Säkerhetsskyddslagen, som trädde i kraft 2019, kräver att alla verksamheter som hanterar säkerhetskänslig information – såväl offentliga som privata – utreder behovet av säkerhetsskydd. Syftet är att skydda verksamheter av betydelse för Sveriges säkerhet mot spioneri, sabotage, terroristbrott och andra hot.
Nyligen avslöjades att Lantmäteriet verkar ha brutit mot lagen. Känsligt material, inklusive detaljerade kartor och information om skyddsobjekt, har varit tillgängligt för alla. Informationen låg ute trots att generaldirektör Susanne Ås Sivborg upprepade gånger varnats om riskerna för att försvarshemligheter och skyddade personuppgifter kan läcka ut.
Enligt Expressen framgår det av myndighetens interna dokument att Ås Sivborg fått varningar 2018, 2021 och 2023 om riskerna för att säkerhetsskyddsklassificerade uppgifter kan röjas. Säkerhetsskyddsexperter är förbryllade över bristen på åtgärder. ”Det är hon, som verksamhetsutövarens högsta chef, som har ansvaret för att hantera den här typen av uppgifter enligt det regelverk som finns, och det är säkerhetsskyddslagen. Det ligger implicit en skyldighet att agera så fort man får kännedom om att något inte står rätt till”, säger Malen Wallén vid Försvarshögskolan till Expressen (26/11).
Problemen begränsar sig tyvärr inte till Lantmäteriet. Sveriges meteorologiska och hydrologiska institut, SMHI, har aldrig följt lagen.
I augusti 2024 förelade därför tillsynsmyndigheten, Länsstyrelsen i Västra Götaland, SMHI att vidta åtgärder. Bland annat att senast den 31 december i år inventera informationsmängder som kan innehålla säkerhetsskyddsklassificerade uppgifter och dela in informationen i säkerhetsklasser.
SMHI överklagade till förvaltningsrätten och begärde en förlängning till den 31 mars 2025, med hänvisning till den stora mängden information som behövde gås igenom. Det är förståeligt. Om myndigheten inte följt lagen sedan 2019 finns det nog mycket att ta igen.
Förvaltningsrätten avslog dock SMHI:s begäran (SM 13–24). Domstolen konstaterade att SMHI:s säkerhetsskyddsarbete innehåller brister och påpekade att myndigheten redan 2019 hade identifierat behovet av inventering och klassificering i sin dåvarande säkerhetsskyddsanalys. Trots detta har SMHI under fem års tid underlåtit att genomföra nödvändiga åtgärder.
I sitt beslut framhöll förvaltningsrätten att informationssäkerhet är en "central skyldighet" och att lagstiftningen syftar att skydda viktiga intressen – läs Sveriges säkerhet. Därför nekades SMHI en förlängd tidsfrist.
Att SMHI efter nästan fem år fortfarande inte har inventerat känslig information vittnar om systemfel inom myndigheten. Detta är inte bara en fråga om byråkratisk försummelse – det handlar om att skydda Sveriges säkerhet. Det borde inte krävas förelägganden för att få en myndighet att följa lagen i ett så här viktigt ämne.