Hela eller halva lagen?
En grundsten i allt systematiskt informationssäkerhetsarbete är att kartlägga de interna behoven och de externa kraven som ska inrikta hur informationssäkerheten ska utformas i organisationen. Som externa krav brukar lagstiftning och villkor i avtal räknas upp. Inget konstigt i det om det inte vore för den något selektiva tolkningen av vilken lagstiftning som är relevant för informationssäkerheten.
De legala krav som informationssäkerheten traditionellt har intresserat sig för, utifrån den militär-polisiära bakgrunden, är kraven på skydd mot obehörig åtkomst som fanns i sekretesslagen och säkerhetsskyddslagen. Annan lagstiftning som syftar till att begränsa åtkomst förekommer i de juridiska analyser som jag sett genomföras på myndigheter och i företag även om, som jag tidigare hävdat, kopplingen mellan integritet och informationssäkerhet ofta är otillräcklig.
Däremot är det sällan som informationssäkerhetsarbetet tar hänsyn till den andra centrala aspekten som myndigheter har att tillgodose i sin informationshantering – öppenheten. I Sverige är det till och med så att öppenhet är defaultläget; alla allmänna handlingar är offentliga såvida inte det finns krav i sekretesslagstiftning på motsatsen. Detta förhållande är unikt för Sverige och Finland, i andra länder gäller det omvända. När vi i år firar 250 årsjubileet av den svenska tryckfrihetsförordningen där offentlighetsprincipen är en viktig del förtjänar detta att uppmärksammas även inom informationssäkerhetsområdet. Kanske bör vi se ändringen från den tidigare sekretesslagen till den nuvarande offentlighets- och sekretesslagen 2009 som en uppmaning att också utveckla informationssäkerhetsområdet.
En viktig utgångspunkt är en gemensam förståelse av att sekretessbelägga information innebär en begränsning av grundlagsfästa medborgerliga rättigheter eller som det uttrycks i OSL:s portalparagraf:
Bestämmelserna innebär begränsningar i yttrandefriheten enligt regeringsformen, begränsningar i den rätt att ta del av allmänna handlingar som följer av tryckfrihetsförordningen samt, i vissa särskilt angivna fall, även begränsningar i den rätt att meddela och offentliggöra uppgifter som följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen.
Den enda rimliga tolkningen som yrkesutövare är att vi måste vara mycket varsamma och välgrundade då vi begränsar åtkomsten till information så att vi inte inskränker medborgerliga rättigheter. Informationssäkerhetens uppdrag i offentlig verksamhet är inte att ängsligt sekretessbelägga så mycket information som möjligt utan att erbjuda stöd för att göra så väl avvägda bedömningar som möjligt.
Den andra slutsatsen som jag menar att vi bör dra är att vi har en minst lika viktig uppgift i att säkerställa att allmän och offentlig information hålls tillgänglig som att skydda det som faller under sekretess mot obehörig åtkomst. Informationssäkerhetsarbetet har fyra mål: konfidentialitet, riktighet, spårbarhet och tillgänglighet. De åtgärder som vidtas för att upprätthålla riktighet, spårbarhet och tillgänglighet är de som behövs för att kunna tillhandahålla myndigheters information så att offentlighetsprincipens andemening förverkligas.
Jag kan ana invändningar mot det här resonemanget. Till exempel tror jag några skulle hävda att konsekvenserna av att inte kunna skydda mot obehörig åtkomst är allvarligare än att inte kunna upprätthålla en god offentlighetsstruktur. Själv menar jag att vi måste kunna göra båda sakerna med samma engagemang. Vi måste både sträva efter att ge ett så bra skydd som möjligt för det som kan skada den enskilde eller riket och att ge stöd för en så omfattande öppenhet som möjligt. I dagens situation med flykt från fakta och där lögner avsiktligt eller oavsiktligt sprids med förödande följder är tillgången till korrekt och spårbar information hos offentliga institutionerna oumbärlig för det demokratiska samhället. Offentlighetsprincipen är ett mäktigt motgift mot desinformation och informationssäkerhet är ett avgörande stöd för att kunna upprätthålla den!