Sekretessbelagt, hemligt, konfidentiellt och känsligt

av Stefan Pettersson

En av mina pet peeves är slarv med terminologi. Det är en peeve som inte har tjänat mig så väl, ingen gillar någon som tycker att sådana detaljer är viktiga. Så, jag försöker ligga lågt till vardags, med undantag för idag.

Hemligstämpel

Inom säkerhetsområdet är ett vanligt mål att hindra obehöriga från att ta del av vissa data. Varför då? Av någon anledning är obehörig åtkomst oönskat; vissa data är nämligen:

  • sekretessbelagda,
  • hemliga,
  • konfidentiella eller
  • känsliga.

Data kan vara allihop eller bara vissa av dem. Låt oss utgå från lösenorden som finns i databasen till en webbapplikation; är de sekretessbelagda, hemliga, konfidentiella eller känsliga?

Sekretessbelagt är sådana uppgifter (läs: data) som omfattas av offentlighets- och sekretesslagen (2009:400) eller, populärt, OSL.

…förresten, som vanligt när jag citerar lagar så bör du beakta att IANAL.

Det här gör det väldigt enkelt; inget annat (IANAL-varning utfärdas) än det som är upptaget i OSL är sekretessbelagt. Sverige har nämligen en blacklist-modell för sina lagar: det som inte är otillåtet är tillåtet. Det är bara en av de saker som är så fina med fria samhällen, det kanske till och med är definitionen på dem.

Det är inte strikt fel att säga att lösenorden till användare i en webbapplikation är sekretessbelagda eftersom 18 kap. 8 § säger följande:

Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser […] 4. behörighet att få tillgång till upptagning för automatiserad behandling eller annan handling

…men om du inte arbetar på sektionen för ärendehantering på en myndighet och precis sitter och handlägger en ansökan om att få ta del av den allmänna handlingen ”listan över riksdagsföreträdares lösenord” så är det nog inte vad du menar.

Intressant i sammanhanget OSL är att Sverige har klampat med smutsiga skor över Kerckhoffs princip i nästa paragraf:

9 § Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om chiffer, kod eller liknande metod, om det kan antas att syftet med metoden motverkas om uppgiften röjs […]

Jag knyter näven i byxfickan. En annan intressant men irrelevant paragraf är:

14 § Sekretess gäller för uppgift i kopior som i säkerhetssyfte har genererats i Regeringskansliets datasystem och som har bevarats med anledning av naturkatastrofen i Asien år 2004, om det inte står klart att uppgiften kan röjas utan fara för att Regeringskansliets verksamhet skadas.

Tala om specifikt; konspirationsteoretiker förenen eder. Vi går vidare.

Hemliga uppgifter är en delmängd av de sekretessbelagda, d v s allt som är hemligt är också sekretessbelagt men inte nödvändigtvis tvärtom. Vad som är hemligt definieras av säkerhetsskyddsförordningen (1996:63) i fjärde paragrafen (min fetstil):

I denna förordning avses med […] 1. hemlig uppgift: uppgift som omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) och som rör rikets säkerhet […]

Nu börjar det ta sig. Nästa fråga är vad som gör att något ”rör” rikets säkerhet och då blir det genast svårt eftersom ”rikets säkerhet” inte är definierat i lag. Säkerhetspolisen har en kanonbra text som heter Säkerhetsskydd – en vägledning (pdf) som säger följande:

Någon legaldefinition av begreppet rikets säkerhet finns inte. Rikets säkerhet kan dock sägas avse såväl den yttre säkerheten för det nationella oberoendet som den inre säkerheten för det demokratiska statsskicket. Begreppet rikets säkerhet vållar ibland svårigheter och bekymmer i säkerhetsskyddsarbetet. Något exakt svar på vad som är rikets säkerhet finns inte, utan det är upp till varje myndighet att själva undersöka vilka uppgifter som ska hållas hemliga i förhållande till rikets säkerhet.

Där har ni det. Om vår webbapplikation är ett gränssnitt för att reglera temperaturen för Ringhals 2 kan man nog framgångsrikt argumentera för att lösenorden är hemliga. Samma kan man nog göra om det är ett dokumenthanteringssystem som används vid ett utvecklingsprojekt av nya pansarvärnsrobotar till Försvarsmakten. De omfattas av 18 kap. 8 § OSL samt rör rikets säkerhet. I praktiken så betraktas dock allt som omfattas av försvarssekretess som hemligt.

Kvalificerat hemlig

Det finns ytterligare en benämning, kvalificerat hemlig, jag är osäker på var det definieras dock så om någon vet är ni välkomna att kommentera. Det används emellertid då röjande skulle innebära synnerligen stor skada för rikets säkerhet. De kännetecknas ofta av att det är två ramar runt stämpeln (eller att det står kvalificerat hemlig, förstås).

Nu är det tyvärr slut med lagreferenser.

Kvar finns konfidentiell och känslig, de betyder inget särskilt utan kan användas fritt utan att behöva oroa sig för missförstånd. I och för sig kan det väl ske vissa missförstånd vid användning av det senare begreppet eftersom det kan gälla både lösenord och kroppsdelar men det är nog inget att oroa sig över.

(Uppdatering: missa inte Kim Hakkarainens kommentar nedan för ytterligare nomenklatur-pekpinnar.)

Annonser