3 Autorisasjon
3.1 Gjeldende rett
Etter sikkerhetsloven § 8-1 første ledd skal personer som skal få tilgang til sikkerhetsgradert informasjon, autoriseres i samsvar med § 8-9 om autorisasjon. Det samme gjelder personer som skal ha adgang til skjermingsverdige objekter og infrastruktur som det er fattet vedtak om etter § 8-3 om adgangsklarering. Videre følger det av § 8-1 andre ledd at personer som skal autoriseres for tilgang til informasjon gradert KONFIDENSIELT eller høyere, må ha gyldig sikkerhetsklarering og at personer som skal autoriseres for tilgang til skjermingsverdige objekter og infrastruktur som det er fattet vedtak om etter § 8-3, må ha gyldig adgangsklarering, jf. andre ledd andre punktum.
Tilgang til sikkerhetsgradert informasjon på nivå BEGRENSET krever ikke sikkerhetsklarering, jf. sikkerhetsloven § 8-2. Det innebærer at reglene om personkontroll i sikkerhetsloven § 8-5 og forskrift 20. desember 2018 nr. 2054 om sikkerhetsklarering og annen klarering (klareringsforskriften) kapittel 2 ikke kommer til anvendelse. Reglene i sikkerhetsloven § 8-4 om hvilke forhold som skal vurderes og hvilke opplysninger som kan vektlegges ved en sikkerhetsklarering, gjelder heller ikke direkte. Ved tilgang til informasjon gradert BEGRENSET stiller sikkerhetsloven § 8-1 første ledd, jf. § 8-9 krav om autorisasjon og autorisasjonssamtale. Loven forutsetter at det før eller under gjennomføring av autorisasjonssamtalen, innhentes opplysninger om personen som skal autoriseres. I motsetning til ved klarering for tilgang til informasjon gradert KONFIDENSIELT eller høyere, stiller sikkerhetsloven med forskrifter færre tydelige krav til hvilke personopplysninger som skal innhentes ved autorisasjon for BEGRENSET.
Det følger av sikkerhetsloven § 8-9 andre ledd andre punktum at autorisasjon bare kan gis dersom den autorisasjonsansvarlige ikke har opplysninger som gir rimelig grunn til å tvile på om en person er sikkerhetsmessig skikket.
Videre forutsetter forskrift 20. desember 2018 nr. 2053 om virksomheters arbeid med forebyggende sikkerhet (virksomhetsikkerhetsforskriften) § 68 at det innhentes personopplysninger i forbindelse med autorisasjon. Hvilke personopplysninger som minimum må innhentes, fremgår av virksomhetsikkerhetsforskriften § 72. Dette er den enkeltes navn, fødselsnummer eller tilsvarende nummer, statsborgerskap, tjenestested, saksfelt og stilling. Utover disse opplysningene er det etter dagens regelverk ikke angitt nøyaktig hvilke personopplysninger som kan innhentes eller hvilke opplysninger den som skal autoriseres har plikt til å dele.
I tråd med sikkerhetsloven § 8-9 første ledd er virksomhetens leder autorisasjonsansvarlig og har ansvaret for sikkerhetsmessig ledelse og kontroll av autoriserte personer. Etter bestemmelsens andre ledd skal det gjennomføres en autorisasjonssamtale før det gis autorisasjon, og autorisasjon kan bare gis dersom den autorisasjonsansvarlige ikke har opplysninger som gir rimelig grunn til å tvile på om personen er sikkerhetsmessig skikket. Flere av temaene som er relevante å legge vekt på ved sikkerhetsklarering, vil kunne være relevante å vektlegge ved autorisasjon, siden det i begge tilfeller er sikkerhetsmessig skikkethet som skal vurderes.
Opplysningsplikt for den enkelte kan innebære inngrep i retten til privatliv og dermed kreve et klart hjemmelsgrunnlag. Det er viktig at regelverket knyttet til opplysningsplikt for autorisasjon for BEGRENSET, sikrer at den autorisasjonsansvarlige kan foreta en forsvarlig vurdering av den enkeltes sikkerhetsmessige skikkethet slik det forutsettes etter sikkerhetsloven § 8-9 andre ledd andre punktum.
Behandling av personopplysninger ved sikkerhetsklarering og autorisasjon forutsetter et behandlingsgrunnlag etter personvernforordningen (EU) 2016/679 artikkel 6 og et unntak fra forbudet mot å behandle særlige kategorier personopplysninger etter artikkel 9. Vilkårene for behandling av personopplysninger om straffedommer og lovovertredelser følger av artikkel 10. Personvernforordningen stiller krav til både myndigheters og privates behandling av personopplysninger. Forordningen gjelder som norsk lov, jf. lov 15. juni 2018 nr. 38 om behandling av personopplysninger (personopplysningsloven).
Tiltak for å ivareta nasjonal sikkerhet faller i utgangspunktet utenfor EU-rettens, og derved EØS-rettens, saklige virkeområde og omfattes dermed ikke av personvernforordningen, jf. artikkel 2 nr. 2 bokstav a. Det følger likevel av personopplysningsloven § 2 at forordningen også følges på dette området, med mindre det er fastsatt unntak i lov.
