Skrivelse om “Begränsat hemlig” vs internationell “Restricted”
Det finns en problematik med information klassad på R-nivån i länder där man har ändrat klassningsmodell eller helt tagit bort R-nivån. Där tillämpas i stället andra beteckningar som Controlled unclassified information (CUI), Official sensitive, sensitive non-classified, protected, motsvarande ”För Tjänstebruk”, etc. Det innebär att de klasserna inte betraktas som Classified information/ Säkerhetsskyddsklassificerad uppgift i respektive land.
Vi (Sverige) måste å andra sidan, i enlighet med gällande bilaterala säkerhetsskyddsöverenskommelse, hantera R-informationen som BH i Sverige. Detta ställer i sin tur krav på FMV-godkända IT-system och krypton, läs ”Röda” IT-system och MUST-godkända krypton.
Intressant är ju även det omvända förhållandet då företag i Sverige skickar BH information till länder där företagens information inte betraktas som classified information. Det senast landet med detta synsätt och som har infört en ändrad klassningsmodell är Frankrike. Det är liknande förhållanden i NL, UK, DE, SG, SF m.fl. En stor del av den projektinformation som hanteras i företagens kontrakt eller kommer att hanteras i kommande kontrakt klassas av ovan nämnda kundländer som non classified eller är classified med lägre ställda krav på skydd än vad gäller för BH idag information. Se även sid 4.
En annan problematik med nuvarande bilaterala avtalär att de översätter andra landets säkerhetsskyddsklasser mot Sveriges. I befintliga bilaterala säkerhetsskyddsavtal regleras i text att respektive land ska ge samma skydd som avsändande land har för information i mottagande land. Genom att använda översättningstabell och likställa andra parts information så låser företagen fast sig mot en klass. Om denna klass inte korrelerar med svenskt skydd kan brister i skyddet för informationen uppstå alternativt att avsändarens skydd mångdubblas när den hanteras i Sverige.
Vi föreslår i en skrivelse till regeringen att i de bilaterala säkerhetsöverenskommelserna framgår vilka olika nivåer av ”classified information” som överenskommelsen reglerar men att dessa inte översätts till Sveriges klasser. Detta ger en möjlighet att vi, som företag, tillsammans med utländsk kund kan fråga hur denna information ska hanteras samt ge instruktioner internt inom företaget om hur skyddet ska utformas.