Transportstyrelsen och Svenska kraftnät är de på den senaste tiden mest omskrivna händelserna kopplat till brister i efterlevnad av regelverk kopplad till säkerhetsskydd. I båda fallen var brister i frågan om säkerhetsprövning en väsentlig del av problemen. Min uppfattning är att det råder en hel del missförstånd och ibland en ren okunskap kring vad en säkerhetsprövning egentligen innebär och hur en sådan ska genomföras.
Låt oss bara väldigt kort sammanfatta vad säkerhetsskyddslagstiftningen säger om säkerhetsprövning.
Den som genom en anställning eller på något annat sätt ska delta i säkerhetskänslig verksamhet ska säkerhetsprövas. Säkerhetsprövningen ska göras innan deltagandet i den säkerhetskänsliga verksamheten påbörjas och ska innefatta en grundutredning, registerkontroll samt om anställningen är placerad i säkerhetsklass 1 eller 2, en särskild personutredning.
Säkerhetsprövningens huvudsakliga syften är att göra en helhetsbedömning av den sökandes lojalitet mot det skyddsvärda, personens pålitlighet samt förekomsten av eventuella sårbarheter som skulle kunna användas som påtryckningar mot denne. I MUST:s nyligen utkomna kommentarer till Försvarsmaktens föreskrifter om säkerhetsskydd nämns även att: ”Myndigheten ska även ta hänsyn till den prövades personliga integritet.”.
Under de år jag har utbildat inom säkerhetsskydd har jag noterat att det inte är sällan som en säkerhetsprövning genomförs genom att den prövade får sätta sig ned med sin närmaste chef som lämnar över en blankett från den beställande myndigheten innehållande ett antal frågor. Den prövade får sedan själv fylla i svaren på dessa frågor direkt i formuläret. Ofta sker detta utan någon vidare diskussion eller utan några följdfrågor kring de angivna svaren. Därefter skickas den sökandes uppgifter till säkerhetspolisen för en registerkontroll. Blir det inte något utfall i registerkontrollen anses personen i fråga vara lämplig för att bli anställd eller delta i säkerhetskänslig verksamhet.
Det kan diskuteras om det är lämpligt att intervjun genomförs av en person som den prövade har en direkt beroendeställning eller en ibland nära relation till. Hur öppen och ärlig är en person i ett samtal om känsliga detaljer om dennes liv med en person som är hans eller hennes chef, eller kanske någon man ibland umgås med på fritiden? Intervjun ska dessutom syfta till en ”fördjupad personkännedom”. Att låta den sökande på egen hand med några få ord besvara frågorna i ett frågeformulär kan knappast sägas uppfylla det syftet.
Vidare läggs en alltför stor tilltro till själva registerkontrollen. Enbart det faktumet att det inte blir något utfall i registerkontrollen behöver egentligen inte betyda så mycket. En person som inte har en historik i Sverige kommer naturligtvis inte heller att ha något i registren. Rent krasst kan man också hävda att en person som inte finns med i registren bara har varit listig nog att inte åka fast.
Dessutom bör man känna till att även om det skulle komma fram något i samband med en registerkontroll så är det inte alls säkert att dessa uppgifter kommer att lämnas ut. Om någon uppgift framkommer föredras ärendet först för något som kallas Registerkontrolldelegationen. Registerkontrolldelegationen fattar beslut om uppgifterna som framkommit i samband med en registerkontroll ska lämnas ut till den som efterfrågat dem eller inte. Beslutet fattas på en bedömning av vilken relevans de framkomna uppgifterna har för den aktuella tjänsten eller deltagandet.
För att registerkontrolldelegationen ska kunna fatta ett så relevant beslut som möjligt är det viktigt att vad den säkerhetskänsliga tjänsten eller deltagandet innebär och vad den omfattar är konkret och tydlig beskrivet. Om det beskrivs otydligt eller alltför generellt finns ”risken” annars att delegationen beslutar att uppgifterna inte får lämnas ut. Detta eftersom de inte anses relevanta utifrån den beskrivning som hart getts av vad tjänsten eller deltagandet innebär.
Under 2018 inkom det 122 313 förfrågningar om registerkontroller till Säkerhetspolisen. Av dessa föredrogs c:a 2 % för registerkontrolldelegationen och endast cirka 30 % av de föredragna ärendena lämnades ut. Det betyder alltså att c:a 70 % av de registerkontroller som genererade en träff inte lämnades ut.
En oklar uppfattning om vad en säkerhetsprövning är, en slarvigt, eller inte alls genomförd grundutredning med säkerhetsprövningsintervju och en alltför stor tillit till registerkontrollen öppnar upp ett flertal sårbarheter i verksamhetens säkerhetsskydd. Frågan är om ett förfarande som beskrivits här ovan ens kan kallas för en säkerhetsprövning, jag skulle inte säga det.
Ancoris Security erbjuder konsultation och utbildning inom säkerhetsskydd
Fullträff, precis så. Genomgående hos större aktörer, statlig och privata, delegeras ansvaret för prövningen. Resultatet blir att prövningen uteblir och endast, i bästa fall, utförs registerkontroll.