Nasjonal sikkerhetsmyndighet. Veiledning UGRADERT UGRADERT. Utgitt av Nasjonal sikkerhetsmyndighet

Transkript

1 Nasjonal sikkerhetsmyndighet Veiledning Sist oppdatert: Håndbok i autorisasjon og autorisasjonssamtale Utgitt av Nasjonal sikkerhetsmyndighet Veiledningen er utgitt i samarbeid med Forsvarets sikkerhetsavdeling og Post- og teletilsynet. Veiledningen utgis med status TIL PRØVE. Årsakene er flere, bl.a. pågår et arbeid med revisjon/endring av personopplysningsblanketten. Videre har praksis innen autorisasjonsutøvelsen i sivil og militær sektor vært svært ulik og en omfattende høring av utkast til håndboken har ikke vært avholdt. Veiledningen vil derfor i løpet av høsten 2006 bli gjort til gjenstand for revisjon/revurdering. Brukerne av veiledningen bes om å komme med fortløpende innspill til eventuelle endringer. NSM vil uansett i løpet av høsten gjøre brukerne oppmerksom på revisjonen og oppfordre til innspill i eget skriv.

2 Innholdsfortegnelse 1 Innledning Formål Hva er autorisasjon? Hvorfor en autorisasjonsprosess? Håndbokas hensikt 5 2 Tjenestelig behov need to know prinsippet Eventuell sikkerhetsklarering Autorisasjonssamtalen Hva er en autorisasjonssamtale? Når gjennomføres en autorisasjonssamtale? Autorisasjonssamtalens innhold Råd om gjennomføring 10 5 Autorisasjon Autorisasjonsansvarlig Delegering av autorisasjonsmyndighet Vilkår for å autorisere 12 6 Reautorisasjon SH/CTS Eventuelle endringer ved den autoriserte Reklarering Særskilte forhold Umyndige personer Nødautorisasjon Bortfall av autorisasjon Ufordelaktige avgjørelser Oppsummering Punktvis beskrivelse av prosessen 16 Vedlegg A Dokumenthistorie...18 Side 2 av 18

3 Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet er tverrsektoriell fag- og tilsynsmyndighet innenfor forebyggende sikkerhetstjeneste i Norge og forvalter lov om forebyggende sikkerhet av 20 mars Hensikten med forebyggende sikkerhet er å motvirke trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser, primært spionasje, sabotasje og terrorhandlinger. Forebyggende sikkerhetstiltak skal ikke være mer inngripende enn strengt nødvendig, og skal bidra til et robust og sikkert samfunn. Hensikt med veiledning NSM sin veiledningsvirksomhet skal bygge kompetanse og øke sikkerhetsnivået i virksomhetene, gjennom økt motivasjon, evne og vilje til å gjennomføre sikkerhetstiltak. NSM gir jevnlig ut veiledninger til hjelp for implementering av de krav sikkerhetsloven stiller. NSM publiserer også veiledninger innen andre fagområder relatert til forebyggende sikkerhetsarbeid. Postadresse Sivil telefon/telefax Militær telefon/telefaks Internettadresse Postboks / / BÆRUM E-postadresse POSTTERMINAL post@nsm.stat.no Side 3 av 18

4 1 Innledning 1.1 Formål I den forebyggende sikkerhetstjeneste er mennesket en sentral faktor som kan utgjøre en barriere mot sikkerhetstruende virksomhet. Mennesket kan imidlertid også utgjøre en trussel og/eller inneha et sårbarhetspotensiale som kan utnyttes. Autorisasjonsprosessen er egnet til å motivere og veilede den autoriserte til å fungere som en effektiv barriere mot sikkerhetstruende virksomhet. Prosessen vil også kunne synliggjøre sårbarheter og trusler som ikke fremkommer av relevante registre ved gjennomføring av personkontroll. Autorisasjon og autorisasjonssamtale er derfor et verktøy som skal benyttes av den lokale leder og sikkerhetsansvarlige som et ledd i arbeidet med forebyggende sikkerhetstjeneste. Autorisasjon og autorisasjonssamtale er beskrevet i sikkerhetslovens 3 og 19, samt personellsikkerhetsforskriftens 5-1 til Hva er autorisasjon? I sikkerhetslovens 3, pkt 17 er autorisasjon definert til: en avgjørelse, foretatt av autorisasjonsansvarlig, om at en person etter forutgående sikkerhetsklarering (med unntak for tilgang til informasjon sikkerhetsgradert BEGRENSET), bedømmelse av kunnskap om sikkerhetsbestemmelser, tjenestelig behov samt avlagt taushetsløfte, gis tilgang til informasjon med angitt sikkerhetsgrad. Autorisasjon er i tillegg en prosess som følger en sikkerhetsklarert person i hele den perioden vedkommende har tilgang til sikkerhetsgradert informasjon og blir således en del av begrepet sikkerhetsmessig ledelse og kontroll. 1.3 Hvorfor en autorisasjonsprosess? I andre land som Norge har sikkerhetsmessig samarbeid med, f.eks. andre NATO-land, gjennomfører klareringsmyndighetene sikkerhetsintervjuer (security interviews), i forbindelse med klareringsprosessen. I Norge er forutsetningen at denne type sikkerhetsintervjuer (les autorisasjonssamtaler) gjennomføres på det stedet hvor vedkommende arbeider. Sikkerhetsklareringen gis på bakgrunn av forutgående undersøkelser av et sett med kilder, og kan ses på som et utrykk for en persons antatte sikkerhetsmessige skikkethet målt på klareringstidspunktet. Vedtaket om klarering innebærer normalt ikke vurdering av den enkeltes kunnskaper om sikkerhet eller den enkeltes evne og vilje til å ivareta sikkerhetsmessige interesser. Etter at vedtaket om sikkerhetsklarering er meddelt, vil det være nødvendig at vedkommende bl.a. gis informasjon om lokale forhold av betydning for sikkerheten. Sikkerhetsklarering er m.a.o. ikke alene tilstrekkelig for å gi en person faktisk tilgang til sikkerhetsgradert informasjon, og må sammen med autorisasjon ses på som to deler av en helhet. Side 4 av 18

5 1.4 Håndbokas hensikt Hensikten med denne håndboka er at den skal være et hjelpemiddel for de som har ansvar for gjennomføring av autorisasjon og autorisasjonssamtale. Håndboka er ment brukt av de ansvarlige i planleggingsfasen, i forkant av autorisasjonsprosessen, og som et oppslagsverk. Som et vedlegg til håndboka er det utarbeidet et skjema til anvendelse under autorisasjonssamtalen. Intensjonen er at skjemaet skal fungere som et praktisk hjelpeverktøy og dokumentere samtalens innhold. Skjemaet skal graderes og beskyttes etter sitt innhold og oppbevares i den enkeltes saksomslag for personellsikkerhet 1. Håndboka er inndelt i en logisk rekkefølge (se fig. 1.1), dvs. fra prosessens start til slutt, skjønt prosessen tar ikke slutt før den autorisertes arbeidsforhold opphører. Fig. 1-1 Prosesshjul 7 Reklarering 1 Tjenestelig behov 2 Event. endringer ved den autoriserte 6 3 Autorisasjonssamtale Reautorisasjon SH/CTS Event. sikkerhetsklarering 5 Autorisasjon 4 1 Om saksomslag se forskrift om personellsikkerhet 6-3, blankett nummer X-0136/2 B/N (Godkj ) Side 5 av 18

6 2 Tjenestelig behov need to know prinsippet Et svært viktig arbeid som skal utføres av autorisasjonsmyndigheten er vurderingen om hvorvidt det foreligger et tjenestelig behov for tilgang til sikkerhetsgradert informasjon. Den autorisasjonsansvarlige skal vurdere nivået på tilgangen (eksempelvis tom KONFIDENSI- ELT), omfanget av tilgangen (hvilket saksfelt) og om det kan iverksettes kompenserende tiltak (eksempelvis fysiske) for å hindre tilgang til sikkerhetsgradert informasjon som vedkommende ikke har behov for. Det er vanskelig å dele personellets tilgang/mulige tilgang til sikkerhetsgradert informasjon inn i enkle og klare nivå. Ved hjelp av fig. 2.1 og 2.2 prøver NSM like fullt å avgrense dette til tre hovednivåer: Den som skal ha tilgang, for eksempel en saksbehandler eller sjef ved en avdeling som behandler sikkerhetsgradert informasjon. Den som ikke har et tjenestelig behov, men som likevel pga. den type arbeid vedkommende utfører sannsynligvis vil kunne få vilkårlig tilgang. Personer i denne kategori kan være personer som jobber i samme lokaler eller er vaktpersonell (også dels rengjøringspersonell). Den som ikke har et tjenestelig behov, men som kan få en mulig vilkårlig tilgang, er for eksempel den som har et kortere opphold i et område hvor sikkerhetsgradert informasjon oppbevares og behandles. Personer i denne kategori kan være servicepersonell, renovasjonsarbeidere, rengjøringspersonell m.v., og skal som hovedregel aldri sikkerhetsklareres eller autoriseres. Personene må eventuelt følges og/eller andre kompenserende tiltak iverksettes. Fig nivå Skal ha tilgang Vilkårlig tilgang Sannsynlig tilgang Mulig tilgang Side 6 av 18

7 fig Kravsmatrise Nivå Tilgang Skal fylle ut personopplbl Skal ha s- klarering Skal undertegne taushets erklæring Skal gjennomføre autorisasjonssamtale/ sikkerhetsbrief 2 Autorisasjon B Mulig Nei Nei Ja/Nei Nei/Ja Nei B Sannsynlig Ja Nei Ja Ja Nei B Skal ha Ja Nei Ja Ja Ja K Sannsynlig Ja K-H Ja Ja Nei K Skal ha Ja K-CTS Ja Ja Ja H Sannsynlig Ja H Ja Ja Nei H Skal ha Ja H-CTS Ja Ja Ja SH Skal ha Ja SH-CTS Ja Ja Ja CTS Skal ha Ja CTS Ja Ja Ja Eksempel: En rengjøringsassistent som arbeider uten følge i beskyttet område (hvor det behandles opp til KONFIDENSIELT), og som rengjør under oppsyn i et sperret område (hvor det oppbevares t.o.m. HEMMELIG), fyller ut personopplysningsblankett, klareres for KONFIDENSIELT, undertegner taushetserklæring og gjennomfører en sikkerhetsbrief, men autoriseres ikke. 2 Sikkerhetsbrief er nærmere beskrevet i pkt. 4.3 Side 7 av 18

8 3 Eventuell sikkerhetsklarering Når det tjenestelige behov er vurdert og det er behov for tilgang til KONFIDENSIELT eller høyere, iverksettes en klareringsprosess som vist i fig 3.1. Fig Klareringsprosessen Omspurte Kilder NSM Kreditt DSF BOT/SSP/ STRASAK PST Aut. myndighet NSM Klareringsmyndighet Klareringsmyndighet Klareringsbevis/ til autoriserende myndighet Den som skal klareres (omspurte) fyller ut personopplysningsblanketten og autorisasjonsmyndigheten kontrollerer at den er riktig fylt ut. Autorisasjonsmyndigheten skal deretter ta en kopi av den originale personopplysningsblanketten, som påføres nødvendig informasjon fra autorisasjonsmyndigheten og sendes frem til klareringsmyndigheten. Original blankett skal oppbevares i saksomslag for personellsikkerhet. Etater der klareringsmyndighet er identisk med autorisasjonsmyndighet, følger de samme prosedyrer. Kravet om oppbevaring i saksomslag er begrunnet i tilgangsrettigheter. Videre er krav til oppbevaring og eventuell oversendelse, forskjellig for hhv. klarerings- og autorisasjonssaken. (Se også pkt 7.) I den skriftlige begrunnelsen for klareringsanmodningen som skal vedlegges personopplysningsblanketten, må det fremgå hva som er årsaken til at den aktuelle personen har behov for sikkerhetsklarering på angitt nivå. En henvisning til behov i stilling anses ikke tilstrekkelig. Det må som et minimum fremgå hvilke arbeidsoppgaver vedkommende har, og hvilket graderingsnivå det er på informasjonen vedkommende vil kunne få tilgang til. Dersom klareringsbehovet er begrunnet i risikoen for vilkårlig tilgang, dvs at det ikke foreligger tjenestelig behov, skal det fremgå av begrunnelsen hvilke sikkerhetstiltak som er vurdert for å hindre denne tilgangen. Side 8 av 18

9 4 Autorisasjonssamtalen 4.1 Hva er en autorisasjonssamtale? En autorisasjonssamtale er i sikkerhetslovens forskrift om personellsikkerhet 5-5 beskrevet som følger: For å avklare tillitsforholdet mellom autorisasjonsansvarlig og en person i forbindelse med dennes autorisasjon, skal autorisasjonsansvarlig sørge for at det blir avholdt en autorisasjonssamtale med vedkommende. Autorisasjonssamtalen skjer altså lokalt og skal rutinemessig avholdes før autorisasjon gis. Begrepet sikkerhetssamtale 3 benyttes i dag om en eventuell samtale som avholdes av klareringsmyndigheten i forbindelse med behandlingen av en sikkerhetsklareringssak, og må ikke forveksles med autorisasjonssamtalen. Autorisasjonssamtalen er nærmere beskrevet i pkt Begrepet sørge for i paragrafens første ledd betyr at autorisasjonsansvarlig kan delegere gjennomføring av samtalen. Samtalen bør fortrinnsvis ikke gjennomføres på lavere nivå enn avdelings/seksjonsnivå i den sivile forvaltning og tilsvarende nivå innen Forsvaret, men det kan være naturlig at virksomhetens sikkerhetsleder gjennomfører denne. 4.2 Når gjennomføres en autorisasjonssamtale? Tidspunktet for når en autorisasjonssamtale skal avholdes er beskrevet i forskrift om personellsikkerhet 5-5, andre. ledd: Autorisasjonssamtale skal gjennomføres 1. før autorisasjon finner sted, 2. når vedkommende person selv ønsker det, 3. ved reklarering, eller 4. når autorisasjonsansvarlig ellers finner grunn til det. Ved autorisasjon for STRENGT HEMMELIG (eventuelt COSMIC TOP SECRET/tilsvarende) skal autorisasjonssamtale gjennomføres minst hvert annet år. Med referanse til pkt 4. ovenfor, menes her situasjoner hvor autorisasjonsansvarlig blir kjent med for eksempel straffbare forhold, lønnstrekk (påleggstrekk), alvorlige sikkerhetsbrudd, psykiske problemer m.v., som hefter ved den autoriserte/sikkerhetsklarerte. Se forøvrig sikkerhetsloven 21 om hvilke forhold som kan være relevante. 4.3 Autorisasjonssamtalens innhold Innholdet i autorisasjonssamtalen er grovt beskrevet i forskrift om personellsikkerhet 5-5, fjerde og femte ledd: Den som avholder en autorisasjonssamtale skal 1. informere om lokale sikkerhetsmessige forhold, 2. forsikre seg om at vedkommende kjenner sikkerhetsmessige risikofaktorer og aktuelle sikkerhetsbestemmelser, 3. kontrollere at opplysninger avgitt i personopplysningsblanketten er korrekte og oppdaterte, og 3 Sikkerhetssamtale er nærmere beskrevet i sikkerhetsloven 21 og personellsikkerhetsforskriften 4-2. Side 9 av 18

10 4. få eventuelle ytterligere opplysninger av sikkerhetsmessig betydning. For personer med kortvarig behov for autorisasjon, f eks elever ved skoler og kurs og vernepliktige mannskaper, kan individuell autorisasjonssamtale erstattes av en felles orientering om sikkerhetsmessige risikofaktorer og aktuelle sikkerhetsbestemmelser. Det skal likevel orienteres om den rett den enkelte har til å kreve individuell autorisasjonssamtale. NSM har valgt å beskrive det nærmere innhold i et eget skjema (vedlegg B). Skjemaet er bygget opp med forslag til momenter, ut i fra de opplistede kravene i 5-5. Det presiseres at felles orientering bare kan skje i de tilfeller som er nevnt i paragrafens femte ledd. Med felles orientering menes i denne sammenheng at kravene som angitt i pkt. 1 og 2. ovenfor, oppfylles. En felles gjennomgang av personopplysningsblanketten og utfyllingen av den, bør også tilstrebes. Orienteringen må ta for seg de forhold som er nærmere beskrevet i vedlegg B. I forbindelse med orienteringen må det informeres om retten den enkelte har til å få gjennomført en individuell autorisasjonssamtale, samt plikten vedkommende har til å be om det (jf 24). Sikkerhetsbrief kan brukes når vedkommende ikke skal autoriseres, men kan få utilsiktet tilgang til sikkerhetsgradert informasjon. Dette er ikke en vanlig autorisasjonssamtale, men brukes for eksempel overfor rengjøringspersonell som er sikkerhetsklarert, men ikke autorisert. Innholdet i samtalen kan da være: en orientering om taushetsplikt, eventuelt hva vedkommende skal gjøre ved utilsiktet tilgang til sikkerhetsgradert informasjon, og generelt om forebyggende sikkerhet Råd om gjennomføring Rammen om samtalen bør være: Vær godt forberedt autorisasjonssamtalen skal planlegges. Sett av tilstrekkelig med tid. Tidsnød kan ødelegge mye av utbyttet. Behandle personen høflig og jovialt for å oppnå et gjensidig tillitsforhold. Samtalen er ikke et 3. grads forhør. Ha et åpent sinn. Still åpne spørsmål ( fortell om, forklar hvordan osv) og forsøk å unngå ledende spørsmål. Dersom vedkommende ikke redegjør tilstrekkelig for sikkerhetsmessig interessante temaer, kom tilbake til temaet senere i samtalen. Hyppige avbrytelser gjør at vedkommende lett mister tråden. Det er for øvrig viktig at samtalens form og innhold tilpasses den enkeltes oppgaver og behov. Enklere opplysninger fra autorisasjonssamtalen kan nedtegnes i skjema til anvendelse ved autorisasjonssamtale (vedlegg B). Dersom det fremkommer spesielle opplysninger, herunder opplysninger utløst av personellsikkerhetsforskriften 5-5 andre ledd pkt 2 eller 4 (se pkt 4.2), så skal denne type opplysninger som hovedregel nedtegnes separat i en egen rapport. Rapporten skal deretter legges sammen med de øvrige dokumenter i den enkeltes saksomslag for personellsikkerhet. (Se også pkt 7.) Side 10 av 18

11 Fire vanlige feil som gjøres ved gjennomføring av målrettede samtaler: For lite flink til å lytte til HVA som blir sagt Tenker ut nye spørsmål i stedet for å lytte For lange spørsmål Flere spørsmål samtidig 5 Autorisasjon Når autorisasjonssamtalen er gjennomført, skal formell autorisasjon utføres av den autorisasjonsansvarlige, uavhengig av hvem som gjennomførte samtalen. Den autorisasjonsansvarlige skal ha tilgjengelig all dokumentasjon på den autoriserte, som for eksempel saksomslag for personellsikkerhet med innhold. Kravet til innhold er: personopplysningsblankett, klareringsbevis, taushetserklæring og eventuelle andre opplysninger som er sikkerhetsmessig relevante (se også pkt 7). Den formelle autorisasjonen gjøres ved at autorisasjonsansvarlig påtegner saksomslag for personellsikkerhet, og senere ved underskrift av autorisasjonslisten (se vedlegg D). Saksomslaget er en del av dokumentasjonen på at prosessen er gjennomført iht. sikkerhetslovens bestemmelser. Autorisasjonslisten er redskapet for bl.a. arkiv-, post- og IT-personell til anvendelse i deres arbeid med å gi andre tilgang til sikkerhetsgradert informasjon. 5.1 Autorisasjonsansvarlig Den enkelte virksomhets leder er ansvarlig for å autorisere personell for tilgang til sikkerhetsgradert informasjon, jf. personellsikkerhetsforskriften 5-1. Leder for en virksomhet som er underlagt en annen virksomhet, eks NSM underlagt Forsvarsdepartementet/Justisdepartementet, skal autoriseres av sin nærmeste overordnende med autorisasjonsmyndighet, eks departementsråd. Leverandører og andre private virksomheter som omfattes av sikkerhetsloven autoriserer personell for tilgang til sikkerhetsgradert informasjon som er i virksomhetens besittelse. I de tilfeller hvor den sikkerhetsgraderte informasjonen ikke er i leverandør/privat virksomhets besittelse, er det den offentlige myndigheten som gir tilgang som også autoriserer. 5.2 Delegering av autorisasjonsmyndighet Nærhet mellom den som autoriseres og den autorisasjonsansvarlige, er nødvendig for effektiv sikkerhetsmessig ledelse. Virksomhetens leder har anledning til å delegere myndigheten til å autorisere, der virksomheten har et stort autorisasjonsbehov. NSM anbefaler likevel at denne delegasjonsadgangen anvendes forsiktig. Delegasjon til lavere nivåer enn eksempelvis avdelings/seksjonsnivå i den sivile del av forvaltningen og tilsvarende nivå innen Forsvaret, bør bare skje i spesielle tilfelle, som for eksempel der de geografiske avstandene er store. Delegasjon av autorisasjonsmyndighet skal skje skriftlig. Side 11 av 18

12 5.3 Vilkår for å autorisere Syv vilkår må være oppfylt før autorisasjon foretas. Personellsikkerhetsforskriftens 5-2 angir: 1. Nødvendig sikkerhetsklarering iht. lovens 19 Med nødvendig sikkerhetsklarering menes at vedkommende har gyldig klarering for det nivå vedkommende skal autoriseres for (eller høyere). 2. Tjenestelig behov Kravet til tjenestelig behov i paragrafens pkt 2 innebærer at autorisasjon kun skal gis opp til og med det nivå det er et faktisk behov for at vedkommende får tilgang til. Dette gjelder selv om vedkommende skulle inneha en sikkerhetsklarering for et høyere nivå. Autorisasjon gir ingen rett til tilgang til all informasjon gradert på et visst nivå. Det er bare informasjon relevant for det saksfelt vedkommende arbeider med som det er naturlig at vedkommende gis tilgang til (NEED TO KNOW prinsippet). Denne vurderingen av tjenestelig behov tilligger autorisasjonsansvarlig. 3. Undertegnelse av taushetserklæring Hensikten er å få bekreftet at den autoriserte er kjent med sin taushetsplikt og straffebestemmelsene tilknyttet brudd på taushetsplikten. Den autoriserte bekrefter med sin underskrift at dette er gjort kjent for vedkommende. Dersom taushetserklæringen er av eldre dato, undertegnes en ny. 4. Kjennskap til aktuelle sikkerhetsbestemmelser Vedkommende skal kjenne til og forstå relevante sikkerhetsbestemmelser (sentrale og lokale). 5. Autorisasjonssamtale er gjennomført Sikkerhetsmessig tillit skal avklares gjennom en personlig og målrettet samtale mellom autorisasjonsmyndigheten og den autoriserte. Se for øvrig eget punkt vedrørende autorisasjonssamtale. 6. Sikkerhetsmessig skikkethet er avklart En vurdering av den autorisertes vilje og evne til å etterleve sikkerhetslovens bestemmelser, samt at vedkommende for øvrig etterlever de alminnelige aksepterte regler og normer i samfunnet. Det skal ikke herske tvil om vedkommendes lojalitet, pålitelighet og sunne dømmekraft i forhold til behandling av skjermingsverdig informasjon. 7. Identitetskontroll er foretatt En verifisering av at vedkommende som autoriseres, faktisk er den som skal ha tilgang til sikkerhetsgradert informasjon. Godkjent identitetskort skal fremlegges. Side 12 av 18

13 6 Reautorisasjon SH/CTS Dersom den autoriserte er sikkerhetsklarert og autorisert for STRENGT HEMMELIG eller COSMIC TOP SECRET, skal ny autorisasjonssamtale (se pkt. 4) og formell autorisasjon (se pkt. 5) gjentas hvert annet år. Årsaken er at skadepotensialet er større på dette nivå, enn på de lavere nivå. Dersom den autoriserte skifter stilling og får en ny autorisasjonsansvarlig, bortfaller autorisasjonen automatisk (se pkt ). Dersom den autorisasjonsansvarlige skifter stilling og vedkommende som er autorisert av denne grunn får ny autorisasjonsansvarlig, kan reautorisasjon foregå på to måter. Den ene er at ny autorisasjonsansvarlig legger den tidligere avholdte samtale til grunn for reautorisasjonen (som pkt. 5). Den andre måten er at autorisasjonsprosessen som beskrevet i pkt 4. gjentas. 7 Eventuelle endringer ved den autoriserte I løpet av den perioden autorisasjonen gjelder for, kan det oppstå endringer som gjør at autorisasjonen/sikkerhetsklareringen skal revurderes. Den enkelte autoriserte har en plikt etter sikkerhetslovens 24, første ledd til å holde autorisasjonsansvarlig orientert om slike endringer. Denne plikten fremgår også av orienteringsdelen på personopplysningsblanketten. Autorisasjonsansvarlig skal etter samme paragraf, samt personellsikkerhetsforskriftens 5-8, foreta en vurdering av eventuelle innkommende opplysninger som er relevante å vurdere mtp. sikkerhetsmessig skikkethet. Opplysninger som er relevante er nærmere beskrevet i sikkerhetsloven 21 og omfatter bl.a.: straffbare handlinger, trusselsituasjoner (også potensielle), avgivelse av uriktig eller feilaktig sikkerhetsmessig relevant informasjon, misbruk av rusmidler, psykiske lidelser, sikkerhetsbrudd/kompromittering, dårlig økonomi og tilknytning til innen- eller utenlandske organisasjoner med ulovlig formål. Endring av sivilstand, som medfører endringer i personkontrollgrunnlaget, er også relevant og skal resultere i en reklareringsprosess. Dersom autorisasjonsansvarlig er usikker på hvilken betydning et forhold utgjør i vurderingen av den sikkerhetsmessige skikkethet etter sikkerhetsloven 21, femte ledd, sml. 21 første ledd, må forholdet meldes til klareringsmyndigheten. I tilfeller hvor autorisasjonsansvarlig ikke kan utelukke at klareringsmyndigheten vil kunne komme til et annet resultat i sin vurdering, må saken også meldes. Dersom disse tilfellene ikke blir meldt inn, hindres etterlevelse av sikkerhetsloven 24, andre ledd. Side 13 av 18

14 Opplysninger som autorisasjonsansvarlig får kjennskap til og som kan tillegges betydning i en vurdering av vedkommendes sikkerhetsmessige skikkethet etter sikkerhetslovens 21, må anses å være sikkerhetsmessig relevant etter forskriftens 6-3 og skal således oppbevares i saksomslaget. Opplysningene vil eksempelvis kunne være forhold som hovedpersonen selv har informert om iht sikkerhetslovens 24, innrapporterte forhold fra andre, eller informasjon om disiplinære forhold vedrørende angjeldende person. Slike opplysninger kan måtte bli oppbevart to steder da de både kan være personalopplysninger, som skal oppbevares i den enkeltes personalmappe, og personellsikkerhetsopplysninger som skal oppbevares i saksomslaget. Dersom opplysningene er rene personellsikkerhetsopplysninger skal de ikke oppbevares i personalmappen. Videre vil autorisasjonsmyndighetens dokumentasjon i forbindelse med vurdering av autorisasjon og gjennomføring av autorisasjonssamtaler, samt eventuelt ytterligere innhentede opplysninger måtte oppbevares der. Det samme vil eventuelle personkontrollopplysninger klareringsmyndigheten har meddelt autorisasjonsansvarlig til bruk i den daglige sikkerhetsmessige ledelse og kontroll 4. 8 Reklarering Når så sikkerhetsklareringen er i ferd med å løpe ut, skal reklarering iverksettes. En sikkerhetsklarering har en gyldighetstid på inntil 5 år, men autorisasjonsansvarlig bør iverksette reklarering i god tid før utløpsdato. Hva som skal defineres som god tid er avhengig av en rekke forhold. Hvis for eksempel den som skal reklareres er eller har vært i utlandet (i løpet av) de siste 5 årene, bør reklarering iverksettes inntil 1 år i forveien av sikkerhetsklareringens utløpsdato. Andre forhold kan også påvirke behandlingen av reklareringssaken, for eksempel ufordelaktige forhold som er nødvendig å belyse gjennom en sikkerhetssamtale og/eller andre tiltak. En reklareringsprosesss kan derfor med fordel påbegynnes tidlig og bør uansett iverksettes 6 måneder før utløpet av den gjeldende sikkerhetsklareringen. En reklarering gjennomføres på akkurat samme måte som beskrevet i pkt. 3. Denne prosessen er således ikke lettere eller annerledes fra første gangs sikkerhetsklarering. 9 Særskilte forhold 9.1 Umyndige personer Hovedregel er at man utviser forsiktighet med å gi umyndige tilgang til sikkerhetsgradert informasjon. Noen unntak foreligger, men autorisasjonen skal da bygge på den autorisasjonsansvarliges vurdering av bla. vedkommendes modenhet. Der er ikke anledning til å autorisere personer under 15 år. 9.2 Nødautorisasjon Akutt behov for redning av liv, helse eller store økonomiske verdier samt tvingende beredskapsmessige eller operative forhold, er eksempler på forhold som kan nødvendiggjøre en nødautorisasjon. Autorisasjon skal i slike tilfelle likevel ikke skje for høyere nivå enn det som er nødvendig ut fra situasjonen. Behov for autorisasjon ved påregnelige oppgaver, som eksempelvis deltagelse på møter eller øvelser hjemler ikke nødautorisasjon. For øvrig vises til nødvergebestemmelsene i straffelovens 47 og I samsvar med sikkerhetslovens 20 fjerde ledd og forskrift om personellsikkerhet 4-4 første ledd Side 14 av 18

15 Virksomhet som har gitt en nødautorisasjon rapporterer til NSM i samsvar med forskrift om sikkerhetsadministrasjon kapittel 5. Betydningen av en omfattende og utfyllende autorisasjonssamtale vil her fremstå som særdeles stor. 9.3 Bortfall av autorisasjon Autorisasjon bortfaller automatisk dersom (jf. sikkerhetsloven 24): a) personen fratrer den stilling autorisasjonen omfatter Med å fratre menes her at vedkommende slutter i den konkrete stilling vedkommende har autorisasjon for å bekle. b) når behovet for autorisasjon av andre grunner ikke lenger er til stede Prosjektrelatert arbeid, omorganisering av stilling og tilsvarende. c) når vedkommende ikke lenger innehar tilstrekkelig sikkerhetsklarering Ved bortfall pga utløp av gyldighetstid og tap eller nedsettelse av sikkerhetsklarering. I de tilfeller hvor autorisasjonen bortfaller, skal den tidligere autorisasjonsansvarlige gjøre vedkommende oppmerksom på at taushetsplikten også gjelder for fremtiden Ufordelaktige avgjørelser Ved en negativ autorisasjonsavgjørelse skal den autoriserte skriftlig orienteres om avgjørelsen og at klareringsmyndigheten vil bli informert for å foreta en vurdering av sikkerhetsklareringen. Autorisasjonsavgjørelsen kan ikke påklages. Eksempel på skriftlig underretning er vedlagt (vedlegg C). Autorisasjonsmyndigheten plikter deretter å innrette seg etter den senere avgjørelse foretatt av klareringsmyndigheten, dvs. bringe autorisasjonen i tråd med denne. Husk at negative autorisasjonsavgjørelser ikke skal fremkomme på autorisasjonslisten. Dvs. at dersom autorisasjonen er satt ned fra HEMMELIG til KONFIDENSIELT, så skal KONFIDENSIELT føres opp på autorisasjonslisten, men uten at dette fremstår som en nedsettelse. INGEN KLARERING (IK) skal heller ikke fremgå av autorisasjonslisten. I slike tilfeller skal vedkommende ikke føres opp på autorisasjonslisten. 5 Jf forskrift om informasjonssikkerhet 3-3. Side 15 av 18

16 10 Oppsummering 10.1 Punktvis beskrivelse av prosessen Autorisasjonsprosessen kan beskrives i 10 punkter slik: Ved tilføring av allerede s-kl personell: Ved nyansettelse: 1. Den sikkerhetsklarerte ankommer virksomheten 2. Saksomslag for personell-sikkerhet opprettes/ alternativt mottas fra tidligere autoriserende virksomhet. Separat journalføring 1. Den som er innstilt og skal få stillingen, blir bedt om å fylle ut personopplysningsblanketten. Påtegnet kopi fremsendes til klareringsmyndighet. 2. Saksomslag for personellsikkerhet, opprettes og journalføres i separat journal. 3. Saksomslaget skal som et minimum inneholde personopplysningsblankett, klareringsbevis og taushetserklæring. 4. Dersom noe av innholdet ikke lar seg oppdrive før autorisasjon finner sted, fylles en ny blank personopplysningsblankett ut av den sikkerhetsklarte. Bekreftelse på sikkerhetsklarering innhentes ved å kontakte rette KM. Virksomhetene skal deretter foreta undersøkelser hos tidligere arbeidssteder m.t.p. å få oversendt originalt klareringsbevis, eventuelt skal kopi av klareringsbevis innhentes. Taushetserklæring undertegnes. 5. Saksomslaget med innhold anvendes i autorisasjonssamtale og vedkommende som avholder samtalen underskriver i saksomslagets venstre felt. 6. Saksomslaget legges frem for autorisasjonsansvarlig, med anbefaling/ikke anbefaling om at den sikkerhetsklarte autoriseres. 7. Autorisasjonsansvarlig foretar autorisasjonsavgjørelsen og påtegner angitt autorisasjonsnivå, samt underskriver i saksomslagets høyre felt. 8. Pkt 5. gjentas ved a) reklarering, b) når autorisasjonsansvarlig finner grunn til det eller c) den autoriserte selv ønsker det. 9. Ved reklarering a) foretas ikke formell autorisasjon (pkt. 6) før ny sikkerhetsklarering foreligger. Side 16 av 18

17 10. Dersom forhold som beskrevet i pkt 8. b) eller c) inntreffer foretas en revurdering av autorisasjon. Vurderingen skal dokumenteres skriftlig og avgjørelsen dokumenteres som angitt i pkt. 7. (Se for øvrig Ufordelaktige autorisasjonsavgjørelser ). 11. Ved opphør av tjeneste skal saksomslaget med innhold oversendes ny arbeidsgiver, i tilfeller hvor ny arbeidsgiver omfattes av sikkerhetslovens bestemmelser. I tilfeller hvor vedkommende slutter i statsforvaltningen og for øvrig ikke går inn i virksomheter som omfattes av sikkerhetsloven, eller går av med pensjon og tilsvarende, kan saksomslaget tilintetgjøres etter 1 år. Unntaket er Taushetserklæringen som skal overføres til vedkommendes personellpapirer. Vedlegg E og F er eksempel på oversendelsesskriv og kvitteringsskjema for saksomslaget med innhold Side 17 av 18

18 Vedlegg A Dokumenthistorie Første utgivelse Til prøve Side 18 av 18