Den som er klarert og autorisert skal i tråd med sikkerhetsloven § 8-11, umiddelbart varsle den autorisasjonsansvarlige om forhold som kan være av betydning for om personen er sikkerhetsmessig skikket. Dette er med andre ord en etterfølgende varslingsplikt. Av Prop. 153 L (2016–2017) Lov om nasjonal sikkerhet (sikkerhetsloven) pkt. 12.5.6, fremgår det at bestemmelsen er en presisering av sikkerhetsloven (1998) § 24 første ledd for å tydeliggjøre varslingsplikten for klarert og autorisert personell.
Virksomhetsikkerhetsforskriften § 68 fjerde ledd åpner for at individuell autorisasjonssamtale for BEGRENSET (og for KONFIDENSIELT eller høyere ved kortvarig behov) kan erstattes av en felles orientering om sikkerhetsmessige risikofaktorer og relevante krav til sikkerhet.
Nedsettelse, suspensjon og tilbakekallelse av autorisasjon er regulert i sikkerhetsloven § 8-10. En autorisasjon bortfaller dersom personen fratrer stillingen autorisasjonen er knyttet til, behovet for autorisasjon ikke lenger er tilstede, eller personen ikke lenger har tilstrekkelig klarering, jf. andre ledd bokstav a til c. Bestemmelsen må ses i sammenheng med virksomhetsikkerhetsforskriften § 68 om når en autorisasjonssamtale skal gjennomføres. I tillegg til at autorisasjonssamtale skal gjennomføres før autorisasjon, skal autorisasjonssamtalen også gjennomføres når autorisert person selv ber om det, ved reklarering og når en autorisasjonsansvarlig ellers finner grunn til det, jf. virksomhetsikkerhetsforskriften § 68 første ledd bokstav b til d.
Den autorisasjonsansvarlige skal vurdere å tilbakekalle, nedsette eller suspendere autorisasjonen dersom vedkommende får opplysninger som gir grunn til å tvile på at en autorisert person er sikkerhetsmessig skikket, jf. sikkerhetsloven § 8-10 første ledd. Avgjørelser om dette skal meldes til klareringsmyndigheten, jf. andre punktum. I tilfeller hvor personen det gjelder også har en sikkerhetsklarering, følger det av sikkerhetsloven § 8-8 at klareringsmyndigheten skal vurdere å tilbakekalle, nedsette eller suspendere klareringen dersom den får opplysninger om at det er grunn til å tvile på om en klarert person er sikkerhetsmessig skikket.
I virksomhetsikkerhetsforskriften § 74 første ledd andre punktum fremgår det at den autorisasjonsansvarliges avgjørelse om nedsettelse eller suspensjon av en persons autorisasjon ikke kan påklages. Dersom klareringsmyndigheten opprettholder en persons klarering etter å ha blitt informert om negativ autorisasjonsavgjørelse fra autorisasjonsansvarlig, skal avgjørelsen om å endre autorisasjonsavgjørelsen omgjøres, slik det fremgår av virksomhetsikkerhetsforskriften § 74 andre og tredje ledd. Det innebærer at klareringsmyndigheten i disse sakene omgjør den negative autorisasjonsavgjørelsen når klareringen opprettholdes, og at det representerer en prøving av avgjørelsen, uten klage.
Dersom personer kun er autorisert for BEGRENSET, foreligger det ikke krav om sikkerhetsklarering for tilgang til informasjonen, jf. sikkerhetsloven § 8-1 andre ledd. I forarbeidene til sikkerhetsloven av 1998, Ot.prp. nr. 49 (1996–97), merknad til § 25 på s. 70 står det:
«Det hører normalt under virksomhetens (arbeidsgivers) styringsrett å avgjøre hvem som skal gis tilgang til sikringsverdig informasjon. Negative avgjørelser om autorisasjon kan således ikke påklages.».
I tidligere forskrift 29. juni 2001 nr. 722 om personellsikkerhet § 5-8 tredje ledd fremgikk det uttrykkelig at det ikke var klageadgang på autorisasjonsavgjørelsen.
I høringsnotatet til virksomhetsikkerhetsforskriften, fremgår det at bestemmelsen om nedsettelse, suspensjon og tilbakekall av autorisasjon, nå § 74, i stor grad er en videreføring av forskrift om personellsikkerhet § 5-8, men med språklige forenklinger.
3.2 Forslaget i høringsnotatet
Departementet foreslo i høringsnotatet å innta en klar hjemmel i sikkerhetsloven § 8-9 fjerde ledd om at det kan gis forskrift om «krav til egenopplysninger ved autorisasjon». Departementet foreslo i tillegg endringer i sikkerhetsloven § 8-11 for å tydeliggjøre opplysnings- og varslingsplikten i forbindelse med autorisasjon. Forslagene vil særlig ha betydning for autorisasjon for BEGRENSET der det etter gjeldende rett ikke er en forutgående prosess med sikkerhetsklarering, inkludert personkontroll.
Utover de konkrete forslagene til lovendringer fremhevet departementet at det er behov for å tydeliggjøre reguleringen av adgangen til fellesautorisasjon, i stedet for en autorisasjonssamtale, jf. virksomhetsikkerhetsforskriften § 68 fjerde ledd. Formålet er blant annet å forebygge at adgangen til fellesautorisasjon uthuler opplysningsplikten og at personopplysninger innhentes uten nødvendig skjerming, samt legge et bedre grunnlag for likebehandling.
3.3 Høringsinstansenes syn
De høringsinstansene som har uttalt seg om forslaget til endring i sikkerhetsloven § 8-9 er i all hovedsak positive til forslaget. De nærmere innspillene knytter seg i stor grad til innholdet i kravet til egenopplysninger for autorisasjon for BEGRENSET, noe som i høringen er forutsatt fastsatt i forskrift. Enkelte høringsinstanser, inkludert Norsk Tjenestemannslag (NTL) og Tekna har gitt mer kritiske tilbakemeldinger til høringen.
Følgende instanser er i all hovedsak positive til en forskriftshjemmel om opplysningsplikt:
Akademikerne i Samferdselsdepartementet, Arbeids- og velferdsetaten, Borgarting lagmannsrett, Den norske legeforening, Departementenes sikkerhets- og serviceorganisasjon, Direktoratet for samfunnssikkerhet og beredskap, Domstoladministrasjonen, Fagforbundet, Forsvarets sikkerhetsavdeling, Forsvarsbygg, Helse Vest, Helse Sør-Øst, Hemit HF, KS – Kommunesektorens organisasjon, Mattilsynet, Nasjonal sikkerhetsmyndighet, Norges vassdrags- og energidirektorat, Norsk helsenett SF, Norsk Politilederlag, Norsk TotalforsvarsForum, Politidirektoratet, Politiets fellesforbund, Politiets sikkerhetstjeneste, Riksadvokaten, Rogaland fylkeskommune, Sivil klareringsmyndighet, Sjøfartsdirektoratet, Statsbygg, Statens Vegvesen, Statsforvaltaren i Møre og Romsdal, Statsforvalteren i Østfold, Buskerud, Oslo og Akershus og Ørland kommune.
Flere av nevnte høringsinstanser uttaler at forslaget om en tydelig forskriftshjemmel vil bidra til bedre forutsigbarhet og rettssikkerhet, inkludert likebehandling, ved autorisasjon for BEGRENSET.
KS – Kommunesektorens organisasjon påpeker at slik forslaget er utformet, vil forskriften gjelde ved all autorisasjon, uavhengig av graderingsnivå. Dette bør klargjøres for å unngå misforståelser.
Flere høringsinstanser har konkrete merknader knyttet til rammene for forskriftsreguleringen.
Akademikerne i Samferdselsdepartementet, Forsvarsbygg, Norsk TotalforsvarsForum og Sivil klareringsmyndighet er enige med departementet om at hjemmelen for å innhente personopplysninger ved autorisasjon for BEGRENSET, må ta hensyn til at det er snakk om autorisasjon for det laveste graderingsnivået etter sikkerhetsloven. Sivil klareringsmyndighet uttaler at selv om det kan være naturlig å forstå begrepsbruken i sikkerhetsloven §§ 8-9 og 8-4 slik at de samme forholdene som er relevante å vurdere i en klareringssak også kan være relevante for vurderingen ved autorisasjon for BEGRENSET, er det hensiktsmessig at også vurderingsgrunnlaget ved autorisasjon for BEGRENSET tydeliggjøres. Forsvarsbygg legger til grunn at en burde være nøkterne med tanke på hvilke typer personopplysninger som kan innhentes ved autorisasjon for det laveste graderingsnivået. Akademikerne i Samferdselsdepartementet viser til omtalen i høringsnotatet om at det blant annet skal vurderes om det er aktuelt å behandle opplysninger som omfattes av personvernforordningen artikkel 9 og 10. Akademikerne i Samferdselsdepartementet legger til grunn at det for denne type personopplysninger må vurderes om det foreligger proporsjonalitet med tanke på nødvendigheten av slike opplysninger for nivået BEGRENSET.
Akademikerne i Samferdselsdepartementet, Forsvarsbygg, Helse Sør-Øst RHF, Høgskolen i Østfold, Nasjonal sikkerhetsmyndighet, Norsk Helsenett SF, Næringslivets sikkerhetsråd, Politidirektoratet, Sivil klareringsmyndighet, Tekna og Utlendingsdirektoratet mener at det må innføres klare rammer (i forskrift) for hvilke personopplysninger som kan innhentes i tilknytning autorisasjon for BEGRENSET, samt hvordan disse skal behandles. Næringslivets sikkerhetsråd legger blant annet til grunn at regelverket bør spesifisere hvilke personopplysninger som er relevante og nødvendige for autorisasjon for BEGRENSET og at det må innføres tydelige prosedyrer og kriterier for innhenting, behandling og lagring av personopplysninger. Departementenes sikkerhets- og serviceorganisasjon påpeker viktigheten av at regelverket innehar tilstrekkelig fleksibilitet og at det ikke begrenser virksomheter fra å innhente nødvendige opplysninger for vurdering av en persons sikkerhetsmessig skikkethet.
Tolletaten mener at det bør vurderes hvordan særskilte krav knyttet til autorisasjon av utenlandske statsborgere jf. virksomhetsikkerhetsforskriften § 70, kan balanseres med prinsippet om likebehandling. For å oppnå en god balanse mellom hensynet til nasjonal sikkerhet og rettferdig behandling, bør det reviderte lovverket og påfølgende forskriftsendringer tydeligere forklare hvordan denne balansen skal ivaretas i praksis.
GlobalConnect AS, Norsk helsenett SF, Offshore Norge og Utlendingsdirektoratet mener at det i autorisasjonsamtalen bør stilles spørsmål av samme omfang som ved klarering til høyere nivåer og viser til sikkerhetsloven § 8-4. Norsk helsenett SF uttaler at forskjellen på autorisasjonsnivåene heller bør ivaretas utfra vektingen av eventuelle negative forhold av relevans for vurderingen av sikkerhetsmessig skikkethet. Politidirektoratet mener at det vil kunne være nødvendig å innhente opplysninger om ektefelle, samboer eller partner.
Politiets fellesforbund uttaler at de i utgangspunktet er svært positive til forslaget, men at en mulig konsekvens av lovendringen kan være at egenrapportering fører til diskriminering. For å motvirke dette foreslår Politiets fellesforbund at det utarbeides en veileder som sikrer at egenrapportering er utformet slik at den når ønsket intensjon og forebygger at egenrapporteringen blir diskriminerende. Videre påpeker Politiets fellesforbund viktigheten av at virksomheter også pålegges å ha gode rutiner for ivaretakelse av ansatte som mister autorisasjon for BEGRENSET. Rutinene bør si noe om lønn og sikre at den ansatte tilbys andre oppgaver så langt det lar seg gjøre i tråd med statsansatteloven.
Akademikerne i Samferdselsdepartementet mener at det ikke i tilstrekkelig grad er redegjort for prinsipielle avveininger eller belyst konsekvenser av endringsforslaget. Avveiningene vil være nyttige å få innblikk i da de sier noe om omfanget av den myndigheten forskriftshjemmelen delegerer til departementet. Tekna mener at det ikke er tilstrekkelig å henvise til at det skal lages forskrifter uten at innholdet i disse blir nærmere definert i proposisjonen og uten at det foreligger en bredere konsekvensanalyse av forslaget knyttet til rettssikkerhet for arbeidstakere i behandling av deres saker. Tekna ber om at departementet i proposisjonen gir Stortinget innsikt i problematikken knyttet til rettssikkerhet og personvern ved valg av opplysninger som skal legges til grunn for vurderingene, selv om dette vil ligge til forskriftsarbeidet å definere konkret.
Norsk tjenestemannslag (NTL) er uenig i at det bør innføres et nesten tilsvarende regime ved autorisasjon for BEGRENSET som for sikkerhetsklarering og ønsker ikke en ytterligere svekkelse av vernet for arbeidstakere. NTL viser til ordningen for sikkerhetsklarering hvor det er klareringsmyndigheten som mottar personopplysningsblanketten fra den som skal autoriseres, og som har mulighet til å gjøre en bred vurdering og innhente opplysninger fra en rekke kilder. Ved autorisasjon for BEGRENSET vil det derimot være den autorisasjonsansvarlige i virksomheten som må gjøre den samme vurderingen, noe som vil kunne medføre at vedkommende ikke har nok opplysninger og at det sannsynligvis vil bli ulike vurderinger i lignende saker. NTL viser videre til at regelendringene vil være for inngripende i privatlivet, og at faren for vilkårlig behandling vil være for stor sett opp mot det antatte skjermingsbehovet for informasjon som er gradert på nivå BEGRENSET. Krav som stilles til arbeidstakere i henhold til sikkerhetsloven, innebærer i seg selv en stor svekkelse i stillingsvernet, ved at arbeidsgivers eventuelle tilbaketrekking av autorisasjon for BEGRENSET vil ramme den ansatte hardt. Videre er NTL bekymret for rekruttering i departementene og sentralforvaltningen for øvrig og viser særlig til at unge med innvandrerbakgrunn som er født og oppvokst i Norge, vil kunne bli avskrekket fra å søke jobber der autorisasjon kreves, fordi det er sannsynlig at «utenlandske forbindelser» vil vektlegges og vil kunne få en negativ konsekvens for mange.
Hovedtyngden av høringsinstansene som har uttalt seg, er også positive til forslaget til endring i sikkerhetsloven § 8-11. Dette gjelder Arbeids- og velferdsetaten, Borgarting lagmannsrett, Den norske legeforening, Departementenes sikkerhets- og serviceorganisasjon, Direktoratet for samfunnssikkerhet og beredskap, Domstoladministrasjonen, Fagforbundet, Forsvarets sikkerhetsavdeling, Helse Vest, Helse Sør-Øst, KS – Kommunesektorens organisasjon, Mattilsynet, Nasjonal sikkerhetsmyndighet, Norges vassdrags- og energidirektorat, Norsk helsenett SF, Norsk politilederlag, Politidirektoratet, Politiets fellesforbund, Politiets sikkerhetstjeneste, Sivil klareringsmyndighet, Statsbygg, Statens vegvesen, Statsforvaltaren i Møre og Romsdal, Statsforvalteren i Østfold, Buskerud, Oslo og Akershus, Utlendingsdirektoratet og Ørland kommune. Den positive holdningen omfatter både forslaget til nytt første ledd i § 8-11 om opplysningsplikt for den som skal autoriseres, og forslaget om å ta ut ordet «klarert» i det som blir bestemmelsens andre ledd om etterfølgende varslingsplikt knyttet til autorisasjonen.
Forsvarets sikkerhetsavdeling støtter også forslaget om å tydeliggjøre at varslingsplikten i § 8-11 skal gjelde for den som er autorisert ved at ordet klarert tas ut av lovteksten, men viser samtidig til at varslingsplikten dermed både gjelder for klarert og autorisert personell. Tolletaten støtter forslaget og viser til at endringen representerer en forenkling som både er praktisk og hensiktsmessig, særlig for personell som bytter jobb eller som går av med pensjon. Samtidig er det viktig at nytt regelverk utformes på en måte som ivaretar virksomhetenes behov, og at det er i samsvar med personvernlovgivningen, spesielt hvis oppfølgingsansvaret overfor personell med sikkerhetsklarering opphører.
Forsvarsbygg uttaler at det kan være problematisk at endringsforslaget om å knytte varslingsplikt utelukkende til autorisasjon, innebærer at sikkerhetsklarert personell ikke lenger vil ha en lovpålagt plikt til å informere klareringsmyndigheten om forhold som kan ha betydning for vedkommendes sikkerhetsmessige skikkethet. Forsvarsbygg viser blant annet til at de er avhengig av et stort antall leverandørpersonell med sikkerhetsklarering for å kunne realisere nåværende og fremtidige bygg- og anleggsprosjekter. Det kan gå en viss tid fra klarering foreligger til arbeidet starter, og så lenge personellet ikke er blitt autorisert, er det ingen autorisasjonsansvarlig å melde fra til. Virksomheten som skal benytte personellet, mottar derfor «i beste fall» informasjonen under den første autorisasjonssamtalen.
Flere høringsinstanser, inkludert Forsvarsbygg, Høgskolen i Østfold, Næringslivets sikkerhetsråd og Politidirektoratet viser til at det i forbindelse med varslingsplikt for den autoriserte, må presiseres hvilke forhold den autoriserte er pålagt å varsle om. Forsvarsbygg mener i den forbindelse at det vil kunne være hensiktsmessig å vise til oppramsingen i sikkerhetsloven § 8-4 fjerde ledd.
Det har i høringen også kommet innspill som ikke direkte knytter seg til de konkrete lovforslagene. Flere høringsinstanser, inkludert Den norske legeforening, Departementenes sikkerhets- og serviceorganisasjon, Mattilsynet, Nasjonal sikkerhetsmyndighet, Norsk TotalforsvarsForum, Næringslivets sikkerhetsråd, Politidirektoratet, Riksadvokaten, Statsforvalteren i Østfold, Buskerud, Oslo og Akershus og Ørland kommune viser til at det i forbindelse med lovendringene bør utarbeides et standardisert skjema for autorisasjon til BEGRENSET, der det tydelig fremkommer hvilke personopplysninger som kan innhentes. Flere høringsinstanser viser til at et skjema vil forenkle prosessen og sikre forutsigbarhet, likebehandling og rettssikkerhet for den enkelte.
Offshore Norge etterlyser tydeligere retningslinjer for vurdering av personer som enten direkte eller indirekte, har tilknytning til andre stater ved autorisasjon på nivå BEGRENSET. Videre viser de til at de erfarer at forvaltningen av personellsikkerhetsfaget i stor grad er manuelt drevet og at hver virksomhet utvikler egne maler for nødvendig dokumentasjon og styring. De foreslåtte endringene bør operasjonaliseres på en måte som digitaliserer prosessen med egenopplysninger. Tilsvarende vil maler og støtteverktøy for oppfølging kunne bidra til like prinsipper på tvers av virksomheter. Dette vil i seg selv styrke arbeidet med personellsikkerhet ved at ansvarlige personer kan prioritere faglig oppfølging fremfor administrative oppgaver.
Flere høringsinstanser uttaler at en bør være restriktiv ved bruk av fellesautorisasjoner. Politidirektoratet fremhever viktigheten av en individuell autorisasjonssamtale, både for å etablere et tillitsforhold og for å ivareta rettssikkerheten til den som skal autoriseres. Nasjonal sikkerhetsmyndighet mener at det er viktig å forebygge at en felles orientering uthuler opplysningsplikten, og at personopplysninger ikke innhentes uten nødvendig skjerming. Sivil klareringsmyndighet uttaler at slik virksomhetsikkerhetsforskriften § 68 fjerde ledd er formulert, er det unntaket om adgang til felles orientering som fremheves og ikke at autorisasjonssamtaler som hovedregel skal holdes individuelt. Sivil klareringsmyndighet uttaler videre at en tydeliggjøring av hjemmelsgrunnlaget kan bidra til større grad av likebehandling, men også at personvernet ivaretas. Det er også viktig at den autorisasjonsansvarlige har et tilstrekkelig grunnlag for å kunne gjøre en individuell vurdering av den som skal autoriseres før autorisasjonsavgjørelsen fattes. Videre mener Sivil klareringsmyndighet at en individuell autorisasjonssamtale i større grad vil kunne bidra til at all relevant informasjon kommer frem. Tolletaten uttaler at det er avgjørende at en felles orientering ikke fører til uthuling av opplysningsplikten og at løsningen ivaretar prinsippet om likebehandling på en betryggende måte. Tolletaten viser videre til virksomhetsikkerhetsforskriften § 70 andre ledd om at autorisasjonsansvarlige må innhente samtykke fra klareringsmyndigheten før en utenlandsk statsborger som kommer fra en stat som PST vurderer som en høy sikkerhetsrisiko for Norge, kan autoriseres for informasjon gradert BEGRENSET. Innspillet fra Tolletaten er at det vil være hensiktsmessig at det i revidert lovverk tydelig angis hvordan dette står seg ved gjennomføring av felles orienteringer, samt hvordan risiko i slike saker skal vurderes og dokumenteres. Utlendingsdirektoratet imøteser en mulig presisering om at tilgang til informasjon sikkerhetsgradert BEGRENSET gjennom fellesautorisasjon, kun gjelder for spesifikk informasjon, for eksempel ved orienteringer eller nødsituasjoner og ikke for generell tilgang.
Forsvarsbygg viser til at systemet med fellesautorisasjon er viktig i større prosjekter hvor det er nødvendig å autorisere et større antall leverandørpersonell i løpet av kort tid. Statsforvalteren i Østfold, Buskerud, Oslo og Akershus uttaler at det er sterke beredskapsmessige og praktiske argumenter for en bestemmelse om masseautorisasjon (fellesautorisasjon). Samtidig ser Statsforvalteren at det oppstår et misforhold ved gjennomføring av slike autorisasjoner sett opp mot individuelle autorisasjonssamtaler når det gjelder innhenting av opplysninger og muligheten for å vurdere sikkerhetsmessig skikkethet på bakgrunn av disse. Statsforvalteren i Østfold, Buskerud, Oslo og Akershus nevner spesielt et økende behov for å kunne formidle lavgradert informasjon fra staten til beredskapsorganisasjoner på lokalt og regionalt nivå.
Forsvarsbygg og Utlendingsdirektoratet viser til at det bør vurderes å presisere lengden på en autorisasjon der denne gis uten at det foreligger sikkerhetsklarering.
Sivil klareringsmyndighet vurderer det som hensiktsmessig at sikkerhetsloven med forskrifter, både når det gjelder klarering og autorisasjon, gjennomgås med tanke på de endringene som er gjort i NATO-direktivene på personellsikkerhetsområdet. Sivil klareringsmyndighet viser dessuten til at de har gjort seg noen erfaringer som tilsier at flere av dagens bestemmelser om autorisasjon, inkludert autorisasjon for BEGRENSET, samlet sett bør ses på videre med formål å harmonisere regelverket på personellsikkerhetsområdet ytterligere og samtidig kan bidra til mer effektiv saksbehandling.
Energidepartementet, Fagforbundet og Forsvarets sikkerhetsavdeling omtaler behovet for klageadgang knyttet til avgjørelser om autorisasjon for BEGRENSET. Energidepartementet viser til at avslag på autorisasjon vil kunne få store konsekvenser for den det gjelder og mener det er naturlig at det innføres klageadgang eller en obligatorisk behandling av avslag hos en annen myndighet. Forsvarets sikkerhetsavdeling viser til at manglende klageadgang innebærer at personell som kun skal autoriseres, ikke vil ha samme rettssikkerhet i avgjørelsesprosessen som personell som er klarert. Forsvarets sikkerhetsavdeling føyer til at det også kan stilles spørsmål ved om det, dersom autorisasjon ikke innvilges, skal ilegges en observasjonstid på lik linje med personell som sikkerhetsklareres, eller om man umiddelbart kan anmode om å bli autorisert på nytt.
3.4 Departementets vurdering
Departementet foreslår, i tråd med forslaget i høringsnotatet, å tydeliggjøre i forskriftshjemmelen i sikkerhetsloven § 8-9 fjerde ledd at det kan gis forskrift om krav til egenopplysninger ved autorisasjon. Forslaget har fått bred støtte i høringen. NTL har imidlertid uttalt at de er uenig i at det bør innføres et nesten tilsvarende regime ved autorisasjon for BEGRENSET som for sikkerhetsklarering og ønsker ikke en ytterligere svekkelse av vernet for arbeidstakere.
Som et utgangspunkt vil flere av temaene som er relevante å legge vekt på ved en sikkerhetsklarering, jf. sikkerhetsloven § 8-4, også kunne være relevante å vektlegge ved autorisasjon, siden det i begge tilfeller er «sikkerhetsmessig skikkethet» som skal vurderes. Samtidig er det viktig å holde autorisasjon for BEGRENSET på et nivå som ivaretar at det handler om autorisasjon for det laveste graderingsnivået etter sikkerhetsloven.
Etter departementets syn er det viktig at regelverket sikrer at den autorisasjonsansvarlige kan foreta en forsvarlig vurdering av den enkeltes sikkerhetsmessige skikkethet slik det forutsettes etter sikkerhetsloven § 8-9 andre ledd andre punktum. Forskriftshjemmelen for krav til egenopplysninger ved autorisasjon vil gjelde generelt for autorisasjon, men vil få størst betydning for autorisasjon for BEGRENSET, der det ikke er en forutgående prosess med sikkerhetsklarering, inkludert personkontroll.
Det sentrale formålet med forslaget til lovendring i sikkerhetsloven § 8-9 fjerde ledd er å legge til rette for at krav til egenopplysninger ved autorisasjon for BEGRENSET konkretiseres ved utdypende forskriftsregulering. En forskriftsregulering vil gjøre det tydeligere hvilke opplysninger som må deles ved en autorisasjon for BEGRENSET. En slik tydeliggjøring vil sikre forutsigbarhet og klarhet for både den som skal autoriseres, og den autorisasjonsansvarlige.
Enhver behandling av personopplysninger krever et rettslig grunnlag (behandlingsgrunnlag). Ved autorisasjon etter sikkerhetsloven er det særlig to behandlingsgrunnlag som kan være aktuelle, enten at behandlingen «er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige», jf. personvernforordningen artikkel 6 nr. 1 bokstav c eller eventuelt at behandlingen er «nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt» (artikkel 6 nr. 1 bokstav e).
Behandling av personopplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering, er i utgangspunktet forbudt, jf. artikkel 9 nr. 1. I den grad slike særlige kategorier personopplysninger vil kunne bli innhentet og videre behandlet, vil unntak måtte vurderes etter artikkel 9 nr. 2, som oppstiller ulike grunnlag for unntak. Det er særlig unntak etter artikkel 9 nr. 2 bokstav g som kan bli relevant når det gjelder autorisasjon mv. etter sikkerhetsloven. Bokstav g lyder:
«Behandlingen er nødvendig av hensyn til viktige allmenne interesser, på grunnlag av unionsretten eller medlemsstatenes nasjonale rett som skal stå i et rimelig forhold til det mål som søkes oppnådd, være forenlig med det grunnleggende innholdet i retten til vern av personopplysninger og sikre egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.»
Samlet utgjør sikkerhetsloven med forskrifter på visse vilkår et grunnlag for å behandle personopplysninger. Loven pålegger plikter eller angir oppgaver som det er nødvendig å behandle personopplysninger for å oppfylle. Dette inkluderer den autorisasjonsansvarliges plikt til å vurdere om det foreligger rimelig grunn til å tvile på om en person er sikkerhetsmessige skikket for autorisasjon for BEGRENSET.
Akademikerne i Samferdselsdepartementet har etterlyst en redegjørelse av prinsipielle avveininger og konsekvenser av endringsforslaget slik at det sier noe om omfanget av den myndigheten forskriftshjemmelen gir. Videre har Tekna bemerket at det ikke er tilstrekkelig å henvise til at det skal lages forskrifter uten at innholdet i disse blir nærmere definert i proposisjonen og uten at det foreligger en bredere konsekvensanalyse av forslaget. Tekna ber om at dette synliggjøres i proposisjonen selv om det vil ligge til forskriftsarbeidet å definere innholdet konkret.
Departementet opprettholder sin vurdering om at det rette tidspunktet for å vurdere hvilke konkrete opplysninger som er aktuelle å behandle og konsekvenser knyttet til dette, vil være i forbindelse med utarbeidelser av forskrifter til loven. Det er som nevnt over, viktig å holde autorisasjon for BEGRENSET på et nivå som ivaretar at det handler om autorisasjon for det laveste graderingsnivået etter sikkerhetsloven. Samtidig må informasjonsgrunnlaget være tilstrekkelig til å vurdere om det finnes rimelig grunn til å tvile på om personen er sikkerhetsmessig skikket, jf. § 8-9 andre ledd andre punktum. Departementet ser følgelig for seg at det i forskrift legges opp til å innhente mindre omfattende opplysninger enn ved klarering, da autorisasjon for BEGRENSET innebærer en lavere risiko enn tilgang til høyere gradert informasjon. Videre vil det i forskriftsarbeidet være naturlig å vurdere nærmere hvordan man best kan sikre at det presiseres hvilke opplysninger som skal gis, samtidig som regelverket har den nødvendige fleksibiliteten til å gi grunnlag for å behandle opplysninger som kan være relevante for saken i det enkelte tilfellet.
Når det gjelder opplysningsplikt for den som skal autoriseres, noe som kan innebære inngrep i retten til privatliv, fordrer denne et klart hjemmelsgrunnlag. Departementet foreslår, i tråd med forslaget i høringsnotatet, å innta et nytt første ledd i sikkerhetsloven § 8-11 om at den som skal autoriseres skal opplyse den autorisasjonsansvarlige om forhold som kan være av betydning for om personen er sikkerhetsmessig skikket. Endringen innebærer også at bestemmelsens overskrift utvides til å omfatte opplysningsplikt i tillegg til varslingsplikt om forhold som kan påvirke en persons sikkerhetsmessige skikkethet. Departementet vurderer at forslaget vil bidra til å sikre forutsigbarhet og klarhet for både den som skal autoriseres og den autorisasjonsansvarlige. Forslaget har fått bred støtte i høringen.
I høringen foreslo departementet å endre § 8-11 slik at den generelle varslingsplikten knyttet seg til autorisasjon og ikke til klarering. Begrunnelsen var at det er autorisasjonen, og ikke klareringen, som gir den faktiske tilgangen til gradert informasjon eller skjermingsverdig objekt og infrastruktur. Følgelig bør ikke den som er sikkerhetsklarert, men ikke autorisert for tilgang til gradert informasjon eller skjermingsverdig objekt og infrastruktur, underlegges en generell plikt til å varsle. Eksempelvis vil personer som bytter jobb eller blir pensjonister, ikke være pålagt en varslingsplikt til tidligere autorisasjonsansvarlige selv om personen formelt har en gyldig sikkerhetsklarering. Forslaget var følgelig å ta ut ordet «klarert» fra bestemmelsen.
En annen grunn til å endre bestemmelsen er å tydeliggjøre at varslingsplikten også omfatter den som er autorisert for BEGRENSET, noe som kan synes uklart ut fra ordlyden «[e]n klarert og autorisert person skal umiddelbart varsle […]».
I høringen er det ut fra et sikkerhetsfaglig perspektiv fremkommet argumenter for at varslingsplikten fortsatt knyttes til den som er klarert. Personell som er sikkerhetsklarert, men som er mellom jobber eller av andre grunner for tiden ikke har autorisasjon, bør etter departementets syn likevel pålegges å varsle om forhold som kan være av betydning for om personen er sikkerhetsmessig skikket. Det kan blant annet oppstå forhold som kan indikere et behov for at sikkerhetsklareringen skal suspenderes, nedsettes eller endres. Ved å knytte varslingsplikten til autorisasjonen isolert sett, vil informasjonen kunne komme klareringsmyndigheten senere i hende, noe som kan være uheldig i et sikkerhetsperspektiv. Særlig i tilfeller der det oppstår tidspress, som ved blant annet sikkerhetspolitiske kriser, vil en slik forsinkelse kunne være uheldig. Dersom den klarerte ikke har en autorisasjonsansvarlig, vil klareringsmyndigheten være nærmest til å motta varselet, se spesialmerknaden til lovforslaget § 8-11 andre ledd.
Etter departementets syn bør derfor varslingsplikten i § 8-11 også gjelde for en klarert person. Samtidig må ordlyden tydelig angi at varslingsplikten gjelder både for den som er klarert og for den som er autorisert slik at det blir entydig at varslingsplikten også gjelder for den som er autorisert for BEGRENSET.
Det er videre viktig at opplysningsplikten og varslingsplikten etter bestemmelsen omfatter forhold av betydning for autorisasjonsvurderingen og forhold av betydning for om klareringsstatus skal opprettholdes. Klareringsstatus er imidlertid ikke relevant for autorisasjon for BEGRENSET. Varslingspliktens nærmere innhold vil henge nært sammen med kravet om sikkerhetsmessig skikkethet for de respektive autorisasjons- og klareringsnivåene, inkludert en utdypende forskriftsregulering for autorisasjon for BEGRENSET.
Departementet vil avslutningsvis knytte enkelte kommentarer til noen av innspillene i høringen som ikke direkte gjelder de konkrete lovforslagene.
Gode skjemaer og rutiner for gjennomføring av autorisasjonsprosessen vil kunne sikre ytterligere forutberegnelighet for både virksomheten og den som skal autoriseres. Det utarbeides veiledningsmateriell fra myndighetene og det må forventes at virksomhetene som omfattes av regelverket, vil måtte foreta noen justeringer av rutinene for gjennomføring av autorisasjon. Selve sikkerhetsstyringen i virksomheten er opp til virksomheten selv, basert på krav i sikkerhetsloven. Også på dette området utarbeides det veiledningsmateriell fra myndighetene, men den enkelte virksomhet må ha styringssystemer for sikkerhet, hvor det fremgår hvordan de har operasjonalisert forebyggende sikkerhetsarbeid.
Tydeliggjøring av regelverket om adgangen til fellesautorisasjon etter virksomhetsikkerhetsforskriften § 68 fjerde ledd, blant annet for å forebygge at adgangen til fellesautorisasjon uthuler opplysningsplikten og at personopplysninger innhentes uten nødvendig skjerming, vil bli vurdert i forbindelse med departementets oppfølgende forskriftsarbeid.
Enkelte høringsinstanser har gitt innspill om nærmere regulering av autorisasjonens varighet. Siden autorisasjonens varighet ikke var omfattet av høringen, er det ikke grunnlag å gå nærmere inn på om det er behov for ytterligere regulering eller presisering av varigheten på autorisasjon for BEGRENSET.
Videre ble det også gitt enkelte innspill om klageadgang ved negativ avgjørelse om autorisasjon for BEGRENSET. Departementet anerkjenner at en slik autorisasjonsavgjørelse vil kunne få negative konsekvenser for personen det gjelder. Etter departementets syn er det ikke grunnlag for å vurdere en eventuell klageadgang siden spørsmålet ikke har vært en del av høringen.