Autorisasjon

Publisert: 17.06.2014 | Sist endret: 12.03.2019

En autorisasjon er en godkjennelse som personen må ha av autorisasjonsansvarlig i virksomheten for å få tilgang til sikkerhetsgradert informasjon og adgang til skjermingsverdige objekter og infrastruktur.

Dette innebærer at personen er sikkerhets- og adgangsklarert, vurdert sikkerhetsmessig skikket, og gitt den nødvendige tillit til å kunne stole på vedkommende i behandling av sikkerhetsgradert informasjon og den gitte adgang til skjermingsverdige objekter og infrastruktur.

Daglig sikkerhetsmessig ledelse av klarert og autorisert personell er en av de viktigste faktorene for å forebygge at gradert informasjon kompromitteres, forebygge og hindre ikke-statlig terror, attentat eller annen alvorlig kriminalitet, statlig sabotasje eller andre tilsiktede anslag fra en annen stat.

Autorisasjon er en avgjørelse, foretatt av autorisasjonsansvarlig, om at en person etter forutgående sikkerhetsklarering (med unntak for tilgang til informasjon sikkerhetsgradert BEGRENSET), bedømmes av kunnskap om sikkerhetsbestemmelser, tjenstlig behov samt avlagt skriftlig taushetsløfte, faktisk kan gis tilgang til informasjon med angitt sikkerhetsgrad. Dette finner du i virksomsikkerhetsforskriften § 67.

Autorisasjon - en viktig del av daglig sikkerhetsmessig ledelse

Sikkerhetsloven § 8-1: Person som skal få tilgang til sikkerhetsgradert informasjon skal autoriseres i samsvar med § 8-9. Det samme gjelder personer som skal ha adgang til skjermingsverdige objekter og infrastruktur som det er fattet vedtak om etter § 8-3. Personer som skal autoriseres for tilgang til informasjon gradert KONFIDENSIELT eller høyere, må ha gyldig sikkerhetsklarering. Personer som skal autoriseres for tilgang til skjermingsverdige objekter eller infrastruktur som det er fattet vedtak om etter § 8-3, må ha gyldig adgangsklarering.

Ansvarsforhold (sikkerhetsloven § 8-11)

En klarert og autorisert person skal umiddelbart varsle den autorisasjonsansvarlige om forhold som kan være av betydningen for om personen er sikkerhetsmessig skikket. Varslingsplikten omfatter alle forhold som kan være av betydning for en persons sikkerhetsmessige skikkethet. I praksis betyr dette opplysninger om forhold som fremgår av sikkerhetsloven § 8-4 fjerde ledd bokstav a til o, opplysninger som nevnt i klareringsforskriften § 6, jf. § 7, samt opplysninger som på en negativ måte kan påvirke personens evne til å følge opp eventuelle vilkår for klareringen.

Sikkerhetsloven § 8-10: Dersom autorisasjonsansvarlig får opplysninger som gir rimelig grunn til å tvile på at en autorisert person fortsatt kan anses sikkerhetsmessig skikket, skal den autorisasjonsansvarlige vurdere om autorisasjonen skal opprettholdes, tilbakekalles, nedsettes eller suspenderes. Autorisasjonsansvarlige skal melde fra til klareringsmyndigheten om avgjørelsen. NSM viser innledningsvis til virksomhetsikkerhetsforskriften § 74. At en autorisasjon opprettholdes innebærer at den autoriserte beholder sin autorisasjon. Blir autorisasjonen tilbakekalt betyr det at den autoriserte ikke lenger innehar gyldig autorisasjon. Autorisasjonsansvarlig kan også bestemme at autorisasjonen blir nedsatt, hvilket betyr at den autoriserte får en autorisasjon på et lavere nivå enn vedkommende hadde tidligere. Blir en autorisasjon suspendert innebærer dette en midlertidig avgjørelse om at personen mister sin autorisasjon, i påvente av å innhente ytterligere informasjon, eller vurdere de opplysningene som foreligger. 

Autorisasjonsansvarlig (sikkerhetsloven § 8-9)

Virksomhetens leder er autorisasjonsansvarlig og har ansvaret for sikkerhetsmessig ledelse og kontroll av autoriserte personer. Autorisasjonsansvarlig er ansvarlig for å autorisere personell for tilgang til sikkerhetsgradert informasjon. Den enkelte virksomhet kan dersom behovet tilsier det delegere autorisasjonsansvaret. Dette er ikke regulert i sikkerhetsloven, eller tilhørende forskrifter, men fremgår av forarbeidene til sikkerhetsloven. Virksomhetens leder kan derfor delegere autorisasjonsansvaret dersom det er behov for det. NSM anbefaler at slik delegering ikke bør skje lavere enn avdelings-/seksjonsnivå for å unngå informasjonsspredning. Dette fordi det er viktig at den som har autorisasjonsansvaret har mulighet til å foreta den daglige sikkerhetsmessige ledelse av den autoriserte. Dersom det er kortere avstand mellom autorisasjonsansvarlig og den autoriserte vil det være enklere å bli/være oppmerksom på endringer hos den autoriserte. NSM legger til grunn at virksomheten for å unngå spredning av personsensitive opplysninger bør utvise varsomhet i delegasjonsadgangen, og det bør tas særlig hensyn til individuelle forhold i virksomheten. