därmed gälla när en verksamhetsutövare avser att genomföra en upphandling, ingå ett avtal eller inleda en samverkan eller ett samarbete med en annan aktör under förutsättning att aktören genom förfarandet kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Kravet bör dock inte utvidgas till att omfatta när en myndighet har makt att med tvång bereda sig tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet. Mellan statliga myndigheter bör kravet på säkerhetsskyddsavtal endast gälla anskaffning av varor, tjänster och byggentreprenader. Det innebär att rena samverkanssituationer för statliga myndigheter undantas från kravet på säkerhetsskyddsavtal. Ledning för tolkning av begreppet anskaffning av vara, tjänst eller byggentreprenad kan enligt regeringen hämtas ur upphandlingslagstiftningen. Enligt förarbetena till 1 kap. 2 § lagen (2016:1145) om offentlig upphandling avser uttrycket att någon genom oneröst fång, dvs. ett ömsesidigt förpliktande avtal, får tillgång till varor, tjänster eller byggentreprenader. Typfall är köp, hyra och leasing.

Vidare anser regeringen att det bör tydliggöras att säkerhetsskyddsavtal ska vara på plats innan den andra aktören kan få tillgång till den säkerhetskänsliga verksamheten just för att verksamheten aldrig ska stå utan skydd, likaså verksamhetsutövarens skyldighet att i vissa fall ingå säkerhetsskyddsavtal med underleverantörer. Det bör också krävas att säkerhetsskyddsavtalet ingås innan underleverantören kan få tillgång till den säkerhetskänsliga verksamheten.

Kopplingen mellan säkerhetsskyddsavtal och säkerhetsprövning förtydligas

Av säkerhetsskyddslagen framgår inte tydligt att ett säkerhetsskyddsavtal kan utgöra grund för krav på säkerhetsprövning för anställning och annat deltagande i motpartens verksamhet eller att det kan utgöra grund för beslut om placering i säkerhetsklass, registerkontroll och särskild personutredning. Re- geringen anser att denna koppling bör klargöras i lag, särskilt eftersom en säkerhetsprövning kan uppfattas som integritetskränkande och påverka den kontrollerades anställning. Det föreslås därför att det ska framgå direkt av säkerhetsskyddslagen att bestämmelserna i 3 kap. säkerhetsskyddslagen och föreskrifter som har meddelats i anslutning till de bestämmelserna får tillämpas när ett säkerhetsskyddsavtal har ingåtts. För tydlighets skull bör det preciseras

4SÄKERHETSSKYDDSREGLERINGEN ENLIGT SÄKERHETSSKYDDSLAGEN OCH SÄKERHETSSKYDDSFÖRORDNINGEN M.M.

att det är för säkerhetsprövning enligt avtalet som bestämmelserna får tillämpas.

Kraven på uppföljning av och innehåll i säkerhetsskyddsavtal förtydligas

Enligt 2 kap. 6 § andra stycket säkerhetsskyddslagen ska verksamhetsutövaren kontrollera att leverantören följer säkerhetsskyddsavtalet. Däremot finns det inget krav som särskilt avser vad en verksamhetsutövare har för skyldigheter när en kontroll visar att motparten inte följer säkerhetsskyddsavtalet. Regeringen föreslår därför att det ska införas en bestämmelse i säkerhetsskyddslagen som tydliggör att en verksamhetsutövare ska vidta de åtgärder som behövs för att tillgodose kraven på säkerhetsskydd om motparten inte följer säkerhetsskyddsavtalet.

Vidare föreslås det att kravet på vad ett säkerhetsskyddsavtal ska innehålla kompletteras med ett krav på att det även ska reglera hur verksamhetsutövaren ska få kontrollera att säkerhetsskyddsavtalet följs och att verksamhetsutövaren har rätt att revidera detta avtal om det krävs på grund av ändrade förhållanden. Det föreslås också att det ska förtydligas att de krav som ställs på motparten ska göra att kraven på säkerhetsskydd kan bli tillgodosedda under förfarandet.

4.13.4 Föreslagna ändringar i fråga om utkontraktering m.m.32

Ytterligare åtgärder behövs för att hantera riskerna

I SOU 2018:82 identifieras ett antal problem och brister i säkerhetsskyddsarbetet som bl.a. yttrar sig vid utkontraktering av säkerhetskänslig verksamhet men också vid vissa upplåtelser och andra förfaranden där utomstående kan få tillgång till den säkerhetskänsliga verksamheten. Exempelvis förekommer det att myndigheter mer eller mindre tar för givet att säkerhetskänsliga delar av deras verksamheter ska utkontrakteras utan att myndigheterna dessförinnan har prövat det lämpliga i detta. Ett annat problem med den nuvarande regleringen är att den endast ger begränsade möjligheter att ingripa mot olämpliga utkontrakteringar. Vidare ger den inga skarpa verktyg för att ingripa i efterhand i en redan pågående utkontraktering. Därför anser regeringen att det finns ett stort behov av att utveckla regelverket om utkontraktering av säkerhetskänslig verksamhet och liknande förfaranden. I lagrådsremissen föreslås därför nya bestämmelser på de områden som framgår av de tre avsnitten nedan.

Krav på särskild säkerhetsskyddsbedömning och egen lämplighetsprövning

Statliga myndigheter som avser att genomföra en upphandling som innebär krav på säkerhetsskyddsavtal är enligt 2 kap. 6 § säkerhetsskyddsförordningen i vissa fall skyldiga att göra en särskild säkerhetsskyddsbedömning. Den

32Lagrådsremissen Ett starkare skydd för Sveriges säkerhet s. 44 f.

2020/21:URF3

4SÄKERHETSSKYDDSREGLERINGEN ENLIGT SÄKERHETSSKYDDSLAGEN OCH SÄKERHETSSKYDDSFÖRORDNINGEN M.M.

huvudsakliga innebörden av kravet är att verksamhetsutövaren ska identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den andra aktören kan få tillgång till genom förfarandet och som kräver säkerhetsskydd. Regeringen anser att kravet på att göra en sådan särskild säkerhetsskyddsbedömning bör utvidgas. I linje med vad som föreslås i fråga om säkerhetsskyddsavtal bör skyldigheten som utgångspunkt gälla för alla de typer av avtal och förfaranden som omfattas av kravet på säkerhetsskyddsavtal. Det innebär alltså att en verksamhetsutövare måste göra en särskild säkerhetsskyddsbedömning innan den inleder en upphandling, ingår ett avtal eller påbörjar en samverkan eller ett samarbete som innebär att den andra aktören kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre. Samma skyldighet gäller om den andra aktören genom förfarandet kan få tillgång till annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Vidare föreslår regeringen, i likhet med vad som gäller vid överlåtelse av säkerhetskänslig verksamhet eller annan egendom, att det ska införas ett uttryckligt krav på lämplighetsprövning vid en utkontraktering eller ett liknande förfarande som gäller säkerhetskänslig verksamhet. Lämplighetsprövningen ska klarlägga om det aktuella förfarandet kan leda till skadekonsekvenser på nationell nivå och utmynna i en bedömning av om förfarandet är lämpligt från säkerhetsskyddssynpunkt. Den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen bör göras innan det aktuella förfarandet inleds. Om lämplighetsprövningen leder fram till bedömningen att förfarandet inte är lämpligt, får det inte inledas.

En utvidgad skyldighet att samråda och en förbudsmöjlighet införs

Vilka åtgärder som bör vidtas för att skydda känsliga uppgifter eller verksamheter kan vara en komplex bedömning. Enligt regeringen finns det därför starka skäl för att ställa krav på att verksamhetsutövare, utöver att göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning, i vissa fall ska samråda med tillsynsmyndigheten (dvs. Säkerhetspolisen, för de flesta myndigheter under regeringen) innan ett sådant förfarande inleds. Regeringen föreslår därför en samrådsskyldighet i två situationer, givet att det är fråga om ett förfarande som omfattas av krav på säkerhetsskyddsavtal. Samrådsskyldigheten bör då gälla dels om förfarandet kan ge den andra aktören tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre, dels om förfarandet kan ge den andra aktören tillgång till annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. För att samrådet ska vara verkningsfullt och motverka potentiellt skadlig exponering av uppgifter eller verksamhet i övrigt, bör det påbörjas innan verksamhetsutövaren inleder det förfarande som medför krav på samråd. Utgångspunkten bör vara att samrådet ska ha avslutats innan det planerade förfarandet inleds. För att undvika att reglerna kringgås bör det även införas en möjlighet

4SÄKERHETSSKYDDSREGLERINGEN ENLIGT SÄKERHETSSKYDDSLAGEN OCH SÄKERHETSSKYDDSFÖRORDNINGEN M.M.

för tillsynsmyndigheten att inleda ett samråd, om verksamhetsutövaren inte gör det trots att det finns en samrådsskyldighet.

Regeringen föreslår också att tillsynsmyndigheten ska få förelägga verksamhetsutövaren att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen. Om ett beslut om föreläggande inte följs eller om tillsynsmyndigheten bedömer att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, bör tillsynsmyndigheten få besluta att verksamhetsutövaren inte får genomföra det planerade förfarandet.

Möjlighet att ingripa i efterhand

Regeringen konstaterar att säkerhetsskyddslagstiftningen inte innehåller några skarpa verktyg som tillsynsmyndigheten kan använda för att ingripa i en redan pågående utkontraktering som bedöms som olämplig. Trots de föreslagna bestämmelserna om samråd, förelägganden och förbud kan det inte uteslutas att det ändå inträffar att förfaranden påbörjas och först därefter bedöms som olämpliga. En sådan situation skulle exempelvis kunna uppstå om verksamhetsutövaren felaktigt bedömer att förfarandet inte omfattas krav på samråd eller om väsentliga förhållanden, t.ex. i fråga om hotbilder eller den säkerhetskänsliga verksamhetens karaktär, ändras efter det att förfarandet har inletts.

Om ett pågående förfarande som omfattas av ett krav på säkerhetsskyddsavtal är olämpligt från säkerhetsskyddssynpunkt bör därför tillsynsmyndigheten få besluta om de förelägganden mot verksamhetsutövaren och den andra aktören i förfarandet som behövs för att förhindra skada för Sveriges säkerhet. Ett sådant beslut om föreläggande bör få förenas med vite.

4.14Föreslagna ändringar enligt promemorian Säkerhetsskyddsreglering för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet (Ds 2020:11)

4.14.1 Bakgrund

I samband med att proposition 2017/18:89 behandlades i riksdagen väcktes en motion (mot. 2017/18:3999) om att Regeringskansliet skulle omfattas av samtliga regler i den nya lagen. Frågan diskuterades av justitieutskottet som i sitt betänkande över lagförslaget (bet. 2017/18:JuU21) ifrågasatte lämpligheten av undantaget för Regeringskansliet med tanke på vikten av dess förmåga att hantera säkerhetskänslig verksamhet. Konstitutionsutskottet, som getts tillfälle att yttra sig över frågan, anförde dock att en ordning som skulle innebära att Re- geringskansliet omfattas av samtliga bestämmelser i den nya säkerhetsskyddslagen väckte vissa frågor av konstitutionellt slag. En ordning där en, eller möjligen flera, statliga tillsynsmyndigheter har tillsyn över Regeringskansliet var mot bakgrund av bestämmelserna i regeringsformen inte självklar, enligt

2020/21:URF3

4SÄKERHETSSKYDDSREGLERINGEN ENLIGT SÄKERHETSSKYDDSLAGEN OCH SÄKERHETSSKYDDSFÖRORDNINGEN M.M.

konstitutionsutskottet. Dessutom anmärkte konstitutionsutskottet att det även kunde finnas andra aspekter att beakta ur ett konstitutionellt perspektiv (dock utan att nämna vilka dessa kunde vara).

Justitieutskottet instämde i detta, men ansåg att frågan borde utredas närmare och att så många bestämmelser som möjligt i säkerhetsskyddslagen borde omfatta Regeringskansliet. Justitieutskottet föreslog därför att riksdagen skulle ställa sig bakom utskottets förslag och tillkännage för regeringen att det borde utredas om säkerhetsskyddslagen i större omfattning än vad som föreslogs i propositionen skulle gälla för Regeringskansliet. Riksdagen beslutade den 16 maj 2018 att bifalla utskottets förslag (rskr. 2017/18:289).

I maj 2019 fick en utredare, även denna gång f.d. lagmannen Stefan Strömberg, i uppdrag att bl.a. analysera regleringen om säkerhetsskydd i Regeringskansliet, utlandsmyndigheterna och kommittéväsendet och ta ställning till om det finns behov av att ytterligare bestämmelser i säkerhetsskyddslagen och säkerhetsskyddsförordningen ska omfatta även dessa myndigheter. I uppdraget ingick inte att överväga någon förändring när det gäller tillsynens omfattning.

Utredaren överlämnade i maj 2020 promemorian Säkerhetsskyddsreglering för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet (Ds 2020:11). Förslagen, som vi redogör för i avsnitten nedan, är under beredning i Regeringskansliet.

4.14.2Samtliga bestämmelser i säkerhetsskyddslagen bör gälla för Regeringskansliet, utlandsmyndigheterna och kommitté- väsendet

Enligt Ds 2020:11 bör det vara tydligt att kraven på Regeringskansliet, utlandsmyndigheterna och kommittéväsendet i grunden är desamma som på andra myndigheter. Regeringskansliet, utlandsmyndigheterna och kommitté- väsendet har genom sina interna föreskrifter höga krav på säkerhetsskydd redan i dag men reglerna bör, så långt som möjligt, vara lika som för andra säkerhetskänsliga verksamheter. Endast det som behöver regleras i särskild ordning eller som utgör förtydliganden till lagen och förordningen bör finnas i interna föreskrifter.

Utredningen föreslår att samtliga bestämmelser i säkerhetsskyddslagen bör gälla för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet. Det sägs att de bestämmelser som nu är undantagna i lagen är bestämmelser som är eller har karaktären av upplysningsbestämmelser, dvs. bestämmelserna innebär inte några krav i sig. Eftersom det är i säkerhetsskyddsförordningen som det anges vilka bestämmelser i lagen och förordningen som gäller för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet krävs ingen ändring i säkerhetsskyddslagen utan enbart i säkerhetsskyddsförordningen.

4SÄKERHETSSKYDDSREGLERINGEN ENLIGT SÄKERHETSSKYDDSLAGEN OCH SÄKERHETSSKYDDSFÖRORDNINGEN M.M.

4.14.3Även flertalet bestämmelser i säkerhetsskyddsförordningen bör gälla för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet

Utredningen anser att utgångspunkten bör vara att säkerhetsskyddsförordningens bestämmelser ska gälla för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet. Utredningen pekar dock på några bestämmelser som bör undantas.

Ett sådant undantag är kravet på säkerhetsskyddschef. Enligt utredningen har det i och för sig inte kommit fram några skäl till varför Regeringskansliet, utlandsmyndigheterna och kommittéväsendet inte ska omfattas av kravet på att det ska finnas en sådan chef. Det kan dock ifrågasättas om det är lämpligt att dessa ska träffas av en bestämmelse som anger att säkerhetsskyddschefen ska vara direkt underställd myndighetens chef. Regeringskansliet har en särställning som beredningsorgan till regeringen. Det framstår som att det är tveksamt att i säkerhetsskyddsförordningen ange krav på Regeringskansliets organisation, och därför bör bestämmelsen om säkerhetsskyddschefens placering i organisationen undantas även i fortsättningen. Utredningen anser vidare att det bör övervägas om säkerhetsskyddschefens roll och mandat bör tydliggöras i den interna regleringen. Det bör finnas en säkerhetsskyddschef som är direkt underställd myndighetens ledning. Bestämmelse bör finns på förordningsnivå, lämpligen i förordningen (1996:1515) med instruktion för Regeringskansliet. Det bör också tydliggöras vilket ansvar säkerhetsskyddschefen har för de verksamhetsgemensamma delarna hos Regeringskansliet, utlandsmyndigheterna och kommittéerna, t.ex. för informationssystem. Det bör finnas en samordnad reglering för de olika aktörerna, t.ex. en gemensam föreskrift om säkerhetsskydd i dessa delar.

Det finns inte heller skäl att ändra den ordning som gäller i dag om att Re- geringskansliet, utlandsmyndigheterna och kommittéväsendet är undantagna från bestämmelserna om tillsyn i säkerhetsskyddsförordningen. Utredningen anser att det inte är lämpligt att en förvaltningsmyndighet som lyder under regeringen ska utöva tillsyn över Regeringskansliet, utlandsmyndigheterna och kommittéväsendet. Då dessa aktörer inte ska vara underkastade tillsyn bör de även undantas från vissa bestämmelser om anmälan till och samråd med en tillsynsmyndighet. De bestämmelser det gäller är

•samrådskravet i 2 kap. 6 § andra stycket säkerhetsskyddsförordningen vid säkerhetsskyddsavtal

•samrådskravet i 2 kap. 9 § säkerhetsskyddsförordningen vid överlåtelse av säkerhetskänslig verksamhet

•anmälningsskyldigheten i 2 kap. 10 § säkerhetsskyddsförordningen vid säkerhetshotande händelser och verksamhet

•samrådskravet i 3 kap. 2 § säkerhetsskyddsförordningen innan driftsättning av vissa nya informationssystem.

Utredningen påpekar dock att det ändå är lämpligt att Regeringskansliet, utlandsmyndigheterna och kommittéväsendet rådgör med Säkerhetspolisen och

2020/21:URF3

4SÄKERHETSSKYDDSREGLERINGEN ENLIGT SÄKERHETSSKYDDSLAGEN OCH SÄKERHETSSKYDDSFÖRORDNINGEN M.M.

Försvarsmakten inom ramen för dessas rådgivningsskyldighet enligt 7 kap. 10 § säkerhetsskyddsförordningen.

4.14.4 Säkerhetsskyddet bör granskas

Utredningen anser alltså att det inte är lämpligt att en extern myndighet utövar tillsyn över Regeringskansliet, utlandsmyndigheterna och kommittéväsendet. För att säkerställa att kraven enligt säkerhetsskyddsregleringen uppfylls bör ändå säkerhetsskyddet hos dessa granskas. Det bör göras internt inom myndigheterna. Enligt utredningen bör det göras en översyn över arbetet som avser granskning av säkerhetsskyddsarbetet i Regeringskansliet, utlandsmyndigheterna respektive kommittéväsendet och det bör vara Regeringskansliets uppgift att inrätta en granskningsfunktion. Funktionen bör granska att kraven i säkerhetsskyddsregleringen uppfylls, t.ex. att säkerhetsskyddsanalys genomförs, hålls uppdaterad och dokumenteras och att relevanta säkerhetsskyddsåtgärder, dvs. åtgärder inom fysisk säkerhet, personalsäkerhet och informationssäkerhet, vidtas. Funktionen bör även granska det gemensamma säkerhetsskyddet, dvs. oavsett om säkerhetsskyddsarbetet bedrivs i Regeringskansliet, vid en utlandsmyndighet eller en kommitté. Granskningsfunktionens arbete bör vara liknande det arbete som bedrivs av tillsynsmyndigheterna inom säkerhetsskyddet. Funktionen bör tilldelas ett starkt mandat och bör vid behov meddela beslut om åtgärder som syftar till att åstadkomma rättelse av den s.k. objektsansvarige. Vid granskning av säkerhetsskyddsverksamheten bör kompetens vid expertmyndigheter såsom Säkerhetspolisen, Försvarsmakten och Försvarets radioanstalt användas i stor utsträckning.

2020/21:URF3

5Säkerhetsskyddsregleringen enligt lagen om säkerhetsskydd i riksdagen och dess myndigheter

I det här kapitlet redogör vi för bakgrunden till lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter. Vi går också igenom lagens bestämmelser.

5.1 Bakgrund till den nuvarande lagstiftningen

5.1.1 Lagen (1983:953) om säkerhetsskydd i riksdagen

Den 1 januari 1984 trädde lagen (1983:953) om säkerhetsskydd i riksdagen i kraft. Lagen i fråga gällde enbart för säkerhetsskyddet i riksdagen. Enligt lagen omfattade säkerhetsskyddet

•sekretesskydd (skydd mot att någon obehörig får kännedom om innehållet i en handling eller om en uppgift av annat slag som rör totalförsvaret, Sveriges förbindelser med annan stat eller mellanfolklig organisation eller säkerhets- eller bevakningsåtgärd avseende riksdagen, om sekretess gäller för uppgiften enligt vissa bestämmelser i dåvarande sekretesslagen [1980:100])

•tillträdesskydd (skydd mot att någon obehörig får tillträde till riksdagens lokaler)

•infiltrationsskydd (skydd mot att någon som inte är pålitlig från säkerhetssynpunkt ges arbetsuppgifter som rör totalförsvaret, Sveriges förbindelser med annan stat eller mellanfolklig organisation eller säkerhets- eller bevakningsåtgärd avseende riksdagen)

•information om sekretess-, tillträdes- och infiltrationsskyddet

•kontroll av sekretess-, tillträdes- och infiltrationsskyddet och av informationen om det skyddet.

Tyngdpunkten i lagen låg på tillträdesskyddet. Det fanns också bestämmelser om t.ex. beredskapsåtgärder mot brand och organisatoriska bestämmelser. Ett exempel på den senare kategorin var en bestämmelse om att det hos riksdagen skulle finnas en säkerhetschef, direkt underställd förvaltningschefen. Säkerhetschefen skulle ansvara för och leda säkerhetsskyddet enligt en instruktion som beslutades av Riksdagsförvaltningen. Säkerhetschefen hade enligt en bestämmelse i lagen till uppgift att fortlöpande kontrollera att säkerhetsskyddet fungerade tillfredsställande.

2020/21:URF3

5SÄKERHETSSKYDDSREGLERINGEN ENLIGT LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER

5.1.2Lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter

I slutet av 2001 beslutade riksdagsstyrelsen att genomföra en översyn av lagen om säkerhetsskydd i riksdagen. Översynen genomfördes av en arbetsgrupp inom Riksdagsförvaltningen. Med utgångspunkt i arbetsgruppens förslag och synpunkter från remissinstanser lämnade riksdagsstyrelsen i framställningen Säkerhetsskydd m.m. (framst. 2005/06:RS1) ett förslag till riksdagen om en ny lag om säkerhetsskydd i riksdagen och dess myndigheter. Riksdagsstyrelsen konstaterade i framställningen att skyddsbehoven såg annorlunda ut för riksdagen och Riksdagsförvaltningen än för riksdagens övriga myndigheter. En- ligt riksdagsstyrelsen motiverade dock inte det att det skulle införas två lagar, en för riksdagen och Riksdagsförvaltningen och en för övriga myndigheter under riksdagen. Skillnaderna mellan berörda myndigheter borde i stället komma till uttryck vid utformningen av säkerhetsskyddet hos respektive myndighet. Riksdagsstyrelsen sa också att avsikten med att låta den nya lagen gälla i verksamhet vid riksdagen inte var att lägga de skyldigheter som följde av den nya lagen på riksdagen. Den uppgiften borde läggas på Riksdagsförvaltningen, som redan enligt de då gällande bestämmelserna hade flera uppgifter som gällde såväl säkerhetsskyddet som säkerheten i övrigt i riksdagen. Riksdagsförvaltningens ansvar i de avseendena borde komma till uttryck i den dåvarande lagen (2000:419) med instruktion för riksdagsförvaltningen. Riksdagen antog med några smärre ändringar lagförslaget och lagen om säkerhetsskydd i riksdagen och dess myndigheter trädde i kraft den 1 juli 2006.33

Den nya lagen tog sikte på sådant som handlade om rikets säkerhet och terrorism. Jämfört med 1983 års lag utmönstrades bestämmelser som t.ex. beredskapsåtgärder mot brand och andra skador i riksdagens lokaler. Andra ändringar som gjordes var bl.a. att termen sekretesskydd byttes ut mot informationssäkerhet. Samtidigt togs en rad bestämmelser som konkretiserade skyddsåtgärderna bort. Det fick i stället bli en fråga för Riksdagsförvaltningen och övriga myndigheter under riksdagen att meddela de föreskrifter som behövdes.34 Det som tidigare kallats tillträdesskydd fick en ny term i tillträdesbegränsning, vilket gick ut på att förebygga dels att obehöriga får tillträde till platser där de kan få tillgång till uppgifter som ska skyddas inom ramen för informationssäkerheten, dels att obehöriga får tillträde till platser där verksamhet som har betydelse för rikets säkerhet bedrivs. Begreppet infiltrationsskydd ersattes av uttrycket säkerhetsprövning som, efter förebild av 1996 års säkerhetsskyddslag, tog sikte på att förhindra att personer som inte är pålitliga från säkerhetssynpunkt deltar i verksamhet som har betydelse för rikets säkerhet.

Några mer detaljerade regler om säkerhetsprövningen meddelades inte i lagen. I stället togs det in en upplysning i lagen om att, så som redan var fallet, 1996 års säkerhetsskyddslags bestämmelser på området skulle tillämpas också

33Framst. 2005/06:RS1 s. 18 f.

34Framst. 2005/06:RS1 s. 25 f.

5 SÄKERHETSSKYDDSREGLERINGEN ENLIGT LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS	2020/21:URF3
MYNDIGHETER
för riksdagen, Riksdagsförvaltningen och riksdagens myndigheter. Vidare in-
fördes bl.a. en bestämmelse om säkerhetsskyddsavtal.35
I sin framställning diskuterade riksdagsstyrelsen även om den nya lagens
tillämpningsområde rörde riksdagspartiernas gruppkanslier. Det lyftes fram att
Riksdagsförvaltningens verksamhetsområde i viss utsträckning omfattar par-
tikanslierna och deras personal. Enligt riksdagsstyrelsen ”… innebär [detta] att
de instrument som den nya lagen ger riksdagsförvaltningen bör kunna använ-
das i förhållande till partikanslierna. I praktiken innebär detta att riksdags-
styrelsen kan meddela föreskrifter som gäller för partikanslierna. Kanslierna
åläggs emellertid inga skyldigheter att självständigt vidta säkerhetsskydds-
åtgärder, ansvaret för detta åvilar i stället riksdagsförvaltningen.”36
I samband med diskussionen om säkerhetsprövning tog riksdagsstyrelsen
upp frågan om registerkontroll av de anställda vid partikanslierna. Bland annat
uttalade riksdagsstyrelsen följande: ”Riksdagsförvaltningen har … ett intresse
av att kunna utöva en viss kontroll även av dem som arbetar vid partikanslierna
eftersom förvaltningen har ansvaret för skyddet av riksdagen. En sådan kon-
troll skulle visserligen innebära att beslut om registerkontroll fattas av ett annat
organ än det som den berörde har ett anställnings- eller uppdragsavtal med.
Hos de myndigheter som lyder under regeringen finns dock exempel på en
sådan ordning.” Den anmärkte också att kanslierna själva inte torde kunna be-
gära registerkontroll.37

5.2 Om den nuvarande lagstiftningen

Den 1 april 2019 trädde den nuvarande säkerhetsskyddslagen i kraft. Med anledning av det ansåg konstitutionsutskottet att det kunde finnas anledning att utreda säkerhetsskyddet i riksdagen och dess myndigheter (bet. 2017/18:KU40). Efter ett tillkännagivande av riksdagen till riksdagsstyrelsen om att se över bestämmelserna om säkerhetsskydd i riksdagen och dess myndigheter samt föreslå de ändringar som bedömdes vara nödvändiga med anledning av riksdagens beslut om att anta en ny säkerhetsskyddslag (rskr. 2017/18:420) tog Riksdagsförvaltningen fram en promemoria med förslag till en ny lag om säkerhetsskydd i riksdagen och dess myndigheter. I riksdagsstyrelsens framställning till riksdagen, Ny lag om säkerhetsskydd i riksdagen och dess myndigheter (framst. 2018/19:RS6) föreslogs att lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter skulle ersättas av en ny lag.

Konstitutionsutskottet gjorde i sitt betänkande (bet. 2018/19:KU16) endast några små ändringar. Utskottet anförde bl.a.:”I likhet med vad som nu gäller är avsikten att det även fortsättningsvis ska vara Riksdagsförvaltningen och inte riksdagen som ska svara för de uppgifter som framgår av den föreslagna lagen. Riksdagsstyrelsens förslag innebär således i detta hänseende inte någon

35Framst. 2005/06:RS1 s. 30 f.

36Framst. 2005/06:RS1 s. 19.

37Framst. 2005/06:RS1 s. 28 f.

2020/21:URF3

5SÄKERHETSSKYDDSREGLERINGEN ENLIGT LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER

ändring i förhållande till vad som nu gäller, och utskottet ställer sig bakom detta.”38 Riksdagen biföll utskottets förslag (rskr. 2018/19:133).

Den 1 april 2019 trädde så lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter i kraft. Vi återkommer i avsnitt 5.3–5.9 till lagens bestämmelser i detalj. Jämfört med 2006 års lag kan sägas att skillnaden är att det i 2019 års lag finns definitioner av begrepp som är centrala för säkerhetsskyddslagstiftningen såsom säkerhetskänslig verksamhet, säkerhetsskyddsklassificerade uppgifter, säkerhetsskyddsåtgärder och säkerhetsskyddsanalys. I övrigt har bestämmelserna från 2006 års lag förts över till den nya lagen.

5.3 Vem lagen gäller för

Enligt 1 § lagen om säkerhetsskydd i riksdagen och dess myndigheter gäller lagen i verksamhet vid riksdagen och ett antal uppräknade myndigheter. Myndigheterna är dels större myndigheter i form av Riksdagsförvaltningen, Riksbanken, Riksdagens ombudsmän (JO) samt Riksrevisionen, dels vissa nämnder som lyder under riksdagen, nämligen Partibidragsnämnden, Riksdagens arvodesnämnd, Statsrådsarvodesnämnden, Nämnden för prövning av statsråds och vissa andra befattningshavares övergångsrestriktioner, Nämnden för lön till riksdagens ombudsmän och riksrevisorn, Riksdagens överklagandenämnd, Valprövningsnämnden och Riksdagens ansvarsnämnd.

Lagen i fråga gäller alltså även i verksamhet vid riksdagen. Riksdagen åläggs dock inga skyldigheter som följer av lagen. Den uppgiften ligger i stället på Riksdagsförvaltningen, se mer om det i avsnitt 5.1.2 och avsnitt 6.2.2.

5.4 Definitioner

I 2 § lagen om säkerhetsskydd i riksdagen och dess myndigheter definieras vad som avses med säkerhetskänslig verksamhet, säkerhetsskydd och säkerhetsklassificerade uppgifter. Begreppen förklaras visserligen i 1 kap. 1 och 2 §§ säkerhetsskyddslagen, men eftersom de bestämmelserna inte gäller för riksdagen och dess myndigheter behövs en definition även i lagen om säkerhetsskydd i riksdagen och dess myndigheter. Riksdagsstyrelsen ansåg i sin framställning till riksdagen att det saknades anledning för riksdagen och dess myndigheter att införa egna begrepp som avviker från dem som förekommer i säkerhetsskyddslagen.39

Även definitionerna av säkerhetsskyddsåtgärderna informationssäkerhet, fysisk säkerhet och personalsäkerhet i 5, 7 och 9 §§ lagen om säkerhetsskydd i riksdagen och dess myndigheter är desamma som i säkerhetsskyddslagen.

38Bet. 2018/19:KU16 s. 11.

39Framst. 2018/19:RS6 s. 19.

5 SÄKERHETSSKYDDSREGLERINGEN ENLIGT LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS	2020/21:URF3
MYNDIGHETER

5.5 Utformningen av säkerhetsskyddet

I 3 § lagen om säkerhetsskydd i riksdagen och dess myndigheter finns angivet vad som gäller för utformningen av säkerhetsskyddet. Bestämmelsen är utformad efter förebild av 2 kap. 1 § säkerhetsskyddslagen och innebär bl.a. ett krav på att den som bedriver säkerhetskänslig verksamhet ska utreda behovet av säkerhetsskydd (säkerhetsskyddsanalys). Verksamhetsutövaren ska med utgångspunkt i analysen planera och vidta de säkerhetsskyddsåtgärder som anges i 5–9 §§ lagen om säkerhetsskydd i riksdagen och dess myndigheter och som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter. Verksamhetsutövaren ska även kontrollera säkerhetsskyddet i den egna verksamheten och i övrigt vidta de åtgärder som krävs enligt lagen om säkerhetsskydd i riksdagen och dess myndigheter och enligt säkerhetsskyddslagen i tillämpliga delar. Enligt 4 § lagen om säkerhetsskydd i riksdagen och dess myndigheter ska säkerhetsskyddet utformas med beaktande av enskildas rätt att enligt tryckfrihetsförordningen ta del av allmänna handlingar och med beaktande av enskildas integritet. Det sägs också att vid utformningen av säkerhetsskyddet i riksdagen och Riksdagsförvaltningen ska öppenhet gentemot allmänheten och företrädare för massmedierna särskilt beaktas.

Till skillnad från vad som gäller enligt säkerhetsskyddslagen och säkerhetsskyddsförordningen anges det inte någon anmälnings- och rapporteringsskyldighet till Säkerhetspolisen eller Försvarsmakten för sådant som är av vikt för säkerhetsskyddet. I sitt remissvar över den promemoria som låg till grund för riksdagsstyrelsens framställning till ny lag förordade Säkerhetspolisen att en bestämmelse med innehåll som motsvarar det som sägs i 2 kap. 1 § tredje stycket säkerhetsskyddslagen om en anmälnings- och rapporteringsskyldighet borde införas i regelverket om säkerhetsskydd för riksdagen och dess myndigheter. Regeringskansliet anförde i sitt remissvar att anmälningsskyldigheten i säkerhetsskyddslagen är betydelsefull eftersom den ger Säkerhetspolisen och Försvarsmakten möjlighet att tidigt få kännedom om säkerhetshot som riktas mot skyddsvärda verksamheter och gör att myndigheterna i ett tidigt skede kan bistå med råd i sådana situationer. Det skulle därför kunna övervägas om inte en motsvarande skyldighet borde införas för de myndigheter som avses i 1 § 2–12 lagen om säkerhetsskydd i riksdagen och dess myndigheter. Riksdagsstyrelsen å sin sida menade i sin framställning att frågan om en anmälnings- och rapporteringsskyldighet borde tas upp i samband med en utredning av frågan om eventuell tillsyn över riksdagen och dess myndigheter. Riksdagsstyrelsen konstaterade också att det inte hade kommit fram något som tyder på att riksdagens myndigheters samverkan med Säkerhetspolisen inte fungerar tillfredsställande.

Ytterligare ett förslag från Säkerhetspolisen var att i lagen om säkerhetsskydd i riksdagen och dess myndigheter ta in en bestämmelse om säkerhetsskyddschef. Riksdagsstyrelsen gjorde dock bedömningen att frågan om att in-

2020/21:URF3

5SÄKERHETSSKYDDSREGLERINGEN ENLIGT LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER

rätta en funktion som säkerhetsskyddschef är en sådan organisatorisk fråga som respektive myndighet under riksdagen kan föreskriva om.40

5.6 Säkerhetsskyddsåtgärder

I 5, 7 och 9 §§ lagen om säkerhetsskydd i riksdagen och dess myndigheter finns bestämmelser om de tre olika typerna säkerhetsskyddsåtgärder, dvs. informationssäkerhet, fysisk säkerhet och personalsäkerhet. Dessa definieras på samma sätt som i säkerhetsskyddslagen. Som tillägg anges i 6 § att behovet av skydd för informationssystem ska beaktas särskilt vid utformningen av informationssäkerheten. Vad gäller den fysiska säkerheten sägs i 8 § att den ska utformas så att enskildas rätt att röra sig fritt inte inskränks mer än nödvändigt. Det görs också en hänvisning till att bestämmelser om allmänhetens tillträde till riksdagens kammare, utskott och EU-nämnd finns i regeringsformen, i riksdagsordningen och i lagen (1988:144) om säkerhetskontroll i riksdagens lokaler och att bestämmelser som möjliggör förbud mot tillträde till vissa byggnader, andra anläggningar och områden finns i skyddslagen (2010:305).

5.7Säkerhetsskyddsklassificering, säkerhetsprövning och säkerhetsintyg

För riksdagen och dess myndigheter gäller såväl 2 kap. 5 § säkerhetsskyddslagen om säkerhetsskyddsklassificering som 3 kap. säkerhetsskyddslagen om säkerhetsprövning och bestämmelserna i 4 kap. 1–3 §§ säkerhetsskyddslagen om säkerhetsintyg, se 1 kap. 3 § första stycket säkerhetsskyddslagen. Lagen om säkerhetsskydd i riksdagen och dess myndigheter innehåller därför inga egna bestämmelser om detta utan i dess 10 § hänvisas det till att det finns bestämmelser i säkerhetsskyddslagen.

Däremot omfattas inte riksdagen och dess myndigheter av ordningen som innebär att säkerhetsintyg utfärdas av den myndighet som regeringen bestämmer. Utfärdandet av säkerhetsintyg för riksdagen och dess myndigheter regleras därför i 11 § lagen om säkerhetsskydd i riksdagen och dess myndigheter. Av bestämmelsen framgår att det är Riksdagsförvaltningen som utfärdar säkerhetsintyg och beslutar om registerkontroll enligt 4 kap. 1 och 2 §§ säkerhetsskyddslagen för personer som deltar i riksdagens eller Riksdagsförvaltningens verksamhet i annan egenskap än riksdagsledamot och verksamhet som de myndigheter som anges i 1 § 5–12 lagen om säkerhetsskydd i riksdagen och dess myndigheter bedriver. För personer som deltar i Riksbankens, JO:s eller Riksrevisionens verksamhetsområde är det respektive myndighet som utfärdar säkerhetsintyg och beslutar om registerkontroll enligt 4 kap. 1 och 2 §§ säkerhetsskyddslagen.

40Framst. 2018/19:RS6 s. 21.

5 SÄKERHETSSKYDDSREGLERINGEN ENLIGT LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS	2020/21:URF3
MYNDIGHETER

5.8 Säkerhetsskyddsavtal

I 2 kap. 6 § säkerhetsskyddslagen finns ett krav på säkerhetsskyddsavtal i vissa angivna fall och att verksamhetsutövaren ska kontrollera att leverantören följer säkerhetsskyddsavtalet. Den bestämmelsen gäller dock inte för riksdagen och dess myndigheter. I sin framställning till riksdagen framförde riksdagsstyrelsen att det saknas skäl att ha en annan reglering för riksdagen och dess myndigheter.41 Därför finns det i 12 § lagen om säkerhetsskydd i riksdagen och dess myndigheter en motsvarande bestämmelse om säkerhetsskyddsavtal. Den innebär att en myndighet som omfattas av lagen och som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader ska se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd enligt lagens 3 § ska tillgodoses av leverantören, om det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre. Samma krav gäller om upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Myndigheten ska också kontrollera att leverantören följer säkerhetsskyddsavtalet.

Vid remissbehandlingen av förslaget till ny lag om säkerhetsskydd i riksdagen och dess myndigheter anförde en av remissinstanserna att utkontraktering av uppgifter som innebär hantering av säkerhetskänslig information endast borde göras i undantagsfall och att de föreslagna bestämmelserna inte var tillräckliga. Eftersom regeringen hade gett en särskild utredare i uppdrag att kartlägga behovet av att förebygga att säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet utsätts för risker i samband med bl.a. utkontraktering gjorde riksdagsstyrelsen bedömningen att det i avvaktan på utredningens förslag inte fanns skäl att införa en sådan bestämmelse.42

5.9 Övrigt

Enligt 13 § lagen om säkerhetsskydd i riksdagen och dess myndigheter ska de myndigheter som omfattas av lagen var och en inom respektive verksamhetsområde se till att de som berörs av bestämmelserna i lagen informeras om innehållet i lagen och ges utbildning i frågor om säkerhetsskydd.

I 14 § lagen om säkerhetsskydd i riksdagen och dess myndigheter regleras vad som gäller i fråga om bemyndiganden. Där sägs att det av 7 § lagen (2011:745) med instruktion för Riksdagsförvaltningen framgår att Riksdagsförvaltningen får meddela föreskrifter inom sitt verksamhetsområde. Övriga myndigheter som omfattas av lagen om säkerhetsskydd i riksdagen och dess myndigheter får meddela de närmare föreskrifter inom sitt verksamhetsområde som behövs för tillämpning av den och säkerhetsskyddslagens bestämmelser om säkerhetsskyddsklasser, säkerhetsprövning och säkerhetsintyg.

41Framst. 2018/19:RS6 s. 27.

42Framst. 2018/19:RS6 s. 28.

2020/21:URF3

5SÄKERHETSSKYDDSREGLERINGEN ENLIGT LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER

I riksdagsstyrelsen framställning fördes det även ett resonemang om riksdagspartiernas partikanslier. Riksdagsstyrelsen anförde att det uttalande som gjordes i framställningen till 2006 års lag om partikanslierna, nämligen att riksdagsstyrelsen kan meddela föreskrifter som gäller för partikanslierna men att ansvaret för att vidta säkerhetsskyddsåtgärder ligger på Riksdagsförvaltningen, fortfarande bedömdes gälla även för en ny lag om säkerhetsskydd i riksdagen och dess myndigheter.43

Även frågan om tillsyn togs upp i framställningen. Riksdagsstyrelsen påpekade att bestämmelsen i 5 kap. 4 § säkerhetsskyddslagen om tillsyn inte gäller för riksdagen och dess myndigheter. Det noterades att det i förarbetena till säkerhetsskyddslagen (prop. 2017/18:89) inte finns något resonemang om frågan om tillsyn över riksdagens eller dess myndigheters säkerhetsskydd. Riksdagsstyrelsen ansåg därför att frågan om eventuell tillsyn över riksdagen och dess myndigheter behöver utredas och övervägas ytterligare innan något förslag kan lämnas i den delen.44

43Framst. 2018/19:RS6 s. 19.

44Framst. 2018/19:RS6 s. 20.

2020/21:URF3

6Finns det behov av ändringar i befintliga bestämmelser eller av ytterligare bestämmelser i lagen om säkerhetsskydd i riksdagen och dess myndigheter?

6.1 Utgångspunkter

6.1.1 Säkerhetsskyddets betydelse måste lyftas upp

Säkerhetshoten mot Sverige har ökat och Säkerhetspolisen bedömer att de kommer att fortsätta öka de närmaste åren. Globalisering och digitalisering skapar nya möjligheter men också nya och förändrade sårbarheter i samhället. Brister i säkerhetsskyddet hos verksamheter riskerar att få allvarliga konsekvenser för Sveriges säkerhet. Ett väl fungerande och samtidigt medvetet säkerhetsskyddsarbete där information och kunskap skyddas är grunden för hela uppbyggnaden av totalförsvaret.45 Därför är det, enligt vår mening, viktigt att i alla organisationer lyfta upp säkerhetsskyddets betydelse. Det gäller inte minst för riksdagen och dess myndigheter. Exempelvis måste riksdagen och Riksbanken, i egenskap av folkets främsta företrädare respektive ansvarig för rikets penningpolitik, fungera i alla lägen och för det krävs ett väl utvecklat säkerhetsskydd.

Vår uppfattning är dock att frågor om säkerhetsskydd inte sällan har kommit i skymundan i såväl statsförvaltningen som i övrig verksamhet. Problem som vi uppfattar har förekommit, och till viss del förekommer, är att resurstilldelningen inte alltid har varit den bästa, att det har varit svårt att få verksamhetsutövarna att förstå att säkerhetsskyddsaspekten måste genomsyra hela verksamheten och att säkerhetsskyddet ibland har setts som ett hinder för att myndigheterna ska kunna utföra sin verksamhet. I takt med vissa händelser, som t.ex. it-skandalen hos Transportstyrelsen, och förändringar i omvärlden har dock myndigheterna börjat inse vikten av ett bra säkerhetsskyddsarbete. Oaktat vilket eller vilka av våra förslag riksdagen och dess myndigheter väljer att gå vidare med ser vi det som viktigt att de fortsätter att arbeta med säkerhetsskyddsfrågorna och ser till att säkerhetsskyddet blir en naturlig del av verksamheten.

6.1.2Den lägstanivå som lagstiftaren har lagt fast genom säkerhetsskyddslagen bör gälla för hela statsförvaltningen

Den 1 april 2019 trädde en ny säkerhetsskyddslag i kraft. Jämfört med sin föregångare har lagen moderniserats för att svara mot nya hot och förändringar i omvärlden. Lagen gäller brett för hela statsförvaltningen, dock inte fullt ut

45Säkerhetspolisens årsbok för 2020, s. 6 samt Säkerhetspolisens årsbok för 2019, s. 18 och

2020/21:URF3

6FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

för riksdagen och dess myndigheter vilka från den 1 april 2019 lyder under en ny lag om säkerhetsskydd i riksdagen och dess myndigheter.

Lagstiftaren, dvs. riksdagen, har genom säkerhetsskyddslagen lagt fast en lägstanivå för säkerhetsskyddet. Vi anser att utgångspunkten måste vara att det är den nivån som ska gälla för hela statsförvaltningen och därmed även för riksdagen och dess myndigheter. Nivån är just en miniminivå och ibland kan det vara befogat med strängare bestämmelser för vissa verksamheter. Vi ser också ett värde i att, i de fall skyddsvärdet är likartat, säkerhetsskyddsbestämmelserna för riksdagen och dess myndigheter är så lika utformade som möjligt som de som gäller för övriga statsförvaltningen. Detta innebär dock inte att bestämmelserna måste se exakt likadana ut för alla verksamheter. Exempelvis kan konstitutionella skäl göra att en annan konstruktion i vissa fall behöver väljas för riksdagen och dess myndigheter. En annan aspekt att beakta är att de verksamhetsutövare som lyder under säkerhetsskyddslagen även ska följa bestämmelser i säkerhetsskyddsförordningen och föreskrifter från olika myndigheter, däribland Säkerhetspolisen. För riksdagen och dess myndigheter gäller dock enbart lagen om säkerhetsskydd i riksdagen och dess myndigheter. Eventuella nya bestämmelser måste alltså placeras antingen i den lagen eller i myndigheternas interna föreskrifter om säkerhetsskydd.

Vi vill också poängtera att en reglering av de frågor vi har att utreda endast utgör en del i ett stärkt säkerhetsskydd. Ett bra skydd kräver en samverkan av flera faktorer. En faktor är att det även i övrigt finns ändamålsenliga bestämmelser om säkerhetsskyddet. En annan är att verksamheten följer de bestämmelser som finns. Ytterligare en är att det görs en kontroll av efterlevnaden av bestämmelserna. Det måste också finnas en väl fungerande organisation internt som kan hantera säkerhetsskyddsfrågorna.

6.2 Riksdagen och Riksdagsförvaltningen

6.2.1 Riksdagens och Riksdagsförvaltningens uppgifter

Enligt 1 kap. 4 § regeringsformen (RF) är riksdagen folkets främsta företrädare. Riksdagen stiftar lag, beslutar om skatt till staten och bestämmer hur statens medel ska användas. Riksdagen granskar rikets styrelse och förvaltning.

Riksdagsförvaltningens uppgifter utgår från riksdagsordningen (RO). I

14 kap. 2 § RO sägs i första stycket att Riksdagsförvaltningen ska ge stöd till arbetet i kammaren, utskotten och EU-nämnden samt bistå riksdagens ledamöter och organ med sakuppgifter för riksdagsarbetet. Enligt andra stycket ska Riksdagsförvaltningen därutöver, när det gäller riksdagen och riksdagens myndigheter, i den omfattning riksdagen bestämmer bl.a. handlägga frågor om förvaltningen inom riksdagen och frågor om förvaltning av ekonomisk natur inom riksdagens myndigheter, utom Riksbanken, besluta om föreskrifter och allmänna råd i sådana frågor som nyss har nämnts och besluta om föreskrifter och allmänna råd om registrering och gallring av allmänna handlingar samt arkiv- och dokumenthantering.

6 FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE	2020/21:URF3
BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?
Vilka uppgifter Riksdagsförvaltningen har preciseras närmare i lagen
(2011:745) med instruktion för Riksdagsförvaltningen. Enligt 1 § första
stycket instruktionen är Riksdagsförvaltningen en myndighet under riksdagen
med uppgift att biträda riksdagen. I andra stycket sägs bl.a. att Riksdagsför-
valtningen ska tillhandahålla resurser och service för talmannens, kammarens,
utskottens och övriga riksdagsorgans verksamhet samt för riksdagsledamö-
terna och partikanslierna och svara för de myndighetsfunktioner och förvalt-
ningsuppgifter som anges i 14 kap. 2 § RO. Med riksdagsorgan avses i sam-
manhanget bl.a. myndigheterna under riksdagen.46 Vad gäller säkerhet sägs i
3 § instruktionen att Riksdagsförvaltningen i sin verksamhet ska beakta total-
försvarets krav samt svara för säkerheten och krisberedskapen i riksdagen. Av
7 § instruktionen följer att Riksdagsförvaltningen får meddela föreskrifter
inom sitt verksamhetsområde.
Inom riksdagen och Riksdagsförvaltningen förekommer säkerhetskänslig
verksamhet och säkerhetsskyddsklassificerade uppgifter.

6.2.2 Förhållandet riksdagen–Riksdagsförvaltningen när det gäller säkerhetsskyddet

Lagen om säkerhetsskydd i riksdagen och dess myndigheter gäller även i verksamhet vid riksdagen. Som vi har redogjort för i bl.a. avsnitt 5.1.2 är dock avsikten med det inte att lägga de skyldigheter som följer av lagen på riksdagen. I stället ligger den uppgiften på Riksdagsförvaltningen.47 Det kommer också till uttryck i 3 § lagen med instruktion för Riksdagsförvaltningen där det bl.a. sägs att Riksdagsförvaltningen ska svara för säkerheten och krisberedskapen i riksdagen.

Riksdagen bedriver alltså inget eget säkerhetsskyddsarbete utan det görs av Riksdagsförvaltningen. I den mån föreskrifter och liknande från riksdagsstyrelsen och riksdagsdirektören gäller för riksdagens ledamöter framgår det.

6.2.3 Riksdagsförvaltningens organisation

Enligt 8 § lagen med instruktion för Riksdagsförvaltningen leds Riksdagsförvaltningen av en styrelse. Styrelsen ansvarar inför riksdagen för verksamheten och ska se till att den bedrivs effektivt och enligt gällande rätt, att den redovisas

46I betänkandet En ny instruktion för riksdagsförvaltningen (framst. 2010/11:RS3), sägs att det, när det gäller begreppet riksdagsorgan, kan konstateras att någon entydig definition av vilka som åsyftas inte gått att finna. Utskotten, EU-nämnden, myndigheterna under riksdagen samt nämnderna räknas till kretsen men även kommittéer och internationella delegationer. Organen kan ha beslutande, rådgivande eller rent samordnande funktioner. Riksdagsorgan kan vidare vara helt självständiga, såsom riksdagsmyndigheterna, men även delar av dessa kan anses vara riksdagsorgan. Exempel på detta är riksdagsstyrelsen och riksbanksfullmäktige, se s. 23.

47Framst. 2005/06:RS1 s. 18. Det konstateras också av konstitutionsutskottet i betänkandet Ny lag om säkerhetsskydd i riksdagen och dess myndigheter (bet. 2018/19:KU16). Utskottet anför där: ”I likhet med vad som nu gäller är avsikten att det även fortsättningsvis ska vara Riksdagsförvaltningen och inte riksdagen som ska svara för de uppgifter som framgår av den föreslagna lagen. Riksdagsstyrelsens förslag innebär således i detta hänseende inte någon ändring i förhållande till vad som nu gäller, och utskottet ställer sig bakom detta.”, se s. 11.

2020/21:URF3

6FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

på ett tillförlitligt och rättvisande sätt samt att Riksdagsförvaltningen hushållar väl med statens medel, se 9 § instruktionen. Av 10 § 5 instruktionen framgår att styrelsen bl.a. beslutar om föreskrifter som enligt instruktionen eller andra författningar får meddelas av Riksdagsförvaltningen och som inte enligt 21 § instruktionen (dvs. beslut om Riksdagsförvaltningens organisation i de delar det inte är reglerat i riksdagsordningen eller annan författning) får meddelas av riksdagsdirektören.

I 18 § första stycket instruktionen sägs att riksdagsdirektören är chef för Riksdagsförvaltningen. Han eller hon ansvarar inför styrelsen och ska svara för den löpande verksamheten enligt de direktiv som styrelsen beslutar. Av 20 § 1 instruktionen framgår att riksdagsdirektören förutom att svara för den löpande verksamheten även bl.a. fortlöpande ska följa upp och pröva Riksdagsförvaltningens verksamhet och konsekvenserna av de föreskrifter och särskilda beslut som rör verksamheten samt vidta de åtgärder som behövs. Enligt 16 § instruktionen har riksdagsdirektören som huvudregel rätt att besluta i frågor, alternativt delegera beslutanderätten, som inte enligt särskild uppräkning i instruktionen ska beslutas av riksdagsstyrelsen eller Riksdagens personalansvarsnämnd.

Enligt 3 § riksdagsdirektörens föreskrift (RFS 2011:14) om Riksdagsförvaltningens organisation består Riksdagsförvaltningen av avdelningarna kammarkansliet, utskottsavdelningen, administrativa avdelningen, serviceavdelningen, it-avdelningen och kommunikationsavdelningen. Dessutom finns det en ledningsstab. Avdelningarna är i sin tur indelade i kanslier, enheter, sektioner och sekretariat, se 7–22 §§ föreskriften.

Hur ansvarsområdena inom Riksdagsförvaltningen fördelas framgår av 9 § riksdagsdirektörens föreskrift (RFS 2012:2) om ansvarsområden inom Riksdagsförvaltningen. Enligt bestämmelsen är ansvaret för Riksdagsförvaltningens säkerhetsarbete uppdelat mellan serviceavdelningen och it-avdelningen. Under serviceavdelningen finns det en säkerhetsenhet (övriga är enheten intern service, fastighetsenheten och enheten riksdagstryck). Säkerhetsenheten

–svarar för samordning av Riksdagsförvaltningens säkerhetsskydd

–svarar för att kravställa, utföra och följa upp Riksdagsförvaltningens tillträdesbegränsning och säkerhetsprövning

–svarar för övergripande säkerhetsfrågor, inklusive organisatoriskt brandskydd och personsäkerhet

–har metod- och samordningsansvar för Riksdagsförvaltningens arbete med krisberedskap, planering för civilt försvar och kontinuitetshantering

–svarar för transporter med riksdagsbilarna

–kravställer, samordnar och följer upp Riksdagsförvaltningens informationssäkerhetsarbete.

Säkerhetsenheten leds av enhetschefen, som tillika är Riksdagsförvaltningens säkerhetschef. Som ledningsstöd finns en informationssäkerhetsansvarig och en säkerhetsstrateg. Enheten består utöver det av fyra sektioner i form av verksamhets- och säkerhetsskydd, krisberedskap, larmcentral och bevakning.

6 FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE	2020/21:URF3
BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?
Ansvaret för it-säkerheten i Riksdagsförvaltningens it-miljö ligger på it-av-
delningen hos enheten it-produktion (övriga enheter är enheten it-verksam-
hetsstöd och enheten it-utveckling). Inom enheten finns bl.a. en it-säkerhets-
ansvarig.
Det är värt att nämna att informationssäkerhetsarbetet fram till den 31 ok-
tober 2020 var placerat under den juridiska enheten på kammarkansliet. Flyt-
ten av ansvaret till säkerhetsenheten föregicks av en översyn av säkerhetsverk-
samheten i Riksdagsförvaltningen. I den motivpromemoria som låg till grund
för en ändring av ansvaret för informationssäkerhetsarbetet sas bl.a. att den
genomförda översynen visade att en organisatorisk förändring av informa-
tionssäkerhetsarbetet kan ge stora fördelar för förvaltningens verksamhet och
att ansvaret och resurserna för arbetet med informationssäkerhet därmed borde
flyttas till säkerhetsenheten.48
Enligt 3 § riksdagsdirektörens föreskrift (RFS 2012:2) om ansvarsområden
inom Riksdagsförvaltningen leds varje organisatorisk del av en chef som an-
svarar för verksamheten inom sitt ansvarsområde enligt bestämmelserna i 10–
12 §§ riksdagsstyrelsens föreskrift (RFS 2011:10) om arbetsordning för Riks-
dagsförvaltningen och riksdagsdirektörens föreskrift (RFS 2011:15) om beslut
i personal- och ekonomiadministrativa frågor inom Riksdagsförvaltningen. Av
de nämnda bestämmelserna i arbetsordningen kan bl.a. utläsas att till chefens
ansvar hör att planera, leda, samordna och följa upp verksamheten, att verk-
samheten bedrivs författningsenligt och effektivt samt att den utvecklas och
anpassas till de krav som ställs på den, att riskanalyser genomförs och att sä-
kerheten har den nivå som krävs och att närmaste överordnad chef snarast möj-
ligt informeras om ärenden och händelser av större vikt eller principiell bety-
delse inom ansvarsområdet. Vidare framgår att chefen har ansvar för persona-
len inom ansvarsområdet och att han eller hon också har ett ekonomiskt an-
svar. I det senare ligger bl.a. att chefen ska budgetera verksamheten och svara
för att budgeten följs.
Riksdagsdirektören och avdelningscheferna ingår enligt 4 § riksdagsdirek-
törens föreskrift (2011:14) om Riksdagsförvaltningens organisation i led-
ningsgruppen.

6.2.4 Interna föreskrifter etc. om säkerhetsskydd

Den 1 april 2019 trädde riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna i kraft. Den ersatte den tidigare föreskriften (RFS 2006:2) om säkerhet och fredstida krishantering. I den gällande föreskriften finns bestämmelser om säkerhet, säkerhetsskydd och fredstida krishantering i riksdagen, Riksdagsförvaltningen och partikanslierna samt om riksdagens pressackreditering.

I såväl säkerhetsskyddslagen som lagen om säkerhetsskydd i riksdagen och dess myndigheter talas om tre samverkande säkerhetsskyddsåtgärder i form av

48Motiv-pm till föreskrift om ändring i riksdagsdirektörens föreskrift (RFS 2012:2) om ansvarsområden inom Riksdagsförvaltningen (dnr 2347-2019/20), s. 5–6.

2020/21:URF3

6FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

informationssäkerhet, fysisk säkerhet och personalsäkerhet. Dessa finns också med som särskilda kapitel i föreskriften. Vad det gäller informationssäkerhet sägs i 4 kap. 15 § föreskriften att ytterligare bestämmelser om hantering av säkerhetsskyddsklassificerade uppgifter beslutas av Riksdagsförvaltningen. Utöver dessa kapitel finns det även kapitel om tillträde till riksdagens lokaler, ackreditering av företrädare för massmedierna, säkerhetsintyg, säkerhetsskyddsavtal, fredstida krishantering, utbildning och information, vissa anmälnings- och rapporteringsskyldigheter samt överklagande och beslut om avvikelse från föreskriften. Av kapitlet om vissa anmälnings- och rapporteringsskyldigheter framgår bl.a. att riksdagsledamöter, anställda vid Riksdagsförvaltningen eller ett partikansli har anmälningsskyldighet för det fall dessa uppmärksammar något som kan vara av betydelse för säkerheten i riksdagen eller om säkerhetsskyddsklassificerade uppgifter kan ha förlorats eller röjts, se 13 kap. 1 och 2 §§ föreskriften.

Riksdagsförvaltningen har beslutat om en instruktion för klassificering av uppgifter och verksamheter som rör Sveriges säkerhet. Den följer till stor del innehållet och upplägget i Säkerhetspolisens vägledningar Introduktion till säkerhetsskydd, Informationssäkerhet och Säkerhetsskyddsanalys. Vidare har Riksdagsförvaltningen beslutat om en instruktion för informationssäkerhet för säkerhetsskydd som innehåller ytterligare bestämmelser samt praktiska regler för hanteringen av säkerhetsskyddsklassificerade uppgifter och handlingar. Riksdagsförvaltningen har även beslutat om en instruktion om säker it som beskriver krav på processer, dokumentation och skyddsåtgärder i Riksdagsförvaltningens it-miljö.

Det finns också en föreskrift om informationssäkerhet i form av riksdagsdirektörens föreskrift (RFS 2016:2) om informationssäkerhet. Den gäller för Riksdagsförvaltningen och i den finns regler om själva hanteringen. Även på detta område har Riksdagsförvaltningen beslutat en instruktion om informationssäkerhet för medarbetare. I den anges bl.a. att alla som kvitterar ett itkonto eller en användaridentitet i riksdagens informationssystem, dvs. även riksdagsledamöter och anställda vid partigruppernas kanslier, förbinder sig att följa reglerna för informationssäkerhet i riksdagen. I instruktionen noteras att det finns en särskild bestämmelse i 6 kap. 16 § riksdagsstyrelsens föreskrift och allmänna råd (RFS 2016:5) om tillämpningen av lagen (2016:1108) om ersättning till riksdagens ledamöter om att riksdagsledamöter ska följa de anvisningar om informationssäkerhet som gäller inom Riksdagsförvaltningen.

Det finns också en särskild lag om säkerhetskontroll i riksdagens lokaler, lagen (1988:144) om säkerhetskontroll i riksdagens lokaler. Talmannen är den som fattar beslut om säkerhetskontrollen i fråga om ett visst tillfälle eller en viss tid. Talmannen får om särskilda skäl talar för det undanta personer från kontrollen.

6 FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE	2020/21:URF3
BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

6.2.5Revision och granskningen av efterlevnaden av säkerhetsskyddsbestämmelserna

Allmänt om revision

Riksrevisionen har till uppgift att granska statlig verksamhet, däribland den verksamhet som bedrivs av Riksdagsförvaltningen, Riksbanken och Riksdagens ombudsmän (JO). Bestämmelser om granskningen finns i lagen (2002:1022) om revision av statlig verksamhet m.m. Av 2–5 §§ framgår att Riksrevisionen utför två olika former av revision. Den ena är effektivitetsrevision. Vid den granskas förhållanden som rör statens budget, genomförande och den statliga verksamhetens åtaganden och resultat. Granskningen ska bidra till en utveckling som gör att staten, för allmänhetens bästa, får ett effektivt utbyte av sina insatser. Den andra formen är Riksrevisionens årliga revision av myndigheternas årsredovisningar. Den görs i syfte att uttala sig om årsredovisningen är upprättad i enlighet med gällande föreskrifter, om den ger en rättvisande bild och om resurser använts i enlighet med gällande villkor och föreskrifter.

Riksrevisionens revision utgör alltså en extern granskning. Av 9 kap. 8 och 9 §§ lagen (2016:1091) om budget och ekonomiadministration för riksdagens myndigheter framgår att det ska finnas en internrevision vid bl.a. Riksdagsförvaltningen, JO och Riksrevisionen. Internrevisionen ska hos respektive myndighet, utifrån en analys av verksamhetens risker, självständigt granska om ledningens interna styrning och kontroll är utformad så att myndigheten med rimlig säkerhet fullgör sitt verksamhetsansvar. Enligt 9 kap. 11 § den lagen ska myndighetens ledning besluta om riktlinjer och revisionsplan för internrevisionen och om åtgärder med anledning av internrevisionens iakttagelser och rekommendationer.

Revision av Riksdagsförvaltningen

För Riksdagsförvaltningens del utförs den interna revisionen av en upphandlad revisionsfirma. I Riktlinjer för internrevision (2020:2) som riksdagsstyrelsen beslutat sägs bl.a. att internrevisionen ska bedriva en självständig och objektiv gransknings- och rådgivningsverksamhet. Uppdraget innefattar att granska och ge förslag till förbättringar av Riksdagsförvaltningens process för intern styrning och kontroll. Med utgångspunkt i sin analys av verksamhetens risker ska internrevisionen självständigt granska om ledningens interna styrning och kontroll är utformad så att Riksdagsförvaltningen med en rimlig säkerhet uppfyller sina uppgifter med en god hushållning med myndighetens medel, följer författningar och styrdokument, skyddar sina tillgångar och har en tillförlitlig och rättvisande redovisning av verksamheten. Internrevisionen ska samråda med ledningsstaben i administrativa frågor om arbetet med internrevision (se riktlinjerna under rubriken ”Uppdrag”).

Det finns alltså inte i vare sig lagen om revision av statlig verksamhet m.m., lagen om budget och ekonomiadministration för riksdagens myndigheter eller Riksdagsförvaltningens egna riktlinjer något uttryckligt sagt om en granskning

2020/21:URF3

6FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

av efterlevnaden av säkerhetsskyddsbestämmelserna. Någon sådan granskning görs inte heller på regelbunden basis. Under 2018 gjorde dock internrevisionen en granskning av Riksdagsförvaltningens styrning av säkerhet, it-säkerhet och informationssäkerhet. Externa aktörer har också gjort granskningar, däribland av den nuvarande it-lösningen för att hantera säkerhetsskyddsklassificerad information. I Riksdagsförvaltningens internrevisionsplan för 2021 anges som preliminära granskningsområden för 2022 bl.a. strategisk fysisk säkerhet och informationssäkerhet.49

6.3 Riksbanken

6.3.1 Riksbankens uppgifter

Bestämmelser om Riksbanken hittas i regeringsformen under dess 9 kap. om finansmakten. Riksbanken är enligt 9 kap. 13 § första stycket RF rikets centralbank och har ansvaret för penningpolitiken. Ingen myndighet får bestämma hur Riksbanken ska besluta i frågor som rör penningpolitik. Av 9 kap. 14 § RF framgår att Riksbanken har ensamrätt att ge ut sedlar och mynt.

Bestämmelser om bl.a. Riksbankens ledning och verksamhet finns i lagen (1988:1385) om Sveriges riksbank, även kallad riksbankslagen, se hänvisning i 9 kap. 13 § fjärde stycket RF. Av 1 kap. 2 § andra och tredje stycket riksbankslagen framgår bl.a. att målet för Riksbankens verksamhet ska vara att upprätthålla ett fast penningvärde. Riksbanken ska också främja ett säkert och effektivt betalningsväsende. Några av Riksbankens uppgifter är att svara för landets försörjning med sedlar och mynt (se 5 kap. 3 § första stycket riksbankslagen), att i penningpolitiskt syfte bl.a. köpa, sälja och förmedla värdepapper, valuta samt rättigheter och skyldigheter som anknyter till sådana tillgångar (se 6 kap. 5 § första stycket riksbankslagen) och att ta emot betalningar till och göra utbetalningar för staten (se 8 kap. 1 § första stycket riksbankslagen).

Riksbankens säkerhetskänsliga verksamhet är av varierande slag och ganska omfattande. Det handlar om bl.a. sedel- och mynttillverkning, säkerhetsskyddade it-system, datorhallar och övriga lokaler och depåer. Det finns en begränsad mängd säkerhetsskyddsklassificerade handlingar i säkerhetsskyddsklasserna konfidentiell och hemlig. Det finns inga handlingar i säkerhetsskyddsklassen kvalificerat hemlig.

6.3.2 Riksbankens organisation

Riksbanken har elva fullmäktige, som väljs av riksdagen. Riksbanken leds av en direktion, som utses av fullmäktige, se 9 kap. 13 § andra stycket RF. Enligt 1 kap. 4 § första stycket riksbankslagen består direktionen av sex ledamöter. Fullmäktige utser ordförande i direktionen, som samtidigt ska vara chef för

49Se dokumentet ”Riksdagsförvaltningen Internrevisionsplan 2021 – Till beredningsgruppen för revisionsfrågor 7 januari 2021”, s. 12.

6 FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE	2020/21:URF3
BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

Riksbanken, och minst en vice ordförande, som samtidigt ska vara vice riksbankschef.

I 9 kap. 1 a § första och andra stycket riksbankslagen sägs att direktionen ansvarar för verksamheten och ska se till att den bedrivs effektivt och enligt gällande rätt, att den redovisas på ett tillförlitligt och rättvisande sätt samt att Riksbanken hushållar väl med statens medel. Direktionen ska säkerställa att det vid Riksbanken finns en intern styrning och kontroll som fungerar på ett betryggande sätt.

Det är fullmäktige som beslutar om arbetsordning för Riksbanken, se 9 kap. 4 § första stycket riksbankslagen. Arbetsordningen anger Riksbankens övergripande organisation och reglerar vissa lednings- och beslutsfrågor. I 1 § arbetsordningen föreskrivs att direktionen beslutar i en instruktion om organisationen mer i detalj.

Enligt 9 § instruktionen ska det finnas en ledningsgrupp. Den ska bestå av cheferna för samtliga avdelningar utom internrevisionsavdelningen samt av kommunikationschefen. Chefen för internrevisionsavdelningen, chefsjuristen, HR-chefen och riskchefen får närvara vid ledningsgruppens sammanträden i den mån de anser att det behövs. Stabschefen får också vid behov sammankalla delar av ledningsgruppen i andra sammansättningar än dem som anges i bestämmelsen. Ledningsgruppen ska ledas av stabschefen. Ledningsgruppens huvudsakliga funktion är att bistå stabschefen med att samordna och följa upp verksamheten. Vilken funktion ledningsgruppen har preciseras i en bilaga till instruktionen.

I arbetsordningen anges bl.a. att direktionen ska se till att ett effektivt säkerhetsskydd upprätthålls i Riksbanken, se 8 § arbetsordningen. Direktionen kan fatta beslut i säkerhetsrelaterade frågor överlämnade av säkerhetschefen.

Enligt 12 § arbetsordningen är Riksbanken indelad i olika avdelningar – Avdelningen för betalningar, Avdelningen för marknader, Avdelningen för finansiell stabilitet, Avdelningen för penningpolitik, Avdelningen för verksamhetssupport, Internrevisionsavdelningen och Stabsavdelningen. En avdelning kan delas in i enheter (ibland kallat sekretariat). Varje enhet leds av en enhetschef, se 17 § instruktionen.

Vilket ansvar de olika avdelningarna har anges i en bilaga till instruktionen. Vad gäller säkerhetsskyddet så har Avdelningen för verksamhetssupport ansvar för Riksbankens it-verksamhet och it-säkerhet i it-miljön samt Riksbankens säkerhetsarbete avseende fysiskt skydd, personskydd och säkerhetsskydd. På avdelningen finns en säkerhetsenhet där säkerhetschefen är chef. Stabsavdelningen ansvarar bl.a. för samordning av bankens löpande verksamhet och juridiskt stöd till fullmäktige och direktionen samt till Riksbanken i övrigt i fråga om strategiska och principiella frågor. Inom Stabsavdelningen finns en riskenhet som ansvarar bl.a. för råd, stöd, uppföljning och en oberoende kontroll av Riksbankens finansiella och operativa risker. Riskenheten har dock inget uttalat fokus på säkerhetsskyddet, utan det är säkerhetschefen som äger riskerna kring bankens säkerhetsskydd. Inom riskenheten finns Riksbankens informationssäkerhetsansvarige placerad.

2020/21:URF3

6FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

I 13 § instruktionen anges vad avdelningschefen ska göra. Dit hör bl.a. att se till att tillämpliga författningar, policyer, regler, rutinbeskrivningar och avtal följs. Avdelningschefen ansvarar också för att se till att avdelningen hanterar risker och incidenter som är förknippade med avdelningens verksamhet och rapportera dessa. Enhetschefen beslutar, eller delegerar beslutsrätt, inom det egna verksamhetsområdet i enlighet med beslut av avdelningschefen, se 17 § instruktionen. Säkerhetschefen, som enligt Riksbankens säkerhetspolicy även är säkerhetsskyddschef, ska enligt 20 § instruktionen leda den enhet som ansvarar för det övergripande arbetet med säkerhetsfrågor. Säkerhetschefen ska också ansvara för fysiskt skydd och personskydd, ansvara för säkerhetsskydd i enlighet med säkerhetsskyddslagen och lagen om säkerhetsskydd i riksdagen och dess myndigheter samt besluta om åtgärder för att upprätthålla säkerhetsskyddet i Riksbanken vid en allvarligare incident eller akut kris som gäller liv och egendom. Vid säkerhetsenheten finns en biträdande säkerhetschef och två säkerhetsrådgivare. Arbetet vid enheten är uppdelat på olika ansvarsområden.

Säkerhetschefen kan överlämna en säkerhetsfråga till direktionen för beslut. I normalfallet rapporterar säkerhetschefen årligen till ledningsgruppen och direktionen. Om något speciellt inträffar sker en löpande rapportering. Sä- kerhetschefen och riskchefen ska stödja avdelningscheferna i deras arbete med att hantera de säkerhetsrisker som är förknippade med avdelningarnas verksamhet, se Riksbankens säkerhetspolicy som vi tar upp i avsnittet nedan.

Riksbankens informationssäkerhetsansvarige, som alltså är placerad inom riskenheten på Stabsavdelningen, ansvarar för att följa upp och utvärdera verksamhetens styrning av informationssäkerhet och väga utfallet mot aktuell hotbild. Resultatet ska rapporteras till direktionen minst årligen.

I 24 § instruktionen sägs att medarbetare bl.a. ska känna till och följa tilllämpliga regelverk, både externa och interna, samt uppmärksamma chefer och andra berörda på risker som de identifierar i Riksbankens verksamhet och rapportera incidenter. Ytterligare bestämmelser om ansvaret för säkerhetsarbetet framgår av Riksbankens säkerhetspolicy.

6.3.3 Interna föreskrifter etc. om säkerhetsskydd

Enligt 3 § instruktionen består Riksbankens interna regelverk av en dokumenthierarki med tre nivåer av styrande dokument i form av policy, regel och rutinbeskrivning. En policy anger principer eller innehåller bestämmelser av strategisk betydelse för banken och är normalt översiktlig. En regel anger detaljerade bestämmelser för verksamhetsområden som berör hela banken eller för en huvuduppgift inom en eller flera avdelningar. En rutinbeskrivning innehåller detaljerade bestämmelser för ett arbetsområde eller en arbetsprocess.

Riksbankens säkerhetspolicy innehåller bestämmelser av strategisk betydelse för Riksbankens säkerhetsarbete och ska tillämpas av säkerhetsenheten och andra chefer inom Riksbanken. Policyn syftar till att ange den övergripande inriktningen på Riksbankens säkerhetsarbete. Enligt policyn ska Riks-

6 FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE	2020/21:URF3
BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

bankens skyddsnivå stämma överens med den på andra centralbanker, myndigheter eller organisationer med liknande förutsättningar. Enligt policyn ska säkerhetsskyddet bestå av informationssäkerhet, personalsäkerhet och fysisk säkerhet. Som övriga skyddsområden nämns brandskydd och personskydd.

I säkerhetspolicyn beskrivs ansvaret för säkerhetsarbetet. Säkerhetschefen ansvarar för Riksbankens säkerhetsskydd i enlighet med lagen om säkerhetsskydd i riksdagen och dess myndigheter. Säkerhetschefen är även säkerhetsskyddschef och ansvarar för Riksbankens säkerhetsskyddsanalys. Respektive avdelningschef ansvarar för att hantera de säkerhetsrisker som är förknippade med avdelningens verksamhet. Säkerhetschefen och riskchefen ska stödja avdelningscheferna i det arbetet. Riskchefen ansvarar även för Riksbankens övergripande ramverk för informations- och it-säkerhet.

Det finns också en regel för säkerhetsprövning. Den syftar till att ge övergripande vägledning om säkerhetsprövningsprocessen, och bestämmelserna i den ska tillämpas av säkerhetsenheten och chefer inom Riksbanken.

Vidare finns det en regel för hantering av säkerhetsskyddsklassificerade uppgifter. Vilka verksamhetsområden som vid var tid omfattas av regeln fastställs i Riksbankens säkerhetsskyddsanalys som förvaltas av säkerhetschefen.

I Regeln för säkerhetsskyddade upphandlingar finns övergripande vägledning om säkerhetsskyddade upphandlingar. I regeln beskrivs bl.a. att det finns tre olika nivåer på säkerhetsskyddsavtalen. Nivåerna motsvarar de som anges i 7 kap. 3 § Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd. Av regeln framgår att Säkerhetspolisen, efter begäran från säkerhetsenheten, kan ge stöd inför en säkerhetsskyddad upphandling.

Det finns också tillhörande rutinbeskrivningar för de regler som nämns ovan.

6.3.4Revision och granskningen av efterlevnaden av säkerhetsskyddsbestämmelserna

Av 1 kap. 2 § första stycket lagen om budget och ekonomiadministration för riksdagens myndigheter framgår att lagen inte gäller för Riksbanken utan att det i stället finns bestämmelser för Riksbanken i riksbankslagen. Enligt 9 kap. 2 § riksbankslagen ska det i Riksbanken finnas en revisionsfunktion som leds av fullmäktige. Fullmäktiges revision ska vara inriktad på frågor som ligger inom fullmäktiges ansvarsområde. Det ska också finnas en internrevision i Riksbanken. Direktionen ska besluta om riktlinjer och revisionsplan för internrevisionen samt åtgärder med anledning av internrevisionens iakttagelser och rekommendationer.

Av Riksbankens policy för interrevisionen framgår att internrevisionen ska granska området säkerhet minst vart femte år. Internrevisionen genomförde under 2019 och 2020 en granskning av säkerhetsskyddet. Syftet med granskningen var att bl.a. kontrollera hur den nya lagstiftningen följs. Vidare har en konsultfirma genomfört en granskning av säkerhetsskyddet. Iakttagelserna har omhändertagits. Även riskenhetens arbete kan ses som en typ av granskning

2020/21:URF3

6FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

av säkerhetsskyddet då den enheten ansvarar för att bl.a. följa upp operativa risker som även kan avse säkerhetsskyddad verksamhet. Chefen för internrevisionen kan också själv besluta om kortare granskningar av all verksamhet. Om granskningen beräknas ta längre tid än 40 timmar så är det direktionen som beslutar om en sådan granskning.

6.4 Riksdagens ombudsmän (JO)

6.4.1 JO:s uppgifter

JO är en del av kontrollmakten. Enligt 13 kap. 6 § första stycket RF väljer riksdagen en eller flera ombudsmän (justitieombudsmän), som i enlighet med den instruktion som riksdagen beslutar ska utöva tillsyn över tillämpningen i offentlig verksamhet av lagar och andra föreskrifter. En ombudsman får föra talan i de fall som anges i instruktionen.

Närmare bestämmelser om ombudsmännen meddelas i riksdagsordningen och i annan lag, se 13 kap. 6 § tredje stycket RF. Ombudsmännens uppgifter framgår av 1–11 §§ lagen (1986:765) med instruktion för Riksdagens ombudsmän. I 3 § första stycket instruktionen sägs att ombudsmännen särskilt ska se till att domstolar och förvaltningsmyndigheter i sin verksamhet iakttar regeringsformens bud om saklighet och opartiskhet och att medborgarnas grundläggande fri- och rättigheter inte träds förnär i den offentliga verksamheten. Av 4 § första stycket instruktionen framgår att ombudsmännen ska verka för att brister i lagstiftningen avhjälps och att de under vissa omständigheter har rätt att till riksdagen göra en framställning om en författningsändring eller någon annan åtgärd från statens sida.

JO kan i sin tillsynsverksamhet få del av säkerhetsskyddsklassificerade uppgifter. Detta förekommer dock inte i någon större utsträckning och när det händer försöker JO så långt möjligt studera sådana handlingar på plats hos den granskade myndigheten.

6.4.2 JO:s organisation

Enligt 13 kap. 2 § andra stycket RO ska det finnas fyra riksdagens ombudsmän

–en chefsjustitieombudsman och tre justitieombudsmän. Riksdagen får därutöver välja en eller flera ställföreträdande ombudsmän. En ställföreträdande ombudsman ska ha tjänstgjort som riksdagens ombudsman. Av 1 § arbetsordningen för Riksdagens ombudsmän framgår att ombudsmännens tillsyn är uppdelad i fyra ansvarsområden och att ombudsmännen inom sina respektive ansvarsområden tar de initiativ som de finner påkallade. Vad som ingår i varje ansvarsområde framgår av en bilaga till arbetsordningen.

Chefsjustitieombudsmannen är enligt 13 kap. 2 andra stycket RO administrativ chef och bestämmer inriktningen av verksamheten i stort. Enligt 12 § första och andra stycket instruktionen ansvarar chefsjustitieombudsmannen inför riksdagen för verksamheten och ska se till att den bedrivs effektivt och

6 FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE	2020/21:URF3
BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

enligt gällande rätt, att den redovisas på ett tillförlitligt och rättvisande sätt samt att Riksdagens ombudsmän hushållar väl med statens medel. Chefsjustitieombudsmannen ska också, efter samråd med övriga ombudsmän, i arbetsordning meddela bestämmelser om organisationen av verksamheten och om ansvarsområden för var och en av ombudsmännen, besluta om verksamhetsplan för myndigheten samt besluta om årsredovisning och förslag till anslag på statens budget för JO.

För JO:s verksamhet finns det en expedition, den s.k. ombudsmannaexpeditionen, se 13 § första stycket instruktionen. Hur ombudsmannaexpeditionen är sammansatt framgår av 4 § arbetsordningen. Av den kan man utläsa att för beredning av klagomåls- och initiativärenden samt lagstiftningsremisser biträds ombudsmännen av en kanslichef och av tillsynsavdelningar bestående av byråchefer, områdesansvariga föredragande och föredragande. Vid varje tillsynsavdelning finns också ett ärendekansli. För att fullgöra de uppgifter som ankommer på ett nationellt besöksorgan enligt det fakultativa protokollet den 18 december 2002 till Förenta nationernas konvention mot tortyr och annan grym, omänsklig eller förnedrande behandling eller bestraffning (Opcat), biträds ombudsmännen av en särskild enhet, Opcat-enheten. Den enheten består av en enhetschef, en biträdande enhetschef och föredragande. Enheten tillhör i organisatoriskt hänseende det som kallas ansvarsområde 2. Vidare framgår att chefsjustitieombudsmannen biträds av en administrativ avdelning som består av en enhet för personal-, ekonomi- och lokalfrågor, en enhet för registratur och arkiv samt en informationsansvarig, en it- och säkerhetsansvarig och en internationell samordnare.

Chef för den administrativa avdelningen är kanslichefen. Denna chef ansvarar enligt 6 § andra stycket arbetsordningen för att utveckla och kvalitetssäkra JO:s administration, strategisk planering samt samverkan med Riksdagsförvaltningen och andra myndigheter samt har ett övergripande ansvar för eko- nomi-, personal- och lokalfrågor, liksom för frågor om it-stöd, intern och extern kommunikation och information samt registratur, myndighetens avtal och upphandlingar. Den biträdande kanslichefen är, under chefsjustitieombudsmannen, säkerhets-, säkerhetsskydds- och beredskapsansvarig, se 7 § första stycket arbetsordningen.

Bestämmelser om internrevision och intern styrning och kontroll finns i lagen om budget och ekonomiadministration för riksdagens myndigheter, se 12 § tredje stycket instruktionen.

6.4.3Interna föreskrifter etc. om säkerhetsskydd samt det pågående arbetet med säkerhetsskyddsfrågor

I 7 § första stycket arbetsordningen anges alltså att det är den biträdande kanslichefen som, under chefsjustitieombudsmannen, är säkerhets-, säkerhetsskydds- och beredskapsansvarig. Tjänsten som biträdande kanslichef inrättades i mars 2021. Dessförinnan ansvarade kanslichefen för dessa frågor. JO har för närvarande inte några myndighetsgemensamma föreskrifter om säkerhets-

2020/21:URF3

6FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

skydd. Inom de delar av verksamheten där säkerhetskänslig information förekommer finns dock internt utarbetad praxis för hanteringen av sådan information. Arbetet med att ta fram skriftliga rutiner och föreskrifter har pågått under en längre tid och är långt framskridet. En analys av myndighetens säkerhetsskydd genomförs och det har upprättas förslag på bl.a. riktlinjer och instruktioner för informationssäkerhetsklassning och för incidenthantering.

6.4.4Revision och granskningen av efterlevnaden av säkerhetsskyddsbestämmelserna

JO lyder även under de allmänna regler för extern respektive intern revision som vi har redogjort för i avsnitt 6.2.5. Det finns alltså inte heller för JO något uttryckligt sagt om granskning av hur säkerhetsskyddsbestämmelserna följs.

6.5 Riksrevisionen

6.5.1 Riksrevisionens uppgifter

Riksrevisionen är en del av kontrollmakten. Enligt 13 kap. 7 § första stycket RF har Riksrevisionen till uppgift att bl.a. granska den verksamhet som bedrivs av staten.

Riksrevisionen leds enligt 13 kap. 8 § RF av en eller flera riksrevisorer som väljs av riksdagen. Av 13 kap. 5 § RO framgår att riksdagen väljer endast en riksrevisor. Riksrevisorn beslutar självständigt, med beaktande av de bestämmelser som finns i lag, vad som ska granskas. Riksrevisorn beslutar vidare självständigt hur granskningen ska bedrivas och om slutsatserna av sin granskning, se 13 kap. 8 § RF jämfört med 13 kap. 5 § andra stycket RO. Riksrevisionen företräder enligt 21 § lagen (2002:1023) med instruktion för Riksrevisionen Sverige som det nationella revisionsorganet i internationella sammanhang. Som Sveriges nationella revisionsorgan följer Riksrevisionen de internationella standarder för statlig revision som har tagits fram inom det internationella samarbetet mellan nationella revisionsorgan, Intosai. Av de övergripande principer som man inom detta samarbete beslutat ska gälla för all statlig revision följer bl.a. att de nationella revisionsorganen ska vara självständiga i förhållande till revisionsobjektet och skyddade mot yttre påverkan samt ha en funktionell och organisatorisk självständighet som är konstitutionellt reglerad. Självständigheten ska vara säkerställd även när revisionsorganet uppträder som ombud för parlamentet och fullgör revision på dess uppdrag. Förhållandet mellan revisionsorganet och parlamentet ska vara reglerat i grundlag.50

Riksrevisionen kan ibland i sin granskningsverksamhet få del av säkerhetsskyddsklassificerade uppgifter. Som framgår av den interna föreskriften om säkerhetsskydd (se mer om den i avsnitt 6.5.3) försöker dock Riksrevisionen

50Intosai-P1, The Lima Declaration, section 5 och section 8.

6 FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE	2020/21:URF3
BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

så långt det går att studera sådana handlingar på plats hos granskningsobjekten.

6.5.2 Riksrevisionens organisation

Enligt 2 § lagen med instruktion för Riksrevisionen är riksrevisorn chef för Riksrevisionen, leder myndigheten och avgör granskningsärendena. Riksrevisorn ansvarar enligt 4 b § instruktionen inför riksdagen för verksamheten och ska se till att den bedrivs effektivt och enligt gällande rätt, att den redovisas på ett tillförlitligt och rättvisande sätt samt att Riksrevisionen hushållar väl med statens medel. Riksrevisorn beslutar också om arbetsordning och verksamhetsplan samt de ekonomi- och personaladministrativa föreskrifter som ska gälla för den egna verksamheten och som inte enligt särskild lagstiftning ska beslutas av Riksdagsförvaltningen, se 5 § första stycket instruktionen. Av 13 kap. 5 § RO framgår att riksdagen också väljer en riksrevisionsdirektör att vara riksrevisorns ställföreträdare. Om riksrevisorn har gett riksrevisionsdirektören i uppdrag att i riksrevisorns ställe avgöra ett granskningsärende beslutar riksrevisionsdirektören självständigt hur granskningen ska bedrivas och om slutsatserna av den. Riksrevisionsdirektören får lämna granskningsrapporten över ett sådant ärende till riksdagen. Om riksrevisorn förklarat sig jävig får riksrevisionsdirektören efter samråd med riksrevisorn besluta att inleda en granskning. Riksrevisionsdirektören beslutar även i ett sådant fall självständigt hur granskningen ska bedrivas samt om slutsatserna av den och får lämna granskningsrapporten till riksdagen. Av samma bestämmelse framgår även att om riksrevisorns uppdrag upphör i förtid får konstitutionsutskottet välja en tillförordnad riksrevisor för tiden till dess att en ordinarie riksrevisor har valts och tillträtt.

Av 4 kap. 1 § Riksrevisionens arbetsordning framgår att Riksrevisionen är indelad i avdelningar för ledningsstöd, årlig revision, effektivitetsrevision, internationell verksamhet, HR, kommunikation samt juridik. Enligt 4 kap. 2 § arbetsordningen leds varje avdelning av en avdelningschef som är underställd riksrevisorn. Riksrevisorn kan besluta att en avdelning ska vara indelad i enheter och om en enhet ska ledas av en enhetschef. Enhetschefer rapporterar till respektive avdelningschef. Enligt 2 kap. 4 § arbetsordningen består Riksrevisionens ledningsgrupp av riksrevisorn, riksrevisionsdirektören och myndighetens avdelningschefer. Ledningsgruppen leds av riksrevisorn och behandlar frågor av betydelse för hela Riksrevisionen. Ledningsgruppen är rådgivande och verkar som stöd för riksrevisorn i ledningen av myndigheten när det gäller frågor av strategisk karaktär eller principiell betydelse. Varje deltagare ska med utgångspunkt i det egna ansvarsområdet bidra till helhetssynen på Riksrevisionens verksamhet, prioriteringar och mål.

Arbetsfördelningen mellan avdelningarna regleras i 5 kap. arbetsordningen. Enligt 5 kap. 1 § första och andra stycket arbetsordningen ska alla avdelningar bl.a. genomföra sina uppdrag i enlighet med verksamhetsplan, budget samt övriga planerings- och styrdokument. Varje avdelning ska upprätta en årlig

2020/21:URF3

6FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

handlingsplan över sin verksamhet. Avdelningen ska även genomföra en riskanalys avseende verksamhetens mål samt vidta och följa upp åtgärder med anledning av analysen.

Ansvaret för säkerhets- och säkerhetsskyddsfrågor är uppdelat. I Avdelningen för ledningsstöds uppdrag ligger bl.a. att utforma, utveckla och förvalta rutiner för myndighetens interna styrning och kontroll. Avdelningen har det övergripande ansvaret för att samordna och ställa krav på att myndighetens säkerhets-, säkerhetsskydds-, it-säkerhets- och informationssäkerhetsarbete fungerar väl. I den uppgiften ingår bl.a. att utveckla och förvalta myndighetens ledningssystem för informationssäkerhet samt att ge stöd och råd till övrig verksamhet. Avdelningen ska även ansvara för att ta fram av strategier som säkerställer att myndighetens digitala resurser följer fastställda krav på bl.a. funktionalitet och säkerhet, se 5 kap. 2 § andra och fjärde stycket arbetsordningen. Av 5 kap. 7 § andra stycket arbetsordningen framgår att en av Kommunikationsavdelningens uppgifter är att bidra med stöd i form av myndighetsgemensam administration, fysisk säkerhet, lokalförsörjning samt fastighets- och arbetsplatsanknutna tjänster.

Vilket ansvar olika funktioner har framgår av 6 kap. arbetsordningen. Av- delnings- och enhetschefer har verksamhets-, budget- och personalansvar. De har också ansvar för att den interna styrningen och kontrollen är betryggande inom sitt område. Det innebär att chefen inom det egna ansvarsområdet bl.a. ska se till att verksamheten följer de lagar, förordningar, föreskrifter och avtal som reglerar Riksrevisionens verksamhet, se till att verksamheten följer de interna styrdokument som beslutas inom Riksrevisionen och ansvara för att säkerheten upprätthålls och att säkerhetsrutiner implementeras och följs upp utifrån de förutsättningar som finns, se 6 kap. 2 § arbetsordningen.

På myndigheten finns det en säkerhetschef som är placerad på Avdelningen för ledningsstöd. Säkerhetschefen är även säkerhetsskyddschef och rapporterar direkt till riksrevisorn i myndighetsövergripande frågor och vid händelser av mer allvarlig karaktär. Säkerhetschefen har till uppgift att styra, leda, kravställa och samordna säkerhetsarbetet inom myndigheten. Säkerhetsarbetet omfattar områdena fysisk och teknisk säkerhet, personalsäkerhet, resesäkerhet, informationssäkerhet, krisberedskap, civilt försvar och säkerhetsskydd. Säkerhetschefen ska i övrigt bistå i andra säkerhetsfrågor som kan uppstå i organisationen. I ansvaret ingår att följa upp efterlevnaden av regelverket inom området och att ta fram underlag till interna styrdokument. Säkerhetschefen ansvarar också för att tillsammans med andra funktioner avväga säkerhetsåtgärder i relation till verksamhetsnytta och kostnader samt för risk- och händelsehantering i säkerhetsfrågor, se 6 kap. 6 § arbetsordningen. Till stöd för sitt arbete har säkerhetschefen en biträdande säkerhetsskyddschef som är placerad under Kommunikationsavdelningen. Sammanfattningsvis kan sägas att säkerhetschefen handhar de mer strategiska frågorna, medan själva utförandet tas om hand ute i verksamheten. Säkerhetschefen ingår inte i ledningsgruppen men blir adjungerad om det ska behandlas frågor som rör säkerhet.

6 FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE	2020/21:URF3
BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

6.5.3 Interna föreskrifter etc. om säkerhetsskydd

Riksrevisionen har en intern föreskrift (för närvarande under revidering) om Riksrevisionens säkerhetsskydd. I den behandlas bl.a. roller och ansvar, informationssäkerhet, sekretessmarkering, it-säkerhet, fysisk säkerhet vid tillträdesbegränsning, säkerhetsprövning, säkerhetsskyddad upphandling med säkerhetsskyddsavtal (SUA) samt utbildning. Själva förfarandet vid säkerhetsskyddad upphandling beskrivs ytterligare i en intern föreskrift om upphandling.

Riksrevisionen kan ibland i sin granskningsverksamhet få del av säkerhetsskyddsklassificerade uppgifter. I den interna föreskriften om Riksrevisionens säkerhetsskydd kallas sådana uppgifter även för ”hemliga uppgifter”. Enligt punkt 4.2 föreskriften ska Riksrevisionen, vid granskningar av verksamheter av betydelse för Sveriges säkerhet, tillämpa särskilda principer och skyddsåtgärder som är i enlighet med hur granskningsobjektets skydd av hemliga handlingar är utformat. Vid planering av insamlandet av information behöver därför granskningsobjektets egen säkerhetsskyddsklassificering tillämpas. Det sägs också att Riksrevisionen ska tillämpa principen att vid granskning studera hemliga handlingar på plats hos de granskade myndigheter för vilka säkerhetsskyddslagen och säkerhetsskyddsförordningen med verkställighetsföreskrifter ska tillämpas. Detta innebär att hemliga handlingar endast undantagsvis får föras in till Riksrevisionen. Kvalificerat hemliga handlingar får inte tas in till Riksrevisionen.

Punkt 6.3 föreskriften behandlar it-incidentrapportering. Där anges bl.a. att Riksrevisionen bör rapportera allvarligare it-incidenter till Säkerhetspolisen alternativt Myndigheten för samhällsskydd och beredskap (MSB).

Vad som gäller vid säkerhetsskyddad upphandling med säkerhetsskyddsavtal (SUA) tas upp särskilt i den interna föreskriften om upphandling. Där sägs bl.a. att SUA-avtal kan träffas i tre nivåer och att vid avtal på nivå 1, dvs. där leverantören hanterar och förvarar hemliga uppgifter i egna lokaler, så ska samråd göras med Säkerhetspolisen eller Försvarsmakten före avtalstecknandet.

Riksrevisionen har även en rutin för informationsklassning och hantering av information.

6.5.4Revision och granskningen av efterlevnaden av säkerhetsskyddsbestämmelserna

Det finns ingen extern aktör som granskar Riksrevisionen på det sätt som Riksrevisionen granskar andra myndigheter enligt lagen om revision av statlig verksamhet m.m.

Av 4 kap. 1 § arbetsordningen framgår att det finns en internrevision som rapporterar till riksrevisorn samt att riksrevisorn beslutar om riktlinjer och revisionsplan för internrevisionen och om åtgärder med anledning av internrevisionens iakttagelser och rekommendationer. Internrevisionen föreslår en granskningsplan för varje år och kan granska säkerhetsarbetet och säkerhets-

2020/21:URF3

6FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

skyddsarbetet. En granskning av myndighetens arbete med informationssäkerhet kommer att göras under 2021. Säkerhetsskyddet följs också upp på det sättet att alla avdelningar ska rapportera om hur säkerhetsincidenter följts upp i samband med tertialuppföljningar som avdelningscheferna ska göra och där incidentuppföljning är en del.

6.6 Nämndmyndigheterna under riksdagen

6.6.1Lagen om säkerhetsskydd i riksdagen och dess myndigheter gäller även i verksamhet hos nämnderna

Enligt 1 § lagen om säkerhetsskydd i riksdagen och dess myndigheter gäller lagen i verksamhet även vid ett antal av riksdagens nämndmyndigheter, nämligen Partibidragsnämnden, Riksdagens arvodesnämnd, Statsrådsarvodesnämnden, Nämnden för prövning av statsråds och vissa andra befattningshavares övergångsrestriktioner, Nämnden för lön till riksdagens ombudsmän och riksrevisorn, Riksdagens överklagandenämnd, Valprövningsnämnden och Riksdagens ansvarsnämnd.

Att lagen om säkerhetsskydd i riksdagen och dess myndigheter gäller i verksamhet även vid nämndmyndigheterna innebär dock inte att nämnderna rent faktiskt måste tillämpa bestämmelserna i lagen. Lagens bestämmelser bygger på att verksamhetsutövaren bedriver säkerhetskänslig verksamhet. Så- dan verksamhet definieras i 2 § första stycket lagen om säkerhetsskydd i riksdagen och dess myndigheter som ”… verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd”. Vi har varit i kontakt med nämnderna i fråga och merparten av dem uppger att de inte har gjort någon säkerhetsskyddsanalys. De nämnder som har gjort en sådan analys har kommit fram till att de inte bedriver någon säkerhetskänslig verksamhet.

Det ligger inte inom ramen för vår uppgift att bedöma om riksdagens nämndmyndigheter bedriver säkerhetskänslig verksamhet eller inte. Den bedömningen är upp till dem själva att göra. Vi kan dock konstatera att utfallet av en sådan bedömning kan variera över tid, bl.a. beroende på vilka ärenden nämnderna hanterar. Det skulle alltså kunna hända att en nämndmyndighet som i dag inte bedriver säkerhetskänslig verksamhet kommer att bedriva sådan verksamhet någon gång i framtiden och då måste tillämpa bestämmelserna i lagen om säkerhetsskydd i riksdagen och dess myndigheter. Det som sägs i våra överväganden kan alltså även i vissa fall komma att gälla för nämnderna.

6.6.2 Nämndernas uppgifter och organisation

Samtliga nämnder har var sin instruktion som gäller för deras verksamhet.51 Instruktionerna innehåller i stora delar likartade bestämmelser. Bland annat

51Se lagen (2013:353) med instruktion för Partibidragsnämnden, lagen (2012:883) med instruktion för Riksdagens arvodesnämnd, lagen (2012:881) med instruktion för Statsråds-

6 FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE	2020/21:URF3
BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

anges nämndens sammansättning och att det ska finnas en sekreterare för respektive nämnd. Vidare anges att nämnden ansvarar för verksamheten, om inte annat följer av bestämmelser i lag. Det sägs att nämnden ska se till att verksamheten bedrivs effektivt och enligt gällande rätt, att resultatet redovisas på ett tillförlitligt och rättvisande sätt samt att nämnden hushållar väl med statens medel. Det finns också bestämmelser om att det ska finnas en arbetsordning och att nämnden i den eller genom särskilda beslut får lämna över rätten att fatta vissa beslut eller vidta vissa åtgärder (delegering). För samtliga nämnder gäller att de inte har någon intern reglering av säkerhetsskyddsfrågor. Inte heller sägs något om säkerhetsskydd i deras arbetsordningar.

Nämndernas uppgifter och organisation i övrigt är i korthet som följer. Partibidragsnämnden prövar frågor om statligt partistöd. Stödet ges till den

allmänna verksamheten i partier både i och utanför riksdagen. Valresultatet avgör storleken på partibidraget. Nämnden består av ordförande och två ledamöter. Ledamöterna ska inneha eller ha innehaft ordinarie tjänst som domare och väljs av riksdagsstyrelsen för sex år. Riksdagsförvaltningen bereder val av ledamöter till nämnden.

Riksdagens arvodesnämnd har tre huvuduppgifter: att fastställa månadsarvodet för riksdagens ledamöter, att fatta beslut om ekonomiska avgångsförmåner (främst inkomstgaranti respektive ekonomiskt omställningsstöd) för riksdagsledamöter som lämnar sitt uppdrag, samt att utöva tillsyn av hur avgångsförmånerna används och pröva frågor om jämkning av inkomstgaranti respektive ekonomiskt omställningsstöd. I nämnden sitter en ordförande och två ledamöter som väljs av riksdagen. Konstitutionsutskottet bereder val av ledamöter till nämnden.

Statsrådsarvodesnämnden beslutar om nivån på statsrådens arvoden. Nämnden beslutar också vilken ersättning de statsråd som avgår ska få. I nämnden ingår en ordförande och två ledamöter, som efter varje ordinarie val väljs av riksdagen. Konstitutionsutskottet bereder val av ledamöter till nämnden.

Nämnden för prövning av statsråds och vissa andra befattningshavares övergångsrestriktioner har till uppgift att pröva frågor om övergångsrestriktioner för personer som är eller har varit statsråd, statssekreterare, riksrevisor (även en tillförordnad sådan) eller riksrevisionsdirektör och som avser att börja ett nytt uppdrag eller en ny anställning i annan än statlig verksamhet eller etablera näringsverksamhet. Nämnden väljs av riksdagen och består av en ordförande samt fyra ledamöter.

Nämnden för lön till riksdagens ombudsmän och riksrevisor bestämmer lön, avgångsersättning och övriga anställningsförmåner för riksdagens

arvodesnämnden, lagen (2018:676) om restriktioner vid statsråds och statssekreterares övergång till annan än statlig verksamhet, lagen (2012:882) med instruktion för Nämnden för lön till riksdagens ombudsmän och riksrevisorn, lagen (2012:884) med instruktion för Riksdagens överklagandenämnd och lagen (2012:880) med instruktion för Valprövningsnämnden. Riksdagsstyrelsen har i enlighet med 4 § lagen (RFS 1980:4) (1980:607) om beslutande organ i frågor om disciplinansvar m.m. beträffande arbetstagare hos riksdagen och dess myndigheter utfärdat en instruktion för Riksdagens ansvarsnämnd, se föreskriften (RFS 2009:1) med instruktion för Riksdagens ansvarsnämnd, och utser dess ledamöter.

2020/21:URF3

6FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

ombudsmän (JO), riksrevisorn, riksrevisionsdirektören och en tillförordnad riksrevisor. I nämnden ingår en ordförande och två ledamöter, som efter varje ordinarie riksdagsval väljs av riksdagen. Konstitutionsutskottet bereder val av ledamöter till nämnden.

Riksdagens överklagandenämnd prövar vissa beslut som fattats av Riksdagsförvaltningen, Riksbanken, JO och Riksrevisionen. Beslut som kan överklagas till nämnden är t.ex. anställningsbeslut och beslut om ackreditering av journalister för tillträde till riksdagens lokaler. Nämnden består av en ordförande och fyra ledamöter. Nämnden väljs av riksdagen för en valperiod direkt efter ett ordinarie riksdagsval. Ledamöterna nomineras av valberedningen.

Valprövningsnämnden prövar klagomål om allmänna val, dvs. val till riksdag, region och kommun samt val till Sametinget och Europaparlamentet. Även klagomål över nationella och kommunala folkomröstningar prövas. Nämnden prövar dessutom överklaganden av administrativa valärenden som t.ex. beslut om valkretsindelning, registrering av partibeteckning och fördelning av mandat på valkretsar. Nämnden består av en ordförande och sex ledamöter. Ordförande ska vara eller ha varit ordinarie domare. Nämnden väljs av riksdagen för en valperiod direkt efter ett ordinarie riksdagsval. Ledamöterna nomineras av valberedningen.

Riksdagens ansvarsnämnd beslutar i frågor om disciplinansvar m.m. enligt lagen (1994:26) om offentlig anställning samt om avskedande enligt lagen (1982:80) om anställningsskydd i fråga om vissa högre befattningshavare hos riksdagen och dess myndigheter. Rätt att anmäla ett ärende till nämnden har den myndighet där arbetstagaren är anställd och JO. I nämnden sitter ordförande, vice ordförande och tre ledamöter. Ordförande och vice ordförande ska vara jurister och ha erfarenhet som domare. Riksdagens ansvarsnämnd väljs av riksdagsstyrelsen för tre år. Riksdagsförvaltningen bereder val av ledamöter till nämnden.

6 FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE	2020/21:URF3
BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

6.7Överväganden rörande frågan om säkerställande av säkerhetsskydd på annat sätt än genom tillsyn

Förslaget i korthet

För att skapa ett liknande skydd som det som tillsyn enligt säkerhetsskyddslagen ger, dvs. att synliggöra eventuella brister på säkerhetsskyddsområdet, måste den interna och den externa granskningen av hur säkerhetsskyddsbestämmelserna hos riksdagen och dess myndigheter följs utvecklas. Granskningen ska innefatta att granska att lagen om säkerhetsskydd i riksdagen och dess myndigheter och de interna föreskrifter som har meddelats i anslutning till lagen samt säkerhetsskyddslagen i tillämpliga delar följs samt att granska de interna föreskrifternas ändamålsenlighet.

Ansvaret för den interna granskningen ska ligga på säkerhetsskyddschefen som till sin hjälp ska ha en särskild granskningsfunktion. Nämndmyndigheterna, som inte har någon säkerhetsskyddschef, ska dock kunna låta den interna granskningen utföras av någon annan myndighet under riksdagen.

Säkerhetspolisen ska utföra den externa granskningen i nära dialog med den som granskas.

För att slå vakt om självständigheten för riksdagen, talmannen, en enskild riksdagsledamot, en justitieombudsman (även en ställföreträdande ombudsman), riksrevisorn (även en tillförordnad riksrevisor), riksrevisionsdirektören samt Riksbankens ansvar för penningpolitiken ska säkerhetsskyddschefen respektive Säkerhetspolisen inte kunna besluta om några åtgärder med anledning av granskningen. Det ska gälla vid såväl den interna som den externa granskningen. I stället ska de enbart kunna komma med förslag till åtgärder.

Om det finns särskilda skäl ska, för riksdagens, talmannens eller en enskild riksdagsledamots del, riksdagsstyrelsen ha rätt att helt eller delvis neka säkerhetsskyddschefen respektive Säkerhetspolisen att utföra en granskning samt att neka dessa tillgång till uppgifter. Samma rätt ska gälla för en justitieombudsman (även en ställföreträdande ombudsman), riksrevisorn (även en tillförordnad riksrevisor), riksrevisionsdirektören samt myndigheterna Riksdagsförvaltningen, Riksbanken, JO och Riksrevisionen. Med särskilda skäl avses t.ex. att granskningen riskerar att självständigheten för riksdagen, någon av de nyssnämnda aktörerna, alternativt Riksbankens ansvar för penningpolitiken kan komma att påverkas eller ifrågasättas eller att det ur sekretessynpunkt inte bedöms lämpligt eller möjligt att låta säkerhetsskyddschefen eller Säkerhetspolisen ta del av vissa uppgifter.

2020/21:URF3

6FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

Det ska finnas ett krav att till respektive myndighetsledning årligen i en skrivelse redovisa vilka granskningsinsatser som säkerhetsskyddschefen respektive Säkerhetspolisen har gjort och hur åtgärder som dessa har föreslagit har tagits om hand. När det gäller den externa granskningen ska skrivelsen för Riksdagsförvaltningens, JO:s, Riksrevisionens och nämndmyndigheternas del skickas även till konstitutionsutskottet och för Riksbankens del även till finansutskottet.

Den externa granskningen samt säkerhetsskyddschefens ansvar ska regleras i lagen om säkerhetsskydd i riksdagen och dess myndigheter.

6.7.1 Uppdraget i denna del

Bestämmelsen om tillsyn i säkerhetsskyddslagen gäller inte för riksdagen och dess myndigheter. I propositionen till ny säkerhetsskyddslag (prop. 2017/18:89) fanns inte något resonemang om frågan om tillsyn över riksdagens eller dess myndigheters säkerhetsskydd. I framställningen Ny lag om säkerhetsskydd i riksdagen och dess myndigheter (framst. 2018/19:RS6) uttalade riksdagsstyrelsen att frågan om eventuell tillsyn över riksdagen och dess myndigheter behövde utredas och övervägas ytterligare innan något förslag kunde lämnas i den delen.52

I direktiven till vår utredning sägs att det kan ifrågasättas om det är lämpligt att en myndighet under regeringen utövar tillsyn över riksdagen och dess myndigheter på samma sätt som över andra myndigheter. Det är dock viktigt att säkerhetsskyddsklassificerade uppgifter och säkerhetskänsliga verksamheter har samma skydd oavsett var de förekommer. Enligt direktiven ska vi därför utreda om det är möjligt att säkerställa ett sådant skydd på ett annat sätt än genom tillsyn av någon myndighet under regeringen. Vi ska också lämna nödvändiga författningsförslag.

6.7.2 Tillsyn ger ett skydd genom att eventuella brister synliggörs

För att kunna utreda frågan om säkerställande av säkerhetsskydd på annat sätt än genom tillsyn måste vi först ta reda på vad den tillsyn som utförs på säkerhetsskyddsområdet innebär och vilket skydd den ger.

I säkerhetsskyddslagen med tillhörande förordning finns det endast ett fåtal bestämmelser om tillsyn. Det som sägs är att tillsyn under vissa förutsättningar får utövas och av vem, se 5 kap. 4 § säkerhetsskyddslagen och 7 kap. 1 § säkerhetsskyddsförordningen. Tillsynens innebörd och syfte diskuteras inte i säkerhetsskyddslagens förarbeten. I förarbetena till 1996 års lagstiftning sägs bara att tillsyn är utövande av kontroll över annans verksamhet.53 I lagrådsremissen Ett starkare skydd för Sveriges säkerhet förs det dock fram ett förslag om att det i säkerhetsskyddslagen ska införas en bestämmelse om att tillsyns-

52Framst. 2018/19:RS6 s. 20.

53Prop. 1995/96:129 s. 70.

6 FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE	2020/21:URF3
BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

myndigheten ska utöva tillsyn över att säkerhetsskyddslagen och föreskrifter som har meddelats i anslutning till säkerhetsskyddslagen följs. Det föreslås också vissa undersökningsbefogenheter för tillsynsmyndigheten samt bestämmelser om ingripande och sanktioner.

Säkerhetspolisen utövar tillsyn över ett stort antal statliga myndigheter. Men inte heller Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd ger någon ledning. I sin årsbok för 2020 skriver dock Säkerhetspolisen:

En tillsyn syftar till att kontrollera att den som bedriver verksamhet av betydelse för Sveriges säkerhet har ett adekvat säkerhetsskydd som motsvarar lagstiftningens krav. Tillsynen kan bestå i genomgång av dokumentation, intervjuer med de personer i verksamheten som ansvarar för skyddet och att identifiera sårbarheter i verksamhetens IT-system. En tillsyn innehåller även en bedömning framåt av hur väl rustad en verksamhet är för att upprätthålla ett systematiskt arbete med säkerhetsskydd på sikt. Genom en tillsyn får verksamheten möjlighet att genomlysa sitt säkerhetsskyddsarbete på ett strukturerat sätt, något som kan vara svårt att genomföra på egen hand. Verksamheten ansvarar sedan för att åtgärda de eventuella brister som upptäcks. I flera fall innebär en tillsyn från Säkerhetspolisen att flera delar av verksamheten involveras i säkerhetsskyddsarbetet, vilket kan vara positivt för den generella säkerhetskulturen.54

Det finns alltså inte någon entydig definition av vad tillsyn på säkerhetsskyddsområdet innebär och vilket skydd den ger. Vi anser dock att en sådan tillsyn bäst kan beskrivas som en kontroll av att de säkerhetsskyddsbestämmelser som finns följs och att tillsynsobjektet inte har någon möjlighet att styra vad det är som det ska utövas tillsyn över. Om förslagen i lagrådsremissen blir verklighet kommer den som utövar tillsynen dessutom att kunna besluta om vissa sanktioner mot tillsynsobjektet. Det skydd tillsynen ger utgörs enligt vår mening av att den synliggör eventuella brister på säkerhetsskyddsområdet, något som bidrar dels till att efterlevnaden här och nu av säkerhetsskyddsbestämmelserna kan bli bättre, dels till att de iakttagelser och erfarenheter som tillsynen ger upphov till kan användas som grund för planering och förbättring för framtiden.55

6.7.3För att ge ett liknande skydd som det som tillsyn ger bör den interna och den externa granskningen utvecklas och vara inriktad på efterlevnad och ändamålsenlighet

Redan i dag bedrivs det hos några av de institutioner vi har att titta på en viss aktivitet som syftar till att upptäcka eventuella brister på säkerhetsskyddsområdet.56 Förutom deras dagliga arbete med säkerhetsskyddet ges internrevisionen ibland i uppdrag att granska vissa frågor kopplade till säkerhetsskyddet.

54Säkerhetspolisens årsbok för 2020, s. 42.

55Se även diskussionen om tillsynsbegreppet i betänkandet Ett samlat ansvar för tillsyn över den personliga integriteten (SOU 2016:65) s. 51 f.

56Med begreppet ”institutioner” avser vi både riksdagen och dess myndigheter. Som framgår av bl.a. avsnitt 6.2.2 är det dock Riksdagsförvaltningen som svarar för säkerheten i riksdagen. Riksdagen bedriver alltså inte något eget säkerhetsskyddsarbete.

2020/21:URF3

6FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

Det händer också att det anlitas en utomstående aktör för att utföra en extern granskning av på förhand givna områden.

Vi anser dock att det som görs inte är tillräckligt. Bland annat är den granskning som utförs inte formaliserad vilket gör att det är otydligt vad den innebär. När det gäller den externa granskningen är det granskningsobjektet som helt på egen hand tar initiativ till en sådan granskning och därmed bestämmer vad det är som ska granskas och vem som ska utföra granskningen. Även om granskningsobjektet säkerligen gör detta med största noggrannhet går det inte att komma ifrån att det oberoende momentet i en sådan granskning kan ifrågasättas. Inte heller tycker vi att den kontakt riksdagen har med de aktuella myndigheterna genom utskotten (se mer om utskottens roll i detta avseende i avsnitt 6.7.9) och för Riksrevisionens del även riksdagens råd för Riksrevisionen, är tillräcklig. Den ger visserligen riksdagen en viss insyn i myndigheternas verksamhet, men dess huvudsakliga syfte är inte att synliggöra brister på säkerhetsskyddsområdet.

För att uppnå ett bättre kontroll som sådan och för att bättre kunna synliggöra eventuella brister på säkerhetsskyddsområdet måste därför, enligt vår mening, både den interna och den externa granskningen utvecklas. Den externa granskningen bör utföras av en i förväg bestämd extern part som bör vara gemensam för de institutioner vi har att titta på. Den externa parten bör vara fri att utifrån sin kompetens och sina erfarenheter själv föreslå vad som ska granskas, därmed inte sagt att den kan utföra en granskning mot granskningsobjektets vilja, se mer om det i avsnitt 6.7.5. När det gäller nämndmyndigheterna bedriver de, enligt egen utsago, i och för sig ingen säkerhetskänslig verksamhet. Det skulle dock kunna hända att någon nämnd i framtiden kommer att behöva tillämpa bestämmelserna i lagen om säkerhetsskydd i riksdagen och dess myndigheter. Det talar för att det även för nämndmyndigheterna bör finnas en ordning som möjliggör en granskning.

En del av arbetet med att utveckla granskningen är att tydliggöra vad den ska bestå i. Enligt vår mening bör såväl den interna som den externa granskningen innefatta en granskning av att de säkerhetsskyddsbestämmelser som finns, både i form av lag och interna föreskrifter, följs. Med föreskrifter menar

viall sådan reglering som de olika myndigheterna har meddelat med stöd av

14 § lagen om säkerhetsskydd i riksdagen och dess myndigheter. Till skillnad från de myndigheter som lyder under regeringen, och därmed ska följa förordningar och föreskrifter från t.ex. Säkerhetspolisen, så är riksdagen och dess myndigheter självreglerande utöver lagen. I granskningen bör det därför även ingå en granskning av de interna föreskrifternas ändamålsenlighet. Vidare bör granskningen, för att den ska kunna leda till förändringar och förbättringar, inriktas mot faktisk kravuppfyllelse och inte bara formell kravuppfyllelse. Det bör alltså inte vara tillräckligt att rutinmässigt kontrollera att den som granskas har agerat utifrån de skyldigheter som följer av regleringen. I stället måste granskningen även avse frågan om det har gjorts på ett tillräckligt bra sätt och

6 FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE	2020/21:URF3
BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?
om säkerhetsskyddet har anpassats till förutsättningarna i den enskilda verk-
samheten så att ett väl anpassat säkerhetsskydd uppnås.57

6.7.4 En intern och en extern granskning bör tålas, men självständigheten bör vara styrande för hur den ska utformas

Lagen om säkerhetsskydd i riksdagen och dess myndigheter ålägger inte några skyldigheter för enskilda personer. Detsamma gäller säkerhetsskyddslagen som till viss del är tillämplig hos riksdagen och dess myndigheter. I stället är det verksamhetsutövaren som träffas av bestämmelserna. En granskning av efterlevnaden av bestämmelserna i dessa lagar träffar alltså inte direkt vare sig talmannen, en enskild riksdagsledamot, en justitieombudsman (med justitieombudsman avser vi här och fortsättningsvis i detta sammanhang även en ställföreträdande ombudsman), riksrevisorn (med riksrevisorn avser vi här och fortsättningsvis i detta sammanhang även en tillförordnad riksrevisor) eller riksrevisionsdirektören. Däremot kan chefsjustitieombudsmannen respektive riksrevisorn indirekt komma att träffas i egenskap av att de är myndighetschefer för respektive myndighet och därmed har det yttersta ansvaret för säkerhetsskyddet i sina verksamheter. Riksdagen åläggs i och för sig inga skyldigheter som följer av lagen, men kan indirekt komma att träffas om Riksdagsförvaltningen skulle granskas. De aktuella myndigheternas egna föreskrifter om säkerhetsskydd anger i vissa fall hur enskilda ska agera. En granskning av efterlevnaden av föreskrifterna skulle alltså kunna innebära en granskning av hur väl talmannen, en riksdagsledamot, en justitieombudsman, riksrevisorn eller riksrevisionsdirektören följer föreskrifterna i fråga. Indirekt skulle den också kunna innebära en granskning av hur riksdagen som sådan agerar.

Riksdagen har en särställning i och med att den utses av folket. Detsamma får anses gälla för riksdagsledamöterna och talmannen. JO och Riksrevisionen är en del av riksdagens kontrollmakt. Vid Riksrevisionens tillkomst var diskussionerna om den blivande myndighetens oberoende centrala. Riksdagskommittén uttryckte bl.a. att det är avgörande för huruvida en revision kan betraktas som oberoende att granskningsprocessens olika skeden kan bedrivas utan styrning utifrån, dvs. att avgörandena ytterst ligger hos revisionsorganet självt.58 Justitieombudsmännen och riksrevisorn väljs direkt av riksdagen (dock inte en tillförordnad riksrevisor), är helt självständiga i sina beslut och är direkt ansvariga inför riksdagen. Riksrevisionsdirektören väljs också av riksdagen och är självständig när han eller hon beslutar i granskningar som riksrevisorn gett riksrevisionsdirektören i uppdrag att avgöra. I dessa ärenden ansvarar riksrevisionsdirektören direkt inför riksdagen. Detsamma gäller om konstitutionsutskottet har valt en tillförordnad riksrevisor. Riksdagsförvaltningen tillhör förvisso inte kontrollmakten men utgör en viktig kugge i riksdagens arbete genom att den ger stöd åt riksdagen.

57Se SOU 2018:82 s. 397.

58Framst. 1999/2000:RS1 s. 36.

2020/21:URF3

6FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

Självständigheten är alltså av stor betydelse för de nämnda institutionerna och aktörerna.59 Samtidigt är det, som vi har varit inne på i bl.a. avsnitt 6.1.1, även viktigt att det finns en ordning som tillgodoser ett fullgott säkerhetsskydd. Med tanke på säkerhetsskyddsfrågornas betydelse kan det, enligt vår mening, därför behöva tålas att såväl efterlevnaden av tillämpliga säkerhetsskyddsbestämmelser som deras ändamålsenlighet granskas. Självständigheten innebär inte heller att de institutioner och aktörer som nu är aktuella är undantagna från de regelverk som gäller för statsförvaltningen i stort. Av 1 kap. 1 § RF framgår att den offentliga makten utövas under lagarna. I 1 kap. 9 § RF föreskrivs att domstolar samt förvaltningsmyndigheter och andra som fullgör uppgifter inom den offentliga förvaltningen i sin verksamhet ska beakta allas likhet inför lagen samt iaktta saklighet och opartiskhet. Således måste t.ex. lagen om säkerhetsskydd i riksdagen och dess myndigheter följas.

Vår uppfattning är att självständigheten inte kan användas som argument för att det aldrig kan utföras en granskning av riksdagen som sådan, talmannen, en enskild riksdagsledamot, en justitieombudsman, riksrevisorn, riksrevisionsdirektören eller myndigheterna Riksdagsförvaltningen, JO och Riksrevisionen. Vidare ser vi inte att självständigheten i alla lägen utesluter en extern granskning initierad och utförd av en myndighet under regeringen. Att en sådan myndighet utövar tillsyn över en myndighet under riksdagen förekommer dessutom redan i dag. Vi tänker då på den tillsyn som Integritetsskyddsmyndigheten (IMY) utövar över JO:s personuppgiftsbehandling. Ordningen finns inte beskriven någonstans utan kan närmast beskrivas som att den finns av gammal hävd.

Som vi kommer att se i bl.a. avsnitt 6.7.8 anser vi att det går att skapa en ordning där en extern granskning utförs av Säkerhetspolisen. I den delen är dock Riksrevisionens expert av en annan åsikt, något vi återkommer till. Styrande för hur granskningen kan och bör se ut måste enligt vår mening i stället vara att den utformas på ett sådant sätt att det inte finns någon risk för att självständigheten för riksdagen, talmannen, en enskild riksdagsledamot, en justitieombudsman, riksrevisorn eller riksrevisionsdirektören kan komma att påverkas eller ifrågasättas. Detta gäller för såväl den interna som den externa granskningen. Vårt resonemang har i dessa delar likheter med 2017 års Riksrevisionsutrednings delbetänkande Översyn av Riksrevisionen – grundlagsfrågor (2016/17:URF1). Där sägs att den självständighet som kommer till uttryck i regeringsformens bestämmelse innebär att riksrevisorerna är självständiga i den granskande verksamhetens alla delar, inbegripet valet av vad som ska granskas, hur granskningen ska bedrivas och självklart också vilka slutsatser som ska dras av granskningen. I dessa delar är de också självständiga i förhållande till varandra. Myndigheten Riksrevisionen och dess ledning kan emellertid inte anses vara mer självständig än andra myndigheter, eftersom myn-

59Med begreppet ”aktörer” avser vi i det här sammanhanget talmannen, enskilda riksdagsledamöter, enskilda justitieombudsmän (även ställföreträdande ombudsmän), riksrevisorn (även en tillförordnad riksrevisor) och riksrevisionsdirektören.

6 FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE	2020/21:URF3
BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?
digheten i ekonomiska och administrativa avseenden ska följa samma regel-
verk som andra myndigheter under riksdagen.60
När det gäller Riksbanken så väljs dess fullmäktige av riksdagen. Ingen
myndighet får bestämma hur Riksbanken ska besluta i frågor som rör penning-
politik. Riksbankens självständighet kan alltså närmast sägas handla om pen-
ningpolitiken och den utgör inte en del av kontrollmakten. Riksbanken kan
därför i stora delar jämföras med en vanlig förvaltningsmyndighet. Så länge
det inte finns någon risk för att Riksbankens ansvar för penningpolitiken kan
komma att påverkas eller ifrågasättas på grund av den interna eller den externa
granskningen ser vi därför inte några konstitutionella hinder när det gäller en
granskning av efterlevnaden av säkerhetsskyddsbestämmelserna eller de in-
terna föreskrifternas ändamålsenlighet. Inte heller för nämndmyndigheterna
anser vi att det finns någon konstitutionell problematik vad gäller en intern
respektive en extern granskning av det slag som nu är aktuellt. De har ingen
särställning som kontrollmakt eller liknande. Detta talar för att Riksbanken
och nämndmyndigheterna egentligen borde kunna lyda under samma sorts till-
syn som myndigheterna under regeringen. Samtidigt skiljer sig Riksbanken
och nämndmyndigheterna från myndigheterna under regeringen just genom att
de förra är underordnade riksdagen. Vi ser också att det finns en poäng med
att ha så lika regler som möjligt för samtliga myndigheter under riksdagen. Det
gör att vi inte kommer att föreslå någon särreglering för Riksbanken och
nämndmyndigheterna när det gäller granskningen.
I det följande kommer vi, med hänsyn till självständighetsaspekten, inleda
med att diskutera en eventuell avgränsning av det område som ska granskas.
Därefter går vi vidare och undersöker vilka befogenheter den som granskar
bör ha och om den som granskas bör ha möjlighet att bl.a. neka en granskning.
Vi avslutar med att titta på vem det är som ska utföra granskningen. Frågorna
hänger i mångt och mycket ihop – exempelvis beror befogenheterna för den
som ska utföra granskningen till viss del på vem det är som utför granskningen.
Det gör att det säkerligen finns flera möjliga varianter när det gäller i vilken
ordning frågorna kan tas upp.

6.7.5De som utför den interna respektive den externa granskningen bör inte ha rätt att meddela några beslut om åtgärder och det bör finnas rätt att neka granskning eller tillgång till uppgifter

En lösning att fundera på när det gäller granskningen är om det skulle kunna göras en uppdelning så att en granskning av t.ex. Riksrevisionen inte får avse riksrevisorns eller riksrevisionsdirektörens granskande verksamhet men väl deras verksamhet i övrigt och myndigheten Riksrevisionen som sådan. Det går att jämföra med resonemanget i 2017 års Riksrevisionsutrednings delbetänkande som vi redogjort för i avsnittet ovan. En annan möjlighet att överväga

602016/17:URF1 s. 98 f.

2020/21:URF3

6FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

är att dela upp granskningen efter person så att en granskning av talmannen, en enskild riksdagsledamot, en justitieombudsman, riksrevisorn eller riksrevisionsdirektören inte får utföras, men väl en granskning av myndigheterna som sådana.

Vi ser det dock inte som givet att en uppdelning utifrån område eller person i alla lägen garanterar självständigheten. Sett ur säkerhetsskyddssynpunkt är det också så att säkerhetsskyddsfrågor genomsyrar hela verksamheten. Att då lämna en del av verksamheten, antingen i form av ett visst område eller en viss person, utanför granskningen skulle kunna leda till att det skydd en granskning är tänkt att ge inte fullt ut kan uppnås. Vår uppfattning är därför att en uppdelning inte är en lämplig väg att gå.

I stället måste självständigheten garanteras på annat sätt. Enligt vår mening görs detta lämpligast genom att den som utför granskningen, vare sig det handlar om en intern eller en extern granskning, inte har rätt att meddela några beslut om åtgärder med anledning av granskningen utan endast kan komma med förslag till åtgärder. Den som utövar den externa granskningen bör inte heller ha några undersökningsbefogenheter eller kunna besluta att den som granskas ska bli skyldig att betala sanktionsavgift.61 Granskningen bör utföras i nära dialog med granskningsobjektet, bl.a. för att på ett tidigt stadium kunna upptäcka och lösa eventuella frågor vad gäller t.ex. självständigheten.

Den ordning vi nyss har beskrivit kan vid en första anblick te sig aningen tandlös. Vi vill dock återigen peka på att det skydd som tillsyn kan sägas ge och som vi önskar uppnå även för riksdagen och dess myndigheter är just att synliggöra eventuella brister på säkerhetsskyddsområdet. I ett sådant läge är det inte det formella resultatet av granskningen, dvs. om den formaliseras i ett beslut eller i ett förslag, som är det viktiga. I stället är det som eftersträvas att det faktiskt utförs en granskning, i vissa fall av en extern granskare, och att eventuella brister därigenom lyfts upp till ytan. Därefter är det upp till den som granskningen avser att agera utifrån det som föreslås. Huvudregeln bör dock vara att förslagen ska följas. Undantag bör i princip bara kunna göras om det finns en risk för att självständigheten för riksdagen, talmannen, en enskild riksdagsledamot, en justitieombudsman, riksrevisorn, riksrevisionsdirektören eller Riksbankens ansvar för penningpolitiken kan komma att påverkas eller ifrågasättas.

Vår bedömning är att den ovan beskrivna ordningen kommer att utgöra ett gott skydd för självständigheten för de aktuella institutionerna och aktörerna. Visserligen kommer den som ska utöva granskningen att ha en initiativrätt, men som vi nyss har nämnt bör granskningen utföras i nära dialog med granskningsobjektet för att på ett tidigt stadium kunna lösa frågor av bl.a. konstitutio-

61Nuvarande reglering i säkerhetsskyddslagen med tillhörande förordning och föreskrifter innehåller inte några möjligheter för tillsynsmyndigheterna att ingripa mot de verksamhetsutövare som de utövar tillsyn över. Det finns alltså i dag ingen möjlighet för t.ex. Säkerhetspolisen att besluta om åtgärder vare sig för en myndighet eller en enskild myndighetsanställd. I lagrådsremissen Ett starkare skydd för Sveriges säkerhet föreslås dock bestämmelser med undersökningsbefogenheter för tillsynsmyndigheten samt förslag på bestämmelser om ingripande och sanktioner.

6 FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE	2020/21:URF3
BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

nell karaktär. Som en yttersta garant för självständigheten bör det också finnas en säkerhetsventil i form av en möjlighet för riksdagen, talmannen, en enskild riksdagsledamot, en justitieombudsman, riksrevisorn, riksrevisionsdirektören eller myndigheterna Riksdagsförvaltningen, Riksbanken, JO och Riksrevisionen att helt eller delvis neka en intern eller en extern granskning samt också en rätt att neka tillgång till vissa uppgifter. Säkerhetsventilen bör dock kunna användas bara om det finns särskilda skäl. Ett sådant särskilt skäl kan vara just att granskningen riskerar att självständigheten för riksdagen, någon av de nämnda aktörerna alternativt Riksbankens ansvar för penningpolitiken kan komma att påverkas eller ifrågasättas. Ett annat särskilt skäl, som inte är kopplat till självständigheten som sådan, kan vara att det ur sekretessynpunkt inte bedöms lämpligt eller möjligt att låta den som utför granskningen ta del av vissa uppgifter. Ytterligare särskilda skäl, som inte vi kan överblicka här och nu, kan också finnas. För att inte behöva lägga avgörandet i vilka fall säkerhetsventilen ska användas i fråga om riksdagen, talmannen eller en enskild riksdagsledamot ser vi det som lämpligt att dessa för frågan vidare till riksdagsstyrelsen som sedan avgör om ventilen ska åberopas eller inte.

Sägas ska att vi tror att det är sällan möjligheten att helt eller delvis neka en granskning eller tillgång till uppgifter kommer att användas. Den som utför den interna granskningen borde i de allra flesta fall ha en god kunskap om sin egen verksamhet och därmed också var konstitutionella eller andra svårigheter kan dyka upp. I och med att det är just en intern granskning borde många frågor kunna lösas på ett tidigt stadium. Vad gäller den externa granskningen är vår uppfattning att det är viktigt att den som utför granskningen har en kontinuerlig dialog med den som ska granskas. Vi återkommer till det i avsnitt 6.7.8. På så sätt får det tänkta granskningsobjektet en möjlighet att redan i ett tidigt skede ta ställning till om det t.ex. finns skäl att neka en granskning.

6.7.6Ansvaret för den interna granskningen bör ligga på säkerhetsskyddschefen som till sin hjälp bör ha en särskild granskningsfunktion

I avsnitt 6.10 föreslår vi att det vid Riksdagsförvaltningen, Riksbanken, JO och Riksrevisionen ska finnas en säkerhetsskyddschef. Denne ska bl.a. ha till uppgift att granska att tillämpliga säkerhetsskyddsbestämmelser i lag och interna föreskrifter följs och att de interna föreskrifterna är ändamålsenliga. Sä- kerhetsskyddschefens ansvar är med andra ord identiskt med vad vi anser att en granskning, i det här fallet en intern sådan, bör innefatta (jfr avsnitt 6.7.3).

För att säkerhetsskyddschefen ska kunna utföra granskningen på bästa sätt anser vi att det hos varje institution som regelmässigt bedriver säkerhetskänslig verksamhet – vi tänker då på riksdagen, Riksdagsförvaltningen, Riksbanken, JO och Riksrevisionen – även bör finnas en intern granskningsfunktion. För riksdagen bör ansvaret för granskningen följa ansvaret för säkerheten i riksdagen, dvs. ligga på Riksdagsförvaltningen. När det gäller nämndmyndigheterna ligger det inte inom ramen för vårt uppdrag att föreslå någon säkerhets-

2020/21:URF3

6FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

skyddschef för deras del. De kommer också med stor sannolikhet att endast undantagsvis bedriva säkerhetskänslig verksamhet. Det innebär att det är sällan det kommer att finnas något att granska. Det, i kombination med att de är små myndigheter och därmed har en begränsad möjlighet att själva utföra granskningen, gör att granskningen bör kunna läggas ut på någon annan. Vi återkommer till det i avsnitt 6.7.11.

Varje myndighet har sina särdrag och är också den som bäst känner sin verksamhet. Till viss del bör det därför vara upp till myndigheterna själva att avgöra hur granskningsfunktionen bör utformas. Några saker bör dock gälla för alla. En viktig faktor är att granskningsfunktionen ska vara skild från de delar den ska granska. Den bör alltså vara en egen organisatorisk enhet eller liknande, därmed inte sagt att en person som arbetar i den ena funktionen inte samtidigt kan arbeta i den andra. Själva sammansättningen på granskningsfunktionen, utöver säkerhetsskyddschefen, bör vara upp till respektive myndighet att besluta om. Det är dock viktigt att det avsätts tillräckliga resurser, både för själva granskningsfunktionen och hos de delar av verksamheten som ska granskas.

6.7.7Svårigheter med kompetensen på säkerhetsskyddsområdet gör att det inte finns någon myndighet under riksdagen som kan utföra den externa granskningen

Sett ur ett konstitutionellt perspektiv kan det tyckas att det mest naturliga är att den externa granskningen av riksdagen och dess myndigheter utförs av en annan myndighet under riksdagen. När det gäller vilken aktör som ska ha hand om en granskning är det dock, enligt vår uppfattning, inte bara de konstitutionella aspekterna som är av betydelse. Det som utför granskningen måste också ha tillräcklig kompetens på området.

Säkerhetsskyddsområdet är under ständig utveckling. De som arbetar med säkerhetsskyddsfrågor måste hålla sig uppdaterade om både förändringar i omvärlden och vad som i övrigt händer på området. Frågorna är inte sällan komplexa och det gäller att kunna sätta in dem i ett större sammanhang. För att kunna göra det krävs det att man på daglig basis jobbar med säkerhetsskyddsfrågor. Om det skulle skapas en ny myndighet under riksdagen med uppgiften att utföra den tilltänkta externa granskningen, skulle den myndigheten förvisso ha till uppgift att granska flera institutioner. Vår bedömning är dock att omfattningen av det arbetet inte skulle vara tillräcklig för att inom granskningsmyndigheten upprätthålla den kompetens som krävs. Vi ser heller ingen annan möjlighet att lösa kompetensfrågan. Till det kommer att flera personer på de myndigheter vi har talat med har vittnat om att det är svårt att över huvud taget rekrytera personal som har tillräckliga kunskaper på säkerhetsskyddsområdet.

Frågan är då om någon befintlig myndighet under riksdagen skulle kunna få uppgiften som extern granskare. Riksrevisionen är i så fall den myndighet som ligger närmast till hands. Riksrevisionen har redan till uppgift att granska den verksamhet som bedrivs av riksdagens förvaltning och myndigheter under

6 FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE	2020/21:URF3
BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

riksdagen, se 13 kap. 7 § första stycket RF och 2 § 2 lagen om revision av statlig verksamhet m.m. Den granskningen ska dock främst ta sikte på s.k. effektivitetsrevision och huvudsakligen inriktas på granskning av hushållning, resursutnyttjande och måluppfyllelse, se 4 § andra stycket nämnda lag. Ett uppdrag att även kontrollera efterlevnaden av säkerhetsskyddet skulle därmed innebära att det behövs ytterligare kompetens utöver den som redan finns hos Riksrevisionen. Detsamma gäller om det väljs en lösning där den externa granskningen sköts av något utskott i riksdagen. Av samma skäl som vi anfört ovan ser vi det inte som möjligt för vare sig Riksrevisionen eller ett utskott att upprätthålla den kompetens som skulle krävas.

Ett annat alternativ att beakta är att låta den som utför granskningen – vare sig det är en ny myndighet, Riksrevisionen eller något utskott – ta hjälp av andra myndigheter och aktörer som t.ex. Säkerhetspolisen. I ett sådant fall skulle kompetens kunna ”lånas” in efter behov. Även en sådan ordning kräver dock att den funktion som har det yttersta ansvaret för granskningen har en tillräcklig kompetens på säkerhetsskyddsområdet, något vi ser som svårt att uppnå.

Hur man ska värdera de konstitutionella aspekterna i förhållande till besväret att ordna en godtagbar kompetensförsörjning för den som ska sköta granskningen kan givetvis diskuteras. Riksrevisionens expert har framfört uppfattningen att de konstitutionella aspekterna måste värderas högre och att riksdagens behov av att säkerställa egen kompetens för granskning på säkerhetsskyddsområdet borde övervägas närmare. Vår uppfattning är dock att det, ur ett kompetensmässigt perspektiv, inte är möjligt att låta den externa granskningen av efterlevnaden av säkerhetsskyddsbestämmelserna utföras av riksdagen eller en myndighet under riksdagen. Det ger anledning att titta på förutsättningarna för att en granskning med de begränsningar vi tänker oss ska kunna utföras av en myndighet under regeringen, givetvis med beaktande av de konstitutionella aspekterna.

6.7.8Den externa granskningen bör utföras av Säkerhetspolisen i nära dialog med den som granskas

I samband med behandlingen av en motion om att Regeringskansliet skulle omfattas av samtliga regler i säkerhetsskyddslagen anförde konstitutionsutskottet att en ordning där en, eller möjligen flera, statliga tillsynsmyndigheter har tillsyn över Regeringskansliet mot bakgrund av bestämmelserna i regeringsformen inte var självklar. Vidare anmärkte konstitutionsutskottet att det även kunde finnas andra aspekter att beakta ur ett konstitutionellt perspektiv (dock utan att nämna vilka dessa kunde vara). Justitieutskottet instämde i detta, men ansåg att frågan borde utredas närmare och att så många bestämmelser som möjligt i säkerhetsskyddslagen borde omfatta Regeringskansliet.62 Den utredning som tillsattes för att titta på bl.a. den frågan har i Ds 2020:11 kommit

62Bet. 2017/18:JuU21 s. 19.

2020/21:URF3

6FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

med förslag som innebär att Regeringskansliet, utlandsmyndigheterna och kommittéväsendet även fortsättningsvis bör undantas från bestämmelserna i säkerhetsskyddsförordningen om tillsyn. Det motiveras av utredningen på följande sätt: Eftersom förvaltningsmyndigheterna lyder under regeringen och det finns ett lydnadsförhållande mellan regeringen och myndigheterna framstår det som att det inte är en lämplig ordning att en förvaltningsmyndighet ska utöva tillsyn över Regeringskansliet, utlandsmyndigheterna och kommittéväsendet. Dessa bör därför även undantas från krav på samråd och informationsplikt med tillsynsmyndighet (se mer i avsnitt 4.14.1 och avsnitt 4.14.2).

Vi är väl medvetna om att det kan finnas en konstitutionell problematik med en ordning där en myndighet under regeringen tillåts ha hand om den externa granskningen av riksdagens och dess myndigheters efterlevnad av säkerhetsskyddsbestämmelserna och de interna föreskrifternas ändamålsenlighet. För JO:s och Riksrevisionens del skulle det innebära att en myndighet de ska utöva tillsyn över får i uppdrag att granska JO respektive Riksrevisionen när det gäller säkerhetsskyddet. Det uttalande av konstitutionsutskottet som refereras ovan skulle också, vid en första anblick, kunna tolkas som att det är helt uteslutet. Ytterligare en läsning av uttalandena visar dock att de inte uppställer ett absolut hinder ens vad gäller tillsyn – det som om sägs är att en ordning med en myndighet under regeringen som granskar en myndighet under riksdagen ”inte är självklar”. Som vi har varit inne på i avsnitt 6.7.4 kan det, med tanke på säkerhetsskyddsfrågornas betydelse behöva tålas att det utförs granskning av såväl efterlevnaden av tillämpliga säkerhetsskyddsbestämmelser som deras ändamålsenlighet. Att myndigheter under regeringen utövar tillsyn över myndigheter under riksdagen är dessutom något som förekommer redan i dag, vi tänker då på t.ex. den tillsyn som IMY utövar över JO:s personuppgiftsbehandling.

För att skapa ett liknande skydd som det som tillsyn enligt säkerhetsskyddslagen ger, dvs. att synliggöra eventuella brister på säkerhetsskyddsområdet, måste det enligt vår mening till en extern granskning. Det gäller då att hitta en lösning på hur den ska utformas. För att återkoppla till vad vi tidigare har sagt är vår uppfattning att granskning utförd av en myndighet under regeringen bör kunna godtas om den går att utforma så att det inte finns någon risk för att självständigheten för riksdagen, talmannen, en enskild riksdagsledamot, en justitieombudsman, riksrevisorn, riksrevisionsdirektören alternativt Riksbankens ansvar för penningpolitiken kan komma att påverkas eller ifrågasättas. En sådan ordning anser vi oss också ha skapat genom att den som ska utföra granskningen inte har rätt att meddela några beslut om åtgärder med anledning av granskningen och genom möjligheten för den som granskas att vid särskilda skäl, däribland konstitutionella sådana, helt eller delvis neka en granskning samt en möjlighet att neka tillgång till vissa uppgifter. Vi delar därmed inte den synpunkt som Riksrevisionens expert framfört på den av oss föreslagna ordningen att Säkerhetspolisen ska granska bl.a. just Riksrevisionen. Experten menar att en sådan ordning riskerar att träda riksrevisorns självständighet och Riksrevisionens oberoende i granskningsverksamheten förnär. Vi vill också

6 FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE	2020/21:URF3
BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

betona att det vi föreslår inte är tillsyn, utan en granskning med tydliga inslag av dialog mellan Säkerhetspolisen och de som granskas samt en säkerhetsventil för att garantera självständigheten för de sistnämnda.

Då återstår frågan vilken myndighet under regeringen som är bäst lämpad för uppdraget att utföra den externa granskningen. För merparten av de myndigheter som lyder under regeringen är Säkerhetspolisen tillsynsmyndighet. Säkerhetspolisen har alltså en väl upparbetad kompetens på området. Genom sin roll som tillsynsmyndighet har Säkerhetspolisen också en överblick över var på säkerhetsskyddsområdet det kan förekomma brister och vilka områden som därför kan behöva granskas. Därför faller det sig enligt vår mening mest naturligt att låta Säkerhetspolisen ha hand även om granskningen av riksdagens och dess myndigheters efterlevnad av säkerhetsskyddsbestämmelserna. Vi vill i det sammanhanget återigen betona att vi ser det som viktigt att det finns en nära dialog mellan Säkerhetspolisen och respektive institution om granskningen, bl.a. för att i ett tidigt skede kunna lösa eventuella frågor av konstitutionell karaktär. Ett tillvägagångssätt för denna dialog skulle t.ex. kunna vara att Säkerhetspolisen upprättar en granskningsplan där den redogör för vad den önskar granska och att riksdagen (genom Riksdagsförvaltningen) och dess myndigheter sedan får lämna sina synpunkter på planen. Skulle det då visa sig att det finns invändningar mot granskningen är det rimligt att det förs en fortsatt dialog innan någon eventuell granskning initieras.

När vi pratar om Säkerhetspolisens roll ska vi även nämna bestämmelsen i 7 kap. 10 § första stycket säkerhetsskyddsförordningen som säger att Säkerhetspolisen på begäran ska lämna råd om säkerhetsskydd till riksdagen och dess myndigheter. Eftersom myndigheterna under riksdagen till stor del reglerar sig själva och Säkerhetspolisen inte utövar formell tillsyn ser vi att det är viktigt att behålla denna möjlighet och vi ser inga formella hinder för att den ska finnas kvar. Säkerhetspolisen ska alltså även fortsättningsvis, trots sin nya roll som granskningsmyndighet, på begäran lämna råd till riksdagen och dess myndigheter.

Vi är övertygade om att de som granskas i de allra flesta fall kommer att följa de förslag till åtgärder som ges vid den interna och den externa granskningen och att eventuella avsteg kommer att vara välgrundade. För att ytterligare inskärpa vikten av granskningen och för att ge en vägledning i vilka fall det kan finnas skäl att göra avsteg från de föreslagna åtgärderna, bör det dock finnas ett krav på riksdagens myndigheter att årligen i en skrivelse redovisa vilka granskningsinsatser som säkerhetsskyddschefen respektive Säkerhetspolisen har gjort och hur de förslag till åtgärder som har getts med anledning av granskningen har tagits om hand. Riksdagsförvaltningens redovisning bör i det

2020/21:URF3

6FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

sammanhanget innehålla även en redovisning av eventuella åtgärder som föreslås för riksdagen. De närmare formerna för hur skrivelsen ska tas fram, t.ex. vilken organisatorisk del av respektive myndighet som ska ha till uppgift att bistå med den, bör bestämmas av myndigheterna själva. Skrivelsen bör, för såväl den interna som den externa granskningen, lämnas till respektive myndighets ledning. Det bör sedan vara upp till respektive ledning att avgöra hur skrivelsen ska hanteras.

För den externa granskningen anser vi att skrivelsen dessutom bör lämnas till riksdagen i form av något utskott. Utskottet bör dock inte ha någon granskande roll. Syftet med att låta utskottet få del av skrivelsen är i stället att det bl.a. ska få en bild av hur arbetet med säkerhetsskyddsfrågor ser ut. Det är sedan upp till utskottet att eventuellt agera utifrån vad som framkommer av skrivelsen.

För Riksdagsförvaltningens (inklusive riksdagen), JO:s, Riksrevisionens och nämndmyndigheternas del bör det vara konstitutionsutskottet som är mottagare av respektive myndighets skrivelse. Av bilagan till riksdagsordningen framgår att konstitutionsutskottet ska bereda ärenden om riksdagen och riksdagens myndigheter i övrigt utom Riksbanken, se tilläggsbestämmelse

7.5.1RO. I enlighet med 11 § lagen med instruktion för Riksdagens ombudsmän överlämnar JO årligen sin ämbetsberättelse till konstitutionsutskottet. En- ligt 19 § lagen med instruktion för Riksrevisionen är det konstitutionsutskottet som svarar för att revision sker av Riksrevisionen. Av tilläggsbestämmelse

13.5.1RO framgår också en möjlighet till samråd mellan Riksrevisionen och konstitutionsutskottet. Ett sådant samråd kan gälla Riksrevisionens arbetsordning eller andra frågor av organisatorisk art. Såväl JO som Riksrevisionen har en tät myndighetsdialog med detta utskott. Nämndmyndigheterna lämnar varje år var sin verksamhetsredogörelse till riksdagen. Redogörelsen bereds i konstitutionsutskottet. När det gäller Riksdagsförvaltningen är kopplingen till konstitutionsutskottet inte lika tydlig. Dock har konstitutionsutskottet hand om bl.a. den lagstiftning som rör Riksdagsförvaltningen, och riksdagsdirektören redogör för verksamheten inför utskottet. Det faller sig därför enligt vår mening mest naturligt att även Riksdagsförvaltningen sänder sin skrivelse till konstitutionsutskottet. Eftersom Riksdagsförvaltningen ska svara för bl.a. säkerheten i riksdagen kommer dess skrivelse alltså även att innehålla en redogörelse om riksdagen i detta avseende.

Vad slutligen gäller Riksbanken ser vi att det finns ett värde i att ett och samma utskott har hand om samtliga skrivelser som rör vilka granskningsinsatser säkerhetsskyddschefen respektive Säkerhetspolisen har gjort och hur de förslag till åtgärder som har getts med anledning av granskningen har tagits om hand. Dock undantas uttryckligen i bilagan till riksdagsordningen ärenden om Riksbanken från konstitutionsutskottets ansvar. I 6 kap. 4 § riksbankslagen sägs att Riksbanken minst två gånger om året ska lämna en skriftlig redogörelse till riksdagens finansutskott om penningpolitiken. Därför anser vi att det för Riksbankens del i stället bör vara finansutskottet som bör vara mottagare av skrivelsen i fråga.

6 FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE	2020/21:URF3
BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

6.7.10Sekretess borde i de flesta fall inte lägga hinder i vägen för granskningen

En granskning av riksdagens och dess myndigheters efterlevnad av säkerhetsskyddsbestämmelserna och de interna föreskrifternas ändamålsenlighet skulle kunna medföra att den som utför granskningen önskar få del av uppgifter hos den som granskas. I ett sådant fall måste bestämmelserna i offentlighets- och sekretesslagen beaktas. Det gäller även om det handlar om en intern granskning och granskningsfunktionen bedöms vara självständig i den bemärkelse som avses i 8 kap. 2 § OSL.

Enligt 3 kap. 1 § OSL innebär sekretess ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt. I lagen finns det dock sekretessbrytande bestämmelser. Enligt 10 kap. 17 § OSL hindrar inte sekretess att en uppgift lämnas till en myndighet, om uppgiften behövs där för tillsyn över eller revision hos den myndighet där uppgiften förekommer. Tillsynsbegreppet i sekretesslagstiftningen är i många fall vidare än i förvaltningsrätten i övrigt, där det med tiden kommit att få en allt snävare innebörd. Denna utveckling har lett till att myndigheter i vissa fall anses hantera uppgifter i tillsynsverksamhet i den bemärkelse ordet har enligt offentlighets- och sekretesslagen samtidigt som hanteringen inte bedöms utgöra tillsyn i den betydelse begreppet har inom förvaltningsrätten.63 Vår uppfattning är dock att den ordning vi föreslår i form av en granskning inte kan sägas falla in under sådan tillsyn som avses i 10 kap. 17 § OSL. Inte heller ser

viatt 10 kap. 28 § första stycket OSL kan bli tillämpligt när det gäller granskningen. I den bestämmelsen föreskrivs det att sekretess inte hindrar att en uppgift lämnas till en annan myndighet, om det finns en uppgiftsskyldighet enligt lag eller förordning. Vi föreslår dock inte att någon uppgiftsskyldighet ska regleras i lag.

Det är svårt att på förhand heltäckande redogöra för vilka sekretessbestämmelser som kan komma att aktualiseras vid en granskning. Vi tror dock att bestämmelser som kan bli aktuella är bl.a. 15 kap. OSL om sekretess till skydd för rikets säkerhet eller dess förhållande till andra stater eller mellanfolkliga organisationer samt 18 kap. 13 § OSL om risk- och sårbarhetsanalyser. Ge- mensamt för dessa bestämmelser är att sekretessen inte är absolut och att den gäller oavsett vilken verksamhet uppgiften finns i. Det innebär att uppgiften i många fall, givetvis efter den skade- och menbedömning som ska göras enligt respektive bestämmelser, borde kunna lämnas till den som utför granskningen. Vi anser dock att det bör finnas en möjlighet att neka den som utför granskningen tillgång till vissa uppgifter, eftersom det inte går att i förväg förutse vilka uppgifter som kan komma att förekomma i de granskningar som ska göras och därmed inte heller huruvida det finns sekretessbestämmelser som kan tänkas lägga hinder i vägen för att uppgifterna ska kunna lämnas ut. Vårt resonemang om detta finns i avsnitt 6.7.5.

63Se RÅ 2010 ref. 121 och prop. 2008/09:150 s. 355 f.

2020/21:URF3

100

6FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

6.7.11Den interna granskningen bör regleras i interna föreskrifter medan den externa granskningen bör regleras i lag

Vårt förslag innebär en utveckling av såväl den interna som den externa granskningen. Vad först gäller den interna granskningen bör den regleras i de interna föreskrifter som gäller för riksdagen och dess myndigheter. Där bör det vara upp till dessa att själva utforma bestämmelserna, givetvis med beaktande av det vi har sagt ovan bl.a. om vad granskningen ska bestå i, vilken befogenhet den som granskar ska ha, möjligheterna att neka granskning och uppgifter och kravet på en årlig redovisning med anledning av granskningen. För Riksdagsförvaltningen, Riksbanken, JO och Riksrevisionen bör det i de interna föreskrifterna också anges hur den interna granskningsfunktionen ska vara utformad. När det gäller nämndmyndigheterna anser vi som sagt var att de bör kunna lägga ut den interna granskningen på någon annan. Närmast till hands ligger då, enligt vår mening, att lägga uppgiften på någon annan myndighet under riksdagen. Huruvida en sådan ordning kräver en ändring i respektive nämnds instruktion och/eller arbetsordning lämnar vi dock till den fortsatta utredningen av våra förslag att avgöra.

När det gäller den externa granskningen är det vår uppfattning att den bör manifesteras i lag, bl.a. eftersom den innebär att det är en myndighet under regeringen (här Säkerhetspolisen) som kommer att utföra granskningen. Be- stämmelsen läggs lämpligen i lagen om säkerhetsskydd i riksdagen och dess myndigheter med innebörden att det är Säkerhetspolisen som ska granska att den nämnda lagen och föreskrifter som har meddelats i anslutning till den samt säkerhetsskyddslagen i tillämpliga delar följs och att de interna säkerhetsskyddsbestämmelser som finns är ändamålsenliga. Vidare bör det anges att Säkerhetspolisen inte får besluta om några åtgärder med anledning av granskningen och att den som granskningen kan komma att avse har rätt att, om det finns särskilda skäl, helt eller delvis neka en granskning samt också en rätt att neka tillgång till vissa uppgifter. Eftersom vårt förslag innebär att det är riksdagsstyrelsen som för riksdagens, talmannens och en enskild riksdagsledamots del har att besluta om säkerhetsventilen ska åberopas eller inte bör det också göras ett tillägg om det i lagen med instruktion för Riksdagsförvaltningen. Kravet på att till konstitutionsutskottet respektive finansutskottet årligen redovisa vilka granskningsinsatser som har gjorts och hur förslag till åtgärder tagits om hand bör också finnas med i lagen om säkerhetsskydd i riksdagen och dess myndigheter. Genom att kravet införs i lagen kommer samma att gälla för alla, något som kan vara svårt att uppnå om det i stället är upp till respektive myndighet att reglera kravet i sina interna föreskrifter. Vad gäller redovisningen till respektive myndighetsledning bör en sådan bestämmelse läggas i de interna föreskrifterna.

6 FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE	2020/21:URF3
BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

6.8Överväganden rörande frågan om det ska införas en anmälnings- och rapporteringsskyldighet vid säkerhetshotande händelser

Förslaget i korthet

Det ska i lagen om säkerhetsskydd i riksdagen och dess myndigheter införas en skyldighet för riksdagen och dess myndigheter att, i egenskap av verksamhetsutövare, skyndsamt anmäla säkerhetshotande händelser och verksamhet i den egna verksamheten till Säkerhetspolisen.

Bestämmelser om vad som ska anmälas ska placeras i respektive institutions interna föreskrifter. I föreskrifterna anges lämpligen att anmälan ska ske om en säkerhetsskyddsklassificerad uppgift kan ha röjts, om det har inträffat en it-incident i ett informationssystem som verksamhetsutövaren är ansvarig för och som har betydelse för säkerhetskänslig verksamhet och där incidenten allvarligt kan påverka säkerheten i systemet, eller om verksamhetsutövaren får kännedom eller misstanke om någon annan för denne allvarlig säkerhetshotande verksamhet.

Av säkerhetsskyddskäl ska det införas en ändring i lagen med kompletterande bestämmelser till EU:s dataskyddsförordning så att det framgår att artiklarna 33 och 34 i dataskyddsförordningen inte ska tillämpas i fråga om personuppgiftsincidenter som ska rapporteras enligt lagen om säkerhetsskydd i riksdagen och dess myndigheter eller föreskrifter som har meddelats i anslutning till den lagen.

6.8.1 Uppdraget i denna del

Enligt 2 kap. 1 § tredje stycket säkerhetsskyddslagen är en verksamhetsutövare skyldig att anmäla och rapportera sådant som är av vikt för säkerhetsskyddet. Av 2 kap. 10 § säkerhetsskyddsförordningen framgår att säkerhetshotande händelser och verksamhet ska anmälas till Säkerhetspolisen eller Försvarsmakten, beroende på vilken myndighet som har tillsynsansvaret. Ett krav att till Myndigheten för samhällsskydd och beredskap (MSB) skyndsamt rapportera vissa it-incidenter framgår av 20 § första stycket förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap. Ingen av dessa bestämmelser gäller dock för riksdagen och dess myndigheter. Det finns inte heller några motsvarande bestämmelser i lagen om säkerhetsskydd i riksdagen och dess myndigheter. Endast en av de myndigheter vi har att undersöka har en intern reglering som behandlar incidenter. Enligt Riksrevisionens interna föreskrift om myndighetens säkerhetsskydd bör Riksrevisionen rapportera allvarligare it-incidenter till Säkerhetspolisen alternativt till MSB.

I vårt uppdrag ligger att analysera behovet och konsekvenserna av en anmälnings- och rapporteringsskyldighet för riksdagen och dess myndigheter vid säkerhetshotande händelser. Vi ska överväga om en sådan ska införas och

101

2020/21:URF3

102

6FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

vilka typer av hot och incidenter som i så fall ska omfattas av skyldigheten samt hur den ska regleras. Eftersom det kan vara svårt att dra en tydlig gräns mellan anmälnings- och rapporteringsskyldighet och tillsyn ska vi beakta vad som anförts om konstitutionella skäl mot tillsyn av en myndighet under regeringen. Vi ska också lämna nödvändiga författningsförslag.

6.8.2Säkerhetsskyddslagens anmälnings- och rapporteringsskyldighet innebär en skyldighet att meddela vissa hot och incidenter till en extern aktör

För att kunna svara på frågan om det för riksdagen och dess myndigheter finns ett behov av en anmälnings- och rapporteringsskyldighet vid säkerhetshotande händelser är det av intresse att se vad den anmälnings- och rapporteringsskyldighet som följer av 2 kap. 1 § tredje stycket säkerhetsskyddslagen innebär och vilket syfte den har.

I bestämmelsen föreskrivs en anmälnings- och rapporteringsskyldighet för verksamhetsutövare när det gäller sådant som är av vikt för säkerhetsskyddet. Det sägs dock inget ytterligare i säkerhetsskyddslagen om vad dessa skyldigheter innebär. I den proposition som ligger till grund för säkerhetsskyddslagen konstateras bara kort att bestämmelsen innebär att verksamhetsutövaren ska fullgöra sådan anmälnings- och rapporteringsskyldighet som framgår av föreskrifter.64 I 2 kap. 7 § säkerhetsskyddslagen finns det ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela ytterligare föreskrifter om bl.a. skyldigheterna i fråga. En anmälningsskyldighet vid säkerhetshotande händelser och verksamhet regleras i 2 kap. 10 och 11 §§ säkerhetsskyddsförordningen. Enligt den förstnämnda bestämmelsen ska en verksamhetsutövare skyndsamt anmäla till Säkerhetspolisen

1.om en säkerhetsskyddsklassificerad uppgift kan ha röjts,

2.det inträffat en it-incident i ett informationssystem som verksamhetsutövaren är ansvarig för och som har betydelse för säkerhetskänslig verksamhet och där incidenten allvarligt kan påverka säkerheten i systemet, eller

3.verksamhetsutövaren får kännedom eller misstanke om någon annan för denne allvarlig säkerhetshotande verksamhet.

Om verksamhetsutövaren tillhör Försvarsmaktens tillsynsområde ska anmälan göras också till Försvarsmakten.

Av 2 kap. 11 § första stycket säkerhetsskyddsförordningen framgår att en verksamhetsutövare som är skyldig att anmäla säkerhetshotande händelser enligt 10 § första stycket 1 eller 2 och som tillhandahåller tjänster åt en annan verksamhetsutövare är skyldig att i samband med anmälan informera och vid behov samråda med de uppdragsgivare som berörs av incidenten. I 2 kap. 11 § andra stycket finns bestämmelser om säkerhetsskyddsklassificerade uppgifter

64Prop. 2017/18:89 s. 137.

6 FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE	2020/21:URF3
BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

som omfattas av ett internationellt säkerhetsskyddsåtagande enligt 6 kap. 1 § samma förordning.

Säkerhetsskyddsförordningen innehåller inte några särskilda bestämmelser om rapporteringsskyldigheten, mer än att det i 7 kap. 4 § första stycket anges att såväl Säkerhetspolisen som Försvarsmakten får meddela föreskrifter om den. En läsning av Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd visar att de inte innehåller några bestämmelser om just säkerhetshotande händelser. För statliga myndigheter under regeringen – med undantag av Regeringskansliet, kommittéväsendet och Försvarsmakten – gäller det dock en rapporteringsskyldighet till MSB i vissa angivna fall. Av 20 § första stycket förordningen om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap framgår att en myndighet är skyldig att till MSB skyndsamt rapportera it-incidenter som inträffat i den rapporterande myndighetens informationssystem och som allvarligt kan påverka säkerheten i den informationshantering som myndigheten ansvarar för eller som inträffat i tjänster som myndigheten tillhandahåller åt en annan organisation. Enligt bestämmelsens tredje stycke omfattar rapporteringsskyldigheten inte sådana incidenter som ska anmälas enligt 2 kap. 10 § första stycket 2 säkerhetsskyddsförordningen.

Sammanfattningsvis kan det alltså sägas att anmälningsskyldigheten och rapporteringsskyldigheten innebär en skyldighet för verksamhetsutövaren att meddela vissa hot och incidenter till en extern aktör (i de flesta fall Säkerhetspolisen).

6.8.3Anmälnings- och rapporteringsskyldigheten är till både för Säkerhetspolisen och för verksamhetsutövarna

Propositionen om säkerhetsskyddslagen innehåller inget resonemang om syftet med anmälnings- och rapporteringsskyldigheten. I SOU 2015:25 anges dock att det är av stor vikt att tillsynsmyndigheter får kännedom om händelser och företeelser som är av betydelse för säkerhetsskyddet för att dessa myndigheter ska kunna utöva sin tillsyn på ett effektivt sätt och för att utfärdade tilllämpningsföreskrifter ska bli så ändamålsenliga som möjligt.65 I sin årsbok för 2019 säger Säkerhetspolisen i samband med att anmälningsskyldigheten enligt säkerhetsskyddsförordningen diskuteras att det alltid är viktigt att rapportera, inte bara för att få stöd i hur man kan skydda det säkerhetskänsliga som riskerar att röjas eller skadereducera det som eventuellt redan har röjts utan även för att Säkerhetspolisen ska kunna bygga upp en bredare kunskap kring hot och sårbarheter. Genom att lägga ihop de incidenter som rapporteras till Sä- kerhetspolisen skapas en större förståelse och kunskap kring hot, sårbarheter och skyddsvärden. I förlängningen kan denna aggregerade kunskap läggas till annan typ av information, som underrättelser om antagonistiska aktörer, och

65SOU 2015:25 s. 495.

103

2020/21:URF3

104

6FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

på så sätt bidra till en bättre helhetsbild.66 Säkerhetspolisen skriver vidare i sin årsbok för 2020 att det är viktigt att fler verksamheter anmäler, både för att kunna vidta åtgärder för att skydda den skyddsvärda verksamheten, men också för att sätta in händelsen i ett större sammanhang.67 Säkerhetspolisen är också den myndighet som, tillsammans med Försvarsmakten, har en helhetsbild när det gäller säkerhetsläget och hotbilden mot Sverige.68 Anmälningsskyldigheten utgör dessutom en grund för den tillsyn som Säkerhetspolisen utför. En- ligt Säkerhetspolisens Vägledning i säkerhetsskydd – Introduktion till säkerhetsskydd är syftet med rapportering att tillsynsmyndigheterna ska kunna ha en samlad bild över vilka verksamhetsutövare som är verksamma inom respektive tillsynsmyndighets ansvarsområde, så att såväl tillsyn och rådgivning ska kunna prioriteras för de verksamheterna som är av störst betydelse för Sveriges säkerhet.69

Dessa uttalanden innebär enligt vår mening att skyldigheten att anmäla respektive rapportera, oaktat vilket begrepp som används, utgör en viktig beståndsdel i säkerhetsskyddet både för Sverige och för enskilda verksamhetsutövare. Skyldigheten bidrar till att ge framför allt Säkerhetspolisen en överblick över och bredare kunskap om vilka skyddsvärden, hot och sårbarheter som finns. Det i sin tur gör att Säkerhetspolisen bättre kan stötta verksamhetsutövare med råd och stöd.

6.8.4Det finns ett behov även för riksdagen och dess myndigheter att skyndsamt anmäla vissa hot och incidenter till en extern aktör

Några av de institutioner vi har att titta på har föreskrivet en intern anmälnings- och/eller rapporteringsskyldighet för vissa typer av incidenter. Den interna anmälnings- och rapporteringsskyldigheten är dock inte lika omfattande som den som följer av säkerhetsskyddslagen och det är bara en av myndigheterna som anger att rapportering bör göras till en extern aktör, då antingen Säkerhetspolisen eller MSB. Givetvis finns det inget som hindar att riksdagen och dess myndigheter, i de kontakter de har med t.ex. Säkerhetspolisen och Försvarsmakten, ändå meddelar hot och incidenter som har inträffat. Säkerhetspolisen och Försvarsmakten har också en uttalad rådgivningsskyldighet, se 7 kap. 10 § första stycket säkerhetsskyddsförordningen.

Enligt vår mening innebär dock det faktum att det inte är obligatoriskt även för riksdagen och dess myndigheter att anmäla säkerhetshotande händelser och verksamhet i den egna verksamheten att det saknas en viktig pusselbit i säkerhetsskyddet, både för Sverige som land och för riksdagen och dess myndigheter. Något egentligt skäl till att dylika bestämmelser saknas finns inte redovisat i vare sig förarbetena till säkerhetsskyddslagen eller i lagen om säkerhets-

66Säkerhetspolisens årsbok för 2019, s. 41.

67Säkerhetspolisens årsbok för 2020, s. 40.

68Se propositionen Skydd av Sveriges säkerhet vid radioanvändning (prop. 2019/20:15) s. 35.

69Säkerhetspolisens Vägledning i säkerhetsskydd – Introduktion till säkerhetsskydd, utgåva

juni 2019, s. 19.

6 FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE	2020/21:URF3
BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?
skydd i riksdagen och dess myndigheter. Inte heller har det från utredningens
experter framförts några sådana skäl, utan deras uppfattning har i stället närm-
ast varit att även riksdagen och dess myndigheter bör omfattas av en sådan
skyldighet. Som nämnts i avsnitt 5.5 har också såväl Säkerhetspolisen som
Regeringskansliet i sina remissvar över den promemoria som låg till grund för
riksdagsstyrelsens framställning om en ny lag om säkerhetsskydd i riksdagen
och dess myndigheter ställt sig positiva till en sådan skyldighet.
Vi anser därför att det, för att stärka säkerhetsskyddet för riksdagen och
dess myndigheter och Sveriges säkerhet, finns ett behov av en ordning för
riksdagen och dess myndigheter där dessa är skyldiga att skyndsamt meddela
vissa hot och incidenter som förekommer i den egna verksamheten till en ex-
tern aktör. Som vi kommer att argumentera för i avsnittet nedan bör denna
aktör vara Säkerhetspolisen. När vi i det fortsatta talar om en sådan ordning
har vi valt att använda begreppet anmälan, eftersom det vi tänker oss är en
skyldighet likt den anmälan som regleras i 2 kap. 10 § säkerhetsskyddsförord-
ningen. Vår bedömning är att en sådan anmälningsskyldighet är tillräcklig och
att det för riksdagen och dess myndigheters del inte behövs en skyldighet att
även rapportera it-incidenter på det sätt som framgår av 20 § första stycket
förordningen om krisberedskap och bevakningsansvariga myndigheters åtgär-
der vid höjd beredskap. Med tanke på att Säkerhetspolisen redan nu, bl.a. ge-
nom sin rådgivningsskyldighet, bör ha en bild av vilken säkerhetskänslig verk-
samhet som bedrivs hos riksdagen och dess myndigheter, ser vi inte heller skäl
för att föreslå en generell anmälningsskyldighet för säkerhetskänslig verksam-
het likt den som föreslås i lagrådsremissen Ett starkare skydd för Sveriges sä-
kerhet.70

6.8.5Närmare om innebörden av en anmälningsskyldighet, hur den bör regleras och att anmälan bör göras till Säkerhetspolisen

Även vid utformningen av en ordning som innebär att riksdagen och dess myndigheter ska anmäla vissa hot och incidenter till en extern aktör kan konstitutionella aspekter behöva beaktas. I likhet med hur vi har resonerat när det gäller granskning anser vi att skyldigheten måste utformas på ett sådant sätt att det inte finns någon risk för att självständigheten för riksdagen, talmannen, en enskild riksdagsledamot, en justitieombudsman (även en ställföreträdande ombudsman), riksrevisorn (även en tillförordnad riksrevisor), riksrevisionsdirektören eller Riksbankens ansvar för penningpolitiken kan komma att påverkas eller ifrågasättas. Det är då av intresse att titta på vad som ska anmälas, till vilken extern aktör det ska göras, vilka befogenheter denna aktör har i egenskap av mottagare av anmälningarna och hur detta ska regleras.

Enligt vår mening bör själva skyldigheten för riksdagen och dess myndigheter att skyndsamt anmäla säkerhetshotande händelser och verksamhet till en

70Se lagrådsremissen Ett starkare skydd för Sveriges säkerhet s. 78 f.

105

2020/21:URF3

106

6FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

extern aktör framgå av lagen om säkerhetsskydd i riksdagen och dess myndigheter. På det sättet betonas vikten av anmälningsskyldigheten än mer.

När det så gäller vad som avses med säkerhetshotande händelser och verksamhet, dvs. vad som i detalj ska anmälas, är vår uppfattning som bekant att säkerhetsskyddsbestämmelserna för riksdagen och dess myndigheter respektive övriga statsförvaltningen som huvudregel ska vara så lika som möjligt. Det som kommer till uttryck i 2 kap. 10 § säkerhetsskyddsförordningen bör därför gälla även för riksdagen och dess myndigheter. Med andra ord anser vi att även riksdagen och dess myndigheter i egenskap av verksamhetsutövare bör vara skyldiga att skyndsamt anmäla om en säkerhetsskyddsklassificerad uppgift kan ha röjts, om det har det inträffat en it-incident i ett informationssystem som verksamhetsutövaren är ansvarig för och som har betydelse för säkerhetskänslig verksamhet och där incidenten allvarligt kan påverka säkerheten i systemet, eller om verksamhetsutövaren får kännedom eller misstanke om någon annan för denne allvarlig säkerhetshotande verksamhet. Dock bör det för riksdagens och dess myndigheters del inte kunna beslutas om några sanktioner om de låter bli att anmäla. Åtminstone när det gäller Riksdagsförvaltningen, som ju inom ramen för 1 § andra stycket 1 lagen med instruktion för Riksdagsförvaltningen ska tillhandahålla resurser och service för riksdagsorganens verksamhet, finns det också skäl att fundera över sådan informations- och samrådsplikt som framgår av 2 kap. 11 § första stycket säkerhetsskyddsförordningen. Huruvida en sådan faktiskt bör finnas anser vi dock får bli upp till Riksdagsförvaltningen själv att avgöra, bl.a. beroende på hur vanligt förekommande det är att Riksdagsförvaltningen tillhandahåller tjänster åt någon annan.

För övriga statsförvaltningen finns motsvarande reglering i förordning och föreskrifter. För riksdagen och dess myndigheter står dock förordningsmöjligheten inte till buds. I stället bör Riksdagsförvaltningen och övriga myndigheter, med stöd av bemyndigandet i 14 § lagen om säkerhetsskydd i riksdagen och dess myndigheter samt vad vi har anfört i avsnittet ovan om anmälningsskyldighetens innebörd, utfärda de närmare föreskrifter som behövs. Förslagsvis bör anmälan göras till säkerhetsskyddschefen som sedan för verksamhetsutövarens räkning anmäler vidare till den externa aktören.

När det så gäller vilken aktör anmälan ska göras till ligger det nära till hands att föreslå Säkerhetspolisen. Visserligen sägs i betänkandet Säkerhetsskyddsreglering för Regeringskansliet, utlandsmyndigheterna och kommittéväsendet (Ds 2020:11) i fråga om en eventuell anmälningsskyldighet för bl.a. Regeringskansliet vid säkerhetshotande händelser och verksamhet att Regeringskansliet, på grund av det lydnadsförhållande som finns mellan regeringen och myndigheterna, bör undantas från krav på informationsplikt med en tillsynsmyndighet. Vi kan dock inte se att samma argument gör sig gällande vad gäller en anmälningsskyldighet för riksdagen och dess myndigheter. För övrigt är det till Säkerhetspolisen som anmälan görs, enligt 2 kap. 10 § första stycket säkerhetsskyddsförordningen. Det är också dit som rapportering om det bedrivs s.k. särskilt säkerhetskänslig verksamhet i huvudsak görs, se 2 kap. 6 § Säkerhets-

6 FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE	2020/21:URF3
BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

polisens föreskrifter (PMFS 2019:2) om säkerhetsskydd. Ett av våra skäl för att föreslå en anmälningsskyldighet är också att den ska bidra till Säkerhetspolisens överblick. Som vi redan har nämnt har Säkerhetspolisen dessutom en rådgivningsskyldighet gentemot riksdagen och dess myndigheter.

Frågan är om den ordning vi föreslår skulle kunna skada de nämnda institutionernas eller aktörernas självständighet. Vi anser inte det. Den tänkta rollen för Säkerhetspolisen när det gäller anmälningsskyldigheten handlar, som vi redan har varit inne på, om en typ av informationsinsamling för att ytterligare öka Säkerhetspolisens överblick över och kunskap om vilka skyddsvärden, hot och sårbarheter som finns. Säkerhetspolisen kan sedan använda dessa kunskaper för att ge råd i de fall riksdagen och dess myndigheter efterfrågar sådana i enlighet med 7 kap. 10 § första stycket säkerhetsskyddsförordningen. Säkerhetspolisen ska alltså inte primärt använda de uppgifter den får genom anmälningsskyldigheten för att på något sätt agera gentemot vare sig riksdagen och dess myndigheter eller någon enskild inom dessa institutioner. Om Säkerhetspolisen genom en anmälan skulle få kännedom om något förhållande som i ett senare skede kommer att ingå i den externa granskning av efterlevnaden av säkerhetsskyddsbestämmelserna vi anser att Säkerhetspolisen bör göra så är den granskningen utformad utifrån konstitutionella aspekter, se vårt resonemang om det i avsnitt 6.7 med underavsnitt. Vi ser därför inte att det skulle kunna finnas några konstitutionella hinder mot att låta en anmälningsskyldighet gälla gentemot Säkerhetspolisen. Inte heller ser vi att en anmälningsskyldighet skulle kunna leda till några andra negativa konsekvenser för riksdagen och dess myndigheter.

6.8.6Anmälningsskyldigheten bör medföra undantag från artiklarna 33 och 34 i dataskyddsförordningen

Av 1 kap. 4 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, förkortad dataskyddslagen, framgår att artiklarna 33 om anmälan av en personuppgiftsincident till tillsynsmyndigheten (för Sveriges del IMY) och artikel 34 om information till den registrerade om en personuppgiftsincident i dataskyddsförordningen inte tillämpas i fråga om personuppgiftsincidenter som ska rapporteras enligt säkerhetsskyddslagen eller föreskrifter som har meddelats i anslutning till den lagen. I våra direktiv sägs det i och för sig inget om den nämnda bestämmelsen, men när vi nu föreslår en anmälningsskyldighet för riksdagen och dess myndigheter avseende bl.a. vissa incidenter finns det enligt vår mening anledning att se över om undantaget i 1 kap. 4 § dataskyddslagen ska gälla även vid en sådan anmälningsskyldighet.

Enligt artikel 2.2 a i dataskyddsförordningen ska förordningen inte tillämpas på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten. I skäl 16 till dataskyddsförordningen anges verksamhet som rör nationell säkerhet som ett exempel på en sådan verksamhet. Sverige har dock valt att utsträcka tillämpningsområdet för såväl data-

107

2020/21:URF3

108

6FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

skyddsförordningen som dataskyddslagen. Enligt 1 kap. 2 § dataskyddslagen ska bestämmelserna i dataskyddsförordningen, i den ursprungliga lydelsen, och dataskyddslagen gälla även vid behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten och i verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen. Detta brukar kallas för det utsträckta tillämpningsområdet.71

Samtidigt framgår av 1 kap. 3 och 4 §§ dataskyddslagen att viss verksamhet som har bäring på Sveriges säkerhet ska undantas från det utsträckta tillämpningsområdet. Enligt förarbetena till 1 kap. 4 § dataskyddslagen måste det av säkerhetsskyddsskäl ställas höga krav på informationssäkerheten för uppgifter som kan avslöja svagheter i skyddet av uppgifter som rör rikets säkerhet eller mot terrorism, i synnerhet när uppgifterna kan ge en samlad bild av sådana svagheter. Dokumentation kring incidenter kommer att visa på sårbarheter i berörda system och kan t.ex. visa på hur man kan kringgå skyddsåtgärder för att få obehörig tillgång till systemen. Kunskap om en personuppgiftsincident kan på så vis ge en motståndare uppgifter som underlättar vidare angrepp och inhämtning. Sådana uppgifter bör därför inte spridas till fler myndigheter än vad som är nödvändigt. Incidentrapporteringen enligt bl.a. säkerhetsskyddsförordningen tar visserligen inte främst sikte på säkerhetsincidenter där personuppgifter på olika sätt röjts. Oavsett anledningen till att en it-incident rapporteras syftar en sådan rapportering till att uppmärksamma brister i skyddet av information för att därefter vidta åtgärder för att säkerställa detta. Om en itincident inträffar i ett system med personuppgifter kommer alltså de skyddsåtgärder och säkerhetshöjande åtgärder som vidtas med anledning av incidenten att stärka skyddet även för personuppgifterna och därmed för den personliga integriteten. Mot bakgrund av behovet av skydd för rikets säkerhet anser regeringen att det bör införas en begränsning i fråga om tillämpningen av dataskyddsförordningen utanför dess egentliga tillämpningsområde, när det gäller bestämmelserna om personuppgiftsincidenter. Eftersom dataskyddsförordningen egentligen inte gäller i verksamhet som rör nationell säkerhet finns det enligt regeringen heller inga unionsrättsliga hinder mot en sådan begränsning.72

Regleringen i 1 kap. 4 § dataskyddslagen innebär som sagt var att bestämmelserna i EU:s dataskyddsförordning om anmälan till tillsynsmyndigheten av en personuppgiftsincident samt om information till den registrerade om en sådan incident inte ska tillämpas i fråga om incidenter som ska rapporteras (eller för att använda en annan term – anmälas) enligt säkerhetsskyddslagen eller föreskrifter som har meddelats i anslutning till den lagen. Enligt vår mening gör sig samma säkerhetsskyddsskäl gällande även när det handlar om en anmälan gjord av riksdagen och dess myndigheter enligt den ordning vi har beskrivit i avsnitten ovan. Följaktligen bör det av dataskyddslagen framgå att artiklarna 33 och 34 i datasskyddsförordningen inte heller ska tillämpas i fråga

71Se prop. 2017/18:105 s. 28 f.

72Prop. 2017/18:105 s. 35.

6 FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE	2020/21:URF3
BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

om personuppgiftsincidenter som ska anmälas enligt lagen om säkerhetsskydd i riksdagen och dess myndigheter eller föreskrifter som har meddelats i anslutning till den lagen.

109

2020/21:URF3

110

6FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

6.9Överväganden rörande frågan om utkontraktering m.m.

Förslaget i korthet

Skyldigheten att ingå säkerhetsskyddsavtal ska utvidgas så att den även gäller andra förfaranden än upphandlingar och andra anskaffningar. Den utvidgade skyldigheten innebär att en myndighet under riksdagen som avser att genomföra en upphandling, ingå ett avtal eller inleda en samverkan eller ett samarbete med en annan aktör, ska ingå ett säkerhetsskyddsavtal med aktören, om aktören genom förfarandet kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Myndigheten ska även ingå ett säkerhetsskyddsavtal med en underleverantör som anlitas för att fullgöra den andra aktörens förpliktelse, om underleverantören genom sitt uppdrag kan få en sådan tillgång till den säkerhetskänsliga verksamheten som nyss har beskrivits. Säkerhetsskyddsavtal ska ingås innan motparten kan få tillgång till den säkerhetskänsliga verksamheten.

Vissa undantag ska dock finnas. Mellan riksdagens myndigheter och mellan sådana myndigheter och andra statliga myndigheter gäller kravet på säkerhetsskyddsavtal endast vid anskaffning av en vara, tjänst eller byggentreprenad. Kravet på säkerhetsskyddsavtal gäller inte heller när Riksdagsförvaltningen inom ramen för sina huvuduppgifter tillhandahåller resurser och service för riksdagsorganens verksamhet. Om det finns särskilda skäl får en myndighet i ett enskilt fall besluta om undantag från skyldigheten att ingå säkerhetsskyddsavtal.

Det ska förtydligas att bestämmelserna om säkerhetsprövning i säkerhetsskyddslagstiftningen får tillämpas för säkerhetsprövning enligt ett säkerhetsskyddsavtal.

Det ska också införas bestämmelser om vad ett säkerhetsskyddsavtal ska innehålla, att myndigheten ska revidera säkerhetsskyddsavtalet om det krävs på grund av ändrade förhållanden och att myndigheten, om motparten inte följer säkerhetsskyddsavtalet, ska vidta de åtgärder som behövs för att tillgodose kraven på säkerhetsskydd.

6 FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE	2020/21:URF3
BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

Det ska finnas ett krav på att myndigheten, innan den inleder ett förfarande som kräver säkerhetsskyddsavtal, genom en särskild säkerhetsskyddsbedömning ska identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den andra aktören kan få tillgång till och som kräver säkerhetsskydd. Med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter ska myndigheten göra en lämplighetsprövning av det planerade förfarandet. Den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen ska dokumenteras. Om lämplighetsprövningen leder till bedömningen att förfarandet är olämpligt från säkerhetsskyddssynpunkt ska förfarandet inte få inledas. Leder lämplighetsprövningen i stället till bedömningen att det planerade förfarandet inte är olämpligt från säkerhetsskyddssynpunkt ska myndigheten i vissa angivna fall vara skyldig att samråda med Säkerhetspolisen innan den inleder förfarandet.

Bestämmelserna ska föras in i lagen om säkerhetsskydd i riksdagen och dess myndigheter.

6.9.1 Uppdraget i denna del

Krav på säkerhetsskyddsavtal vid upphandling och när avtal ingås om varor, tjänster eller byggentreprenader finns i 2 kap. 6 § säkerhetsskyddslagen. I 2 kap. 6 § säkerhetsskyddsförordningen finns kompletterande bestämmelser med krav på s.k. särskild säkerhetsskyddsbedömning samt samråd med tillsynsmyndigheten i vissa fall. En motsvarighet till bestämmelsen i 2 kap. 6 § säkerhetsskyddslagen finns i 12 § lagen om säkerhetsskydd i riksdagen och dess myndigheter. I SOU 2018:82 föreslås bl.a. att skyldigheten att ingå säkerhetsskyddsavtal ska utvidgas. Vidare föreslås förebyggande åtgärder i samband med utkontraktering, upplåtelse och vissa andra förfaranden.

Enligt direktiven ska vi analysera behovet av ytterligare reglering för att förebygga att säkerhetsskyddsklassificerade uppgifter och säkerhetskänslig verksamhet inom riksdagen och dess myndigheter utsätts för risker i samband med utkontraktering samt vid behov lämna nödvändiga författningsförslag. I SOU 2018:82 finns ett kompletterande förslag om att bestämmelserna om säkerhetsprövning i 3 kap. säkerhetsskyddslagen ska få tillämpas när säkerhetsskyddsavtal har ingåtts. När det gäller det förslaget ska vi lämna nödvändiga förslag till ändring i lagen om säkerhetsskydd i riksdagen och dess myndigheter samt eventuella följdändringar, att använda om förslaget om säkerhetsskyddslagen genomförs.

6.9.2 Angreppssätt och betydelsen av vissa termer

I direktiven sägs det inte uttryckligen att vi ska undersöka om den reglering som finns i fråga om säkerhetsskyddsavtal behöver förändras eller om det behövs en reglering av förfaranden som liknar utkontraktering, som t.ex. vissa upplåtelser. Dessa frågor är dock tätt sammanflätade med utkontraktering

111

2020/21:URF3

112

6FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

varför vi har valt att utreda även dem. Däremot kommer vi inte att säga något om överlåtelse av säkerhetskänslig verksamhet och viss egendom, eftersom vi inte tror att ett sådant förfarande kan komma att aktualiseras för riksdagen eller dess myndigheter.

För de verksamhetsutövare som lyder under säkerhetsskyddslagen, däribland övriga statsförvaltningen, pågår ett arbete med att ta fram en ny reglering om säkerhetsskyddsavtal samt utkontraktering och liknande förfaranden. Frågorna har utretts i SOU 2018:82 och det har nyligen kommit en lagrådsremiss – Ett starkare skydd för Sveriges säkerhet (i det fortsatta ibland kallad ”lagrådsremissen”). Vi redogör i avsnitt 4.13 för de förslag i den som vi anser vara relevanta för vår utredning. Förslagen i lagrådsremissen är just bara förslag, men vi utgår i vårt fortsatta resonemang från att de kommer att bli verklighet. Vår ansats är, liksom för våra överväganden i stort, att regleringen för riksdagen och dess myndigheter bör vara så lik som möjligt den som gäller för övriga statsförvaltningen. Det synsättet verkar för övrigt ha tillämpats vid tillkomsten av nuvarande bestämmelser om säkerhetsskyddsavtal i lagen om säkerhetsskydd i riksdagen och dess myndigheter. I framställningen Ny lag om säkerhetsskydd i riksdagen och dess myndigheter (framst. 2018/19:RS6) sägs att det saknas skäl att införa en reglering för riksdagen och dess myndigheter när säkerhetsskyddsavtal ska ingås som avviker från den som finns i den nya säkerhetsskyddslagen.73

När det gäller termerna ”utkontraktering” och ”upplåtelse” använder vi dem i samma bemärkelse som i lagrådsremissen. Med ”utkontraktering” avses alltså att en verksamhet lägger ut en del av den egna verksamheten på entreprenad. Det centrala i en utkontraktering är att det handlar om en del av den egna verksamheten samt att det handlar om någon form av tjänst eller verksamhet och inte om köp av varor. Med ”upplåtelse” avses bl.a. avtal om hyra, leasing, arrende och andra nyttjanderätter som inte innebär att ägaren avhänder sig äganderätt.74

6.9.3Det finns för riksdagens myndigheter ett behov av utvidgade och förtydligade bestämmelser om säkerhetsskyddsavtal samt bestämmelser om utkontraktering och liknande förfaranden

En grundläggande princip inom säkerhetsskyddet är att säkerhetskänslig verksamhet ska ha samma skydd oavsett var och hur den bedrivs. En följd av principen är att en verksamhetsutövare som avser att dela säkerhetsskyddsklassificerade uppgifter med någon utomstående eller ge en utomstående tillgång till säkerhetskänslig verksamhet måste se till att säkerhetsskyddet upprätthålls. Enligt vår mening är det självklart att principen, som utgångspunkt, bör gälla även för riksdagen och dess myndigheter.

73Framst. 2018/19:RS6 s. 27.

74Lagrådsremissen Ett starkare skydd för Sveriges säkerhet s. 44 f.

6 FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE	2020/21:URF3
BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

Av 12 § lagen om säkerhetsskydd i riksdagen och dess myndigheter framgår att om en myndighet som omfattas av lagen avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader ska den se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd enligt 3 § samma lag ska tillgodoses av leverantören om det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre eller upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Myndigheten ska också kontrollera att leverantören följer säkerhetsskyddsavtalet. För riksdagen (genom Riksdagsförvaltningen), Riksdagsförvaltningen, Riksbanken och Riksrevisionen finns det dessutom för respektive institution en intern reglering i fråga om säkerhetsskyddsavtal:

•för riksdagens och Riksdagsförvaltningens del finns den i riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna

•för Riksbankens del finns den i Regel för säkerhetsskyddade upphandlingar samt Rutinbeskrivning för säkerhetsskyddade upphandlingar

•för Riksrevisionens del finns den i Intern föreskrift om upphandling.

Vi tänker här inte redogöra för respektive reglering utan nöjer oss med att konstatera att den innehåller bestämmelser som liknar de som finns om säkerhetsskyddsavtal i säkerhetsskyddsförordningen och i Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd. Bland annat anger regleringen i varierande omfattning krav på säkerhetsskyddsavtal i olika nivåer, särskild bedömning av leverantörens lämplighet, säkerhetsskyddsavtal med underleverantörer och revidering av säkerhetsskyddsavtal. När vi i det fortsatta redogör för vilken ny reglering vi anser behövs kan det alltså hända att den redan finns i en eller annan form hos de aktuella myndigheterna. Vi kommenterar dock inte det särskilt.

Lagen om säkerhetsskydd i riksdagen och dess myndigheter med tillhörande interna föreskrifter innehåller alltså, precis som säkerhetsskyddslagen, krav på säkerhetsskyddsavtal endast vid vissa typer av anskaffningar, närmare bestämt vid vissa typer av upphandlingar. Det finns inte heller något särskilt angivet om vad som gäller i fråga om underleverantörer. Vi har under vårt arbete med utredningen inte i detalj undersökt hur vanligt det är att riksdagen och dess myndigheter genom olika förfaranden ger utomstående tillgång till säkerhetsskyddsklassificerade uppgifter eller säkerhetskänslig verksamhet. Vår uppfattning är dock att det förekommer sådana förfaranden, låt så vara att omfattningen kan variera. Vi har inte heller undersökt om det ur säkerhetsskyddssynpunkt kan förekomma brister vid sådana förfaranden och vilka dessa i så fall kan vara. Med tanke på den roll riksdagens myndigheter har anser vi dock att det, i likhet med vad som föreslås gälla enligt säkerhetsskyddslagen, finns ett behov av utvidgade och förtydligade bestämmelser om säkerhetsskyddsavtal samt bestämmelser om utkontraktering och liknande förfaranden. Sådana regler hjälper till att hantera riskerna vid dylika förfaranden och stärker

113

2020/21:URF3

114

6FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

skyddet för säkerhetsskyddsklassificerade uppgifter och annan säkerhetskänslig verksamhet. De skapar också ett stöd för myndigheterna hur de ska agera.

Som vi kommer att se i avsnittet nedan bör de bestämmelser vi föreslår gälla oavsett vilken typ av förfaranden det handlar om och utgå från exponeringen av säkerhetsskyddsklassificerade uppgifter och säkerhetskänslig verksamhet. Det gör att, om inte bestämmelserna begränsas till att gälla enbart myndigheterna under riksdagen, det åtminstone i teorin skulle kunna hända att även riksdagen träffas av dem. Enligt vår mening vore det mindre lämpligt. När vi i det fortsatta diskuterar en reglering på området är det därför vår uppfattning att den bör endast bör gälla riksdagens myndigheter och inte riksdagen.

Så här inledningsvis ska vi också säga något om var de bestämmelser vi föreslår bör placeras. I dag finns det endast en bestämmelse i lagen om säkerhetsskydd i riksdagen och dess myndigheter som rör säkerhetsskyddsavtal, närmare bestämt 12 §. Därutöver har vissa av de aktuella myndigheterna en intern reglering. När det gäller flera av de nya bestämmelser som föreslås för säkerhetsskyddslagen är ett argument för att de ska placeras i lag att de delvis avser förhållandet mellan enskilda och det allmänna och innehåller skyldigheter för enskilda. Det argumentet gör sig inte lika starkt gällande när det gäller riksdagens myndigheter. En fördel med att i stället föra in nya bestämmelser i respektive myndighets interna föreskrifter är att det blir mer flexibelt. Skulle det i ett senare skede visa sig att bestämmelserna av en eller annan anledning behöver ändras är det lättare att göra en ändring än om bestämmelserna är placerade i lag. En intern reglering gör det också lättare att anpassa bestämmelserna till respektive myndighet. För de myndigheter där det inte är så vanligt förekommande med säkerhetsskyddsavtal samt utkontraktering och liknande förfaranden skulle det också kunna hävdas att det är onödigt att ha sådana bestämmelser i lag. Som det kommer att framgå nedan innebär dock våra förslag inte några särlösningar för någon myndighet och vi tror att det är lättare att få likformighet mellan myndigheterna om bestämmelserna placeras i lag. Det argumentet samt bestämmelsernas betydelse för säkerhetsskyddet och att de också i viss mån är tänkta att innebära en kontroll av motparten i säkerhetsskyddsavtalet gör att vi bedömer att eventuella nya bestämmelser bör placeras i lagen om säkerhetsskydd i riksdagen och dess myndigheter. Det hindrar dock givetvis en kompletterande intern reglering hos respektive myndighet, utöver nya lagbestämmelser.

6.9.4Närmare om utvidgade och förtydligade regler rörande säkerhetsskyddsavtal

Kravet på säkerhetsskyddsavtal bör kopplas till exponeringen av säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet

I likhet med resonemanget i lagrådsremissen anser vi att det är själva risken för att en annan aktör får tillgång till säkerhetsskyddsklassificerade uppgifter

6 FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE	2020/21:URF3
BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

eller säkerhetskänslig verksamhet snarare än anledningen till att det händer som bör vara avgörande för om säkerhetsskyddsavtal ska krävas. Kravet i lagen om säkerhetsskydd i riksdagen och dess myndigheter om säkerhetsskyddsavtal bör därför utökas så att det gäller när någon av riksdagens myndigheter avser att genomföra en upphandling, ingå ett avtal eller inleda en samverkan eller ett samarbete med en annan aktör under förutsättning att aktören genom förfarandet kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Som vi återkommer till längre ned när vi diskuterar eventuella konstitutionella hinder bör det dock inte krävas säkerhetsskyddsavtal om JO eller Riksrevisionen i sina respektive granskande verksamheter skulle få tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet.

För att det inte ska kunna uppstå någon lucka i säkerhetsskyddet är det också vår uppfattning att det i lagen om säkerhetsskydd i riksdagen och dess myndigheter bör tydliggöras att riksdagens myndigheter är skyldiga att ingå ett säkerhetsskyddsavtal även med en underleverantör som anlitas för att fullgöra den andra aktörens förpliktelse, om underleverantören genom sitt uppdrag kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Likaså bör det tydliggöras att ett säkerhetsskyddsavtal ska ingås innan motparten kan få tillgång till den säkerhetskänsliga verksamheten. Liknande krav finns redan hos vissa av riksdagens myndigheter i deras interna föreskrifter.

Det bör dock finnas vissa undantag från kravet på säkerhetsskyddsavtal

När det gäller samverkan och samarbeten som finns mellan riksdagens myndigheter samt mellan en sådan myndighet och en myndighet under regeringen anser vi dock att det inte bör krävas säkerhetsskyddsavtal. Mellan dessa myndigheter anser vi med andra ord att kravet på säkerhetsskyddsavtal bara bör gälla anskaffning av en vara, tjänst eller byggentreprenad. Visserligen kan det även vid sådan samverkan eller sådana samarbeten hända att säkerhetsskyddsklassificerade uppgifter exponeras. De uppgifter som kan behöva delas mellan myndigheterna är dock troligen många gånger av den arten att de omfattas av sekretess som gäller oavsett i vilken verksamhet de förekommer. Vidare kan det ibland av författning eller likande framgå en skyldighet att samverka eller samarbeta, varför de statliga myndigheterna i sådana situationer snarare kan sägas företräda ett gemensamt statligt intresse än att agera som aktörer på en marknad. Ledning vid tolkning av begreppet anskaffning bör, som föreslås i lagrådsremissen, kunna hämtas i upphandlingslagstiftningen.75 Vi är dock medvetna om att det kan komma att uppstå situationer där det är svårt att avgöra om det handlar om en anskaffning eller en samverkan eller ett samarbete.

75Se lagrådsremissen Ett starkare skydd för Sveriges säkerhet s. 35.

115

2020/21:URF3

116

6FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

Ytterligare en typ av situation som enligt vår mening bör undantas är när Riksdagsförvaltningen inom ramen för 1 § andra stycket 1 lagen med instruktion för Riksdagsförvaltningen tillhandahåller resurser och service för riksdagsorganens verksamhet, t.ex. genom att tillhandahålla vissa it-lösningar. Med riksdagsorgan avses i sammanhanget bl.a. riksdagens myndigheter, se mer i avsnitt 6.2.1. I sådana fall betalar motparten viss ersättning till Riksdagsförvaltningen, så vi har svårt att se att det kan sägas handla om samverkan eller samarbete.

Vi har som sagt var inte i detalj undersökt hur vanligt det är att riksdagens myndigheter genom olika förfaranden ger utomstående tillgång till säkerhetsskyddsklassificerade uppgifter eller säkerhetskänslig verksamhet. Det kan därför finnas även andra situationer än de som täcks in av de båda undantagen ovan där det inte framstår som rimligt eller nödvändigt med ett krav på säkerhetsskyddsavtal. För att ta höjd för sådana situationer bör det därför, enligt vår mening, finnas en möjlighet för respektive riksdagsmyndighet att i enskilda fall besluta om undantag från skyldigheten att ingå säkerhetsskyddsavtal. Un- dantaget bör dock bara få användas om det finns särskilda skäl, som t.ex. de

vinyss har nämnt. Vad som i övrigt kan utgöra särskilda skäl får utvecklas genom praxis. För att få till en så enhetlig praxis som möjligt ser vi det som värdefullt att riksdagens myndigheter har en dialog i den frågan.

Vi vill också betona att frånvaro av ett krav på säkerhetsskyddsavtal inte innebär att en myndighet som är verksamhetsutövare kan bortse från säkerhetsskyddet under ett visst förfarande. Det måste i stället tillgodoses på andra sätt. Bland annat kan det finnas anledning att ingå någon annan form av säkerhetsskyddsöverenskommelse. Även i lagrådsremissen förs ett resonemang om detta.76

Kopplingen mellan säkerhetsskyddsavtal och säkerhetsprövning bör förtydligas

I 3 kap. säkerhetsskyddslagen finns bestämmelser om krav på att verksamhetsutövare måste säkerhetspröva vissa personer innan de genom anställning eller på annat sätt får delta i den säkerhetskänsliga verksamheten. Dessa bestämmelser gäller även för riksdagen och dess myndigheter, se 1 kap. 3 § första stycket säkerhetsskyddslagen och 10 § lagen om säkerhetsskydd i riksdagen och dess myndigheter. De aktuella myndigheterna har också i olika utsträckning meddelat interna föreskrifter i anslutning till säkerhetsskyddslagens bestämmelser.

I förarbetena till säkerhetsskyddslagen anges att säkerhetsprövning enligt 3 kap. säkerhetsskyddslagen gäller vid säkerhetsprövning enligt ett säkerhetsskyddsavtal. Vidare framgår att ett säkerhetsskyddsavtal är grund för beslut om placering i säkerhetsklass.77 Vi delar bedömningen i lagrådsremissen att det av säkerhetsskyddslagen dock inte tydligt framgår att ett säkerhetsskydds-

76Se lagrådsremissen Ett starkare skydd för Sveriges säkerhet s. 35.

77Se prop. 2017/18:89 s. 141 respektive s. 104.

6 FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE	2020/21:URF3
BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

avtal kan utgöra grund för krav på säkerhetsprövning för anställning och annat deltagande i motpartens verksamhet, eller att det kan utgöra grund för beslut om placering i säkerhetsklass, registerkontroll och särskild personutredning. Denna koppling mellan säkerhetsskyddsavtal och säkerhetsprövning bör därför klargöras i lag. Eftersom förslaget i lagrådsremissen innebär en ny bestämmelse i 4 kap. säkerhetsskyddslagen, som inte gäller för riksdagen och dess myndigheter, är det enligt vår mening lämpligast att införa ett sådant förtydligande i lagen om säkerhetsskydd i riksdagen och dess myndigheter.

Något ska också sägas om det faktum att datumet för ikraftträdande i lagrådsremissen i denna del är satt till den 1 december 2021, medan vi har ett senare i kraftträdandedatum för de bestämmelser vi föreslår (se mer om ikraftträdandet i avsnitt 9.1). För att det inte ska kunna uppstå några tveksamheter om vad som gäller för säkerhetsprövning på grundval av säkerhetsskyddsavtal som riksdagens myndigheter ingår kan det finnas skäl att bryta ut denna fråga, remittera den och sedan behandla den i anslutning till de ändringar som föreslås i lagrådsremissen. Riksdagen skulle därigenom kunna fatta beslut om att vårt förslag i den delen ska träda i kraft redan den 1 december 2021.

Kraven på uppföljning av och innehåll i säkerhetsskyddsavtal bör förtydligas

För att säkerhetskänslig verksamhet ska få ett väl anpassat säkerhetsskydd även i utkontrakterad verksamhet och vid andra liknande förhållanden är det viktigt med en löpande uppföljning av att säkerhetsskyddet följs av motparten. Verksamhetsutövaren måste i det sammanhanget ha en möjlighet att kontrollera att avtalet följs. Vidare är det viktigt att det finns både en skyldighet och en möjlighet för verksamhetsutövaren att, i de fall så krävs på grund av ändrade förhållanden, revidera säkerhetsskyddsavtalet. Exempelvis kan ändrade förhållanden i omvärlden göra att det finns anledning att ställa andra krav på säkerhetsskyddsåtgärder än vad som följer av det ursprungliga säkerhetsskyddsavtalet. Det kan också vara så att uppgifter med en högre säkerhetsskyddsklass har tillkommit i verksamheten eller att det med tiden har ackumulerats en sådan mängd säkerhetsskyddsklassificerade uppgifter hos motparten att det måste ställas högre krav på säkerhetsskydd. Vidare kan det förekomma att förhållandena ändrats på så sätt att det finns anledning att sänka kraven på säkerhetsskydd. Eftersom det är verksamhetsutövaren som en gång har gett motparten tillgång till säkerhetsskyddsklassificerade uppgifter eller annan säkerhetskänslig verksamhet bör det också vara upp till verksamhetsutövaren att, om motparten inte följer säkerhetsskyddsavtalet, se till att vidta de åtgärder som behövs för att kraven på säkerhetsskydd ska kunna tillgodoses. I vissa fall kan det kanske räcka med att myndigheten påpekar bristerna och begär att motparten åtgärdar dessa, medan andra fall kan kräva att myndigheten avbryter det förfarande som ger motparten tillgång till den säkerhetskänsliga verksamheten.78

78Se även lagrådsremissen Ett starkare skydd för Sveriges säkerhet s. 41.

117

2020/21:URF3

118

6FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

I 12 § andra stycket lagen om säkerhetsskydd i riksdagen och dess myndigheter anges endast att myndigheten ska kontrollera att leverantören följer säkerhetsskyddsavtalet. Den nämnda lagen bör därför, enligt vår mening, kompletteras med bestämmelser som innehåller de skyldigheter och möjligheter för riksdagens myndigheter som vi nyss har anfört. Det är också viktigt att riksdagens myndigheter ser till att i sina avtal med respektive motpart ha tydligt reglerat att myndigheterna har en möjlighet att ingripa och vidta åtgärder om så behövs. Som det konstateras i lagrådsremissen kan de befogenheter som myndigheterna behöver tillförsäkra sig i avtalet för att kunna genomföra en fullgod kontroll variera bl.a. beroende på karaktären av det avtal, samarbete eller den samverkansform det är fråga om. Det kan i vissa fall vara tillräckligt att reglera hur myndigheten ska kunna kontrollera att motparten har genomfört en fullgod säkerhetsprövning av den personal som ska delta i den säkerhetskänsliga verksamheten. I andra fall kan det vara nödvändigt att reglera att myndigheten ska ges tillträde till motpartens lokaler eller åtkomst till motpartens informationssystem i syfte att kontrollera att krav om fysisk säkerhet eller informationssäkerhet är uppfyllda på ett tillfredsställande sätt.79

Det finns inte några konstitutionella hinder mot de föreslagna bestämmelserna

De bestämmelser som vi föreslår kommer att medföra att riksdagens myndigheter behöver ingå säkerhetsskyddsavtal i fler situationer än vad som är fallet i dag. Exempelvis kan Riksdagsförvaltningen behöva överväga att teckna säkerhetsskyddsavtal med vissa av sina hyresgäster. Bestämmelserna innebär också utökade krav på vad ett säkerhetsskyddsavtal ska innehålla och vilka skyldigheter myndigheterna har att t.ex. revidera avtalen i fråga.

Eftersom kravet på säkerhetsskyddsavtal är tänkt att gälla endast vid avtal samt vissa typer av samarbete och samverkan är dock vår bedömning att de delar av riksdagsmyndigheternas verksamheter där den konstitutionella självständigheten gör sig gällande inte kommer att omfattas av kravet. Det kommer alltså inte att krävas säkerhetsskyddsavtal om t.ex. JO eller Riksrevisionen i sina granskande verksamheter skulle få tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet. Det gäller både om de hämtas in från granskningsobjektet och om de hämtas från annat håll. Som det konstateras i SOU 2018:82 rör det sig vid t.ex. tillsyn inte om något som språkligt kan betecknas som ett avtal, ett samarbete eller en samverkan. Redan därför framstår det som mindre naturligt att ställa krav på att det ska ingås ett säkerhetsskyddsavtal. Vidare framstår det som svårt att genomföra praktiskt, särskilt i de fall där det krävs skyndsamhet eller där det är viktigt att den som åtgärden vidtas hos inte underrättas i förväg. Att skyldigheten att träffa säkerhetsskyddsavtal inte bör gälla i de situationer som anges behöver enligt vår

79Se lagrådsremissen Ett starkare skydd för Sveriges säkerhet s. 128 f.

6 FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE	2020/21:URF3
BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?
mening inte anges särskilt utan framgår av att det inte är fråga om avtal, sam-
arbete eller samverkan.80
Vi kan inte heller se att de tänkta bestämmelserna på något annat sätt riske-
rar att självständigheten för riksdagen, talmannen, en enskild riksdagsledamot,
en justitieombudsman (även en ställföreträdande ombudsman), riksrevisorn
(även en tillförordnad riksrevisor), riksrevisionsdirektören eller Riksbankens
ansvar för penningpolitiken påverkas eller ifrågasätts, se vår diskussion kring
självständigheten i avsnitt 6.7.4.

6.9.5 Närmare om utkontraktering och liknande förfaranden

Konstitutionella aspekter gör att det inte bör införas någon förbudsmöjlighet eller möjlighet att ingripa i efterhand

I SOU 2018:82 identifieras ett antal problem och brister i säkerhetsskyddsarbetet som bl.a. yttrar sig vid utkontraktering av säkerhetskänslig verksamhet men också vid vissa upplåtelser och andra förfaranden där utomstående kan få tillgång till säkerhetskänslig verksamhet. En brist är t.ex. att verksamheter utkontrakteras utan att myndigheterna dessförinnan har prövat det lämpliga i detta. Vi har som sagt var inte särskilt undersökt mängden utkontrakteringar och liknande förfaranden hos riksdagens myndigheter och om, och i så fall vilka, brister som kan tänkas finnas i det sammanhanget. Oaktat det anser vi att det finns ett behov att utveckla regelverket på det aktuella området. Det behövs för att stärka skyddet för säkerhetsskyddsklassificerade uppgifter och annan säkerhetskänslig verksamhet och också för att skapa ett stöd för de som överväger utkontraktering eller liknande förfarande.

I den lagrådsremiss som finns lämnar regeringen flera förslag när det gäller de verksamhetsutövare som lyder under säkerhetsskyddslagen, där dessa förslag är avsedda att tillsammans hantera de risker som finns med utkontraktering och liknande förfaranden. För att använda samma språkbruk som i SOU 2018:82 föreslås ett införande av tre kontrollstationer där den första består av ett krav på en särskild säkerhetsskyddsbedömning och egen lämplighetsprövning, den andra av en utvidgad skyldighet att samråda med tillsynsmyndigheten och en möjlighet för den myndigheten att förbjuda att det planerade förfarandet genomförs och den tredje av en möjlighet för tillsynsmyndigheten att ingripa i efterhand. Som framgår av avsnittet nedan ser vi, när det gäller ett krav på en särskild säkerhetsskyddsbedömning, en egen lämplighetsprövning samt samråd, inte att det skulle finnas några konstitutionella hinder. Beträffande införandet av en möjlighet för en utomstående aktör att besluta att ett planerat förfarande inte får genomföras, att besluta om förelägganden och/eller att ingripa i efterhand anser vi dock, i likhet med vårt resonemang i avsnitt 6.7.5, att det inte är lämpligt för riksdagens myndigheter.

80Se SOU 2018:82 s. 139. Se även lagrådsremissen Ett starkare skydd för Sveriges säkerhet s. 31 där det sägs att kravet på säkerhetsskyddsavtal inte bör omfatta när en myndighet har makt att med tvång bereda sig tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet.

119

2020/21:URF3

120

6FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

Däremot bör det finnas ett krav på särskild säkerhetsskyddsbedömning och egen lämplighetsprövning

För de myndigheter som lyder under regeringen finns det i 2 kap. 6 § säkerhetsskyddsförordningen ett krav på att de, innan vissa typer av upphandlingar inleds, ska göra en särskild säkerhetsskyddsbedömning. Åtminstone en av de myndigheter vi har att titta på har i sina interna föreskrifter ett liknande krav. Enligt vår mening bör det dock i lagen om säkerhetsskydd i riksdagen och dess myndigheter införas ett krav på särskild säkerhetsskyddsbedömning för alla de typer av avtal och förfaranden som vi föreslår ska omfattas av kravet på säkerhetsskyddsavtal. På samma sätt som vi har argumenterat för när det gäller den utökade skyldigheten att ingå säkerhetsskyddsavtal bör det som i första hand avgör om det finns ett behov av en särskild säkerhetsskyddsbedömning vara om ett visst förfarande innebär att säkerhetsskyddsklassificerade uppgifter eller säkerhetskänslig verksamhet i övrigt kan exponeras för någon utomstående. Det innebär alltså att en verksamhetsutövare enligt vår mening bör vara tvungen att göra en särskild säkerhetsskyddsbedömning innan denne inleder en upphandling, ingår ett avtal eller påbörjar en samverkan eller ett samarbete som innebär att den andra aktören kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre. Samma skyldighet bör också gälla om den andra aktören genom förfarandet kan få tillgång till annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Vår uppfattning är att de upphandlingar som riksdagens myndigheter gör redan i dag föregås av en bedömning av om det planerade förfarandet är lämpligt ur säkerhetsskyddssynpunkt. För att ytterligare betona vikten av att det görs en sådan bedömning och också för att anpassa tillvägagångssättet till det utökade området för säkerhetsskyddsavtal, anser vi dock att det i lagen om säkerhetsskydd i riksdagen och dess myndigheter bör införas ett uttryckligt krav på att den särskilda säkerhetsskyddsbedömningen ska följas av en prövning av om det planerade förfarandet är lämpligt ur säkerhetsskyddssynpunkt. En sådan prövning bör ta sin utgångspunkt i den särskilda säkerhetsskyddsbedömningen och syfta till att klarlägga om det aktuella förfarandet kan leda till skadekonsekvenser på nationell nivå. Myndigheten bör då bl.a. beakta behovet av säkerhetsskydd och om det är möjligt att genom ett säkerhetsskyddsavtal uppnå ett tillräckligt säkerhetsskydd. Precis som det anförs i lagrådsremissen kan det finnas förfaranden som inte är lämpliga oavsett vilka säkerhetsskyddsåtgärder som vidtas, t.ex. på grund av att de involverar uppgifter som är så känsliga att de aldrig bör anförtros utomstående. Ett förfarande kan också vara olämpligt för att motparten finns i ett land där det saknas möjligheter till en ändamålsenlig säkerhetsprövning av motpartens personal och av personalen hos eventuella underleverantörer. Vidare kan svårigheter att bedöma om motparten har illojala syften med förfarandet, t.ex. mot bakgrund av ägarförhållandena hos motparten, medföra att förfarandet är olämpligt. Både den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen bör avse

6 FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE	2020/21:URF3
BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?
samtliga moment i det planerade förfarandet.81 Om lämplighetsprövningen le-
der fram till bedömningen att förfarandet inte är lämpligt, får det inte inledas.
Det bör framgå uttryckligen av regleringen.
När det så gäller eventuella konstitutionella hinder är det upp till riksdagens
myndigheter att på egen hand göra såväl den särskilda säkerhetsskyddsbedöm-
ningen som lämplighetsprövningen. Det finns alltså inte någon utomstående
aktör inblandad som i det avseendet kan påverka myndigheten. Visserligen
kan myndigheternas följsamhet till lagstiftningen bli föremål för granskning.
Där finns det dock, som vi har redogjort för i avsnitt 6.7.5, en möjlighet för
den som granskas att bl.a. helt eller delvis neka granskning. Vi ser därför inte
att det finns någon konstitutionell problematik med ett lagstadgat krav på en
särskild säkerhetsskyddsbedömning och en lämplighetsprövning.

Det bör också finnas ett krav på samråd

Flera av de myndigheter vi har pratat med har uppgett att de, inom ramen för Säkerhetspolisens rådgivningsskyldighet enligt 7 kap. 10 § första stycket säkerhetsskyddsförordningen, ofta rådgör med Säkerhetspolisen när det gäller upphandlingar som kräver säkerhetsskyddsavtal. Vi har heller ingen anledning att betvivla att myndigheterna strävar efter att rådgöra med Säkerhetspolisen när de bedömer att så är lämpligt. Med tanke på säkerhetsskyddsfrågornas komplexitet är det dock inte otänkbart att det skulle kunna finnas situationer där myndigheterna anser att det inte finns ett behov av att rådgöra med Säkerhetspolisen men där Säkerhetspolisen, om den känt till situationen, däremot skulle bedöma att ett sådant behov faktiskt finns. Vi anser därför att det i lagen om säkerhetsskydd i riksdagen och dess myndigheter bör anges ett krav på att riksdagens myndigheter, efter genomförd särskild säkerhetsskyddsbedömning och lämplighetsprövning, innan de inleder ett förfarande ska samråda med Sä- kerhetspolisen. Kravet bör dock endast gälla sådana fall där den andra aktören kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Det sistnämnda innebär att tillgången till verksamheten måste kunna medföra allvarlig skada för Sveriges säkerhet. Ett exempel är en situation då den andra aktören kan få tillgång till ett informationssystem och åtkomst till systemet kan medföra allvarlig skada för Sveriges säkerhet, t.ex. genom att systemet görs otillgängligt eller skadas. Ett annat exempel är situationer då en annan aktör ska utföra arbete vid en säkerhetskänslig verksamhet eller hyra en lokal i ett område där det bedrivs säkerhetskänslig verksamhet och då kan få tillgång till en säkerhetskänslig anläggning, byggnad eller utrustning.82

Kravet på samråd innebär alltså att en extern aktör i form av en myndighet under regeringen blir inblandad i riksdagens myndigheters förehavanden. Vi tror att myndigheterna till stor del kommer att följa det som Säkerhetspolisen

81Se lagrådsremissen Ett starkare skydd för Sveriges säkerhet s. 131.

82Se även lagrådsremissen Ett starkare skydd för Sveriges säkerhet s. 131 f.

121

2020/21:URF3

122

6FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

säger vid samrådet, men det kan finnas situationer där det finns skäl att göra avsteg. Samrådet är också just ett samråd och det är upp till respektive myndighet att avgöra hur den vill agera utifrån samrådet. Det bör också vara upp till respektive myndighet att, i dialog med Säkerhetspolisen, utforma rutiner eller liknande för samrådet. Det, i kombination med att Säkerhetspolisen enligt vår uppfattning inte bör ha några befogenheter att på egen hand inleda samråd eller att vidta några åtgärder med anledning av samrådet, gör att vi anser att det inte finns några konstitutionella problem med upplägget.

6.10Överväganden rörande frågan om säkerhetsskyddschef

Förslaget i korthet

Hos såväl Riksdagsförvaltningen (då även i egenskap av ansvarig för riksdagens säkerhet) som Riksbanken, JO och Riksrevisionen finns det ett behov av en funktion med ett övergripande ansvar för säkerhetsskyddsarbetet. Det ska därför i lagen om säkerhetsskydd i riksdagen och dess myndigheter föras in en bestämmelse om att det hos dessa myndigheter ska finnas en säkerhetsskyddschef som har ett övergripande ansvar för säkerhetsskyddet. Säkerhetsskyddschefen ska ha ansvar för att leda och samordna säkerhetsskyddsarbetet. Denna chef ska också ha till ansvar att granska att verksamheten följer de säkerhetsskyddsbestämmelser som finns, både de som följer av lag och de som följer av myndigheternas interna föreskrifter, samt att granska de interna föreskrifternas ändamålsenlighet. Ansvaret får inte delegeras.

Säkerhetsskyddschefen ska vara direkt underställd riksdagsdirektören, Riksbankens direktion, chefsjustitieombudsmannen respektive riksrevisorn.

6.10.1 Uppdraget i denna del

Enligt 2 kap. 2 § säkerhetsskyddsförordningen ska det vid verksamhet som förordningen gäller för, om det inte är uppenbart obehövligt, finnas en säkerhetsskyddschef som kontrollerar att verksamheten bedrivs i enlighet med vad som föreskrivs i säkerhetsskyddslagen och denna förordning. Det sägs också att säkerhetsskyddschefen vid en myndighet ska vara direkt underställd myndighetens chef. Bestämmelsen gäller inte för riksdagens och dess myndigheter.

I betänkandet Kompletteringar till nya säkerhetsskyddslagen (SOU 2018:82) förs fram förslag om att stärka säkerhetsskyddschefens roll i organisationen. Bland annat finns det förslag om att bestämmelsen om säkerhetsskyddschefen ska flyttas från förordningen till säkerhetsskyddslagen och att säkerhetsskyddschefens uppdrag ska förtydligas.

6 FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE	2020/21:URF3
BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

Vi ska enligt våra direktiv analysera behovet av en säkerhetsskyddschef hos riksdagen och dess myndigheter samt vid behov föreslå vilka uppgifter och befogenheter sådana säkerhetsskyddschefer ska ha och hur sådana uppgifter och befogenheter ska regleras. Vi ska då beakta riksdagsledamöters och enskilda justitieombudsmäns ställning samt de olika myndigheternas uppdrag och verksamhet. Det sägs också att det för närvarande bedöms att det inte finns ett behov av en säkerhetsskyddschef i nämndmyndigheterna under riksdagen. När vi i avsnitten nedan talar om riksdagens myndigheter avser vi därför endast Riksdagsförvaltningen, Riksbanken, JO och Riksrevisionen.

6.10.2Det finns ett behov av en funktion med ett övergripande ansvar för säkerhetsskyddsarbetet

Det yttersta ansvaret för säkerhetsskyddet har den som är chef för verksamhetsutövaren. I det avseendet ligger ansvaret för Riksdagsförvaltningens del på riksdagsdirektören, se 14 kap. 4 § RO där det anges att riksdagsdirektören är chef för Riksdagsförvaltningen. I och med att Riksdagsförvaltningen har ansvar för riksdagens säkerhet ansvarar riksdagsdirektören även ytterst för säkerhetsskyddet i riksdagen, med undantag för beslut om säkerhetskontroll i riksdagens lokaler vilka enligt lagen om säkerhetskontroll i riksdagens lokaler fattas av talmannen. Vad gäller Riksbanken framgår av 9 kap. 13 § andra stycket RF att Riksbanken leds av en direktion som utses av fullmäktige. I 8 § Riksbankens arbetsordning anges bl.a. att direktionen ska se till att ett effektivt säkerhetsskydd upprätthålls i Riksbanken. När det gäller JO sägs i 13 kap. 2 § andra stycket RO och 12 § lagen med instruktion för Riksdagens ombudsmän att chefsjustitieombudsmannen är administrativ chef och bestämmer inriktningen av verksamheten i stort. Vår uppfattning är att det även innefattar det yttersta ansvaret för säkerhetsskyddet. För Riksrevisionens del ligger ansvaret på riksrevisorn, se 2 § första stycket lagen med instruktion för Riksrevisionen där det anges att riksrevisorn är chef för Riksrevisionen och leder myndigheten. Med det följer enligt vår mening också det yttersta ansvaret för säkerhetsskyddet.

Det sagda innebär dock inte att det är riksdagsdirektören, Riksbankens direktion, chefsjustitieombudsmannen och riksrevisorn som rent faktiskt ska arbeta med säkerhetsskyddet. Förutom att frågor som rör säkerhetsskyddet kan behöva hanteras ute i verksamheten måste det också finnas en säkerhetsskyddsorganisation. Eftersom riksdagen och dess myndigheter har olika uppdrag och mängden säkerhetskänslig verksamhet och säkerhetsskyddsklassificerade uppgifter varierar kan organisationen som sådan behöva se olika ut hos de aktuella myndigheterna, något vi återkommer till i avsnitt 6.10.5. Samtidigt finns det vissa gemensamma nämnare för myndigheterna. En sådan är att de säkerhetsskyddsfrågor de har att hantera blir alltmer komplexa och inte sällan spänner över flera olika områden. Som t.ex. avdelnings- eller enhetschef kan det ibland vara svårt att se helheten och att kunna beakta alla aspekter som behövs för att uppnå en, för verksamheten som helhet, fullgod och lagenlig

123

2020/21:URF3

124

6FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

lösning i säkerhetsskyddsmässigt hänseende. Med tanke på säkerhetsskyddets alltmer ökade betydelse är det därför, enligt vår mening, viktigt att det hos samtliga av de aktuella myndigheterna finns en funktion dit riksdagsdirektören, Riksbankens direktion, chefsjustitieombudsmannen respektive riksrevisorn kan vända sig till t.ex. för att orientera sig om säkerhetsskyddsarbetet. En sådan funktion kan också tjäna som kontaktyta utåt sett i säkerhetsskyddsfrågor, t.ex. i kontakter med Säkerhetspolisen.

Därmed är det vår uppfattning att det hos Riksdagsförvaltningen (då även i egenskap av ansvarig för riksdagens säkerhet), Riksbanken, JO och Riksrevisionen behövs en funktion inom respektive myndighet som har ett övergripande ansvar för säkerhetsskyddsarbetet. Det bör i sin tur bestå av olika delar. En del är att funktionen i fråga bör ha ett ansvar för att leda myndighetens säkerhetsskyddsarbete och inom ramen för det dra upp huvudlinjerna för det arbetet. Vidare bör det ingå ett ansvar för att samordna myndighetens säkerhetsskyddsarbete och ett ansvar att granska att säkerhetsskyddsbestämmelserna – både de som följer av lag och myndigheternas egna föreskrifter – följs. Som vi har varit inne på i avsnitt 6.7.3 så är riksdagen och dess myndigheter självreglerande utöver lagen. I granskningsansvaret bör det därför också ligga att granska de interna föreskrifternas ändamålsenlighet. För att inte förta tanken bakom att ha en funktion som har ett övergripande ansvar för säkerhetsskyddsfrågorna anser vi att ansvaret inte bör kunna delegeras. Vad funktionen i övrigt bör ha för uppgifter bör vara upp till respektive myndighet att avgöra och reglera i sina interna föreskrifter. Förslagsvis är det dock till den funktionen en sådan anmälan som vi har beskrivit i avsnitt 6.8.5 bör göras. Lämpligen är det också den funktionen som är kontaktpunkten gentemot Säkerhetspolisen när det gäller bl.a. Säkerhetspolisens externa granskning.

Det som sägs ovan kan i någon mån komma att innebära att funktionen får till uppgift att granska sitt eget arbete. I åtminstone de myndigheter som har en säkerhetsskyddsorganisation med fler än ett fåtal medarbetare tror vi dock att huvuddelen av det dagliga säkerhetsskyddsarbetet, där en stor del av efterlevnaden av säkerhetsskyddsbestämmelserna sker, kommer att utföras av andra än funktionen som sådan. Funktionen kommer i sin tur att bli granskad framför allt genom den externa granskningen som vi anser att Säkerhetspolisen bör utöva.

6.10.3Funktionen bör vara direkt underställd riksdags-

direktören, Riksbankens direktion, chefsjustitieombudsmannen respektive riksrevisorn, benämnas säkerhetsskyddschef och regleras i lag

För att möjliggöra för säkerhetsskyddsfrågorna att få hög prioritet och ge bättre förutsättningar för att de uppmärksammas och beaktas i den dagliga styrningen av verksamheten är det vår uppfattning att funktionen vi föreslår bör vara direkt underställd riksdagsdirektören, Riksbankens direktion, chefsjustitieombudsmannen respektive riksrevisorn.

6 FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE	2020/21:URF3
BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?
När det så gäller vad funktionen bör benämnas anser vi att säkerhetsskydds-
chef är det som ligger närmast till hands. Den titeln finns för övrigt redan i dag
hos vissa av de myndigheter vi har att titta på. I 2 kap. 2 § säkerhetsskyddsför-
ordningen, som gäller för stora delar av övriga statsförvaltningen, sägs också
att det vid verksamhet som förordningen gäller för ska, om det inte är uppen-
bart obehövligt, finnas en säkerhetsskyddschef som kontrollerar att verksam-
heten bedrivs i enlighet med vad som föreskrivs i säkerhetsskyddslagen och
säkerhetsskyddsförordningen. Det anges också att säkerhetsskyddschefen vid
en myndighet ska vara direkt underställd myndighetens chef. Vårt förslag
stämmer också bra överens med resonemanget i lagrådsremissen Ett starkare
skydd för Sveriges säkerhet där det föreslås att säkerhetsskyddschefens roll ska
stärkas och att bestämmelsen bör lyftas upp i säkerhetsskyddslagen. Enligt
lagrådsremissens förslag ska det vid verksamhet som omfattas av säkerhets-
skyddslagen finnas en säkerhetsskyddschef, om det inte är uppenbart obehöv-
ligt. Säkerhetsskyddschefen ska leda och samordna säkerhetsskyddsarbetet
samt kontrollera att verksamheten bedrivs enligt säkerhetsskyddslagen och de
föreskrifter som har meddelats i anslutning till lagen. Ansvaret får inte deleg-
eras. Säkerhetsskyddschefen ska vara direkt underställd chefen för verksam-
hetsutövarens verksamhet, om det finns en sådan chef, och annars verksam-
hetsutövarens ledning.83
Något ska också sägas om var regleringen av säkerhetsskyddschef bör pla-
ceras. I sin framställning till riksdagen om ny lag om säkerhetsskydd i riksda-
gen och dess myndigheter gjorde riksdagsstyrelsen, efter synpunkt från en av
remissinstanserna, bedömningen att frågan om att inrätta en funktion som sä-
kerhetsskyddschef är en organisatorisk fråga som respektive myndighet under
riksdagen kan föreskriva om.84 För Riksdagsförvaltningen, Riksbanken, JO
och Riksrevisionen är de regleringsmöjligheter som står till buds antingen en
placering i lag eller i respektive myndighets interna föreskrifter. I lagrådsre-
missen sägs att eftersom de föreslagna bestämmelserna om krav på säkerhets-
skyddschef och denna chefs organisatoriska ställning och ansvar innebär ålig-
ganden för enskilda, bör de placeras i säkerhetsskyddslagen i stället för säker-
hetsskyddsförordningen.85 Det argumentet kan inte göras gällande när det gäl-
ler säkerhetsskyddschef hos Riksdagsförvaltningen, Riksbanken, JO och Riks-
revisionen. Däremot anser vi att det, med tanke på hur betydelsefull rollen som
säkerhetsskyddschef är, är viktigt att regleringen ser likadan ut för samtliga
dessa myndighet. Därför bör funktionen regleras i lag, då lämpligast i lagen
om säkerhetsskydd i riksdagen och dess myndigheter.

83Lagrådsremissen Ett starkare skydd för Sveriges säkerhet s. 21 f.

84Framst. 2018/19:RS6 s. 21.

85Lagrådsremissen Ett starkare skydd för Sveriges säkerhet s. 25.

125

2020/21:URF3

126

6FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

6.10.4Konstitutionella aspekter har betydelse vad gäller säkerhetsskyddschefens befogenheter i dennes granskande roll

Säkerhetsskyddschefen bör alltså ha ansvar för att leda och samordna säkerhetsskyddet samt för att granska att verksamheten bedrivs i enlighet med vad som föreskrivs i lagen om säkerhetsskydd i riksdagen och dess myndigheter, säkerhetsskyddslagen i tillämpliga delar och i interna säkerhetsskyddsbestämmelser. Säkerhetsskyddschefen bör också ha ansvar för att granska de interna föreskrifternas ändamålsenlighet. Vad gäller de två förstnämnda ansvarsområdena ser vi inte att det skulle finnas någon konstitutionell problematik – ansvaret för säkerhetsskyddschefen där handlar om ledning och samordning av säkerhetsskyddet som sådant och inte om att säkerhetsskyddschefen ska kunna tala om hur enskilda, såsom en riksdagsledamot, ska göra eller inte göra.

När det gäller den del av ansvaret som innebär att granska att verksamheten bedrivs i enlighet med tillämpliga säkerhetsskyddsbestämmelser, och i viss mån även granska de interna föreskrifternas ändamålsenlighet, spelar dock konstitutionella aspekter roll. Som vi har anfört i bl.a. avsnitt 6.7.4 måste en granskning utformas så att det inte finns någon risk för att självständigheten för riksdagen, talmannen, en enskild riksdagsledamot, en justitieombudsman (även en ställföreträdande ombudsman), riksrevisorn (även en tillförordnad riksrevisor), riksrevisionsdirektören eller Riksbankens ansvar för penningpolitiken kan komma att påverkas eller ifrågasättas. Vi tror som sagt att det sällan kommer att uppkomma situationer där en intern granskning riskerar att göra detta. För att garantera självständigheten har vi dock i avsnitt 6.7.5 lämnat förslag som innebär att granskningsfunktionen, och därmed säkerhetsskyddschefen i sin granskande roll, bl.a. inte bör ha någon befogenhet att besluta om åtgärder.

6.10.5 Även ansvarsfördelning och organisation är av betydelse

Att det finns en säkerhetsskyddschef är en viktig del i säkerhetsskyddsarbetet. Ett bra säkerhetsskydd kräver dock en samverkan av flera faktorer. Av betydelse är därför även frågor om t.ex. ansvarsfördelningen på säkerhetsskyddsområdet mellan olika chefer och hur den del av verksamheten som har som huvuduppgift att hantera säkerhetsskyddsfrågor ser ut. Även det kan behöva anpassas beroende på verksamhet. Exempelvis kan en organisation med en stor mängd säkerhetskänslig verksamhet och/eller särskilt viktig säkerhetskänslig verksamhet behöva ha en särskild avdelning för säkerhetsskydd och liknande frågor medan sådana frågor i mindre organisationer kan skötas av en enhet.

Vi har inte för avsikt att i detalj gå in och peka på om, och i så fall hur, Riksdagsförvaltningen, Riksbanken, JO och Riksrevisionen i övrigt bör ändra sin ansvarsfördelning och organisation på säkerhetsskyddsområdet. Vi vill dock ändå säga några saker i frågan.

Säkerhetsskyddsområdet har växt i omfång under senare år. För Riksdagsförvaltningens del har säkerhetsenheten under serviceavdelningen blivit en

6 FINNS DET BEHOV AV ÄNDRINGAR I BEFINTLIGA BESTÄMMELSER ELLER AV YTTERLIGARE	2020/21:URF3
BESTÄMMELSER I LAGEN OM SÄKERHETSSKYDD I RIKSDAGEN OCH DESS MYNDIGHETER?

stor organisation, vilket också har gjort att serviceavdelningen som sådan är stor i förhållande till en del andra avdelningar. Enligt vår mening finns det anledning att överväga om det inom Riksdagsförvaltningen borde skapas en särskild avdelning som har hand om säkerhetsskyddsfrågor. Vi tror att en särskild avdelning för det ändamålet skulle bidra till att än mer synliggöra säkerhetsskyddsfrågornas betydelse. Det skulle också bli en bättre balans mellan de olika avdelningarnas storlek. För övriga myndigheter vi har att titta på tror vi dock att säkerhetsskyddfrågorna även i fortsättningen bäst hanteras av särskilda enheter för det ändamålet – de myndigheterna är så små att det inte är gångbart att skapa egna avdelningar för säkerhetsskyddsfrågorna.

Vidare bör de aktuella myndigheterna se till att säkerhetsskyddschefen inte bara på pappret är direkt underställd riksdagsdirektören, Riksbankens direktion, chefsjustitieombudsmannen respektive riksrevisorn. Enligt vår mening bör säkerhetsskyddschefen också ha en ständig plats i ledningsgruppen i de fall en sådan grupp finns. Det ger bättre förutsättningar för att säkerhetsskyddsfrågor uppmärksammas och beaktas i den dagliga styrningen av verksamheten. Vissa av myndigheterna har i dag en konstruktion där säkerhetsskyddschefen eller säkerhetschefen adjungeras in i ledningsgruppen vid behov. Vi har i och för sig inga skäl att tro att den ordningen inte fungerar. Eftersom det inte alltid i förväg går att förutse i vilka frågor säkerhetsskyddsaspekter kan komma in anser vi dock att det är bättre att säkerhetsskyddschefen ges en fast plats i ledningsgruppen.

När det gäller säkerhetsskyddschefens ansvar är vår tanke att det ska regleras i lag. Dock kommer det att behövas ytterligare reglering av vilka befogenheter och uppgifter i övrigt denna chef har. Myndigheterna måste därför i sina interna föreskrifter, t.ex. arbetsordningar, vara tydliga med vad som gäller. Där bör också den interna granskningsfunktionens placering och roll preciseras.

127

2020/21:URF3

7 Några frågor om partigruppernas kanslier

7.1 Partikansliernas sammansättning och uppgifter

Sedan lång tid tillbaka har alla partier som är representerade i riksdagen haft särskilda kanslier (i det följande kallade kanslier eller partikanslier) med anställd personal till hjälp åt sina riksdagsgrupper. Fram till och med 1965 finansierades kanslierna helt eller till avsevärd del med obligatoriska avgifter från de riksdagsledamöter som ingick i de olika grupperna. Riksdagen införde 1965 ett bidrag, s.k. kanslistöd, till varje partigrupp i riksdagen för kansliernas kostnader.86 Sedan 1972 har ekonomiskt stöd för bl.a. partikansliernas verksamhet betalats ut. Partierna får ekonomiskt stöd motsvarande kostnaderna för en politisk sekreterare per ledamot. Partierna bestämmer själva hur de ska fördela pengarna för att bygga upp ett kansli som passar ledamöternas behov och önskemål.

Vi har under utredningens gång samtalat med företrädare (i de flesta fall kanslichef och säkerhetsansvarig) för samtliga partikanslier, förutom ett partikansli som avböjt möte. Av samtalen har det framkommit att nuvarande partikanslier består av från ca 30 anställda upp till ca 80 anställda. Samtliga av de partikanslier vi har samtalat med är en del av sitt respektive parti och personalen på kansliet är anställd av partiet, men anställningen som sådan beslutas av partikansliet. För vissa partier finns det personer, t.ex. sådana som arbetar med ekonomifrågor, som är placerade på partiets kansli utanför riksdagen men som till viss del även arbetar för partikansliet. När vi i det fortsatta talar om anställda vid partikanslierna och partikanslianställda avser vi personer som har anställts antingen av ett partikansli direkt eller ett parti för att biträda riksdagens ledamöter.

Partikanslierna ger stöd till såväl enskilda riksdagsledamöter som till riksdagsgruppen i dess helhet. Det kan handla om stöd i t.ex. sakfrågor, kontakt med allmänheten och medierna samt administrativt stöd. Hur arbetet på de olika partikanslierna är upplagt i övrigt varierar något. Exempelvis har vissa partikanslier en uppdelning med en eller flera ansvariga per utskott, medan andra partikanslier har delat in ansvaret efter sakområde. I vilken utsträckning de partikanslianställda får del av utskottshandlingar ser olika ut – några partikanslier uppger att handlingar inför sammanträden per automatik skickas även till en viss partikanslianställd, dock inte sådana som det råder sekretess för. Några partikanslier konstaterar att det kan hända att, även om de partikanslianställda inte formellt sett får del av säkerhetsklassificerade uppgifter, kan de ändå uppfatta vissa sådana uppgifter i sitt arbete med att bistå riksdagsledamöterna. Hos några av partikanslierna är samtliga anställda placerade i säkerhetsklass och därmed registerkontrollerade, medan det hos andra partikanslier bara är vissa anställda som är det.

86Prop. 1972:126 s. 25.

128

7 NÅGRA FRÅGOR OM PARTIGRUPPERNAS KANSLIER

2020/21:URF3

7.2 Reglering av stödet till partikanslierna

Enligt 1 kap. 1 § lagen (2016:1109) om stöd till partigrupperna för riksdagsledamöternas arbete i riksdagen lämnas stöd till partigrupperna i form av bl.a. basstöd och stöd till kostnader för politiska sekreterare åt riksdagens ledamöter. I lagen sägs också att varje partigrupp har rätt att inrätta ett kansli i riksdagens lokaler och har rätt till ett visst antal arbetsplatser i riksdagens lokaler för politiska sekreterare och partigruppens kansliledning, se 3 kap. 6 och 7 §§. Vidare anges i 3 kap. 8 § samma lag att politiska sekreterare som har sitt tjänsteställe i riksdagen och andra som arbetar i en partigrupps kansliledning har rätt att bl.a. få tillträde till riksdagens lokaler, ta emot besök i riksdagens lokaler, disponera en arbetsplats i en partigrupps kansli och ha ett it-konto i Riksdagsförvaltningens it-miljö. Det gäller också vikarier för föräldralediga, tjänstlediga och sjukskrivna arbetstagare.

I riksdagsstyrelsens föreskrift (RFS 2016:6) om tillämpningen av lagen om stöd till partigrupperna för riksdagsledamöternas arbete i riksdagen finns bestämmelser om tillämpningen av nämnda lag. Syftet med bestämmelserna är enligt 1 kap. 2 § föreskriften att riksdagsledamöterna och partigrupperna ska få det stöd de behöver för att det parlamentariska arbetet ska fungera väl. Det anges bl.a. att varje partigrupp har rätt att disponera tio arbetsplatser för partigruppens kansliledning, se 2 kap. 5 § föreskriften. Det anges också att de arbetsplatser i riksdagens lokaler som har anvisats åt partigrupperna enligt 3 kap. 7 § lagen om stöd till partigrupperna för riksdagsledamöternas arbete i riksdagen endast får användas av personer som stöder riksdagsledamöter och partigrupper i det löpande riksdagsarbetet, se 2 kap. 6 § föreskriften. Vidare innehåller föreskriften bestämmelser om teknisk och elektronisk utrustning. Enligt 2 kap. 9 § föreskriften ska, för varje arbetsplats som anvisats åt partigrupperna, Riksdagsförvaltningen tillhandahålla en dator som är ansluten till riksdagens nätverk och en mobiltelefon som är ansluten till riksdagens växel. Det är Riksdagsförvaltningen som beslutar om vilka varor och tjänster, inklusive programvaror och licenser för dessa, som den tekniska och elektroniska utrustningen ska bestå av och vilka leverantörer som ska anlitas, se 2 kap. 10 § föreskriften. Installation av programvaror utöver det får bara göras av Riksdagsförvaltningen. Sådana installationer ska enligt 2 kap. 11 § föreskriften bekostas av partigruppen. En partigrupp får hos Riksdagsförvaltningen begära att en partifunktionär som inte omfattas av bestämmelsen i 3 kap. 8 § lagen om stöd till partigrupperna för riksdagsledamöternas arbete i riksdagen ska få en begränsad rätt att använda riksdagens lokaler, it-miljö och resebyrå enligt nämnda paragraf, se 2 kap. 17 och 18 §§ föreskriften. Detsamma gäller en politisk sekreterare som har sitt tjänsteställe utanför riksdagens lokaler.

7.3 Reglering av säkerhet och säkerhetsskydd

Riksdagsstyrelsen lyfte i sin framställning till riksdagen om det som kom att bli lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter

129

2020/21:URF3

130

7NÅGRA FRÅGOR OM PARTIGRUPPERNAS KANSLIER

fram att Riksdagsförvaltningens verksamhetsområde i viss utsträckning omfattar partikanslierna och deras personal. Enligt riksdagsstyrelsen ”… innebär [detta] att de instrument som den nya lagen ger riksdagsförvaltningen bör kunna användas i förhållande till partikanslierna. I praktiken innebär detta att riksdagsstyrelsen kan meddela föreskrifter som gäller för partikanslierna. Kanslierna åläggs emellertid inga skyldigheter att självständigt vidta säkerhetsskyddsåtgärder, ansvaret för detta åvilar i stället riksdagsförvaltningen.”87

Riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna omfattar, som framgår av dess namn, partikanslierna. I föreskriften finns det bestämmelser om säkerhet, säkerhetsskydd och fredstida krishantering. I 6 kap. 2 § föreskriften sägs att det är Riksdagsförvaltningen som, om inte annat anges i föreskriften, efter samråd med partikanslierna bestämmer vad som gäller i fråga om tillträde till de lokaler som kanslierna disponerar. Enligt 6 kap. 5 § föreskriften beslutar Riksdagsförvaltningen om rätt till tillträde till riksdagens lokaler för bl.a. anställda vid partikanslierna. Riksdagsförvaltningen ska när den fattar beslut beakta behovet av tillträde för att fullgöra en anställning eller ett uppdrag. Därutöver ska förvaltningen beakta vad som följer av lagen om säkerhetsskydd i riksdagen och dess myndigheter, behovet av skydd för uppgifter som det gäller sekretess för enligt offentlighets- och sekretesslagen och intresset av att skydda teknisk och elektronisk utrustning samt stöldbegärlig egendom, se 6 kap. 6 § föreskriften.

Av bl.a. Riksdagsförvaltningens instruktion om informationssäkerhet för medarbetare framgår att alla som kvitterar ett it-konto eller en användaridentitet i riksdagens informationssystem, dvs. däribland anställda vid partigruppernas kanslier, förbinder sig att följa reglerna för informationssäkerhet i riksdagen.88 I instruktionen sägs också följande: ”Alla regler som tas upp i denna instruktion är inte tillämpliga på riksdagsledamöter eller anställda vid partigruppernas kanslier. Anledningen till det är bl.a. att deras anknytning till Riksdagsförvaltningen inte är ett anställningsförhållande. Det finns dock starka skäl för att vissa hanteringsregler som är knutna till de it-konton och den tekniska och elektroniska utrustning som Riksdagsförvaltningen tillhandahåller även ska gälla för riksdagsledamöter och anställda vid partigruppernas kanslier. Det är fråga om grundläggande säkerhetskrav som måste följas av alla som har tillgång till riksdagens informationssystem, t.ex. hanteringen av lösenkoder och uppdatering av programvara. Sådana grundläggande krav finns i avsnitt 3.2 och i hela avsnitt 4 bortsett från avsnitt 4.1.”

Vidare har Riksdagsförvaltningen en instruktion om klassificering av uppgifter och verksamheter som rör Sveriges säkerhet. I den sägs: ”Målgruppen för instruktionen är alla som deltar eller har insyn i säkerhetskänslig verksamhet eller som hanterar säkerhetsskyddsklassificerade uppgifter i riksdagen

87Framst. 2005/06:RS1 s. 19.

88För riksdagsledamöter finns det en bestämmelse i 6 kap. 16 § riksdagsstyrelsens föreskrift och allmänna råd (RFS 2016:5) om tillämpning av lagen om ersättning till riksdagens ledamöter som säger att ledamöterna ska följa de anvisningar om informationssäkerhet som gäller inom Riksdagsförvaltningen.

7 NÅGRA FRÅGOR OM PARTIGRUPPERNAS KANSLIER

2020/21:URF3

eller Riksdagsförvaltningen. Den riktar sig till riksdagsledamöter, anställda vid Riksdagsförvaltningen eller partigruppernas kanslier samt konsulter och entreprenörer som har tillträde till riksdagens lokaler, informationssystem eller verksamhet.”

Med stöd av överenskommelser som har träffats mellan Riksdagsförvaltningens säkerhetschef och respektive partikansli görs det en säkerhetsprövning av de som ska anställas vid partikanslierna. Enligt överenskommelserna är det partikansliet som bl.a. ska utföra den del av säkerhetsprövningen som är grundad på personlig kännedom om den som prövningen gäller. Partikansliet ska också ta fram bedömningsunderlag till Riksdagsförvaltningen för beslut om placering i säkerhetsklass. Riksdagsförvaltningen är bl.a. ansvarig för att besluta om placering i säkerhetsklass och i sådana fall begära registerkontroll för den person det gäller. Riksdagsförvaltningen ska självständigt avgöra om en registerkontrollerad person ska få anlitas. Grunden är att de anställda vid partigruppernas kanslier anses delta i riksdagens verksamhet. Riksdagsförvaltningen utfärdar även säkerhetsintyg enligt 4 kap. 1 och 2 §§ säkerhetsskyddslagen för anställda vid partigruppernas kanslier.

131

2020/21:URF3

132

7NÅGRA FRÅGOR OM PARTIGRUPPERNAS KANSLIER

7.4Överväganden rörande frågan om säkerhetsprövning av anställda vid partigruppernas kanslier

Bedömning

Den nuvarande ansvarsuppdelningen mellan partikanslierna och riksdagen, den senare genom Riksdagsförvaltningen, när det gäller säkerhetsprövning av anställda vid partikanslierna bör bestå.

Förslaget i korthet

För anställda vid partikanslierna som ska delta i riksdagens och/eller Riksdagsförvaltningens säkerhetskänsliga verksamhet är det partikanslierna som ska ansvara för grundutredningen vid säkerhetsprövningen. Om den person som grundutredningen avser dessutom ska placeras i säkerhetsklass och därmed måste registerkontrolleras är det riksdagen, genom Riksdagsförvaltningen, som ska ansöka om registerkontroll och slutligen bestämma om den som kontrollen avser ska få anlitas.

För att möjliggöra ovanstående uppdelning ska det göras ett tillägg i 3 kap. säkerhetsskyddslagen där det framgår att den slutliga bedömningen enligt 3 kap. 4 § säkerhetsskyddslagen görs av Riksdagsförvaltningen när det gäller anställda vid sådana kanslier som avses i 3 kap. 6 § lagen om stöd till partigrupperna för riksdagsledamöternas arbete i riksdagen och som har placerats i säkerhetsklass för deltagande i riksdagens eller Riksdagsförvaltningens verksamhet.

7.4.1 Uppdraget i denna del

Anställda vid partigruppernas kanslier som ska arbeta i säkerhetskänslig verksamhet genomgår säkerhetsprövning och placeras i säkerhetsklass. Säkerhetsprövningen utförs med stöd av överenskommelser som har träffats mellan Riksdagsförvaltningens säkerhetschef och respektive partigrupps kansli. Riksdagsförvaltningen utfärdar säkerhetsintyg enligt 4 kap. 1 och 2 §§ säkerhetsskyddslagen för anställda vid partigruppernas kanslier.

Vår uppgift är att överväga om säkerhetsprövning och placering i säkerhetsklass av anställda vid partigruppernas kanslier bör regleras i lag eller om det även fortsättningsvis är lämpligare med en överenskommelse.

7.4.2 En utredning från 2014 utgör grunden

Efter ett beslut av riksdagsstyrelsen i maj 2012 utredde riksdagsdirektören i samverkan med partikanslierna vilka förutsättningar, möjligheter och begränsningar som fanns för att genomföra säkerhetsprövning av partikanslianställda. Samverkan genomfördes i två steg – först en kartläggning i samverkan med respektive partikansli där behovet av säkerhetsprövning och hantering av hemliga handlingar diskuterades och därefter informerades respektive partikansli

7 NÅGRA FRÅGOR OM PARTIGRUPPERNAS KANSLIER

2020/21:URF3

om resultatet av utredningen och om principerna för hur säkerhetsprövning av partikanslianställda skulle kunna organiseras.

Utredningen blev klar våren 2014. I dokumentet ”Information om utredning om säkerhetsprövning” sammanfattades utredningen på följande sätt:

Behovet av säkerhetsprövning av partikanslianställda är beroende av om partikanslianställda kan anses delta i verksamhet som har betydelse för rikets säkerhet eller som är viktig för skyddet mot terrorism. Utredningen har kommit fram till att partikanslianställda tillhör den kategori som kan anses delta i verksamhet som har betydelse för rikets säkerhet eller som är viktig för skyddet mot terrorism. Enligt 11 § säkerhetsskyddslagen (1996:627) har Riksdagsförvaltningen då en skyldighet att vidta skyddsåtgärden säkerhetsprövning för partikanslianställda. Riksdagsförvaltningen avser att i samverkan med partikanslierna upprätta överenskommelser där ansvarsfördelningen mellan parterna regleras.89

Vi har inte haft tillgång till själva utredningen men har förstått att det i frågan om det finns ett behov av att partikanslianställda omfattas av säkerhetsprövning utan registerkontroll resonerades som så att både riksdagsledamöternas och partigruppernas arbete i riksdagen kan anses ha betydelse för rikets säkerhet och vara viktig för skyddet mot terrorism. Partikanslianställda tilldelas ett passerkort med behörighet till riksdagen, vilket innebär att den anställda får en direkt tillgång till lokaler där verksamhet bedrivs som kan anses ha betydelse för rikets säkerhet. I frågan om det finns ett behov av att tjänster inom partikanslierna omfattas av säkerhetsprövning med inplacering i säkerhetsklass och registerkontroll verkar det enligt tidigare utredning ha funnits exempel på partikanslianställda som i sitt arbete hjälper en riksdagsledamot med utskottsarbete och därmed får del av uppgifter som omfattas av sekretess och som rör rikets säkerhet. Även dessa personer ansåg utredningen delta i verksamhet som har betydelse för rikets säkerhet, och i ett sådant fall ska säkerhetsprövningen även innefatta registerkontroll eftersom de får del av uppgifter som omfattas av sekretess.

Med utgångspunkt i utredningens slutsatser utarbetades en överenskommelse om säkerhetsprövning och säkerhetsskydd. Respektive partikansli och Riksdagsförvaltningens säkerhetschef har sedan träffat en sådan överenskommelse med Riksdagsförvaltningens säkerhetschef.

7.4.3 Innehållet i överenskommelsen

Säkerhetsprövningen av de anställda vid partikanslierna utförs alltså med stöd av överenskommelser som har träffats mellan Riksdagsförvaltningens säkerhetschef och respektive partigrupps kansli. I den överenskommelse som utgör grunden för samtliga träffade överenskommelser anges bl.a. följande (för överenskommelsen i sin helhet, se bilaga 2).

89Se Information om utredning om säkerhetsprövning, daterad den 4 juni 2014, dnr 280- 2098-2011/12.

133

2020/21:URF3

134

7NÅGRA FRÅGOR OM PARTIGRUPPERNAS KANSLIER

Syfte

Syftet med denna överenskommelse är att beskriva förutsättningarna för och omfattningen av säkerhetsprövningen och ansvarsfördelningen mellan parterna.

Omfattning

De anställda vid partikanslierna kan omfattas av tre olika typer av säkerhetsprövning:

•Säkerhetsprövning utan registerkontroll: Samtliga anställda vid partikansliet ska omfattas av säkerhetsprövning utan registerkontroll. Genom säkerhetsprövningen ska partikansliet pröva personens lojalitet och pålitlighet ur säkerhetssynpunkt. Säkerhetsprövningen ska omfatta en personbedömning samt inhämtande av betyg och referenser.

•Säkerhetsprövning med registerkontroll: De partikanslianställda som i sitt arbete får del av uppgifter som omfattas av sekretess och som rör rikets säkerhet enligt 17 § säkerhetsskyddslagen ska placeras i säkerhetsklass. I dessa fall ska säkerhetsprövningen även innefatta registerkontroll enligt 13 § säkerhetsskyddslagen och 4 kap. 2 § föreskriften (RFS 2006:2) om säkerhet och fredstida krishantering.

•Säkerhetsprövning med registerkontroll till skydd mot terrorism: En registerkontroll till skydd mot terrorism enligt 14 § säkerhetsskyddslagen och 4 kap. 5 § föreskriften (RFS 2006:2) om säkerhet och fredstida krishantering får endast göras om det finns särskilda skäl och skyddsbehovet inte kan tillgodoses på annat sätt. Partikansliet och Riksdagsförvaltningen ska därför tillsammans bedöma om det finns befattningar inom partikansliet som ska omfattas av en sådan kontroll.

Säkerhetsanalys

För att identifiera vilka befattningar inom partikansliet som ska omfattas av de olika typerna av säkerhetsprövning ska partikansliet genomföra en säkerhetsanalys. Riksdagsförvaltningen ska på begäran av partikansliet vara behjälplig med detta.

Ansvarsfördelning

Partikansliet har följande ansvar:

•Genomföra en säkerhetsanalys för att identifiera behovet av säkerhetsprövning samt andra säkerhetsskyddsåtgärder. Identifiera och informera Riksdagsförvaltningen om eventuellt behov av biträde avseende utbildning och andra åtgärder inom säkerhetsskyddsområdet.

•Genomföra den del av säkerhetsprövningen som är grundad på personlig kännedom om den som prövningen gäller samt som är grundad på uppgifter som framgår av betyg, intyg och referenser.

7 NÅGRA FRÅGOR OM PARTIGRUPPERNAS KANSLIER

2020/21:URF3

•Ta fram bedömningsunderlag till Riksdagsförvaltningen för beslut om placering i säkerhetsklass och redovisa det på en blankett som Riksdagsförvaltningen tillhandahåller.

•Samråda med Riksdagsförvaltningen om behov av registerkontroll till skydd mot terrorism.

•Inhämta samtycke till registerkontroll för de personer vars befattningar har placerats i säkerhetsklass eller där det finns ett behov till skydd mot terrorism.

•Besluta om en säkerhetsprövad (men inte registerkontrollerad) person ska godkännas.

•Meddela Riksdagsförvaltningen om en person vars befattning är placerad i säkerhetsklass 2 ingår äktenskap eller samboförhållande eller om detta upplösts eller upphört eller om ett registrerat partnerskap har upplösts.

•Skriftligen meddela Riksdagsförvaltningen om en person vars befattning omfattas av registerkontroll slutar sin anställning eller får andra uppgifter.

Riksdagsförvaltningen har följande ansvar:

•Vid begäran från partikansliet bistå med stöd i genomförandet av säkerhetsanalysen samt i övrigt bistå med utbildning och andra åtgärder som partikansliet önskar.

•Utifrån partikansliets bedömningsunderlag besluta om placering i säkerhetsklass.

•Samråda med partikansliet om behov av registerkontroll för vissa befattningar till skydd mot terrorism.

•Tillhandahålla de blanketter och övriga underlag som behövs för att inhämta samtycken till registerkontroll.

•I de fall där befattningar placerats i säkerhetsklass eller där det behövs till skydd mot terrorism begära registerkontroll för berörd person hos Säkerhetspolisen.

•Självständigt avgöra om en registerkontrollerad person ska få anlitas. Inför detta beslut kan samråd ske med partikansliet så att Riksdagsförvaltningen kan inhämta nödvändiga uppgifter för beslutet.

•Meddela partikansliet när en person vars befattning omfattas av registerkontroll har godkänts.

•Meddela partikansliet när en person vars befattning omfattas av registerkontroll inte har godkänts (s.k. utfall).

•Meddela partikansliet när en person vars befattning omfattas av registerkontroll mister sitt godkännande (s.k. utfall vid spontanuppföljning).

•Efter information från partikansliet ansvara för att personer som inte längre ska vara föremål för registerkontroll snarast möjligt avregistreras hos Sä- kerhetspolisen.

Giltighet

Överenskommelsen gäller tills vidare.

135

2020/21:URF3

136

7NÅGRA FRÅGOR OM PARTIGRUPPERNAS KANSLIER

Kostnader

Vardera part svarar för sina kostnader som kan uppstå med anledning av de åtaganden som följer av denna överenskommelse.

Ändringar och tillägg

Ändringar och tillägg till denna överenskommelse får bara ske skriftligen, genom en av båda parterna genom behöriga företrädare undertecknad handling.

7.4.4 Ordningen med överenskommelserna verkar fungera bra

Alla partikanslier har träffat var sin överenskommelse med Riksdagsförvaltningens säkerhetschef, med det innehåll i dess helhet som framgår av bilaga 2.

Vi har samtalat med såväl Riksdagsförvaltningens säkerhetschef som företrädare för respektive partikansli, förutom ett partikansli som avböjt möte. Som vi har uppfattar det är partikanslierna nöjda med ordningen och de tycker att samarbetet mellan Riksdagsförvaltningen och partikanslierna fungerar bra. Flera av partikanslierna lyfter också fram att Riksdagsförvaltningens säkerhetsenhet utgör ett värdefullt stöd för partikanslierna i deras arbete med säkerhetsskyddsfrågor. Så långt ser vi därför ingen anledning att ersätta överenskommelsen med reglering i lag. Snarare kan det vara mer praktiskt att ha en reglering i en överenskommelse i stället för i en lag eftersom den senare är mer komplicerad att ändra. Dock kan det finnas andra skäl som gör att en reglering i enbart en överenskommelse inte är möjlig, något vi återkommer till i avsnitt 7.4.7.

7.4.5Säkerhetsskyddsanalysen bör utgöra grund för vem som ska säkerhetsprövas

Vårt uppdrag innehåller inget mandat att ompröva utredningens slutsats från 2014 att partikanslianställda tillhör den kategori som kan anses delta i verksamhet som har betydelse för rikets säkerhet eller som är viktig för skyddet mot terrorism, dvs. det som numera kallas för säkerhetskänslig verksamhet. Det är inte heller vår uppgift att säga vilka partikanslianställda som ska säkerhetsprövas. Vi vill dock ändå säga några ord om själva grunden för säkerhetsprövning.

Avgörande för om en person ska säkerhetsprövas är om han eller hon genom en anställning eller på något annat sätt ska delta i säkerhetskänslig verksamhet (här bortses från undantagen för bl.a. statsråd och riksdagsledamöter), se 3 kap. 1 § säkerhetsskyddslagen. Vår uppfattning är att partikanslianställda kan komma att delta i flera olika typer av säkerhetskänslig verksamhet. En typ utgörs av partikansliets egen säkerhetskänsliga verksamhet i den mån sådan finns. En annan typ är den säkerhetskänsliga verksamhet de partikanslianställda kan komma att delta i när de hjälper riksdagsledamöterna i deras värv, med andra ord riksdagens säkerhetskänsliga verksamhet. Möjligen kan de

7 NÅGRA FRÅGOR OM PARTIGRUPPERNAS KANSLIER

2020/21:URF3

partikanslianställda också, beroende på vad som sägs i Riksdagsförvaltningens säkerhetsskyddsanalys, även komma att delta i Riksdagsförvaltningens säkerhetskänsliga verksamhet. Vi kan inte se annat än att de säkerhetskänsliga verksamheter som utgör grund för den säkerhetsprövning av partikanslianställda som vi har att titta på är de två senare verksamheterna, dvs. riksdagens respektive Riksdagsförvaltningens säkerhetskänsliga verksamhet. Det är dock för oss något oklart om, och i så fall hur, utredningen resonerade i frågan om vilka verksamheter som kan bli aktuella.

När det gäller frågan vad som utgör säkerhetskänslig verksamhet hos riksdagen och Riksdagsförvaltningen så är säkerhetsskyddsanalysen ett viktigt verktyg. Säkerhetsskyddsanalysens betydelse diskuteras visserligen inte i förarbetena till lagen om säkerhetsskydd i riksdagen och dess myndigheter. I förarbetena till säkerhetsskyddslagen sägs dock att säkerhetsskyddsanalysen är kärnan i ett väl anpassat säkerhetsskydd, för att identifiera skyddsvärde, hot och sårbarheter i en säkerhetskänslig verksamhet. I säkerhetsskyddsanalysen bör det identifieras vilka säkerhetsskyddsklassificerade uppgifter som finns i verksamheten och vad som i övrigt behöver ett säkerhetsskydd.90 I 2 kap. 1 § andra stycket säkerhetsskyddsförordningen anges att en säkerhetsskyddsanalys bl.a. innebär att säkerhetsskyddsklassificerade uppgifter och vad som i övrigt behöver ett säkerhetsskydd ska identifieras. Det anges också att vilka delar av verksamheten som är skyddsvärda med hänsyn till Sveriges säkerhet samt vilka hot och sårbarheter som finns kopplade till skyddsvärdet ska identifieras. Säkerhetsskyddslagen gäller i och för sig inte för riksdagen och dess myndigheter i den del som avser säkerhetsskyddsanalys. Inte heller gäller säkerhetsskyddsförordningen för dessa. Det som sägs där om syftet med en säkerhetsskyddsanalys och vad den ska innehålla får dock anses gälla allmängiltigt även för riksdagen och dess myndigheter, jämför riksdagsstyrelsens resonemang i framställningen Ny lag om säkerhetsskydd i riksdagen och dess myndigheter (framst. 2018/19:RS6) om att det för begreppen säkerhetsskyddsklassificering, säkerhetsprövning och säkerhetsintyg saknades anledning för riksdagen och dess myndigheter att införa egna begrepp som avviker från dem som förekommer i säkerhetsskyddslagen.91

Detta innebär att, beroende på vad som sägs i riksdagens respektive Riksdagsförvaltningens säkerhetsskyddsanalys, det inte är säkert att det kategoriskt går att säga att alla partikanslianställda ska säkerhetsprövas. Avgörande är i stället om de partikanslianställda deltar i riksdagens och/eller Riksdagsförvaltningens säkerhetskänsliga verksamhet. Det är inte heller givet att säkerhetsprövningen i samtliga fall ska innefatta en registerkontroll, se mer om säkerhetsprövningens olika delar i avsnittet nedan.

90Prop. 2017/18:89 s. 56.

91Framst. 2018/19:RS6 s. 19.

137

2020/21:URF3

138

7NÅGRA FRÅGOR OM PARTIGRUPPERNAS KANSLIER

7.4.6Säkerhetsprövning enligt säkerhetsskyddslagen och riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna

För att kunna svara på frågan om säkerhetsprövning och placering i säkerhetsklass av anställda vid partigruppernas kanslier bör regleras i lag eller i en överenskommelse är det relevant vad som sägs i de bestämmelser som finns på området.

Enligt 3 kap. 1 § säkerhetsskyddslagen ska den som genom en anställning eller på något annat sätt ska delta i säkerhetskänslig verksamhet säkerhetsprövas (här bortses från undantagen för bl.a. statsråd och riksdagsledamöter). Sä- kerhetsprövningen ska enligt 3 kap. 4 § första stycket nämnda lag utgå från uppgifter som kommit fram när grundutredningen gjordes och den kännedom som i övrigt finns om den som ska prövas, uppgifter som har lämnats ut efter registerkontroll och särskild personutredning, arten av den verksamhet som prövningen gäller samt omständigheterna i övrigt. Av andra stycket framgår att bedömningen som huvudregel görs av den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga verksamheten. Enligt tredje stycket gäller dock inte det i det fallet att en myndighet har det bestämmande inflytandet över den prövades lämplighet att delta i säkerhetskänslig verksamhet hos en enskild verksamhetsutövare. I ett sådant fall är det i stället myndigheten som gör den slutliga bedömningen. Som exempel på när denna undantagssituation kan komma i fråga anges i förarbetena verksamheter vid flygplatser där det följer av internationella konventioner om luftfartsskydd att t.ex. ett tillträde till vissa säkerhetsområden som ska finnas på en flygplats förutsätter en godkänd registerkontroll. I dessa fall genomförs säkerhetsprövningen på så sätt att den som beslutar om anställningen ansvarar för grundutredningen och utifrån den gör en första bedömning. Om den prövade bedöms vara pålitlig begärs sedan att den ansvariga myndigheten går vidare i ärendet med en registerkontroll. Om uppgifter efter en sådan kontroll lämnas ut till myndigheten, bestämmer myndigheten om den som kontrollen avser ska få delta i verksamheten. På grundval av myndighetens beslut kan sedan ett behörighetsbevis i enlighet med internationella regelverk utfärdas.92 I 3 kap. 4 a § säkerhetsskyddslagen finns det också ett undantag som innebär att bedömningen enligt 3 kap. 4 § samma lag rörande ordinarie domare (som utnämnas av regeringen) i vissa fall görs av Domarnämnden och i andra fall av respektive domstol.

En säkerhetsprövning kan innefatta flera delar, se 3 kap. 3 § första stycket säkerhetsskyddslagen. Som minst ska den innefatta en s.k. grundutredning. I 8 kap. 6 § riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna sägs att det med grundutredning avses en utredning om personliga förhållanden av betydelse för säkerhetsprövningen. Utredningen ska omfatta betyg, intyg, referenser och uppgifter som den som prövningen gäller har lämnat, samt andra upp-

92Prop. 2017/18:89 s. 145.

7 NÅGRA FRÅGOR OM PARTIGRUPPERNAS KANSLIER

2020/21:URF3

gifter i den utsträckning det är relevant för prövningen. Vid behov ska en identitetskontroll göras. Bestämmelsen har samma innehåll som framgår av 5 kap. 2 § säkerhetsskyddsförordningen.

Utöver själva grundutredningen ska en anställning eller något annat deltagande i vissa fall placeras i någon av säkerhetsklasserna 1–3, vilket kräver registerkontroll och ibland även särskild personutredning. Vilken klass en person ska placeras i styrs som huvudregel av vilken tillgång personen i fråga har till säkerhetsskyddsklassificerade uppgifter eller vilka möjligheter personen har att till följd av sitt deltagande i verksamheten orsaka skada för Sveriges säkerhet, se 3 kap. 6–8 §§ säkerhetsskyddslagen. För placering i den lägsta säkerhetsklassen (säkerhetsklass 3) ska kunna göras krävs att personen får del av uppgifter i säkerhetsskyddsklassen konfidentiell, i ringa omfattning får del av uppgifter i säkerhetsskyddsklassen hemlig eller till följd av sitt deltagande i verksamheten har en möjlighet att orsaka en inte obetydlig skada för Sveriges säkerhet, se 3 kap. 8 § säkerhetsskyddslagen.

I 3 kap. 12 § första stycket säkerhetsskyddslagen sägs att riksdagen och dess myndigheter beslutar om placering i säkerhetsklass när det gäller riksdagens förvaltningsområde. Enligt 8 kap. 3 § 1 riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna beslutar Riksdagsförvaltningen om placering i säkerhetsklass vid anställning eller annat deltagande i riksdagens eller Riksdagsförvaltningens verksamhet.

Registerkontroll ska enligt 3 kap. 14 § säkerhetsskyddslagen göras om anställningen eller deltagandet i verksamheten har placerats i säkerhetsklass. Uppgifter ska löpande hämtas under den tid personen deltar i den säkerhetskänsliga verksamheten pågår. Kontrollen innebär att vissa uppgifter hämtas, däribland från ett register som omfattas av lagen om belastningsregister eller lagen om misstankeregister, se 3 kap. 13 § säkerhetsskyddslagen. I varken säkerhetsskyddslagen eller riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna anges uttryckligen vem som ska ansöka om registerkontroll och vem som ska utföra den. Det kan därför behöva regleras i riksdagsstyrelsens föreskrift. Vi anser att det mest rimliga är att ha samma ordning som i 5 kap. 15 § första stycket säkerhetsskyddsförordningen där det framgår att det är Säkerhetspolisen som ska utföra en registerkontroll efter ansökan från den som beslutat om placering i säkerhetsklass. Det innebär att det är Riksdagsförvaltningen som ska göra ansökan om registerkontroll till Säkerhetspolisen.

Det är den som ansöker om registerkontroll som ansvarar för att samtycke från den som säkerhetsprövningen gäller har inhämtats, se 3 kap. 18 § säkerhetsskyddslagen och 8 kap. 13 § riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna. Av 8 kap. 8 § föreskriften framgår att om Riksdagsförvaltningen beslutar om placering i säkerhetsklass eller ansöker om registerkontroll hos Säkerhetspolisen i fråga om någon som inte ska anlitas i riksdagens eller Riksdagsförvaltningens verksamhet så ska Riksdagsförvaltningen samråda med

139

2020/21:URF3

140

7NÅGRA FRÅGOR OM PARTIGRUPPERNAS KANSLIER

arbetsgivaren om säkerhetsprövningsåtgärder. Samrådet ska genomföras löpande under hela den tid som personen deltar i den säkerhetskänsliga verksamheten pågår.

I vissa fall ska det också göras en särskild personutredning, se 3 kap. 17 § säkerhetsskyddslagen. Inte heller där framgår det i säkerhetsskyddslagen eller i riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna vem som ska göra utredningen. I 5 kap. 18 § säkerhetsskyddsförordningen sägs dock att det är Säkerhetspolisens uppgift, och det bör enligt vår mening även gälla för riksdagen och dess myndigheters del. Även det kan behöva regleras i riksdagsstyrelsens föreskrift.

7.4.7Det krävs en tydligare reglering om den nuvarande ordningen med en uppdelning av ansvaret för säkerhetsprövningen ska kunna bestå

I den överenskommelse om säkerhetsprövning av partikanslianställda som finns delas ansvaret för säkerhetsprövningen upp så att partikansliet ska genomföra den del av säkerhetsprövningen som är grundad på personlig kännedom om den som prövningen gäller samt som är grundad på uppgifter som framgår av betyg, intyg och referenser, dvs. det som i den gällande säkerhetsskyddslagen kallas för grundutredning. Partikansliet ansvarar också för att besluta om en säkerhetsprövad (men inte registerkontrollerad) person ska godkännas. Riksdagsförvaltningen å sin sida ansvarar för att besluta om placering i säkerhetsklass och i ett sådant fall begära registerkontroll hos Säkerhetspolisen. Riksdagsförvaltningen ska också självständigt avgöra om en registerkontrollerad person ska få anlitas. Detta får läsas i ljuset av 20 § 1996 års säkerhetsskyddslag där följande angavs: ”Riksdagen och dess myndigheter beslutar om placering i säkerhetsklass och om registerkontroll såvitt avser riksdagens förvaltningsområde.” Riksdagsstyrelsens uttalade i sin framställning till riksdagen om 2006 års lag om säkerhetsskydd i riksdagen och dess myndigheter att uttrycket ”riksdagens förvaltningsområde” måste anses innefatta även partikanslierna.93 Vidare stod i 27 § 1996 års säkerhetsskyddslag: ”Den som bestämmer om registerkontroll avgör självständigt om den person som prövas skall få anlitas. Prövningen skall grundas på den kunskap som finns om den som prövas, de uppgifter som har kommit fram vid registerkontrollen och vid särskild personutredning, arten av den verksamhet för vilken prövningen görs samt omständigheterna i övrigt.”

I den nu gällande säkerhetsskyddslagen sägs dock under rubriken ”Ansvar för säkerhetsprövningen” i 3 kap. 4 § andra stycket att bedömningen görs av den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga verksamheten, om inte annat följer av (i den del som är av intresse här) tredje stycket. Det innebär att eftersom det är partikanslierna som beslutar om

93Framst. 2005/06:RS1 s. 29.

7 NÅGRA FRÅGOR OM PARTIGRUPPERNAS KANSLIER

2020/21:URF3

anställning av partikanslianställda och vilka uppgifter dessa har, och därmed också på vilket sätt de eventuellt kan komma att delta i riksdagens och/eller Riksdagsförvaltningens säkerhetskänsliga verksamhet, är det partikanslierna som har ansvaret för säkerhetsprövningen. I och med att det handlar om just deltagande i riksdagens och/eller Riksdagsförvaltningens säkerhetskänsliga verksamhet kan, enligt vår mening, undantaget i 3 kap. 4 § tredje stycket säkerhetsskyddslagen inte användas. För det krävs ju att en myndighet har det bestämmande inflytandet över den prövades lämplighet att delta i säkerhetskänslig verksamhet hos en enskild verksamhetsutövare. Vi ser inte heller att det bemyndigande som finns i 14 § lagen om säkerhetsskydd i riksdagen och dess myndigheter skulle kunna användas för att utfärda en föreskrift som avhjälper problemet.

Därmed anser vi att det krävs en tydligare reglering om den nuvarande ordningen med en uppdelning av ansvaret för säkerhetsprövningen mellan respektive partikansli och Riksdagsförvaltningen ska kunna bestå.

7.4.8Riksdagsförvaltningen bör självständigt göra den slutliga bedömningen i säkerhetsprövningen av registerkontrollerade partikanslianställda

Enligt överenskommelsen mellan Riksdagsförvaltningens säkerhetschef och respektive partikansli ska Riksdagsförvaltningen ansvara för att ”självständigt avgöra om en registerkontrollerad person ska få anlitas.” Det ska dock inte förstås som att Riksdagsförvaltningen kan hindra ett partikansli från att anställa en person. Det Riksdagsförvaltningen kan göra är att neka personen placering i säkerhetsklass. Det innebär förvisso att personen inte kan delta i riksdagens eller Riksdagsförvaltningens säkerhetskänsliga verksamhet, men personen kan ändå anställas för arbete vid partikansliet om partikansliet så vill.

En ordning där det är Riksdagsförvaltningen som självständigt gör den slutliga bedömningen i säkerhetsprövningen i fråga om en registerkontrollerad partikanslianställd innebär ett avsteg från huvudregeln i 3 kap. 4 § säkerhetsskyddslagen som säger att det ansvaret ligger på den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga verksamheten. Det finns därför anledning att fundera över ordningen som sådan. Vår uppfattning är dock att den är väl motiverad. Riksdagsförvaltningen har ingen beslutanderätt i fråga om vilka personer som ska anställas för arbete vid partikanslierna eller vilka arbetsuppgifter dessa ska ha. Inte desto mindre deltar de partikanslianställda, genom sin uppgift att hjälpa och stödja riksdagsledamöterna, i riksdagens arbete. Beroende på vilka uppgifter de partikanslianställda har kan de komma att delta i riksdagens och/eller Riksdagsförvaltningens säkerhetskänsliga verksamhet och i några fall då även få del av säkerhetsskyddsklassificerade uppgifter. Redan mot den bakgrunden ter det sig självklart att Riksdagsförvaltningen även fortsättningsvis självständigt ska få göra den slutliga bedömningen vid säkerhetsprövningen av registerkontrollerade partikanslianställda.

141

2020/21:URF3

142

7NÅGRA FRÅGOR OM PARTIGRUPPERNAS KANSLIER

7.4.9Säkerhetsskyddsavtal kan inte användas utan det behövs en lagändring

Innan vi undersöker hur en lagändring skulle kunna se ut vill vi säga något om möjligheten att lösa frågan genom befintlig reglering.

Vid säkerhetsskyddsavtal är det vanligt att det görs en uppdelning av säkerhetsprövningen så att leverantören ansvarar för säkerhetsprövningen men att ett godkännande efter registerkontroll krävs från den upphandlande myndigheten.94 Där sker med andra ord en uppdelning och det yttersta ansvaret ligger hos myndigheten. Kravet på säkerhetsskyddsavtal i 12 § lagen om säkerhetsskydd i riksdagen och dess myndigheter samt i 2 kap. 6 § säkerhetsskyddslagen gäller i och för sig bara vid upphandlingar (och då inte ens alla upphandlingar). Enligt förarbetena till säkerhetsskyddslagen är dock en verksamhetsutövare inte förhindrad att ställa krav på en leverantör att ingå säkerhetsskyddsavtal även om det inte finns någon sådan skyldighet enligt lag. Ett sådant säkerhetsskyddsavtal som tillkommit utan att det finns någon skyldighet enligt 2 kap. 6 § säkerhetsskyddslagen brukar kallas för säkerhetsskyddsöverenskommelse. Samtidigt sägs i förarbetena att en enskild aktör som omfattas av lagstiftningen inte genom ett säkerhetsskyddsavtal får åläggas mindre omfattande säkerhetsskyddsåtgärder än de som redan gäller för verksamheten.95 Vi anser att det måste tolkas som att det inte går att avtala bort det som partikansliet är skyldigt att göra enligt 3 kap. 4 § andra stycket säkerhetsskyddslagen, dvs. att partikansliet har ansvaret för säkerhetsprövningen. Vi kan inte heller se att de nya regler som föreslås i lagrådsremissen Ett starkare skydd för Sveriges säkerhet innebär någon möjlighet att teckna säkerhetsskyddssavtal i det här fallet.

Då återstår att se hur en lagändring skulle kunna se ut för att uppnå det önskade resultatet. Ansvaret för säkerhetsprövningen regleras som bekant i 3 kap. 4 § säkerhetsskyddslagen. Redan i dag finns det undantag från huvudregeln att ansvaret ligger på den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga verksamheten. Vi anser att det är lämpligt att, liksom vad gäller säkerhetsprövning av domare, införa undantaget i fråga om partikanslianställda i en ny bestämmelse i säkerhetsskyddslagen. Förslagsvis skulle denna bestämmelse säga att den slutliga bedömningen enligt 3 kap. 4 § säkerhetsskyddslagen görs av Riksdagsförvaltningen när det gäller anställda som arbetar vid partikanslierna och som har placerats i säkerhetsklass för sitt deltagande i riksdagens eller Riksdagsförvaltningens verksamhet. Genom att ange att det är just den slutliga bedömningen som åvilar Riksdagsförvaltningen tydliggörs att en liknande ordning som den i 3 kap. 4 § tredje stycket säkerhetsskyddslagen är tänkt att gälla, dvs. att partikanslierna ansvarar för grundutredningen och utifrån den gör en första bedömning. Om den som grundutredningen avser dessutom ska placeras i säkerhetsklass och därmed måste

94Se prop. 2017/18:89 s. 145.

95Se prop. 2017/18:89 s. 105 och 141. För benämningen ”säkerhetsskyddsöverenskommelse”, se Säkerhetspolisens Vägledning i säkerhetsskydd – Säkerhetsskyddad upphandling, utgåva juni 2019, s. 7.

7 NÅGRA FRÅGOR OM PARTIGRUPPERNAS KANSLIER

2020/21:URF3

registerkontrolleras är det Riksdagsförvaltningen som har att ansöka om registerkontroll och slutligen bestämma om den som kontrollen avser ska få anlitas.

Vi kan inte se att den föreslagna bestämmelsen hindrar att det upprättas överenskommelser av det slag som finns i dag för att beskriva det praktiska arbete kring säkerhetsprövningen.

7.5Överväganden rörande frågan om tillämpligheten av 5 kap. 2 § första stycket säkerhetsskyddslagen på anställda vid partigruppernas kanslier

Bedömning

Partikanslianställda bör i sitt arbete med att biträda riksdagsledamöterna även fortsättningsvis få ta del av säkerhetsklassificerade uppgifter endast i undantagsfall. I vilka fall det kan bli aktuellt regleras i riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna.

Förslaget i korthet

Eftersom partikanslianställda inte omfattas av vare sig tystnadsplikten enligt offentlighets- och sekretesslagen eller tystnadsplikten i 5 kap. 2 § första stycket säkerhetsskyddslagen ska det införas en ny bestämmelse i lagen om säkerhetsskydd i riksdagen och dess myndigheter med innebörden att en anställd vid ett sådant kansli som avses i 3 kap. 6 § lagen om stöd till partigrupperna för riksdagsledamöternas arbete i riksdagen inte obehörigen får röja eller utnyttja säkerhetsskyddsklassificerade uppgifter som han eller hon har fått del av vid deltagande i riksdagens eller Riksdagsförvaltningens säkerhetskänsliga verksamhet.

7.5.1 Uppdraget i denna del

I 5 kap. 2 § säkerhetsskyddslagen finns en bestämmelse om tystnadsplikt. En- ligt dess första stycke får den som på grund av anställning eller på annat sätt deltar eller har deltagit i säkerhetskänslig verksamhet inte obehörigen röja eller utnyttja säkerhetsskyddsklassificerade uppgifter. I andra stycket finns en upplysning om att i det i stället är bestämmelserna i offentlighets- och sekretesslagen som gäller i det allmännas verksamhet. Bestämmelsen har ingen motsvarighet i 1996 års säkerhetsskyddslag.

Bestämmelsen om tystnadsplikt är inte tillämplig för riksdagen och dess myndigheter, se 1 kap. 3 § första stycket säkerhetsskyddslagen. Den bedöms dock gälla t.ex. för de enskilda leverantörer som Riksdagsförvaltningen har ingått säkerhetsskyddsavtal med. Det framgår inte av förarbetena om bestämmelsen gäller för anställda vid partigruppernas kanslier och frågan har inte heller prövats rättsligt. Vi ska därför analysera om, och i vilken utsträckning,

143

2020/21:URF3

144

7NÅGRA FRÅGOR OM PARTIGRUPPERNAS KANSLIER

de anställda vid partigruppernas kanslier omfattas av 5 kap. 2 § första stycket säkerhetsskyddslagen. Vi ska också, med beaktande av de överväganden och slutsatser om bl.a. krigsdelegationen och om anställda vid riksdagspartiernas partikanslier som förs fram i 2019 års riksdagsöversyn, föreslå de ändringar som bedöms nödvändiga i lagen om säkerhetsskydd i riksdagen och dess myndigheter eller i riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna för att säkerställa skyddet för säkerhetsskyddsklassificerade uppgifter och säkerhetskänslig verksamhet.

7.5.2 Allmänt

Vi uppfattar uppdraget som att det vi ska utreda är vad som gäller för partikanslianställda om de genom att delta i riksdagens eller Riksdagsförvaltningens säkerhetskänsliga verksamhet, får del av säkerhetsskyddsklassificerade uppgifter. Vi kommer således inte att behandla vad som gäller om partikanslianställda när de deltar i partikansliernas enskilda verksamhet får del av säkerhetsskyddsklassificerade uppgifter eller vad som gäller om en partikanslianställd får del av en uppgift som det råder sekretess för, utan att uppgiften för den skull är att se som en säkerhetsskyddsklassificerad uppgift.

Som vi kommer att se i avsnitten nedan omfattas anställda vid partikanslierna inte av den tystnadsplikt som regleras i offentlighets- och sekretesslagen och de omfattas inte heller av reglerna om tystnadsplikt i regeringsformen eller riksdagsordningen. Trots att reglerna i offentlighets- och sekretesslagen, regeringsformen och riksdagsordningen alltså inte gäller för anställda vid partikanslierna anser vi att det finns skäl att redogöra för vilken tystnadsplikt dessa bestämmelser medför för de personer som faktiskt omfattas av bestämmelserna, dvs. främst tjänstemän och riksdagsledamöter. Vi börjar därför med en sådan redogörelse och tar då även upp bestämmelsen om brott mot tystnadsplikt. Därefter går vi över till att titta närmare på bestämmelsen i 5 kap. 2 § säkerhetsskyddslagen och för ett resonemang om den gäller för anställda vid partikanslierna eller inte.

7.5.3 Tystnadsplikt enligt offentlighets- och sekretesslagen

Offentlighets- och sekretesslagen (2009:400), förkortad OSL, innehåller bestämmelser om tystnadsplikt i det allmännas verksamhet och om förbud att lämna ut allmänna handlingar. Med begreppet sekretess avses enligt 3 kap. 1 § OSL ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt. Sekretess innebär alltså inte bara sekretess för uppgifter i allmänna handlingar utan också tystnadsplikt. Bestämmelserna i offentlighets- och sekretesslagen innebär begränsningar i yttrandefriheten enligt regeringsformen, begränsningar i den rätt att ta del av en allmän handling som följer av tryckfrihetsförordningen (TF) samt, i vissa särskilt angivna fall, även begränsningar i den rätt att meddela och

7 NÅGRA FRÅGOR OM PARTIGRUPPERNAS KANSLIER

2020/21:URF3

offentliggöra uppgifter som följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen (YGL).

Av 2 kap. 1 § OSL följer att förbud att röja eller utnyttja en uppgift enligt offentlighets- och sekretesslagen eller enligt lag eller förordning som offentlighets- och sekretesslagen hänvisar till gäller för myndigheter. Ett sådant förbud gäller också för en person som fått kännedom om uppgiften genom att för det allmännas räkning delta i en myndighets verksamhet på grund av anställning eller uppdrag hos myndigheten, på grund av tjänsteplikt eller på annan liknande grund. Med begreppet myndighet avses organ som ingår i den offentligrättsliga statliga och kommunala organisationen, inklusive regeringen och domstolarna. Enligt 2 kap. 2 § OSL ska bl.a. riksdagen vid tillämpningen av offentlighets- och sekretesslagen jämställas med myndigheter. En person som omfattas av förbudet i 2 kap. 1 § OSL är skyldig att iaktta sekretess även efter det att han eller hon har lämnat sin befattning. Det gäller oavsett om personen avgår med pension eller övergår till annan allmän eller enskild tjänst.96

De som arbetar i partikanslierna är anställda antingen direkt av ett partikansli eller av ett parti för att arbeta i ett visst partikansli. I båda fallen är personalen helt fristående från Riksdagsförvaltningen. De kan därmed inte sägas för det allmännas räkning delta i en myndighets verksamhet på grund av anställning eller uppdrag hos myndigheten, på grund av tjänsteplikt eller på annan liknande grund, se bestämmelse om det i 2 kap. 1 § andra stycket OSL. Därmed omfattas de inte heller av tystnadsplikten enligt offentlighets- och sekretesslagen.

7.5.4Särskilda bestämmelser om sekretess vid sammanträde med riksdagens kammare, beslut och protokoll

I 41 kap. 1 § OSL finns bestämmelser om vad som gäller för sekretess vid sammanträde med riksdagens kammare, beslut och protokoll. För uppgift om vad som har förekommit vid sammanträde med riksdagens kammare tillämpas sekretessbestämmelserna i offentlighets- och sekretesslagen endast om sammanträdet har hållits inom stängda dörrar. Det framgår av 41 kap. 1 § första stycket OSL. Föreskrifter om när riksdagens kammare kan sammanträda inom stängda dörrar finns i 6 kap. 7 § RO, se mer om den bestämmelsen i avsnittet nedan.

I 41 kap. 1 § andra stycket OSL sägs att för de uppgifter som förekommit vid ett sammanträde inom stängda dörrar och som har tagits in i kammarens protokoll gäller sekretess enligt offentlighets- och sekretesslagen endast om sekretess för uppgifterna följer av 15 kap. OSL (dvs. rikets säkerhet eller dess förhållande till andra stater eller mellanfolkliga organisationer). I fråga om uppgifter som har tagits in i andra protokoll hos riksdagen än kammarprotokoll eller beslut gäller sekretess endast om sekretess för uppgifterna följer av 15 kap. eller 19 kap. 7 § OSL (dvs. fackliga stridsåtgärder inom den offentliga

96Se Lenberg m.fl., Offentlighets- och sekretesslagen (1 oktober 2020, Version 22, JUNO), kommentaren till 2 kap. 1 §.

145

2020/21:URF3

146

7NÅGRA FRÅGOR OM PARTIGRUPPERNAS KANSLIER

sektorn). Med beslut förstås betänkanden, yttranden, skrivelser och liknande handlingar från utskott och andra riksdagsorgan.97 Sekretess kan också gälla för uppgifter i EU-nämndens nedtecknade yttranden från överläggningar med regeringen enligt tilläggsbestämmelse 7.15.5 RO även i fråga om uppgifter som avses i 16 kap. OSL (dvs. uppgifter som angår rikets centrala finanspolitik, penningpolitik eller valutapolitik).

När det gäller andra uppgifter hos riksdagen än de som nämns ovan gäller sekretessbestämmelserna i offentlighets- och sekretesslagen utan inskränkning, se dock de särskilda regler för riksdagens ledamöter som vi redogör för i avsnittet nedan.

I 41 kap. 3 och 4 §§ OSL finns bestämmelser om överföring av sekretess. Om riksdagen får en sekretessreglerad uppgift från regeringen blir sekretessbestämmelsen tillämplig på uppgiften även hos riksdagen. Det framgår vidare att om riksdagen får en sekretessreglerad uppgift från en myndighet för prövning av om den ska lämnas ut, blir sekretessbestämmelsen tillämplig på uppgiften även hos riksdagen.

Av 10 kap. 8 § första stycket OSL framgår att riksdagen, när det är fråga om uppgifter hos riksdagen eller dess myndigheter, för ett särskilt fall får besluta om undantag från sekretess om det är motiverat av synnerliga skäl. I bestämmelsens andra stycke sägs att även i andra fall än som avses i första stycket får riksdagen besluta om undantag från sekretess för uppgift hos riksdagen. När det gäller uppgifter hos riksdagen själv prövar det organ hos vilken uppgiften förekommer frågan om undantag från sekretess.98 Det innebär att ett utskott förordnar om undantag från sekretessen i fråga om uppgifter hos utskottet och talmannen när det gäller uppgifter hos kammarkansliet.99 Enligt 10 kap. 9 § första stycket OSL får riksdagen förena sådana beslut som anges i 8 § första stycket med villkor att förbehåll som inskränker en enskild mottagares rätt att lämna uppgiften vidare eller utnyttja den ska göras när uppgiften lämnas ut. Ett förbehåll innebär att mottagaren av uppgifterna inte fritt får använda sig av dem och att det genom förbehållet uppstår en tystnadsplikt.100 Om den som förbehållet riktar sig mot inte följer villkoren i förbehållet kan ansvar för brott mot tystnadsplikt enligt 20 kap. 3 § brottsbalken komma i fråga.

I 10 kap. 9 § andra stycket OSL påminns om att den tystnadsplikt som uppkommer genom ett förbehåll enligt första stycket inskränker den rätt att meddela och offentliggöra uppgifter som följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen.

97Se Lenberg m.fl., Offentlighets- och sekretesslagen (1 oktober 2020, Version 22, JUNO), kommentaren till 41 kap. 1 §.

98Se Lenberg m.fl., Offentlighets- och sekretesslagen (1 oktober 2020, Version 22, JUNO), kommentaren till 10 kap. 8 §.

99Se bet. 1979/80:KU37 s. 38.

100Se Lenberg m.fl., Offentlighets- och sekretesslagen (1 oktober 2020, Version 22, JUNO), kommentaren till 10 kap. 9 §.

7 NÅGRA FRÅGOR OM PARTIGRUPPERNAS KANSLIER

2020/21:URF3

7.5.5 Särskilda regler för riksdagens ledamöter

Offentlighets- och sekretesslagens förbud mot att avslöja en uppgift som omfattas av sekretess gäller som redovisats tidigare även för riksdagens del. För utlämnande av en allmän handling hos ett utskott eller EU-nämnden gäller alltså bestämmelserna i offentlighets- och sekretesslagen.

När det gäller riksdagens ledamöter följer det av 41 kap. 2 § OSL att lagens bestämmelser om förbud mot att röja en uppgift eller i övrigt utnyttja den utanför den verksamhet för vilken den är sekretessreglerad inte gäller för riksdagens ledamöter om det är fråga om uppgifter som de har tagit emot under utförandet av sina uppdrag. Vissa bestämmelser om tystnadsplikt för riksdagsledamöter finns dock i 10 kap. 12 § RF och i 6 kap. 8 § och 7 kap. 20 § RO. I 10 kap. 12 § RF regleras tystnadsplikt i Utrikesnämnden. Ordföranden i nämnden kan besluta om tystnadsplikt för en ledamot av nämnden och den som i övrigt är knuten till nämnden, t.ex. som suppleant eller tjänsteman.

En övergripande bestämmelse om sammanträden i kammaren finns i regeringsformen. Enligt 4 kap. 9 § RF ska sammanträden i kammaren vara offentliga. Av bestämmelsen framgår dock att ett sammanträde kan hållas inom stängda dörrar enligt bestämmelserna i riksdagsordningen. I 6 kap. 7 och 8 §§ RO finns närmare bestämmelser om offentlighet vid sammanträden i kammaren och tystnadsplikt. Av 6 kap. 7 § andra stycket RO följer att kammaren får besluta att ett sammanträde ska hållas inom stängda dörrar, om det krävs med hänsyn till rikets säkerhet eller i övrigt till förhållandet till en annan stat eller en mellanfolklig organisation. Om regeringen ska lämna information till riksdagen vid ett sammanträde får även regeringen besluta om stängda dörrar på de grunder som anges i andra stycket, se 6 kap. 7 § tredje stycket RO.

Beslut om att ett sammanträde ska vara slutet kan alltså fattas dels av kammaren, dels av regeringen, när denna avser att lämna ett muntligt meddelande till riksdagen genom en minister vid sammanträdet. Ett förordnande om stängda dörrar kan avse en del av ett sammanträde.

Av 6 kap. 8 § RO följer att en ledamot inte obehörigen får röja vad som har framkommit vid ett sammanträde i kammaren som hållits inom stängda dörrar. Kammaren får besluta att i ett särskilt fall helt eller delvis upphäva tystnadsplikten.

Utskotten och EU-nämnden ska enligt 7 kap. 16 § första stycket RO sammanträda inom stängda dörrar. Av bestämmelsens andra stycke följer att utskotten och EU-nämnden får medge att även någon annan än en ledamot, en suppleant eller en tjänsteman i utskottet eller EU-nämnden får närvara vid ett sammanträde inom stängda dörrar. För EU-nämnden och för överläggningar i utskott i EU-frågor enligt 7 kap. 12 § RO krävs inget beslut för att ett statsråd eller en tjänsteman som åtföljer statsrådet ska få närvara.

Enligt 7 kap. 20 § RO får en ledamot eller en suppleant i ett utskott eller EU-nämnden inte obehörigen röja vad som enligt beslut av regeringen, utskottet eller EU-nämnden ska omfattas av sekretess till skydd för rikets säkerhet eller av annat synnerligen viktigt skäl som rör förhållandet till en främmande stat eller en mellanfolklig organisation. Det ska sägas att 2019 års riksdags-

147

2020/21:URF3

148

7NÅGRA FRÅGOR OM PARTIGRUPPERNAS KANSLIER

översyn har föreslagit en ändring av tilläggsbestämmelse 13.11.2 RO så att det i den anges att 7 kap. 20 § RO ska tillämpas på krigsdelegationen när den inte är i riksdagens ställe.

Inskränkningar i rätten enligt tryckfrihetsförordningen och yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter när det gäller tystnadsplikterna för riksdagsledamöterna regleras i 44 kap. 1 § OSL. Enligt paragrafen har den tystnadsplikt som följer av ett beslut om ovillkorlig tystnadsplikt i Ut- rikesnämnden företräde framför meddelarfriheten. Den tystnadsplikt som kan följa av 6 kap. 8 § och 7 kap. 20 § RO har enligt samma paragraf också företräde framför rätten att meddela och offentliggöra uppgifter om det är fråga om uppgifter som om de röjs kan antas sätta rikets säkerhet i fara eller på annat sätt allvarligt skada landet.

7.5.6 Brott mot tystnadsplikten

Om någon röjer en uppgift som han eller hon är skyldig att hemlighålla enligt lag eller annan författning eller enligt förordnande eller förbehåll som har meddelats med stöd av lag eller annan författning, eller olovligen utnyttjar en sådan hemlighet, döms den personen, om inte gärningen på annat sätt är särskilt belagd med straff, för brott mot tystnadsplikt till böter eller fängelse i högst ett år. Detta framgår av 20 kap. 3 § första stycket brottsbalken. Enligt bestämmelsens andra stycke döms den som av oaktsamhet begår en gärning som avses i första stycket till böter. I ringa fall ska dock inte dömas till ansvar.

7.5.7Konstitutionsutskottets uttalanden om tystnadsplikt för anställda i partikanslierna

I samband med en diskussion i betänkandet Tystnadsplikt i riksdagen (bet. 2017/18:KU7) om offentlighets- och sekretesslagens tillämpning framförde konstitutionsutskottet:

Slutligen vill utskottet understryka att det aldrig kan bli aktuellt att låta anställda i partikanslierna, t.ex. politiska sekreterare, ta del av uppgifter som omfattas av tystnadsplikt. Dessa personer är inte anställda i offentlig verksamhet och omfattas därför inte av offentlighets- och sekretesslagen. Därtill kommer att de inte har ett förtroendeuppdrag som kan likställas med riksdagsledamöters uppdrag.101

För oss är det något oklart om uttalandet ska tolkas som att konstitutionsutskottet anser att det råder ett absolut förbud för partikanslianställda att få ta del av uppgifter som omfattas av sekretess. Uttalandet kan läsas som så i och med att det står ”…att det aldrig kan bli aktuellt att låta anställda i partikanslierna, t.ex. politiska sekreterare, ta del av uppgifter som omfattas av tystnadsplikt”. Samtidigt berör konstitutionsutskottet inte de förbehållsmöjligheter som finns i 10 kap. 8, 9 och 14 §§ offentlighets- och sekretesslagen, se mer om dem i avsnitt 7.5.12.

101Bet. 2017/18:KU7 s. 20.

7 NÅGRA FRÅGOR OM PARTIGRUPPERNAS KANSLIER

2020/21:URF3

Att en förbehållsmöjlighet skulle kunna användas i undantagsfall synes även kommittén bakom 2019 års riksdagsöversyn vara inne på, se mer i avsnittet nedan. Noteras kan också att konstitutionsutskottet i betänkandet som nämns ovan inte sa något om 5 kap. 2 § säkerhetsskyddslagen. Det kan dock möjligen förklaras med att den nya säkerhetsskyddslagen där bestämmelsen i fråga ingår inte var beslutad vid tidpunkten för betänkandet.

7.5.8 2019 års riksdagsöversyn

I betänkandet 2019 års riksdagsöversyn (2020/21:URF1) behandlar en parlamentarisk kommitté bl.a. frågan om tystnadsplikt i krigsdelegationens verksamhet. Kommittén föreslår att det ska vara möjligt att besluta om tystnadsplikt i krigsdelegationens förberedande verksamhet på samma sätt som i utskotten och EU-nämnden. En ledamot i krigsdelegationen får i ett sådant fall inte obehörigen röja vad som enligt beslut av delegationen eller regeringen ska omfattas av sekretess till skydd för rikets säkerhet eller av annat synnerligen viktigt skäl som rör förhållandet till en främmande stat eller en mellanfolklig organisation. Det innebär, enligt kommittén, att det finns en lösning för en situation där en ledamot önskar en avstämning med en partiledare eller gruppledare i riksdagen. En sådan diskussion torde många gånger kunna föras utan att uppgifter som omfattas av tystnadsplikt behöver lämnas. Om det trots allt bedöms nödvändigt kan det fortfarande inte anses vara fråga om ett obehörigt röjande. Nödvändig avstämning med partiledare eller gruppledare är etablerad praxis i riksdagsarbetet och får anses vara en förutsättning för ett fungerande arbete i riksdagen. Den begränsade grupp som på detta sätt kan komma att ta del av uppgifter som omfattas av ett beslut om tystnadsplikt får förutsättas hantera uppgifterna med den varsamhet som krävs. När det gäller krigsdelegationen är dessutom ofta gruppledare och partiledare ledamöter av delegationen, vilket innebär att frågan om avstämning med en ledamot utanför krigsdelegationen sällan lär uppkomma.

Kommitténs förslag till lagändring innebär, som för utskotten, att övriga personer som kan komma att närvara vid ett sammanträde i krigsdelegationen inte omfattas av bestämmelsen. Kommittén konstaterar dock att dessa personer normalt sett är anställda i offentlig verksamhet och redan omfattas av offentlighets- och sekretesslagens bestämmelser. Det torde vara mycket ovanligt att någon som inte omfattas av offentlighets- och sekretesslagen behöver ta del av sekretessbelagda uppgifter när det gäller krigsdelegationen. Om det ändå någon gång skulle förekomma anser kommittén att krigsdelegationen med stöd av offentlighets- och sekretesslagen kan besluta att personen i fråga ska få ta del av uppgifter med förbehåll som inskränker mottagarens rätt att lämna uppgiften vidare eller utnyttja den.

I betänkandet tas också frågan om de partikanslianställda upp. Enligt kommittén bör det resonemang som konstitutionsutskottet har i betänkande 2017/18:KU7 om att det aldrig kan bli aktuellt att låta anställda i partikanslierna ta del av uppgifter som omfattas av tystnadsplikt gälla som en utgångs-

149

2020/21:URF3

150

7NÅGRA FRÅGOR OM PARTIGRUPPERNAS KANSLIER

punkt även för krigsdelegationen. Dock konstaterar kommittén att krigsdelegationen, men inte en enskild ledamot, med stöd av offentlighets- och sekretesslagen kan besluta att en person ska få ta del av uppgifter med förbehåll som inskränker mottagarens rätt att lämna uppgiften vidare eller utnyttja den. Om det skulle uppstå behov av lämna information till t.ex. partiernas kanslichefer om krigsdelegationens förberedande verksamhet är det alltså möjligt för krigsdelegationen att besluta att lämna ut uppgifter med sekretessförbehåll. Enligt kommittén torde det dock inte bli aktuellt annat än i rena undantagsfall.102

7.5.9Lydelsen av 5 kap. 2 § säkerhetsskyddslagen och dess förarbeten gör att det råder osäkerhet om vilka som omfattas av bestämmelsen

Bestämmelsens första stycke utesluter inte att partikanslianställda omfattas …

Enligt 5 kap. 2 § första stycket säkerhetsskyddslagen får den som på grund av anställning eller på annat sätt deltar eller har deltagit i säkerhetskänslig verksamhet inte obehörigen röja eller utnyttja säkerhetsskyddsklassificerade uppgifter. I bestämmelsens andra stycke finns en upplysning om att det i det allmännas verksamhet i stället är bestämmelserna i offentlighets- och sekretesslagen som tillämpas.

En snabb läsning av 1 kap. 3 § första stycket säkerhetsskyddslagen skulle kunna leda till slutsatsen att 5 kap. 2 § säkerhetsskyddslagen över huvud taget inte kan bli aktuell om en partikanslianställd genom att delta i riksdagens och/eller Riksdagsförvaltningens säkerhetskänsliga verksamhet skulle få del av säkerhetsskyddsklassificerade uppgifter. I den förstnämnda bestämmelsen sägs att endast bestämmelserna om säkerhetsskyddsklasser i 2 kap. 5 §, säkerhetsprövning i 3 kap. och säkerhetsintyg i 4 kap. gäller för riksdagen och dess myndigheter.

Tittar man på bestämmelsen i 5 kap. 2 § första stycket säkerhetsskyddslagen ser man dock att den, till skillnad från de flesta andra bestämmelser i den lagen, inte riktar sig mot verksamhetsutövaren. I stället är adressaten för bestämmelsen den enskilde (”Den som …”) som genom sitt deltagande i säkerhetskänslig verksamhet kan tänkas få del av en säkerhetsskyddsklassificerad uppgift, dvs. här en partikanslianställd som deltar i riksdagens och/eller Riksdagsförvaltningens säkerhetskänsliga verksamhet. Sett till själva ordalydelsen i 5 kap. 2 § första stycket säkerhetsskyddslagen finns det alltså enligt vår mening inte något som hindrar en tillämpning av bestämmelsen i ett sådant fall.

102Bet. 2020/21:URF1 s. 104 f.

7 NÅGRA FRÅGOR OM PARTIGRUPPERNAS KANSLIER

2020/21:URF3

…men förarbetsuttalanden och bestämmelsens andra stycke väcker funderingar

Bestämmelsen i 5 kap. 2 § säkerhetsskyddslagen är ny jämfört med 1996 års säkerhetsskyddslag. I SOU 2015:25 motiverade utredningen sitt förslag på följande sätt:

En brist i fråga om sekretess kan dock föreligga i vissa enskilda verksamheter som, utan att det är fråga om en upphandlingssituation, har kännedom om förhållanden av betydelse för Sveriges säkerhet eller förhållanden som omfattas av internationella säkerhetsskyddsåtaganden. Det handlar om när säkerhetskänslig verksamhet bedrivs i enskild regi. Problemet har således en begränsad räckvidd. Det bör kunna lösas genom en till offentlighets- och sekretesslagen kompletterande bestämmelse om tystnadsplikt.103

Regeringen instämde i bedömningen att det borde införas en bestämmelse om tystnadsplikt och sa att uppgifter av det slaget borde ha samma skydd oavsett i vilken verksamhet som uppgifterna finns. Regeringen konstaterade också att det finns bestämmelser om tystnadsplikt i enskild verksamhet även i flera andra regleringar, t.ex. 16 § elberedskapslagen (1997:288).104

I direktiven till det som resulterade i SOU 2015:25 nämndes 1996 års säkerhetsskyddslags begränsade tillämplighet i fråga om riksdagen och Regeringskansliet endast under redovisningen av gällande ordning. Utredningen hade en inledande dialog med Riksdagsförvaltningen och Regeringskansliet och vad som fördes fram där gav inte utredningen anledning att gå närmare in på frågan. Utredningen föreslog dock att säkerhetsskyddslagens bestämmelser om informationssäkerhetsklass, säkerhetsprövning och säkerhetsintyg skulle gälla också för riksdagen och dess myndigheter och för Regeringskansliet. Re- geringen instämde i stort i de bedömningarna. Utöver det gjorde varken utredningen eller regeringen någon analys av hur bestämmelsen skulle kunna tänkas träffa olika personkretsar. Inte heller diskuterades hur bestämmelsen skulle kunna påverka riksdagens och dess myndigheters verksamhet.

Själva syftet med 5 kap. 2 § första stycket säkerhetsskyddslagen är alltså att säkerhetsskyddsklassificerade uppgifter ska ha samma skydd oavsett i vilken verksamhet som de finns. Bestämmelsen är, som vi ser det, tänkt att fylla upp en ”lucka” som annars skulle finnas i skyddet för sådana uppgifter. Att då säga att bestämmelsen inte gäller för anställda vid partikanslierna kan tyckas vara oförenligt med lagstiftarens syfte med bestämmelsen och säkerhetsskyddslagen som sådan.

Dock måste det beaktas vems säkerhetskänsliga verksamhet det är som de anställda vid partikanslierna deltar i. De förarbetsuttalanden vi har redogjort för ovan talar om ett skydd för uppgifter som finns i enskild verksamhet. Om de anställda vid partikanslierna deltar i säkerhetskänslig verksamhet i partikansliet ser vi det som klart att 5 kap. 2 § första stycket säkerhetsskyddslagen gäller för dem. Om, och i så fall i vilken utsträckning, det förekommer är dock inte en fråga för oss att utreda. Vad vi i stället ska undersöka är vad som gäller

103SOU 2015:25 s. 502.

104Prop. 2017/18:89 s. 120.

151

2020/21:URF3

152

7NÅGRA FRÅGOR OM PARTIGRUPPERNAS KANSLIER

för partikanslianställda när de deltar i det allmännas verksamhet i form av riksdagens eller Riksdagsförvaltningens verksamhet. I ett sådant fall ska enligt 5 kap. 2 § andra stycket säkerhetsskyddslagens lydelse i stället bestämmelserna i offentlighets- och sekretesslagen tillämpas. Den lagens bestämmelser gäller dock inte för de anställda vid partikanslierna, se avsnitt 7.5.3.

Det finns alltså en osäkerhet vad gäller om 5 kap. 2 § första stycket säkerhetsskyddslagen är tillämplig på partikanslianställda i det hänseende som nu är aktuellt. Eftersom bestämmelsen föreskriver en tystnadsplikt för den som omfattas av bestämmelsen och brott mot tystnadsplikten är straffsanktionerat måste legalitetsprincipens betydelse i sammanhanget beaktas.

7.5.10Legalitetsprincipen gör att 5 kap. 2 § första stycket säkerhetsskyddslagen inte är tillämplig på partikanslianställda i nu aktuell situation

Brott mot tystnadsplikten är straffsanktionerat genom 20 kap. 3 § brottsbalken. Det medför höga krav i fråga om tydlighet och rättssäkerhet när det gäller i vilka fall 5 kap. 2 § första stycket säkerhetsskyddslagen är tillämplig. Den s.k. legalitetsprincipen är i detta sammanhang av intresse. Principen kommer till uttryck i 1 kap. 1 § brottsbalken som föreskriver att brott utgörs av en gärning som är beskriven i lag för vilken straff är föreskriven.105 Den fungerar som en garanti för rättssäkerheten genom att den ställer krav på lagstiftningen som innebär att den enskilde ska kunna förutse när han eller hon kan bli föremål för straffrättsligt ingripande.106 Av legalitetsprincipen följer tre förbud – ett retroaktivitetsförbud som innebär att en lag inte får tillämpas retroaktivt till nackdel för den tilltalade, ett obestämdhetsförbud som innebär att en lag måste vara så pass preciserad och bestämd till sin utformning att den kan begripas av medborgarna och ett analogiförbud som innebär att en lag inte får tillämpas analogt till den tilltalades nackdel. Vad gäller det senare förbudet får det inte förstås så att det skulle anses vara förbjudet att tillämpa straffbud på en gärning som endast genom tolkning av straffbudet ryms därunder. Det måste finnas utrymme för viss tolkning, även om försiktighet bör iakttas. När det råder tvivel om hur ett straffbud ska förstås är i princip den mildare tolkningen att föredra enligt sentensen in dubio mitius, dvs. i tvivelsmål det mildare.107

Vi anser som sagt var att det finns en osäkerhet när det gäller vilka situationer som omfattas av 5 kap. 2 § första stycket säkerhetsskyddslagen. Det i

105Legalitetsprincipen slås även fast i Europakonventionen om de mänskliga rättigheterna och grundläggande friheterna (EKMR) som sedan den 1 januari 1995 gäller som lag i Sverige, se 1 § lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna. I artikel 7 i EKMR sägs att ingen får fällas till ansvar för någon gärning eller underlåtenhet som vid den tidpunkt då den begicks inte utgjorde ett brott enligt nationell eller internationell rätt. Inte heller får ett strängare straff utmätas än som var tillämpligt vid den tidpunkt då brottet begicks. Se även 2 kap. 10 § första stycket första meningen RF där det anges att ingen får dömas till straff eller annan brottspåföljd för en gärning som inte var belagd med brottspåföljd när den begicks.

106Högsta förvaltningsdomstolen i NJA 2016 s. 680, punkten 13.

107Se Johansson m.fl., Brottsbalken (1 juli 2020, Version 17, JUNO), kommentaren till 1 kap.

1§.

7 NÅGRA FRÅGOR OM PARTIGRUPPERNAS KANSLIER

2020/21:URF3

kombination med vad vi nyss har anfört om såväl obestämdhetsförbudet som analogiförbudet gör att vi bedömer att 5 kap. 2 § första stycket säkerhetsskyddslagen inte är tillämplig i fall där partikanslianställda i sitt deltagande i riksdagens eller Riksdagsförvaltningens säkerhetskänsliga verksamhet får del av säkerhetsskyddsklassificerade uppgifter.

7.5.11Det är inte möjligt att helt avskärma partikanslianställda från säkerhetsskyddsklassificerade uppgifter

Partikanslianställda omfattas inte av tystnadsplikten enligt offentlighets- och sekretesslagen. Säkerhetsskyddsklassificerade uppgifter som de får del av när de deltar i riksdagens eller Riksdagsförvaltningens säkerhetskänsliga verksamhet omfattas inte heller av tystnadsplikten i 5 kap. 2 § första stycket säkerhetsskyddslagen. Det gör att om en partikanslianställd får del av en säkerhetsskyddsklassificerad uppgift, har den uppgiften inte skydd. Ett sätt att komma tillrätta med det kan tyckas vara att se till att partikansliansställda aldrig får del av säkerhetsskyddsklassificerade uppgifter, jämför med det resonemang som fördes av konstitutionsutskottet i betänkande 2017/18:KU7 (se avsnitt 7.5.7). Vår bestämda uppfattning är att utgångspunkten alltid måste vara att partikanslianställda inte ska få ta del av sådana uppgifter. Att uppgifter som lämnas inför utskotten av t.ex. myndigheter stannar hos utskottsledamöterna är också en förtroendefråga. Det kan finnas en risk för att myndigheter, om det finns en farhåga att uppgifter sprids vidare från utskotten, inte längre vill dela med sig av information i samma utsträckning som de gör i dag.

Som vi har fått det beskrivet för oss av bl.a. partikanslierna själva hålls det hårt på att de partikanslianställda inte ska få ta del av säkerhetsskyddsklassificerade uppgifter. Samtidigt är en av huvuduppgifterna för de partikanslianställda att de ska biträda riksdagsledamöterna i deras arbete. Vi ser det därför som ofrånkomligt att säkerhetsskyddsklassificerade uppgifter i enstaka fall kommer partikanslianställda till del, just för att dessa ska kunna vara riksdagsledamöterna behjälpliga på det sätt som krävs. Vi vill dock betona att det bara får förekomma i de fall där det finns ett behov. Vår uppfattning är att ett sådant behov kan sägas finnas i ett ytterst litet antal fall, se även vad som sägs i betänkandet 2019 års riksdagsöversyn (2020/21:URF1) om partikanslianställdas möjligheter att ta del av uppgifter som omfattas av tystnadsplikt och som vi har redogjort för i avsnitt 7.5.8. Kommittén föreslår där att krigsdelegationen i ett sådant fall skulle kunna lämna ut uppgifterna med sekretessförbehåll men att det ”… inte [torde] bli aktuellt annat än i rena undantagsfall.”108 Att det måste finnas ett behov återspeglas också i 3 kap. 1 § riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna. Där sägs det att behörig att ta del av säkerhetsskyddsklassificerade uppgifter eller i övrigt delta i säkerhetskänslig verksamhet är, om inte något annat följer av bestämmelser i lag, endast den som har

1082020/21:URF1 s. 105.

153

2020/21:URF3

154

7NÅGRA FRÅGOR OM PARTIGRUPPERNAS KANSLIER

bedömts pålitlig från säkerhetssynpunkt, har tillräckliga kunskaper om säkerhetsskydd och behöver uppgifterna eller annan tillgång till verksamheten för att kunna utföra sitt arbete eller på annat sätt delta i den säkerhetskänsliga verksamheten. Denna bestämmelse är alltså styrande redan i dag för de fall där det övervägs att låta en partikanslianställd ta del av en säkerhetsskyddsklassificerad uppgift, och det oavsett vem uppgiften kommer från.

Mot bakgrund av ovanstående gäller det alltså att hitta en lösning som innebär att säkerhetsskyddsklassificerade uppgifter som en partikanslianställd har fått del av i sitt arbete med att biträda riksdagsledamöterna inte får spridas vidare.

7.5.12Föreskrifter eller förbehåll kan inte användas för att ge säkerhetsskyddsklassificerade uppgifter ett heltäckande skydd

En bestämmelse som innebär att partikanslianställda som vid deltagande i riksdagens eller Riksdagsförvaltningens säkerhetskänsliga verksamhet får del av säkerhetsskyddsklassificerade uppgifter inte får sprida dessa uppgifter rör enbart riksdagen och Riksdagsförvaltningen. Av den anledningen vore det rimligt att placera bestämmelsen i en föreskrift som t.ex. riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna. Att hindra en partikanslianställd att sprida vidare en säkerhetsskyddsklassificerad uppgift utgör dock en begränsning av den partikanslianställdas yttrandefrihet. En sådan begränsning måste som huvudregel ske genom lag, se 2 kap. 20 § första stycket 1 RF. Lösningen att reglera frågan genom föreskrift är därför inte ett gångbart alternativ. Två möjligheter finns då att lösa frågan – den ena är att använda sig av förbehåll enligt offentlighets- och sekretesslagen, den andra är att lagstifta om frågan. Just användandet av förbehåll är för övrigt något som i betänkandet 2019 års riksdagsöversyn (2020/21:URF1) förs fram som ett alternativ om det skulle uppstå behov av information till t.ex. partiernas kanslichefer om krigsdelegationens förberedande verksamhet, se mer om det i avsnitt 7.5.8.

Beroende på vilken aktör det är som avser att lämna ut en uppgift finns olika bestämmelser som reglerar förbehåll. Enligt 10 kap. 14 § första stycket OSL ska en myndighet – om den finner att sådan risk för skada, men eller annan olägenhet som enligt en bestämmelse om sekretess hindrar att en uppgift lämnas till en enskild kan undanröjas genom ett förbehåll som inskränker den enskildes rätt att lämna uppgiften vidare eller utnyttja den – göra ett sådant förbehåll när uppgiften lämnas till den enskilde. Av 10 kap. 8 och 9 §§ OSL följer att när det gäller en uppgift hos riksdagen får riksdagen, om den i ett särskilt fall beslutar om undantag från sekretess, förena beslutet med villkor att förbehåll som inskränker en enskild mottagares rätt att lämna uppgiften vidare eller utnyttja den ska göras vid utlämnande av uppgiften. Prövningen ska i ett sådant fall göras av det organ hos vilket uppgiften förekommer. Ett riksdagsutskott förordnar alltså om undantag från sekretessen i fråga om uppgifter hos utskottet.

7 NÅGRA FRÅGOR OM PARTIGRUPPERNAS KANSLIER

2020/21:URF3

En lösning där man använder sig av förbehåll innebär att det inte behövs någon ny lagstiftning. Eftersom förbehåll måste skrivas för varje tillfälle som en säkerhetsskyddsklassificerad uppgift lämnas ut kan det också inskärpa vikten av att sådana uppgifter inte lämnas ut mer än undantagsvis. Ett problem är dock att förbehåll inte kan användas i alla situationer. Ett förbehåll enligt 10 kap. 14 § OSL kan som sagt bara användas om uppgiften kommer från en myndighet, vilket i riksdagens arbete snarast skulle vara Riksdagsförvaltningen. Ett sådant förbehåll kan inte användas om det är en uppgift som det råder absolut sekretess för. Uppgifter som kommer från riksdagen (t.ex. ett utskott) kan lämnas ut med ett förbehåll enligt 10 kap. 8 och 9 §§ OSL. Ett sådant förbehåll kan användas vid alla typer av sekretess, dvs. även vid absolut sekretess. Skulle det däremot vara så att uppgiften kommer från en enskild riksdagsledamot, t.ex. i samband med att ledamoten diskuterar en fråga med en partikanslianställd, kan inget av ovanstående förbehåll användas. Visserligen finns det bestämmelser i regeringsformen och riksdagsordningen som i vissa fall kan hindra riksdagsledamoten från att dela med sig av uppgifter, se mer i avsnitt 7.5.5. Samtidigt är de bestämmelserna inte heltäckande och innebär dessutom inget skydd om uppgiften väl har kommit en partikanslianställd till del.

En användning av de förbehållsmöjligheter som finns i offentlighets- och sekretesslagen ger alltså inte alltid ett heltäckande skydd för säkerhetsskyddsklassificerade uppgifter som har kommit en partikanslianställd till del. Med tanke på vikten av att skydda sådana uppgifter kan därför, enligt vår mening, förbehåll inte ses som en lämplig lösning.

7.5.13Det behövs en reglering i lag för att säkerställa skyddet för säkerhetsskyddsklassificerade uppgifter

Tanken med en reglering av tystnadsplikten för partikanslianställda är inte att utöka möjligheterna för dessa att få ta del av säkerhetsskyddsklassificerade uppgifter. Som vi har varit inne på i bl.a. avsnitt 7.5.11 måste utgångspunkten, liksom den är i dag, vara att de inte ska ta del av sådana uppgifter. Att säkerhetsskyddsklassificerade uppgifter endast undantagsvis bör komma partikanslianställda till del finns reglerat i 3 kap. 1 § riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna. Vad som dock inte finns är ett skydd i lag för det fall en partikanslianställd faktiskt har fått del av en sådan uppgift.

I avsnittet ovan har vi kommit fram till ett en dylik bestämmelse om tystnadsplikt för partikanslianställda måste placeras i lag. Enligt vår mening ligger det närmast till hands att först undersöka en placering i lagen om säkerhetsskydd i riksdagen och dess myndigheter. Partikanslierna finns inte med i uppräkningen i 1 § nämnda lag som klargör lagens tillämpningsområde. Däremot framgår av den bestämmelsen att lagen om säkerhetsskydd i riksdagen och dess myndigheter gäller i verksamhet vid riksdagen och vid bl.a. Riksdagsförvaltningen. Eftersom det som grundar den tystnadsplikt vi föreslår är just de

155

2020/21:URF3

156

7NÅGRA FRÅGOR OM PARTIGRUPPERNAS KANSLIER

partikanslianställdas deltagande i riksdagens eller Riksdagsförvaltningens säkerhetskänsliga verksamhet är vår bedömning att en bestämmelse om tystnadsplikt för partikanslianställda kan placeras i lagen om säkerhetsskydd i riksdagen och dess myndigheter.

Vi anser att bestämmelsen bör utformas som att en anställd vid ett partikansli inte obehörigen får röja eller utnyttja säkerhetsskyddsklassificerade uppgifter som han eller hon har fått del av vid deltagande i riksdagens säkerhetskänsliga verksamhet. En sådan bestämmelse anger klart och tydligt vem som träffas av den och vilka uppgifter som tystnadsplikten omfattar.

Något ska också sägas om det faktum att en tystnadsplikt kan innebära en inskränkning i meddelarfriheten. Av 7 kap. 22 § 1 TF och 5 kap. 3 § YGL följer att meddelarfriheten är inskränkt om ett uppgiftslämnande är straffbart som bl.a. spioneri, grovt spioneri eller grov obehörig befattning med hemlig uppgift eller försök, förberedelse eller stämpling till sådant brott. Liksom regeringen argumenterade inför införandet av 5 kap. 2 § säkerhetsskyddslagen anser vi dock att hänsynen till skyddet av för Sverige viktiga säkerhetsintressen väger tungt.109 Tillämpningsområdet för den bestämmelse vi tänker oss är också begränsat – tystnadsplikten är avsedd att träffa det som för nationen är mest skyddsvärt i form av säkerhetsskyddsklassificerade uppgifter. Därmed kan vi inte se annat än att den bestämmelse vi föreslår är väl avvägd.

7.5.14 Särskilt om krigsdelegationens förberedande verksamhet

I 2019 års riksdagsöversyn (2020/21:URF1) framhåller kommittén att det är angeläget att säkerhetsskyddslagens tillämpning i krigsdelegationens förberedande verksamhet klargörs. Vi vill därför säga något om hur vårt förslag om en bestämmelse om tystnadsplikt för partikanslianställda, utformad enligt avsnittet ovan, kan komma att påverka den verksamheten.

Vi ser det inte som möjligt att helt avskärma partikanslianställda från säkerhetsskyddsklassificerade uppgifter, se vårt resonemang om det i avsnitt

7.5.11.Däremot är det endast i ett ytterst fåtal fall de partikanslianställda får anses ha behov av få del av sådana uppgifter. Om det ändå skulle uppstå ett sådant behov av information till t.ex. partiernas kanslichefer om krigsdelegationens förberedande verksamhet kan vi inte se annat än att de eventuella säkerhetsskyddsklassificerade uppgifter som dessa chefer kan komma att få ta del av omfattas av den tänkta tystnadsplikten. Skulle det utöver det förekomma att en partikanslianställd får del av en uppgift som det råder sekretess för, dock utan att det handlar om en säkerhetsskyddsklassificerad uppgift, kan i vissa fall förbehåll användas, se vårt resonemang om det i avsnitt 7.5.12.

Riksdagen har föreslagit att regeringen bör tillsätta en parlamentariskt sammansatt kommitté med uppgift att se över regleringen av krigsdelegationen och har tillkännagett detta för regeringen.110 Resultatet av en sådan kommittés arbete kan givetvis behöva leda till förnyade överväganden vad gäller frågan

109Se prop. 2017/18:89 s. 121.

110Se bet. 2018/19:KU30 punkt 34 och rskr. 2018/19:216.

7 NÅGRA FRÅGOR OM PARTIGRUPPERNAS KANSLIER

2020/21:URF3

om tystnadsplikt för partikanslianställda i relation till krigsdelegationens verksamhet.

157

2020/21:URF3

8Tidigare riksdagsledamöters rätt till tillträde till riksdagens lokaler

8.1 Allmänt om tillträdesrätt

Beroende på om en tidigare riksdagsledamot uppträder i egenskap av just en sådan eller i egenskap av någon annan kan han eller hon få tillträde till riksdagens lokaler på olika grunder. Vi kommer därför, innan vi går in på våra överväganden om frågan hur tidigare riksdagsledamöters rätt till tillträde till riksdagens lokaler bör se ut, att redogöra för hur tillträdesreglerna i stort ser ut för olika kategorier. Här kan nämnas att den situationen att en person har rätt till tillträde till riksdagens lokaler på olika grunder, t.ex. om en tidigare riksdagsledamot har blivit statssekreterare i Regeringskansliet, uppmärksammades i den promemoria som ligger till grund för riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna. Bedömningen i promemorian var att den situationen inte borde regleras men att en lämplig ordning skulle kunna vara att det är personens huvudsakliga anställning eller uppdrag som styr på vilken grund personen har tillträde till riksdagens lokaler. Att personen skulle kunna välja, och t.ex. få utfärdat olika passerkort, borde dock enligt promemorian vara uteslutet.111

Innan vi fortsätter ska vi också säga något om själva begreppen ”riksdagens lokaler” och ”tillträde”. Med ”riksdagens lokaler” avses enligt 2 kap. 3 § den ovannämnda föreskriften alla utrymmen som staten har äganderätt eller nyttjanderätt till och som riksdagen, Riksdagsförvaltningen eller partikanslierna disponerar för sin verksamhet. Begreppet ”tillträde” finns inte definierat i föreskriften och inte heller i säkerhetsskyddslagen eller i lagen om säkerhetsskydd i riksdagen och dess myndigheter. Med ”tillträde” avser vi dock både det fall att en person själv kan bereda sig tillträde med hjälp av ett passerkort med nyckelfunktion och det fall att en person, om han eller hon ringer på en ringklocka eller liknande vid dörren till det aktuella utrymmet, har rätt att bli insläppt. Det är för övrigt samma definition som finns i den promemoria som ligger till grund för föreskriften.112

8.2 Bakgrund till den nuvarande regleringen

Lagen (1983:953) om säkerhetsskydd i riksdagen innehöll detaljerade bestämmelser om vilka som hade tillträde till riksdagens lokaler, däribland vad som gällde för statsråd, riksdagens ledamöter och tjänstemän, anställda i partikanslierna, journalister och deltagare i studiebesök. Frågan om tillträde för

111Promemorian ”En ny föreskrift om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna”, daterad 2019-03-18, dnr 1782-2018/19, s. 70.

112Se promemorian ”En ny föreskrift om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna”, daterad 2019-03-18, dnr 1782-2018/19, s. 61.

158

8 TIDIGARE RIKSDAGSLEDAMÖTERS RÄTT TILL TILLTRÄDE TILL RIKSDAGENS LOKALER

2020/21:URF3

tidigare riksdagsledamöter reglerades dock inte. I praktiken fanns det emellertid en etablerad tradition av rätt till tillträde för dessa som baserades på riksdagsledamotsuppdragets speciella karaktär. Någon säkerhetsprövning av dem gjordes inte.

När lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter kom hade detaljbestämmelser om säkerhetsskyddet utmönstrats. I 6 § första stycket infördes det dock en bestämmelse om att tillträdesbegränsningar (numera kallat fysisk säkerhet) skulle utformas så att den enskildes rätt att röra sig fritt inte inskränktes mer än nödvändigt. Bakgrunden till bestämmelsen var ett resonemang om att säkerhetsskyddet inte fick lägga onödiga hinder i vägen för öppenheten gentemot enskilda.113

Detaljbestämmelser om säkerhetsskyddet för riksdagen, Riksdagsförvaltningen och partikanslierna lades i stället i riksdagsstyrelsens föreskrift (RFS 2006:2) om säkerhet och fredstida krishantering. När det gällde tillträdesfrågan gjordes det i föreskriften en uppdelning mellan en kategori som hade rätt till tillträde till riksdagens lokaler grundad direkt på föreskriften, och en kategori vars rätt till tillträde var beroende av ett föregående beslut av Riksdagsförvaltningen. Den första gruppen bestod av riksdagsledamöter och statsråd. Till den andra gruppen hörde anställda vid Riksdagsförvaltningen, partikanslierna, entreprenörer och deras anställda, tidigare riksdagsledamöter och de som tidigare varit ersättare för en riksdagsledamot. Ett beslut om tillträde för dessa fick innebära att tillträdesrätten begränsades till att gälla vissa utrymmen. Det sas också att när beslut om tillträde fattades skulle, utöver vad som följde av 2006 års lag om säkerhetsskydd i riksdagen och dess myndigheter, hänsyn tas till behovet av att skydda uppgifter, om det för uppgiften gällde sekretess enligt sekretesslagen (1980:100) samt till intresset av att skydda teknisk utrustning och stöldbegärlig egendom. När det gällde tidigare riksdagsledamöter gjordes det inte någon säkerhetsprövning av dessa inför ett beslut om tillträdesrätten. Vidare fanns det i föreskriften bestämmelser om ackreditering för företrädare för massmedier och bestämmelser om besök i riksdagens lokaler.

I den promemoria som låg till grund för föreskriften motiverades uppdelningen med att det inte fanns skäl att annat än i undantagsfall ange att någon viss kategori skulle ha en direkt på föreskriften grundad rätt till tillträde. Det borde förbehållas riksdagsledamöter och statsråd. I övrigt borde rätten till tillträde göras beroende av beslut eller att vederbörande accepteras som besökare.114 Inför framtagandet av promemorian ställdes frågor till några andra länder om säkerhetskontrollen i respektive lands parlament. De svar som kom in visade att åtminstone i Danmark och Norge hade före detta parlamentsledamöter rätt till tillträde till Folketingets lokaler respektive Stortingets bygg-

113Framst. 2005/06:RS1 s. 26.

114Se promemorian ”Ny föreskrift om säkerhet m.m.”, daterad 2006-04-04, s. 8.

159

2020/21:URF3

160

8TIDIGARE RIKSDAGSLEDAMÖTERS RÄTT TILL TILLTRÄDE TILL RIKSDAGENS LOKALER

nader under förutsättning att de visade passerkort.115 Vad tillträdesrätten som sådan motiverades av framgick dock inte.

8.3 Om den nuvarande regleringen

8.3.1Grundläggande bestämmelser finns i lagen om säkerhetsskydd i riksdagen och dess myndigheter

Den nuvarande lagen om säkerhetsskydd i riksdagen och dess myndigheter innehåller inte heller den några detaljbestämmelser om vilka som har tillträde till riksdagens lokaler. I stället anges i 7 § att fysisk säkerhet ska förebygga dels att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs (punkten 1), dels skadlig inverkan på sådana områden, byggnader, anläggningar eller objekt (punkten 2).

Bestämmelsen i 6 § 2006 års lag är överflyttad till 8 § nuvarande lagen utan några ändringar i sak. I den senare bestämmelsen anges att den fysiska säkerheten ska utformas så att enskildas rätt att röra sig fritt inte inskränks mer än nödvändigt. Det sägs också att bestämmelser om allmänhetens tillträde till riksdagens kammare, utskott och EU-nämnd finns i regeringsformen (RF), i riksdagsordningen (RO) och i lagen (1988:144) om säkerhetskontroll i riksdagens lokaler. Vidare nämns att det i skyddslagen finns bestämmelser som möjliggör förbud mot tillträde till vissa byggnader, andra anläggningar och områden. Vad gäller just allmänhetens tillträde till riksdagens kammare så framgår av 4 kap. 9 § RF att allmänheten (dit även tidigare riksdagsledamöter räknas) har rätt att närvara vid de sammanträden i kammaren som är offentliga. Den rätten gäller dock endast under själva sammanträdet och de som närvarar får bara vistas på åhörarläktaren. Vissa sammanträden kan dessutom med stöd av 6 kap. 7 § RO hållas inom stängda dörrar.

8.3.2Detaljregleringen finns i riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna

I och med att den nu gällande lagen om säkerhetsskydd i riksdagen och dess myndigheter kom till ersattes riksdagsstyrelsens föreskrift (RFS 2006:2) om säkerhet och fredstida krishantering av riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna. I den nuvarande föreskriften kan det sägas finnas fem olika kategorier som på det ena eller det andra sättet kan få tillträde till riksdagens lokaler (för tillträde till de lokaler som partikanslierna disponerar, se dock sist i detta avsnitt).

115Se promemorian ”Säkerhetskontroll i andra parlament”, daterad 2005-08-30, dnr 2005:1454.

8 TIDIGARE RIKSDAGSLEDAMÖTERS RÄTT TILL TILLTRÄDE TILL RIKSDAGENS LOKALER

2020/21:URF3

Tillträdesrätten för talmannen, riksdagsledamöter och de som är ersättare för riksdagsledamöter, statsråd och de som är Sveriges företrädare i Europaparlamentet är inte beroende av något beslut från Riksdagsförvaltningen, se 6 kap. 3 § föreskriften. Med ersättare avses tjänstgörande ersättare.116 Dock finns det en möjlighet för Riksdagsförvaltningen att undanta vissa utrymmen i riksdagens lokaler från tillträde. Det handlar då bl.a. om driftsutrymmen, arkivlokaler och lokaler där verksamhet av betydelse för säkerhetsskyddet bedrivs, se 6 kap. 4 § föreskriften. Vid inpassering i lokalerna behöver dessa personkategorier inte gå igenom säkerhetskontrollen.117

För tillträdesrätt för anställda vid Riksdagsförvaltningen eller ett partikansli, entreprenörer och deras anställda samt konsulter och praktikanter hos Riksdagsförvaltningen, nyvalda riksdagsledamöter, partifunktionärer, anställda vid riksdagens myndigheter och anställda vid andra myndigheter som samverkar med riksdagen krävs enligt 6 kap. 5 § föreskriften beslut av Riksdagsförvaltningen.118 Riksdagsförvaltningen ska vid beslutet beakta behovet av tillträde för att fullgöra en anställning eller ett uppdrag. Därutöver ska det beaktas vad som följer av lagen om säkerhetsskydd i riksdagen och dess myndigheter, behovet av skydd för uppgifter som det gäller sekretess för enligt offentlighets- och sekretesslagen och intresset av att skydda teknisk och elektronisk utrustning samt stöldbegärlig egendom. Beslutet får innebära att tillträdesrätten gäller vissa tider eller vissa utrymmen inom riksdagens lokaler, se 6 kap. 6 § föreskriften. Om de har ett passerkort med nyckelfunktion behöver de vid inpassering inte gå igenom säkerhetskontrollen.

Även för tidigare riksdagsledamöter är det Riksdagsförvaltningen som beslutar om rätten till tillträde, se 6 kap. 7 § föreskriften. Inför det beslutet görs det dock ingen behovsbedömning. I stället anges att Riksdagsförvaltningen särskilt ska beakta, utöver vad som följer av lagen om säkerhetsskydd i riksdagen och dess myndigheter, behovet av skydd för uppgifter som det gäller sekretess för enligt offentlighets- och sekretesslagen och intresset av att skydda teknisk och elektronisk utrustning samt stöldbegärlig egendom. Beslutet får innebära att tillträdesrätten gäller vissa tider eller vissa utrymmen inom riksdagens lokaler, se 6 kap. 8 § föreskriften. De tidigare riksdagsledamöterna måste vid inpassering i riksdagens lokaler gå igenom säkerhetskontroll. I avsnittet nedan återkommer vi till hur tillträdesrätten fungerar i praktiken.

116Promemorian ”En ny föreskrift om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna”, daterad 2019-03-18, dnr 1782-2018/19, s. 62.

117Bestämmelser om sådan säkerhetskontroll finns i lagen om säkerhetskontroll i riksdagens lokaler. Talmannen har med stöd av 2 § nämnda lag beslutat att alla som ska besöka riksdagens hus måste gå igenom säkerhetskontroll. Detta gäller dock inte för statsråd, riksdagsledamöter, svenska Europaparlamentariker, personer som innehar giltigt passerkort med nyckelfunktion till riksdagens lokaler samt de med särskilt undantag enligt beslut av talmannen.

118För partikanslianställdas del finns det bestämmelser om tillträde även i 3 kap. 8 § första stycket a lagen (2016:1109) om stöd till partigrupperna för riksdagsledamöters arbete i riksdagen. Det finns även en möjlighet att få tillträde till vissa lokaler för den som är förälder till barn i riksdagens barnverksamhet, se 7 kap. 12 § första och andra styckena riksdagsstyrelsens föreskrift och allmänna råd (2016:5) om tillämpningen av lagen (2016:1108) om ersättning till riksdagens ledamöter. Vi går dock inte närmare in på de bestämmelserna.

161

2020/21:URF3

162

8TIDIGARE RIKSDAGSLEDAMÖTERS RÄTT TILL TILLTRÄDE TILL RIKSDAGENS LOKALER

Den nuvarande föreskriften innebär alltså ingen ändring i sak jämfört med 2006 års reglering vad gäller tidigare riksdagsledamöters tillträdesrätt. I den promemoria som låg till grund för föreskriften sägs att tidigare riksdagsledamöters behov av att kunna få tillträde till riksdagens lokaler, utan att betraktas som besökare eller via ett beslut om avvikelse, inte undersökts särskilt. Däremot bedöms det i promemorian lämpligt att reglera dessa i en separat bestämmelse eftersom det i övrigt är den aktuella personens behov av tillträde till riksdagens lokaler med anledning av sin anställning eller uppdrag som ska vara utgångspunkten för tillträdesbedömningen. I promemorian nämns också att det, vad gäller de som tidigare varit ersättare för en riksdagsledamot, har framkommit att dessa inte har tillträde eller passerkort till riksdagens lokaler. Dessa bedöms även fortsättningsvis ha tillträde till riksdagens lokaler som besökare.119

Pressackrediterades tillträdesrätt regleras i 6 kap. 9 och 10 §§ föreskriften. Av bestämmelserna framgår att de som har beviljats riksdagens pressackreditering har rätt till tillträde till arbetslokaler för massmedier samt lokaler där riksdagsledamöter vistas för sitt uppdrag, de sistnämnda dock med undantag av bl.a. arbetsrum, talmanskorridoren och plenisalen. De pressackrediterade får som huvudregel endast uppehålla sig i riksdagens lokaler under ordinarie arbetstid och under andra tider i anslutning till kammar- eller utskottssammanträde, presskonferens eller partimöte. Det sägs också att partikanslierna bestämmer vad som ska gälla i fråga om pressackrediterades tillträde till lokaler som kanslierna disponerar.

Vad som gäller för besök i riksdagens lokaler regleras i 6 kap. 16–22 §§ föreskriften. Enligt bestämmelserna ska det finnas en besöksmottagare. Rätt att vara besöksmottagare har bl.a. riksdagsledamöter och de som är ersättare för riksdagsledamöter samt anställda vid Riksdagsförvaltningen eller vid partikanslierna. Besöksmottagaren ansvarar för besökarna under hela besöket. Ansvaret inbegriper att se till att besökarna tas emot i entrén och ledsagas under besöket samt att de lämnar riksdagens lokaler. Besökarna får endast uppehålla sig i eller i anslutning till de lokaler som behövs för att tillgodose syftet med besöket. Besökarna ska som huvudregel synligt bära en besöksbricka som innehåller uppgifter om besökarens identitet. Besökare till en riksdagsledamot får dock bära en handling som i stället för uppgift om besökarens identitet anger ”Besökare” eller besöksmottagarens namn. Vi har fått berättat för oss att den besökandes identitet i ett sådant fall inte registreras någonstans.

När det gäller de av riksdagens lokaler som partikanslierna disponerar är det som huvudregel Riksdagsförvaltningen som, efter samråd med respektive partikansli, bestämmer om tillträdet, se 6 kap. 2 § föreskriften.

119Promemorian ”En ny föreskrift om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna”, daterad 2019-03-18, dnr 1782-2018/19, s. 66.

8 TIDIGARE RIKSDAGSLEDAMÖTERS RÄTT TILL TILLTRÄDE TILL RIKSDAGENS LOKALER

2020/21:URF3

8.4Tillträdesrätten för tidigare riksdagsledamöter i praktiken

När Riksdagsförvaltningen har fattat beslut om rätt till tillträde för en tidigare riksdagsledamot får han eller hon ett passerkort som kan användas vid de bemannade entréerna till riksdagens lokaler under deras öppettider. En tidigare riksdagsledamot kan alltså på egen hand skaffa sig tillträde till riksdagens lokaler, dvs. inte enbart som besökare efter besöksanmälan. Den tidigare riksdagsledamoten måste dock vid inpassering i riksdagens lokaler gå igenom säkerhetskontroll.

I dagsläget finns det ca 800 tidigare riksdagsledamöter som har passerkort. Tidigare gavs kort med i princip obegränsad giltighetstid. De kort som ges ut nu har en giltighetstid på ett år och måste sedan förnyas. Som framgår av 6 kap. 6 § riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna kan Riksdagsförvaltningen neka en tidigare riksdagsledamot tillträde bl.a. mot bakgrund av skyddet för uppgifter som det gäller sekretess för enligt offentlighets- och sekretesslagen. Det har dock aldrig hänt.

Under de senaste årtiondena har den genomsnittliga mandattiden för en riksdagsledamot minskat och omsättningen av riksdagsledamöter har ökat. I några enstaka fall har en riksdagsledamot bara innehaft sitt uppdrag i någon eller några få dagar och sedan avgått. Allt detta innebär att det totala antalet tidigare riksdagsledamöter ökar snabbare än vad det har gjort historiskt. Vi- dare har medelåldern för nyvalda riksdagsledamöter minskat sedan mitten av 1990-talet, och antalet ledamöter under 50 år har ökat kraftigt. Den betydligt ökade omsättningstakten i kombination med det ökade antalet yngre riksdagsledamöter medför en markant ökning av antalet tidigare riksdagsledamöter som kommer att kunna ha tillträde till riksdagens lokaler och det dessutom under en längre tidsperiod.

8.5 Internationell utblick

8.5.1 Allmänt

En del av vårt uppdrag är att utreda vad som gäller för tidigare ledamöters tillträde till parlamenten i jämförbara länder. Vi har därför ställt frågor till parlamenten i Danmark, Estland, Finland, Frankrike, Island, Israel, Lettland, Li- tauen, Nederländerna, Norge, Storbritannien, Tyskland och Österrike om hur tillträdesrätten är utformad för nu sittande parlamentsledamöter, tidigare parlamentsledamöter och allmänheten. Svar har kommit in från nedanstående länder.

163

2020/21:URF3

164

8TIDIGARE RIKSDAGSLEDAMÖTERS RÄTT TILL TILLTRÄDE TILL RIKSDAGENS LOKALER

8.5.2 Estland

Nu sittande ledamöter har tillgång till alla lokaler i parlamentet och behöver inte passera någon säkerhetskontroll.

Tidigare ledamöters tillträdesrätt skiljer sig i princip inte från den som gäller för allmänheten. Tidigare ledamöter ses som gäster/besökare och måste visa id-kort och passera säkerhetskontrollen. Någon måste möta dem vid entrén och åtfölja dem under besöket. En partigrupp kan dock, om den så vill, sätta upp tidigare ledamöter på en gästlista vilket ger de tidigare ledamöterna möjlighet att på egen hand röra sig i byggnaderna.

Tillträdesrätten följer av särskilda regler för tillträde och säkerhet för lokalerna.

8.5.3 Finland

Nu sittande ledamöter har tillträde till parlamentets lokaler dygnet runt och behöver inte bära någon särskild bricka.

Tidigare ledamöter har tillträde till lokalerna utan att behöva anmäla det i förväg. De behöver inte passera någon säkerhetskontroll men måste bära en bricka med foto som ska lämnas i receptionen efter besöket. Eftersom de inte har något nyckelkort kan de bara röra sig fritt i huvudbyggnaden och har bara tillträde till parlamentet när det är öppet. Tillträdesrätten kan inte dras tillbaka.

Tidigare ledamöters rätt till tillträde finns inte reglerad utan följer av tradition.

8.5.4 Frankrike (senaten)

När en ledamots valda mandattid är över får han eller hon ett passerkort som ger rätt till tillträde när som helst till huvudbyggnaderna, att jämföra med nu sittande ledamöter som har tillträdesrätt även till kringliggande byggnader. Tillträdesrätten för de tidigare ledamöterna kan inte dras tillbaka.

Besökare har inget passerkort och måste identifiera sig och passera säkerhetskontrollen. Deras tillträde är begränsat till sådana byggnader som är relevanta för deras besök.

Tillträdesrätten regleras genom särskilda beslut av bl.a. en grupp senatorer som fattar alla stora beslut om senatens arbete.

8.5.5 Island

Tidigare ledamöter har en status liknande den som allmänheten har. De måste ha en synlig besöksbricka när de rör sig inne i parlamentsbyggnaden. Vad gäller övriga parlamentsbyggnader är det mer informellt – där kan tidigare ledamöter besöka nu sittande ledamöter. Tillträdesrätten kan inte dras tillbaka.

Tidigare ledamöter nämns inte särskilt i de regler som finns om tillträde till parlamentsbyggnaden och hur man ska uppföra sig där.

8 TIDIGARE RIKSDAGSLEDAMÖTERS RÄTT TILL TILLTRÄDE TILL RIKSDAGENS LOKALER

2020/21:URF3

8.5.6 Israel

Tidigare ledamöter får ett passerkort som ger dem tillträde till Knesset och rätt att använda en särskild lounge för tidigare ledamöter. Rätten kan dras tillbaka, men det finns ingen information om det har inträffat.

Normalt sett tillåts allmänheten besöka Knesset genom att delta i guidade visningar eller att se på plenum från besöksläktaren. På grund av pandemin håller dock Knesset stängt för allmänheten.

8.5.7 Lettland

Tidigare ledamöter har tillträdesrätt till parlamentsbyggnaderna, dock inte om de har uteslutits ur parlamentet. Tillträdesrätten regleras i ”Rules of Procedure of the Saeima”.

8.5.8 Litauen

Tidigare ledamöter har i princip samma tillträdesrätt som nu sittande ledamöter men måste, till skillnad från nu sittande ledamöter, passera säkerhetskontrollen. Tillträdesrätten kan dras tillbaka, men det verkar dock inte ha hänt under senare tid.

Allmänheten måste passera säkerhetskontroll och åtföljas av någon. Tillträdesrätten regleras i interna ordningsregler.

8.5.9 Nederländerna (andra kammaren)

Tidigare ledamöter har samma tillträdesrätt som nu sittande ledamöter. Rätten kan inte dras tillbaka.

Allmänheten har begränsat tillträde. De måste boka tid och har bara tillträde till vissa delar av byggnaderna.

Det finns ingen skriven reglering.

8.5.10 Norge

Nu sittande ledamöter kan själva skaffa sig tillträde till lokalerna med passerkort med pin-kod. Tidigare ledamöter kan ansöka om sådana passerkort. Kortet gäller i två år och förnyas inte automatiskt. De tidigare ledamöterna måste alltid använda någon av de bemannade entréerna. Därifrån har de tillgång till Stortingets allmänna lokaler med kort och pin-kod vid alla bemannade entréer. Partigrupperna kan medge tillträde till sina lokaler om de så önskar. Tillträdesrätten kan dras tillbaka, men det har inte enligt den information vi har fått.

Allmänheten måste passera säkerhetskontroll och får bara tillträde till vissa lokaler och evenemang.

Tillträdesrätten följer av särskilda bestämmelser om säkerhet och tillträde som Stortingets presidium har antagit.

165

2020/21:URF3

166

8TIDIGARE RIKSDAGSLEDAMÖTERS RÄTT TILL TILLTRÄDE TILL RIKSDAGENS LOKALER

8.5.11 Storbritannien

Det brittiska överhuset

Tidigare ledamöter av the House of Lords har ett passerkort med foto för tillträde till parlamentsbyggnaderna, vilket innebär att de inte behöver passera säkerhetskontrollen. De har dock inte tillträde till alla lokaler – de har t.ex. tillträde till biblioteket men inte till forskningssalarna. Tillträdesrätten kan dras tillbaka efter en bedömning i det enskilda fallet.

Tillträdesrätten för tidigare ledamöter grundar sig på ett förslag framfört i en rapport av the House Committee (numera the House of Lords Commission).

Det brittiska underhuset

Tidigare ledamöter av the House of Commons som har varit ledamöter under en viss tid kan ansöka om ett passerkort med foto. Det ger tillträdesrätt till parlamentets lokaler. Det finns dock vissa lokaler dit bara nu sittande ledamöter samt personal har tillträde. Tillträdesrätten kan återkallas, t.ex. vid brott mot uppförandekoden.

Tillträdesrätten regleras av the House of Commons Commission, det organ som ansvarar för ledningen av House of Commons.

8.5.12 Tyskland

Förbundsdagen

Tidigare ledamöter har i princip samma status som vanliga gäster. De får dock ett särskilt kort som gör att de inte behöver passera säkerhetskontrollen och kan röra sig utan sällskap i vissa lokaler. Tillträdesrätten kan dras tillbaka om det finns tvivel om kortinnehavarens tillförlitlighet. Det kan t.ex. handla om en fällande dom eller en pågående brottsutredning, särskilt om brotten i fråga rör rikets säkerhet eller politiskt motiverade handlingar.

Rätten till tillträde regleras i en bilaga till ”Rules of Procedure of the German Bundestag”.

Förbundsrådet

Tidigare ledamöter har inte automatiskt tillträde. De kan dock bjudas in till evenemang eller möten men behandlas då som övriga gäster.

8.5.13Österrike (gemensamt för nationalrådet och förbundsrådet)

Tidigare ledamöter får ett passerkort som gör att de kan komma in i parlamentsbyggnaderna utan att identifiera sig och utan att behöva passera någon säkerhetskontroll. Utöver det har de dock ingen tillträdesrätt om det inte finns en uttrycklig och motiverad begäran. Exempelvis kan en parlamentsgrupp önska att en tidigare ledamot ska få tillträde till deras lokaler. Tillträdesrätten

8 TIDIGARE RIKSDAGSLEDAMÖTERS RÄTT TILL TILLTRÄDE TILL RIKSDAGENS LOKALER

2020/21:URF3

kan dras tillbaka vid bl.a. brott mot de uppföranderegler som gäller för parlamentsbyggnaderna. Det har dock troligtvis aldrig hänt.

8.6Överväganden rörande frågan om tidigare riksdagsledamöters rätt till tillträde till riksdagens lokaler

Förslaget i korthet

Styrande för frågan om rätt till tillträde till riksdagens lokaler ska vara vilket behov en person har av tillträde till lokalerna i fråga.

Argumentet ”riksdagsledamotsuppdragets speciella karaktär” kan inte tas till intäkt för att tidigare riksdagsledamöter har ett behov av den vidsträckta tillträdesrätt som finns i dag. Det har inte heller gått att identifiera några andra behov av en sådan tillträdesrätt.

Tidigare riksdagsledamöter har således inte behov av någon särskild tillträdesrätt utöver den som gäller för besökare. De särskilda bestämmelser som finns i riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna i fråga om tillträdesrätten för tidigare riksdagsledamöter ska därför utmönstras.

8.6.1 Uppdraget i denna del

Enligt 6 kap. 7 och 8 §§ riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna beslutar Riksdagsförvaltningen om rätt till tillträde till riksdagens lokaler för tidigare riksdagsledamöter. Riksdagsförvaltningen har dock ingen rättslig möjlighet att utreda t.ex. omständigheter som skulle kunna göra tidigare ledamöter sårbara för yttre påtryckningar. Riksdagsförvaltningen informeras inte heller om en tidigare ledamot dömts för brott eller är föremål för kontraspionagets uppmärksamhet. Det är därför svårt att förebygga att tidigare ledamöter som inte är pålitliga från säkerhetssynpunkt får tillträde till riksdagen där de kan få kunskap om verksamhet som är säkerhetskänslig.

Utredaren ska bl.a. mot denna bakgrund analysera tillämpningen av gällande reglering om tillträde för tidigare riksdagsledamöter och utreda vad som gäller för tidigare ledamöters tillträde till parlamenten i jämförbara länder. Ut- redaren ska se över vilka skäl – utöver ledamotsuppdragets speciella karaktär

–som kan finnas för tillträdesrätt till riksdagens lokaler för tidigare ledamöter och ta ställning till hur en sådan tillträdesrätt bör utformas. Utredaren ska lämna nödvändiga författningsförslag. Förslagen ska inte inskränka en tidigare riksdagsledamots möjlighet att få tillträde till riksdagens lokaler som besökare.

167

2020/21:URF3

168

8TIDIGARE RIKSDAGSLEDAMÖTERS RÄTT TILL TILLTRÄDE TILL RIKSDAGENS LOKALER

8.6.2 Vi ser på frågan ur perspektivet fysisk säkerhet

En inte obetydlig del av den verksamhet som bedrivs i riksdagens lokaler utgör säkerhetskänslig verksamhet. I vissa av lokalerna förekommer det också säkerhetsskyddsklassificerade uppgifter. Enligt 3 § lagen om säkerhetsskydd i riksdagen och dess myndigheter ska den som bedriver säkerhetskänslig verksamhet med utgångspunkt i sin säkerhetsskyddsanalys planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter.

Säkerhetsskyddsåtgärderna delas in i informationssäkerhet, fysisk säkerhet och personalsäkerhet. Fysisk säkerhet ska enligt 7 § lagen om säkerhetsskydd i riksdagen och dess myndigheter bl.a. förebygga att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs. Enligt 9 § ska personalsäkerhet bl.a. förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av någon annan anledning är säkerhetskänslig. En del av personalsäkerheten är den reglering som finns om säkerhetsprövning, vilken bl.a. innefattar en form av lämplighetsprövning både inför att en person ska påbörja sitt deltagande i verksamheten och under tiden personen deltar i verksamheten.

I många fall kan, och ska, flera kategorier säkerhetsskyddsåtgärder kombineras för att uppnå det säkerhetsskydd som verksamheten behöver ha. När det gäller de som kan få tillträde till riksdagens lokaler finns det alltså en legal grund, och skyldighet, att i vissa fall säkerhetspröva dessa. Det gäller för t.ex. anställda vid Riksdagsförvaltningen eller partikanslierna. Denna möjlighet finns dock inte när det gäller tidigare riksdagsledamöter eftersom de inte genom en anställning eller på något annat sätt deltar i riksdagens säkerhetskänsliga verksamhet, jämför 3 kap. 1 § säkerhetsskyddslagen till vilken 10 § lagen om säkerhetsskydd i riksdagen och dess myndigheter hänvisar.

Som vi uppfattar vårt uppdrag innefattar det inte att se över eventuella möjligheter till en säkerhetsprövning av tidigare riksdagsledamöter. När vi i det fortsatta tittar på frågan om tidigare riksdagsledamöters rätt till tillträde kommer vi därför att göra det ur perspektivet fysisk säkerhet, tidigare kallat just tillträdesbegränsning.

8.6.3Det finns inte någon grundläggande rätt att få tillträde till riksdagens lokaler

Vid diskussionen om tidigare riksdagsledamöters tillträdesrätt är det av intresse att se om det finns någon grundläggande rätt att få tillträde till riksdagens lokaler.

Riksdagens ombudsmän (JO) har vid flera tillfällen gjort uttalanden om allmänhetens rätt till tillträde till myndigheters lokaler. Enligt JO är det självklart

8 TIDIGARE RIKSDAGSLEDAMÖTERS RÄTT TILL TILLTRÄDE TILL RIKSDAGENS LOKALER

2020/21:URF3

att medborgarna ska ha insyn i hur det allmännas verksamhet bedrivs, eftersom verksamheten bedrivs för medborgarnas räkning. Från den synpunkten gäller att myndigheternas dörrar ska stå öppna för medborgarna. JO säger dock samtidigt att åtskilliga myndigheters verksamheter inte fullt ut kan bedrivas på ett ändamålsenligt sätt om allmänheten skulle ha rätt att röra sig fritt överallt i deras lokaler. Myndigheter kan därför enligt JO inskränka allmänhetens tillträde till att endast gälla vissa delar av lokalerna eller under vissa tider. Vidare kan myndigheterna ställa upp ordningsregler. Myndigheternas frihet i dessa avseenden är dock inte obegränsad. Tillträdes- och ordningsregler får inte vara godtyckliga, diskriminerande eller på annat sätt dikterade av ovidkommande skäl. Den för all myndighetsverksamhet grundläggande regeln i 1 kap. 9 § RF, som föreskriver att saklighet och opartiskhet iakttas, sätter en tydlig ram. Av kravet på att uppställda regler ska ha saklig grund följer enligt JO att möjligheterna att begränsa allmänhetens tillträde till och frihet att vistas i en myndighets lokaler kan variera beroende på vad för slags verksamhet som bedrivs. Det är t.ex. skillnad mellan att besöka ett kommunalt bibliotek och att uppehålla sig i landstingens (numera regionernas) sjukhuslokaler. JO konstaterar också att det på flera områden föreskrivs en skyldighet för myndigheter att ta emot allmänheten. Vidare har myndigheter enligt tryckfrihetsförordningen en principiell skyldighet att på stället tillhandahålla allmänna handlingar om någon önskar ta del av dem.120

JO:s uttalande rör myndigheters lokaler och allmänhetens tillträde till dessa. Enligt vår mening bör dock resonemanget kunna tillämpas även på frågan om tillträdesrätt till riksdagens lokaler. Mot bakgrund av det anser vi att det inte finns någon grundläggande rätt att få tillträde till riksdagens lokaler. Det ligger i stället i riksdagens (och då Riksdagsförvaltningen) hand att avgöra vad som ska gälla för tillträdet till lokalerna. Regleringen får dock såklart inte hindra den i 4 kap. 9 § RF grundlagsstadgade rätten att närvara vid kammarens offentliga sammanträden. Regleringen får inte heller i övrigt lägga onödiga hinder i vägen för öppenheten gentemot enskilda, se 8 § lagen om säkerhetsskydd i riksdagen och dess myndigheter. De tillträdesregler som finns måste också i enlighet med 1 kap. 9 § RF ha saklig grund.

8.6.4 Behovet måste vara styrande

Fysisk säkerhet handlar om att skydda mot att obehöriga får tillträde till platser där säkerhetskänslig verksamhet bedrivs och mot skadlig inverkan på säkerhetskänslig verksamhet, se 7 § lagen om säkerhetsskydd i riksdagen och dess myndigheter. Centralt för tillträdesfrågan är därmed, enligt vår mening, vem som kan sägas vara behörig respektive obehörig. Det blir extra viktigt i de fall säkerhetsskyddsåtgärderna i fråga om personalssäkerhet, som t.ex. säkerhetsprövning, inte kan användas.

120Se t.ex. JO dnr 3909-2010, JO dnr 6968-2009 och JO dnr 1269-2005.

169

2020/21:URF3

170

8TIDIGARE RIKSDAGSLEDAMÖTERS RÄTT TILL TILLTRÄDE TILL RIKSDAGENS LOKALER

Vilka som är att se som behöriga respektive obehöriga framgår inte av den nämnda lagen. Vi anser dock att det avgörande vid diskussionen om vilka möjligheter som bör finnas till tillträde måste vara vilket behov en person har av tillträde till riksdagens lokaler, givetvis med beaktande av det vi tidigare har sagt om den grundlagsstadgade rätten att närvara vid kammarens offentliga sammanträden och att en reglering inte heller i övrigt får lägga onödiga hinder i vägen för öppenheten gentemot enskilda. Med tanke på riksdagens funktion som sådan bör det gälla även för tillträde till de delar av riksdagens lokaler där det inte bedrivs säkerhetskänslig verksamhet eller förekommer säkerhetsskyddsklassificerade uppgifter.

Den nuvarande regleringen utgår också till viss del från just ett behovsresonemang. När det gäller de som omfattas av 6 kap. 5 och 6 §§ riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna – däribland anställda vid Riksdagsförvaltningen och partikanslierna – ska Riksdagsförvaltningen, när den fattar beslut om rätt till tillträde, beakta behovet av tillträde för att fullgöra en anställning eller ett uppdrag. Vår uppfattning är att det, om det i framtiden skulle bli aktuellt med en diskussion om tillträdesrätten för övriga kategorier (t.ex. besökare), vore klokt att även då låta behovet av tillträde tjäna som utgångspunkt.

8.6.5Tidigare riksdagsledamöter har inte behov av någon särskild tillträdesrätt utöver den som gäller för besökare

Frågan är då vilket behov av tillträde till riksdagens lokaler som tidigare riksdagsledamöter faktiskt har. Det kan konstateras att dessa i dag har en vidsträckt möjlighet till tillträde till riksdagens lokaler. Visserligen krävs för varje enskild tidigare riksdagsledamot ett beslut av Riksdagsförvaltningen. Det görs också en begränsning när det gäller vilka tider och vilka utrymmen inom riksdagens lokaler som de har tillgång till. Jämfört med den grupp som närmast ligger till hands att titta på, dvs. besökare som liksom tidigare riksdagsledamöter inte har någon anställning eller något uppdrag kopplat till riksdagens lokaler, kan dock en tidigare riksdagsledamot själv skaffa sig tillträde genom ett passerkort som kan användas vid de bemannade entréerna till riksdagens lokaler under deras öppettider. En tidigare riksdagsledamot behöver inte ledsagas av en besöksmottagare eller liknande utan får röra sig fritt i de utrymmen inom riksdagens lokaler som Riksdagsförvaltningen har medgett tillträde till.

Den nuvarande tillträdesrätten finns av gammal hävd. Från början saknades reglering men sedan 2006 finns det inskrivet i riksdagsstyrelsens föreskrifter om vad som ska vara styrande vid beslut om tillträdesrätten. Vi kan dock inte se att det någon gång har förts ett resonemang om just behovet av tillträde för tidigare riksdagsledamöter. I våra direktiv talas det i och för sig om ”riksdagsledamotsuppdragets speciella karaktär”. Vad som ligger i det argumentet är för oss oklart när det gäller tidigare riksdagsledamöter – en tidigare riksdagsledamot är ju inte längre riksdagsledamot. Enligt vår mening kan det argumen-

8 TIDIGARE RIKSDAGSLEDAMÖTERS RÄTT TILL TILLTRÄDE TILL RIKSDAGENS LOKALER

2020/21:URF3

tet alltså inte tas till intäkt för att tidigare riksdagsledamöter har ett behov av den vidsträckta tillträdesrätt som finns i dag.

När det gäller övriga argument för en sådan tillträdesrätt skulle det kanske, inom ramen för t.ex. ett erfarenhetsutbyte, kunna finnas ett behov av kommunikation mellan tidigare och nuvarande riksdagsledamöter. Det arbetet skulle möjligen kunna underlättas av den nuvarande ordningen. Våra samtal med partikanslierna har dock inte gett stöd för att det behövs en sådan villkorslös tillträdesrätt som det gör nu. Som vi ser det är en sådan kommunikation dessutom mer till för partiet som sådant än för de nu sittande riksdagsledamöterna och kan lika gärna försiggå på annan plats än i just riksdagens lokaler, t.ex. i partiernas externa lokaler. Om kommunikationen ändå måste genomföras på plats i riksdagens lokaler finns det alltid en möjlighet att bjuda in den tidigare riksdagsledamoten som besökare med t.ex. en nuvarande riksdagsledamot som besöksmottagare, något många av de företrädare för partikanslierna som vi har pratat med också har konstaterat. Vi kan inte heller se att det som har framkommit om ordningen i andra länder (se vår redogörelse i avsnitt 8.5) ger stöd för den ordning som finns i Sverige i dag. Visserligen är tillträdesrätten för tidigare ledamöter i många länder tämligen vidsträckt, men det i sig kan inte utgöra argument för att den ska vara det även för Sveriges del. Det finns också exempel på länder där tidigare ledamöter ur tillträdessynpunkt ses som vilken besökare som helst.

Sammanfattningsvis är det vår bedömning att behovet av tillträde till riksdagens lokaler för en tidigare riksdagsledamot inte ser annorlunda ut än att det kan tillgodoses genom de bestämmelser som finns för besökare i övrigt. Att under de förhållandena ha en villkorslös, mer generell tillträdesrätt för tidigare riksdagsledamöter än för besökare skulle till och med kunna sägas strida mot bestämmelsen i 1 kap. 9 § RF om allas likhet inför lagen och saklighet. Enligt vår mening bör alltså samma regler gälla för tidigare riksdagsledamöter som för besökare. Därmed bör specialbestämmelserna om tidigare riksdagsledamöter utmönstras ur riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna.

8.6.6 Avslutande reflektioner

Avslutningsvis vill vi också säga något om nu gällande 6 kap. 22 § riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna. Av bestämmelsen framgår att besökare till en riksdagsledamot vid besök i riksdagens lokaler inte behöver bära en besöksbricka med namn utan att det räcker med en handling som anger ”Besökare” eller besöksmottagarens namn. Vi förstår att det ibland kan finnas skäl för att en besökare till en riksdagsledamot inte bör skylta med sitt namn. Som vi har fått berättat för oss finns dock i ett sådant fall denna besökares namn inte registrerat någonstans. Det ligger visserligen inte i vårt uppdrag att titta på just den ordningen men vi vill ändå lyfta fram att vi anser att namnet – ur säkerhetsskyddsperspektiv – åtminstone borde registreras i besökssystemet.

171

2020/21:URF3

172

8TIDIGARE RIKSDAGSLEDAMÖTERS RÄTT TILL TILLTRÄDE TILL RIKSDAGENS LOKALER

Vår förhoppning är därför att denna fråga undersöks vidare för att bl.a. utröna vilka möjligheter som finns att med stöd av någon bestämmelse i offentlighets- och sekretesslagen sekretessbelägga en sådan uppgift i registret.

2020/21:URF3

9Ikraftträdande- och övergångsbestämmelser

9.1 Överväganden

Förslaget i korthet

De föreslagna lagändringarna ska träda i kraft tidigast den 1 juli 2022. Den upphävda 12 § lagen om säkerhetsskydd i riksdagen och dess myn-

digheter och föreskrifter som har meddelats i anslutning till den paragrafen ska gälla för säkerhetsskyddsavtal som har ingåtts före ikraftträdandet.

9.1.1 Ikraftträdande

De bestämmelser vi föreslår syftar till att på ena eller andra sättet stärka säkerhetsskyddet för riksdagen och dess myndigheter. Det är därför angeläget att bestämmelserna kan träda i kraft så fort det är möjligt.

Samtidigt får det fortsatta lagstiftningsarbetet inte hastats igenom utan det måste få ta den tid som behövs. Vi ser det också som viktigt att det ges tillräckligt med tid för respektive institution att ta fram de interna föreskrifter som behövs som ett komplement till de lagförslag vi lägger fram. Mot den bakgrunden bedömer vi att lagändringarna kan träda i kraft tidigast den 1 juli 2022. Som vi har noterat i avsnitt 6.9.4, där vi föreslår att kopplingen mellan säkerhetsskyddsavtal och säkerhetsprövning ska förtydligas, kan det dock finnas skäl att bryta ut just den frågan och behandla den separat för att på så vis möjliggöra ett eventuellt ikraftträdande i den delen redan den 1 december 2021.

9.1.2 Övergångsbestämmelser

Huvudprincipen i svensk rätt är att civilrättslig lagstiftning inte ska ges retroaktiv verkan. De föreslagna bestämmelserna om säkerhetsskyddsavtal bör därför inte tillämpas på sådana säkerhetsskyddsavtal som har ingåtts innan bestämmelserna träder i kraft. För sådana avtal bör i stället den hittills gällande 12 § lagen om säkerhetsskydd i riksdagen och dess myndigheter och eventuella interna föreskrifter som har meddelats i anslutning till den paragrafen gälla. I likhet med vad som förs fram i lagrådsremissen Ett starkare skydd för Sveriges säkerhet anser vi att det bör komma till uttryck i en övergångsbestämmelse. Vidare bör samarbeten och samverkan som har inletts före ikraftträdandet och som inte omfattas av det nuvarande kravet på säkerhetsskyddsavtal inte heller omfattas av det föreslagna utvidgade kravet på att ingå säkerhetsskyddsavtal. Det bör alltså inte finnas en skyldighet att ingå säkerhetsskyddsavtal i efterhand i sådana situationer. Någon övergångsbestämmelse för att

173

2020/21:URF3

174

9IKRAFTTRÄDANDE- OCH ÖVERGÅNGSBESTÄMMELSER

bestämmelserna ska tillämpas på det sättet behövs dock inte, jämför även där med resonemanget i lagrådsremissen.121

121Se lagrådsremissen Ett starkare skydd för Sveriges säkerhet s. 119.

2020/21:URF3

10 Konsekvenser av utredningens förslag

10.1 Överväganden

Bedömning

Förslagen om säkerställande av säkerhetsskydd på annat sätt än genom tillsyn, utkontraktering m.m. samt säkerhetsskyddschef kommer att leda till kostnadsökningar för Riksdagsförvaltningen (som även har ansvar för riksdagens säkerhet), Riksbanken, JO och Riksrevisionen. Förslagen om säkerhetsskydd på annat sätt än genom tillsyn samt säkerhetsskyddschef kommer även att få vissa organisatoriska konsekvenser. Vidare kommer det att krävas mycket arbete, och därmed också resurser, hos de aktuella myndigheterna för att ta fram kompletterande interna föreskrifter.

I nuläget kommer förslagen inte att leda till några kostnadsökningar för nämndmyndigheterna. Merparten av nämnderna har uppgett att de inte har gjort någon säkerhetsskyddsanalys och de som har gjort en sådan analys har kommit fram till att de inte bedriver någon säkerhetskänslig verksamhet. Om någon nämndmyndighet i framtiden kommer att bedriva säkerhetskänslig verksamhet kan det dock leda till kostnadsökningar. Det är alltför osäkert att bedöma i vilken omfattning det kan bli aktuellt. Förslagen medför inga organisatoriska konsekvenser för nämndmyndigheterna.

Förslagen om granskning, anmälningsskyldighet och utkontraktering

m.m.innebär också en ökad arbetsbörda för Säkerhetspolisen, vilket det måste tas höjd för vid planeringen av den myndighetens resurser.

10.1.1 Uppdraget i denna del

Enligt direktiven ska vi bedöma vilka ekonomiska och organisatoriska konsekvenser de förslag vi lämnar får för Riksdagsförvaltningen, Riksbanken, Riksdagens ombudsmän (JO) och Riksrevisionen.

10.1.2Ekonomiska och organisatoriska konsekvenser för Riksdagsförvaltningen, Riksbanken, JO och Riksrevisionen

Våra förslag kan delas in i sju delar där de fyra första berör Riksdagsförvaltningen, Riksbanken, JO och Riksrevisionen och de tre sista enbart berör Riksdagsförvaltningen. När det gäller JO så har den myndigheten inlett ett arbete med att se över säkerhetsskyddsfrågorna. Eftersom arbetet pågår är det svårt att uttala sig om eventuella ekonomiska och organisatoriska konsekvenser för JO:s del när det gäller våra förslag. Även för övriga myndigheter får de närmare ekonomiska konsekvenserna bli en fråga för den fortsatta beredningen av våra förslag. I stort kan dock följande sägas för de aktuella myndigheterna.

För säkerställande av säkerhetsskydd på annat sätt än genom tillsyn (avsnitt 6.7) föreslår vi bl.a. att den interna och den externa granskningen av hur

175

2020/21:URF3

176

10KONSEKVENSER AV UTREDNINGENS FÖRSLAG

säkerhetsskyddsbestämmelserna hos riksdagen och dess myndigheter följs ska utvecklas. Den interna granskningen bör utföras av säkerhetsskyddschefen med hjälp av en särskild granskningsfunktion. Rent organisatoriskt måste det alltså hos varje myndighet dels införas en funktion i form av en säkerhetsskyddschef (se mer om det nedan), dels skapas en granskningsfunktion. Det är också viktigt att det avsätts tillräckliga resurser, både för själva granskningsfunktionen och hos de delar av verksamheten som ska granskas. Enligt vår bedömning kommer våra förslag i denna del att leda till kostnadsökningar för Riksdagsförvaltningen, Riksbanken, JO och Riksrevisionen. Kostnaderna bör bli större desto ju verksamhet det är som ska granskas.

När det gäller införandet av en anmälningsskyldighet vid säkerhetshotande händelser (avsnitt 6.8) föreslår vi att det ska införas en skyldighet för riksdagen och för dess myndigheter att till Säkerhetspolisen skyndsamt anmäla vissa säkerhetshotande händelser och verksamhet. Vi kan inte se att det i sig kommer att leda till några ökade kostnader eller organisatoriska förändringar.

Våra förslag om utkontraktering m.m. (avsnitt 6.9) innebär att fler förfaranden än vad som är fallet i dag kommer att omfattas av kravet på säkerhetsskyddsavtal. Våra förslag innebär också att själva processen för säkerhetsskyddsavtal kommer att bli mer omfångsrik, låt så vara att vissa av myndigheterna har interna föreskrifter om t.ex. säkerhetsskyddsavtal med underleverantörer och revidering av säkerhetsskyddsavtal varför sådana bestämmelser inte borde innebära någon större kostnad. Vi ser det som svårt att på förhand avgöra hur många fler förfaranden som kommer att omfattas av kravet på säkerhetsskyddsavtal och därmed också de utökade processerna. Förslagen kommer dock att innebära kostnadsökningar för respektive myndighet.

Enligt våra förslag om säkerhetsskyddschef (avsnitt 6.10) bör det hos var och en av myndigheterna Riksdagsförvaltningen (då även i egenskap av ansvarig för riksdagens säkerhet), Riksbanken, JO och Riksrevisionen finnas en funktion i form av en säkerhetsskyddschef som har ett övergripande ansvar för säkerhetsskyddet. Denna chef bör vara direkt underställd riksdagsdirektören, Riksbankens direktion, chefsjustitieombudsmannen respektive riksrevisorn. Redan i dag finns hos flera av myndigheterna en säkerhetsskyddschef. Ef- tersom denna chef kommer att få ett utökat ansvar jämfört med i dag är det troligt att vårt förslag kan komma att innebära kostnadsökningar. Som vi har resonerat om i avsnittet om säkerhetsskyddschef kan det också finnas skäl att fundera över hur den del av verksamheten som har som huvuduppgift att hantera säkerhetsskyddsfrågor ska se ut. Exempelvis kan en organisation med en stor mängd säkerhetskänslig verksamhet eller särskilt viktig säkerhetskänslig verksamhet behöva ha en särskild avdelning för säkerhetsskydd och liknande frågor medan sådana frågor i mindre organisationer kan skötas av en enhet.

Vårt förslag om säkerhetsprövning av anställda vid partigruppernas kanslier (avsnitt 7.4) kan närmast sägas vara en kodifiering av vad som gäller i dag. Vår bedömning är därför att det inte medför några ökade kostnader eller organisatoriska förändringar.

10 KONSEKVENSER AV UTREDNINGENS FÖRSLAG

2020/21:URF3

När det gäller vårt förslag att i lag införa en bestämmelse om tystnadsplikt för anställda vid partigruppernas kanslier (avsnitt 7.5) tror vi att det är bra med informations- och utbildningsinsatser för de partikanslianställda för att förklara bl.a. bestämmelsens innebörd. Vi bedömer dock att detta kan göras inom ramen för det samarbete som Riksdagsförvaltningen och partikanslierna redan har och vår uppfattning är att det inte kommer att medföra några ökade kostnader.

I frågan om tidigare riksdagsledamöters rätt till tillträde till riksdagens lokaler (avsnitt 8) föreslår vi att de särskilda bestämmelser som finns om dessas tillträdesrätt bör utmönstras. Riksdagsförvaltningen kommer därmed att kunna upphöra med sin nuvarande hantering för att administrera de tidigare ledamöternas tillträdesrätt, som t.ex. att utfärda passerkort. Samtidigt kan det hända att den vanliga besökshanteringen kan behöva öka, så vi tror inte att det kommer att leda till någon större kostnadsbesparing.

Vi vill också påpeka att det kommer att krävas mycket arbete, och därmed också resurser, hos de aktuella myndigheterna för att ta fram kompletterande interna föreskrifter till de lagändringar vi föreslår. Våra förslag om granskning, anmälningsskyldighet och utkontraktering m.m. innebär också en ökad arbetsbörda för Säkerhetspolisen, vilket det måste tas höjd för vid planeringen av den myndighetens resurser.

Sammanfattningsvis är det alltså vår bedömning att vissa av våra förslag kommer att leda till kostnadsökningar. Vi vill dock betona att säkerhet måste få kosta, inte minst i tider när säkerhetshoten mot Sverige ökar.

10.1.3Ekonomiska och organisatoriska konsekvenser för nämndmyndigheterna

Vi har tidigare nämnt att vi under utredningens gång varit i kontakt med riksdagens nämndmyndigheter, dvs. Partibidragsnämnden, Riksdagens arvodesnämnd, Statsrådsarvodesnämnden, Nämnden för prövning av statsråds och vissa andra befattningshavares övergångsrestriktioner, Nämnden för lön till riksdagens ombudsmän och riksrevisorn, Riksdagens överklagandenämnd, Valprövningsnämnden och Riksdagens ansvarsnämnd. Merparten av dem har uppgett att de inte har gjort någon säkerhetsskyddsanalys. De nämnder som har gjort en sådan analys har kommit fram till att de inte bedriver någon säkerhetskänslig verksamhet. Som vi har varit inne på i avsnitt 6.6.1 skulle det dock någon gång i framtiden kunna inträffa ett en nämndmyndighet bedriver säkerhetskänslig verksamhet och därmed behöver tillämpa bestämmelserna i lagen om säkerhetsskydd i riksdagen och dess myndigheter.

Det som sägs i våra överväganden kan alltså i vissa fall komma att gälla även för nämnderna. Vi ser det dock som allt för osäkert att bedöma i vilken omfattning det kan komma att bli aktuellt och vi kan därför inte säga något om eventuella kostnadsökningar för dessa nämnder. Vi kan dock inte se att våra förslag medför några organisatoriska konsekvenser för nämndmyndigheterna.

177

2020/21:URF3

11 Författningskommentar

11.1Förslag till lag om ändring i lagen (2011:745) med instruktion för Riksdagsförvaltningen

11 a § En bestämmelse om styrelsens rätt att neka Säkerhetspolisen att göra en sådan granskning som avses i 21 § första stycket lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter samt att neka Säkerhetspolisen tillgång till uppgifter vid en sådan granskning finns i 21 § andra stycket nämnda lag.

Paragrafen är ny. Den tydliggör det ansvar riksdagsstyrelsen har enligt den föreslagna 21 § lagen om säkerhetsskydd i riksdagen och dess myndigheter. Enligt den bestämmelsen får riksdagsstyrelsen vid granskning utförd av Sä- kerhetspolisen, om det finns särskilda skäl, för riksdagens, talmannens eller en enskild riksdagsledamots del, helt eller delvis, neka Säkerhetspolisen att utföra en granskning samt neka Säkerhetspolisen tillgång till uppgifter vid en granskning.

Förslaget behandlas i avsnitt 6.7.11.

11.2Förslag till lag om ändring i säkerhetsskyddslagen (2018:585)

3 kap. Säkerhetsprövning Ansvar för säkerhetsprövningen

4 § Säkerhetsprövningen ska utgå från uppgifter som kommit fram när grundutredningen gjordes och den kännedom som i övrigt finns om den som ska prövas, uppgifter som har lämnats ut efter registerkontroll och särskild personutredning, arten av den verksamhet som prövningen gäller samt omständigheterna i övrigt.

Bedömningen görs av den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga verksamheten, om inte annat följer av tredje stycket, 4 a § eller 4 b §.

Om det finns anledning till det, ska en tidigare gjord bedömning av en persons lämplighet att delta i den säkerhetskänsliga verksamheten omprövas.

Paragrafen reglerar bedömningen vid ställningstagande till anställning eller deltagande i den säkerhetskänsliga verksamheten och vem som ansvarar för den. I andra stycket görs ett tillägg som innebär att det som där anges om

178

11 FÖRFATTNINGSKOMMENTAR

2020/21:URF3

ansvar för bedömningen av säkerhetsprövningen inte gäller om något annat följer av 4 b §.

Övervägandena finns i avsnitt 7.4 med underavsnitt.

4 b § Den slutliga bedömningen enligt 4 § görs av Riksdagsförvaltningen när det gäller anställda vid sådana kanslier som avses i 3 kap. 6 § lagen (2016:1109) om stöd till partigrupperna för riksdagsledamöternas arbete i riksdagen som har placerats i säkerhetsklass för deltagande i riksdagens eller Riksdagsförvaltningens verksamhet.

Paragrafen är ny och utgör en kodifiering av den ordning som i dag gäller enligt överenskommelser som respektive partikansli har tecknat med Riksdagsförvaltningens säkerhetschef. Paragrafen innebär att det är Riksdagsförvaltningen som har ansvar för den slutliga bedömningen av säkerhetsprövningen när det gäller anställda vid partikanslierna som har placerats i säkerhetsklass för deltagande i riksdagens eller Riksdagsförvaltningens verksamhet. Med ”anställda vid sådana kanslier som avses i 3 kap. 6 § lagen (2016:1109) om stöd till partigrupperna för riksdagsledamöternas arbete i riksdagen” menas personer som har anställts antingen av ett partikansli direkt eller av ett parti för att biträda riksdagens ledamöter.

Övervägandena finns i avsnitt 7.4 med underavsnitt.

11.3Förslag till lag om ändring i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning

1 kap. Inledande bestämmelser

4 § Artiklarna 33 och 34 i EU:s dataskyddsförordning tillämpas inte i fråga om personuppgiftsincidenter som ska rapporteras enligt säkerhetsskyddslagen (2018:585), anmälas enligt lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter eller enligt föreskrifter som har meddelats i anslutning till de lagarna.

Paragrafen innehåller undantag från 1 kap. 2 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Paragrafen har kompletterats så att det framgår att artiklarna 33 och 34 i EU:s dataskyddsförordning om anmälan av en personuppgiftsincident till tillsynsmyndigheten (för Sveriges del Integritetsskyddsmyndigheten) respektive om information till den registrerade om en personuppgiftsincident inte tillämpas när det är fråga om personuppgiftsincidenter som ska anmälas enligt lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter eller föreskrifter som har meddelats i anslutning till den lagen.

Övervägandena finns i avsnitt 6.8.6.

179

2020/21:URF3

180

11FÖRFATTNINGSKOMMENTAR

11.4Förslag till lag om ändring i lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter

Utformningen av säkerhetsskyddet

3 § Den som bedriver säkerhetskänslig verksamhet ska utreda behovet av säkerhetsskydd (säkerhetsskyddsanalys). Säkerhetsskyddsanalysen ska dokumenteras.

Verksamhetsutövaren är skyldig att skyndsamt anmäla säkerhetshotande händelser och verksamhet i den egna verksamheten till Säkerhetspolisen.

I paragrafen anges vilka skyldigheter den som bedriver säkerhetskänslig verksamhet har. Paragrafen har kompletterats med ett fjärde stycke som anger en skyldighet för verksamhetsutövaren att skyndsamt anmäla säkerhetshotande händelser och verksamhet i den egna verksamheten till Säkerhetspolisen. I och med att det står ”verksamhetsutövaren” omfattas även riksdagen av skyldigheten.

Vad som avses med säkerhetshotande händelser och verksamhet i den egna verksamheten, dvs. vad som i detalj ska anmälas, regleras inte i paragrafen. Det får i stället regleras i respektive institutions interna föreskrifter. De interna föreskrifterna bör i det sammanhanget ha samma innebörd som 2 kap. 10 § säkerhetsskyddsförordningen, dvs. riksdagen och dess myndigheter i egenskap av verksamhetsutövare bör vara skyldiga att skyndsamt anmäla om en säkerhetsskyddsklassificerad uppgift kan ha röjts, om det har det inträffat en it-in- cident i ett informationssystem som verksamhetsutövaren är ansvarig för och som har betydelse för säkerhetskänslig verksamhet och där incidenten allvarligt kan påverka säkerheten i systemet och om verksamhetsutövaren får kännedom eller misstanke om någon annan för denne allvarlig säkerhetshotande verksamhet.

Övervägandena finns i avsnitt 6.8.1–6.8.5.

Säkerhetsskyddschef

3 a § Vid Riksdagsförvaltningen, Riksbanken, Riksdagens ombudsmän och Riksrevisionen ska det finnas en säkerhetsskyddschef.

Säkerhetsskyddschefen ska leda och samordna säkerhetsskyddsarbetet samt granska att denna lag och de föreskrifter som har meddelats i anslutning till lagen samt säkerhetsskyddslagen (2018:585) i tillämpliga delar följs.

11 FÖRFATTNINGSKOMMENTAR

2020/21:URF3

Säkerhetsskyddschefen ska också granska föreskrifternas ändamålsenlighet. Detta ansvar får inte delegeras.

Säkerhetsskyddschefen ska vara direkt underställd riksdagsdirektören, Riksbankens direktion, chefsjustitieombudsmannen respektive riksrevisorn.

Paragrafen är ny och reglerar att det ska finnas en säkerhetsskyddschef vid Riksdagsförvaltningen, Riksbanken, Riksdagens ombudsmän (JO) och Riksrevisionen, vilka uppgifter denna chef ska ha samt dennas placering i organisationen. Det framgår också att säkerhetsskyddschefens ansvar inte får delegeras.

Vad säkerhetsskyddschefen i övrigt ska ha för uppgifter är upp till respektive myndighet att avgöra och reglera i sina interna föreskrifter.

Övervägandena finns i avsnitt 6.10 med underavsnitt.

Säkerhetsskyddsavtal

12 § En myndighet som anges i 1 § och som avser att genomföra en upphandling, ingå ett avtal eller inleda en samverkan eller ett samarbete med en annan aktör, ska ingå ett säkerhetsskyddsavtal med aktören, om aktören genom förfarandet kan få tillgång till

1.säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller

2.annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Myndigheten ska även ingå ett säkerhetsskyddsavtal med en underleverantör som anlitas för att fullgöra den andra aktörens förpliktelse, om underleverantören genom sitt uppdrag kan få en sådan tillgång till den säkerhetskänsliga verksamheten som anges i första stycket.

Ett säkerhetsskyddsavtal ska ingås innan motparten kan få tillgång till den säkerhetskänsliga verksamheten.

Paragrafen är delvis ny. Första stycket motsvarar delvis hittills gällande 12 § första stycket. I förhållande till nuvarande 12 § utvidgas dock kravet på riksdagens myndigheter att ingå säkerhetsskyddsavtal till att inte bara gälla upphandlingssituationer utan alla slags avtal, samarbeten och samverkan, med de undantag som framgår av den föreslagna 13 §. Det spelar alltså ingen roll om myndigheten i fråga är beställare eller leverantör i ett avtalsförhållande. Däremot omfattas inte sådana situationer där t.ex. JO eller Riksrevisionen i sina respektive granskande verksamheter får tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet. Det gäller både om uppgifterna hämtas in från granskningsobjektet och om de hämtas från annat håll.

I andra stycket uppställs en skyldighet för myndigheterna att i vissa fall ingå säkerhetsskyddsavtal med underleverantörer.

181

2020/21:URF3

182

11FÖRFATTNINGSKOMMENTAR

Tredje stycket innebär en skyldighet för myndigheten att ingå säkerhetsskyddsavtalet innan motparten i säkerhetsskyddsavtalet kan få tillgång till den säkerhetskänsliga verksamheten.

Övervägandena finns i huvudsak i avsnitt 6.9.3 och avsnitt 6.9.4.

13 § Mellan myndigheter som anges i 1 § och mellan sådana myndigheter och andra statliga myndigheter gäller kravet på säkerhetsskyddsavtal enligt 12 § endast vid anskaffning av en vara, tjänst eller byggentreprenad.

Om det finns särskilda skäl får en myndighet som anges i 1 § i ett enskilt fall besluta om undantag från skyldigheten att ingå säkerhetsskyddsavtal.

Paragrafen är ny. I första stycket anges en begränsning av skyldigheten för riksdagens myndigheter att ingå säkerhetsskyddsavtal. Ledning vid tolkning av begreppet anskaffning kan hämtas i upphandlingslagstiftningen.

Av andra stycket framgår ytterligare ett undantag från kravet på säkerhetsskyddsavtal, nämligen sådana situationer där Riksdagsförvaltningen inom ramen för 1 § andra stycket 1 lagen med instruktion för Riksdagsförvaltningen tillhandahåller resurser och service för riksdagsorganens verksamhet. Till riksdagsorgan räknas bl.a. myndigheterna under riksdagen.

Eftersom det kan finnas även andra situationer än de som täcks in av undantagen i första och andra stycket där det inte framstår som rimligt eller nödvändigt med ett krav på säkerhetsskyddsavtal ges myndigheterna genom tredje stycket en möjlighet att, om det finns särskilda skäl, i ett enskilt fall besluta om undantag från skyldigheten att ingå säkerhetsskyddsavtal.

Frånvaro av ett krav på säkerhetsskyddsavtal innebär inte att en myndighet som är verksamhetsutövare kan bortse från säkerhetsskyddet under ett visst förfarande utan att detta får tillgodoses på andra sätt som t.ex. genom någon annan form av säkerhetsskyddsöverenskommelse.

Förslaget behandlas i avsnitt 6.9.4.

14 § Ett säkerhetsskyddsavtal ska innehålla de krav på motparten som behövs för att kraven på säkerhetsskydd enligt 3 § ska kunna tillgodoses.

Paragrafen är ny och anger vad ett säkerhetsskyddsavtal ska innehålla. Dess första stycke motsvarar delvis vad som i dag framgår av 12 §. Kravet utvidgas dock till att gälla inte enbart leverantörer utan alla aktörer som de aktuella myndigheterna kan ha ingått säkerhetsskyddsavtal med enligt den föreslagna

11 FÖRFATTNINGSKOMMENTAR

2020/21:URF3

12 §. Vidare framgår att myndigheterna inte bara har en skyldighet att reglera vilka motpartens åtaganden är utan även att se till att de krav som ställs på motparten gör att kraven på säkerhetsskydd kan tillgodoses under förfarandet.

Enligt andra stycket ska myndigheten även se till att det i säkerhetsskyddsavtalet anges hur den ska få kontrollera att motparten följer säkerhetsskyddsavtalet och att verksamhetsutövaren har rätt att revidera säkerhetsskyddsavtalet om det krävs på grund av ändrade förhållanden. Det är viktigt att myndigheterna ser till att i sina avtal med respektive motpart ha tydligt reglerat att de har en möjlighet att ingripa och vidta åtgärder om det behövs.

Övervägandena finns i avsnitt 6.9.4.

15 § Bestämmelserna i 3 kap. säkerhetsskyddslagen (2018:585) och föreskrifter som har meddelats i anslutning till de bestämmelserna får tillämpas för säkerhetsprövning enligt ett säkerhetsskyddsavtal.

Paragrafen är ny och innehåller ett förtydligande av kopplingen mellan säkerhetsskyddsavtal och säkerhetsprövning. Enligt paragrafen får 3 kap. säkerhetsskyddslagen och föreskrifter som har meddelats i anslutning till bestämmelserna i det kapitlet tillämpas för säkerhetsprövning enligt ett säkerhetsskyddsavtal. Det innebär bl.a. att avtalet kan utgöra grund för krav på säkerhetsprövning av motpartens personal i enlighet med de bestämmelserna. Vidare innebär det att avtalet kan utgöra grund för beslut om att placera en anställning eller annat deltagande hos motparten i säkerhetsklass och följaktligen även för registerkontroll och särskild personutredning.

Övervägandena finns i avsnitt 6.9.4.

16 § En myndighet som anges i 1 § ska kontrollera att motparten följer säkerhetsskyddsavtalet och revidera avtalet om det krävs på grund av ändrade förhållanden.

Om motparten inte följer säkerhetsskyddsavtalet ska myndigheten vidta de åtgärder som behövs för att tillgodose kraven på säkerhetsskydd.

Paragrafen är ny och reglerar kontroll och revidering av ett säkerhetsskyddsavtal. Kravet i första stycket på att kontrollera att säkerhetsskyddsavtalet följs motsvarar i allt väsentligt hittills gällande 12 § andra stycket. Kravet utvidgas dock till att gälla inte enbart leverantörer utan alla aktörer som de aktuella myndigheterna kan ha ingått säkerhetsskyddsavtal med enligt den föreslagna 12 §. Kravet på myndigheten att se till att säkerhetsskyddsavtalet revideras om det krävs på grund av ändrade förhållanden är nytt.

Enligt andra stycket har myndigheten en skyldighet att agera om motparten inte följer säkerhetsskyddsavtalet. Myndigheten ska i sådant fall vidta de åtgärder som behövs för att tillgodose kraven på säkerhetsskydd.

Övervägandena finns i avsnitt 6.9.4.

183

2020/21:URF3

184

11FÖRFATTNINGSKOMMENTAR

Skyldigheter inför förfaranden som kräver säkerhetsskyddsavtal

17 § En myndighet som anges i 1 § som avser att genomföra ett förfarande som innebär ett krav på säkerhetsskyddsavtal enligt 12 § första stycket ska göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning enligt 18 §. Myndigheten ska också samråda med Säkerhetspolisen enligt 19 §.

Paragrafen är ny och reglerar särskild säkerhetsskyddsbedömning, lämplighetsprövning och samråd inför förfaranden som kräver säkerhetsskyddsavtal. Den innebär att en myndighet som avser att genomföra ett förfarande som innebär krav på säkerhetsskyddsavtal ska göra en särskild säkerhetsskyddsbedömning och en lämplighetsprövning enligt den föreslagna 18 § samt samråda med Säkerhetspolisen enligt den föreslagna 19 §. Hänvisningen till 12 § första stycket innebär att skyldigheterna inte gäller inför ett sådant anlitande av en underleverantör som innebär krav på säkerhetsskyddsavtal enligt 12 § andra stycket.

Övervägandena finns i avsnitt 6.9.5.

18 § Innan ett sådant förfarande som avses i 12 § första stycket inleds ska en myndighet som anges i 1 § genom en särskild säkerhetsskyddsbedömning identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den andra aktören kan få tillgång till och som kräver säkerhetsskydd.

Med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter ska myndigheten pröva om det planerade förfarandet är lämpligt från säkerhetsskyddssynpunkt.

Den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen ska dokumenteras.

Om lämplighetsprövningen leder till bedömningen att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt, får det inte inledas.

Paragrafen är ny och reglerar särskild säkerhetsskyddsbedömning och lämplighetsprövning. Av första stycket framgår att en myndighet ska göra en särskild säkerhetsskyddsbedömning innan den inleder ett sådant förfarande som avses i 12 § första stycket. Det innebär att myndigheten ska identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den andra aktören kan få tillgång till och som kräver säkerhetsskydd. Den särskilda säkerhetsskyddsbedömningen ska utgöra ett underlag för den lämplighetsprövning som ska göras och som regleras i andra stycket.

Enligt andra stycket ska myndigheten, med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter, pröva om det planerade förfarandet är lämpligt från säkerhetsskyddssynpunkt. Både den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen ska avse samtliga moment i det planerade förfarandet. Det kan finnas förfaranden som inte är lämpliga oavsett vilka säkerhetsskyddsåtgärder som vidtas.

11 FÖRFATTNINGSKOMMENTAR

2020/21:URF3

Av tredje stycket framgår att den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen ska dokumenteras.

I fjärde stycket klargörs att myndigheten inte får inleda det planerade förfarandet om lämplighetsprövningen enligt andra stycket leder till bedömningen att det är olämpligt från säkerhetsskyddssynpunkt.

Övervägandena finns i avsnitt 6.9.5.

19 § Om lämplighetsprövningen enligt 18 § leder till bedömningen att det planerade förfarandet inte är olämpligt från säkerhetsskyddssynpunkt, ska en myndighet som anges i 1 § innan den inleder förfarandet samråda med Säkerhetspolisen, om det planerade förfarandet innebär att den andra aktören kan få tillgång till

1.säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre, eller

2.annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Paragrafen är ny och reglerar samråd med Säkerhetspolisen. Om lämplighetsprövningen enligt den föreslagna 18 § leder till bedömningen att det planerade förfarandet inte är olämpligt från säkerhetsskyddssynpunkt, är myndigheterna skyldiga att i vissa fall samråda med Säkerhetspolisen.

Med ”den andra aktören” avses detsamma som ”annan aktör” i 12 §.

För att punkt 2 ska vara tillämplig krävs att förfarandet kan ge den andra aktören tillgång till annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet som de säkerhetsskyddsklassificerade uppgifter som avses i första punkten. Det innebär att tillgången till verksamheten måste kunna medföra allvarlig skada för Sveriges säkerhet.

Paragrafen medför inga befogenheter för Säkerhetspolisen att på egen hand inleda ett samråd eller vidta några åtgärder med anledning av samrådet.

Övervägandena finns i avsnitt 6.9.5.

Tystnadsplikt

20 § En anställd vid ett sådant kansli som avses i 3 kap. 6 § lagen (2016:1109) om stöd till partigrupperna för riksdagsledamöternas arbete i riksdagen får inte obehörigen röja eller utnyttja säkerhetsskyddsklassificerade uppgifter som han eller hon har fått del av vid deltagande i riksdagens eller Riksdagsförvaltningens säkerhetskänsliga verksamhet.

Paragrafen är ny och innebär att anställda vid ett sådant kansli som avses i 3 kap. 6 § lagen om stöd till partigrupperna för riksdagsledamöternas arbete i riksdagen, dvs. personer som har anställts antingen av ett partikansli direkt eller av ett parti för att biträda riksdagens ledamöter, i vissa fall åläggs en tystnadsplikt. Tystnadsplikten gäller sådana uppgifter som han eller hon har fått

185

2020/21:URF3

186

11FÖRFATTNINGSKOMMENTAR

del av i sitt arbete med att biträda riksdagsledamöterna, dvs. vid deltagande i riksdagens eller Riksdagsförvaltningens säkerhetskänsliga verksamhet.

Regleringen innebär ingen utvidgning av möjligheterna för de partikanslianställda att få ta del av säkerhetsskyddsklassificerade uppgifter. Utgångspunkten ska även fortsättningsvis vara att de inte ska ta del av sådana uppgifter. I vilka fall sådana uppgifter ändå kan få komma partikanslianställda till del finns reglerat i 3 kap. 1 § riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna.

Brott mot tystnadsplikten är straffsanktionerat genom 20 kap. 3 § brottsbalken.

Övervägandena finns i avsnitt 7.5 med underavsnitt.

Granskning

21 § Säkerhetspolisen ska, med de undantag som anges i andra stycket, granska att denna lag och de föreskrifter som har meddelats i anslutning till lagen samt säkerhetsskyddslagen (2018:585) i tillämpliga delar följs. Säkerhetspolisen ska också granska föreskrifternas ändamålsenlighet. Säkerhetspolisen får inte besluta om några åtgärder med anledning av granskningen.

Om det finns särskilda skäl får riksdagsstyrelsen, för riksdagens, talmannens eller en enskild riksdagsledamots del, helt eller delvis, neka Säkerhetspolisen att utföra en granskning enligt första stycket samt neka Säkerhetspolisen tillgång till uppgifter vid en granskning. Samma rätt gäller för en justitieombudsman, riksrevisorn, riksrevisionsdirektören samt myndigheterna Riksdagsförvaltningen, Riksbanken, Riksdagens ombudsmän och Riksrevisionen.

Paragrafen är ny och reglerar den granskning Säkerhetspolisen ska göra. I första stycket anges vad granskningen ska innefatta, nämligen en granskning av att lagen om säkerhetsskydd i riksdagen och dess myndigheter och de föreskrifter som har meddelats i anslutning till den lagen samt säkerhetsskyddslagen i tillämpliga delar följs. Eftersom riksdagen och dess myndigheter är självreglerande utöver lagen om säkerhetsskydd i riksdagen och dess myndigheter har Säkerhetspolisen också till uppgift att granska de interna föreskrifternas ändamålsenlighet. Med föreskrifter avses all sådan reglering som de olika myndigheterna har meddelat med stöd av 14 § lagen om säkerhetsskydd i riksdagen och dess myndigheter.

11 FÖRFATTNINGSKOMMENTAR

2020/21:URF3

Granskningen ska inriktas mot faktisk kravuppfyllelse och inte bara formell kravuppfyllelse. Det är alltså inte tillräckligt att rutinmässigt kontrollera att den som granskas har agerat utifrån de skyldigheter som följer av regleringen. I stället måste granskningen även avse frågan om det har gjorts på ett tillräckligt bra sätt och om säkerhetsskyddet har anpassats till förutsättningarna i den enskilda verksamheten så att ett väl anpassat säkerhetsskydd uppnås. Det är viktigt att det finns en nära dialog mellan Säkerhetspolisen och respektive myndighet om granskningen, bl.a. för att i ett tidigt skede kunna lösa eventuella frågor av konstitutionell karaktär.

Av stycket framgår också att Säkerhetspolisen inte får besluta om några åtgärder med anledning av granskningen.

Andra stycket innehåller en säkerhetsventil med en möjlighet att helt eller delvis neka Säkerhetspolisen att utföra en granskning enligt första stycket samt neka Säkerhetspolisen tillgång till uppgifter vid en granskning. Med justitieombudsman avses även en ställföreträdande justitieombudsman och med riksrevisor avses även en tillförordnad riksrevisor. För att möjligheten ska kunna användas krävs att det finns särskilda skäl. Exempel på särskilda skäl är att granskningen riskerar att självständigheten för riksdagen, talmannen, en enskild riksdagsledamot, en justitieombudsman eller riksrevisorn alternativt Riksbankens ansvar för penningpolitiken kan komma att påverkas eller ifrågasättas eller att det från sekretessynpunkt inte bedöms lämpligt eller möjligt att låta Säkerhetspolisen ta del av vissa uppgifter.

Av stycket framgår att det för riksdagens, talmannens eller en enskild riksdagsledamots del är riksdagsstyrelsen som kan åberopa särskilda skäl, se även den föreslagna 11 a § lagen med instruktion för Riksdagsförvaltningen. En justitieombudsman, riksrevisorn, riksrevisionsdirektören samt myndigheterna Riksdagsförvaltningen, Riksbanken, JO och Riksrevisionen har samma rätt att helt eller delvis neka Säkerhetspolisen att utföra en granskning samt att neka Säkerhetspolisen tillgång till uppgifter vid en granskning.

I tredje stycket anges ett krav för myndigheterna att till respektive myndighets ledning samt till konstitutionsutskottet alternativt finansutskottet, årligen redovisa vilka granskningsinsatser Säkerhetspolisen har gjort och hur förslag till åtgärder som Säkerhetspolisen har lämnat har tagits om hand. Riksdagsförvaltningens skrivelse ska innehålla även en redovisning av föreslagna åtgärder för riksdagen. Det är upp till respektive myndighets ledning och respektive utskott att avgöra hur skrivelsen ska hanteras. Syftet med skrivelsen är att ytterligare inskärpa vikten av granskningen, att ge vägledning i fråga om i vilka fall det kan finnas skäl att göra avsteg från de föreslagna åtgärderna och för utskottens del också att de ska få en bild av hur arbetet med säkerhetsskyddsfrågor ser ut.

Övervägandena finns i avsnitt 6.7 med underavsnitt.

187

2020/21:URF3

BILAGA 1

Direktiv

188

BILAGA 1: DIREKTIV

2020/21:URF3

189

2020/21:URF3

BILAGA 1: DIREKTIV

190

BILAGA 1: DIREKTIV

2020/21:URF3

191

2020/21:URF3

BILAGA 1: DIREKTIV

192

BILAGA 1: DIREKTIV

2020/21:URF3

193

2020/21:URF3

BILAGA 1: DIREKTIV

194

BILAGA 1: DIREKTIV

2020/21:URF3

195

2020/21:URF3

BILAGA 1: DIREKTIV

196

BILAGA 1: DIREKTIV

2020/21:URF3

197

2020/21:URF3

BILAGA 1: DIREKTIV

198

BILAGA 1: DIREKTIV

2020/21:URF3

199

2020/21:URF3

BILAGA 1: DIREKTIV

200

BILAGA 1: DIREKTIV

2020/21:URF3

201

2020/21:URF3

BILAGA 1: DIREKTIV

202

BILAGA 1: DIREKTIV

2020/21:URF3

203

2020/21:URF3

BILAGA 2

Överenskommelse om säkerhetsprövning och säkerhetsskydd

204

BILAGA 2: ÖVERENSKOMMELSE OM SÄKERHETSPRÖVNING OCH SÄKERHETSSKYDD

2020/21:URF3

205

2020/21:URF3

BILAGA 2: ÖVERENSKOMMELSE OM SÄKERHETSPRÖVNING OCH SÄKERHETSSKYDD

206

BILAGA 2: ÖVERENSKOMMELSE OM SÄKERHETSPRÖVNING OCH SÄKERHETSSKYDD

2020/21:URF3

207

2020/21:URF3

BILAGA 2: ÖVERENSKOMMELSE OM SÄKERHETSPRÖVNING OCH SÄKERHETSSKYDD

208

BILAGA 2: ÖVERENSKOMMELSE OM SÄKERHETSPRÖVNING OCH SÄKERHETSSKYDD

2020/21:URF3

209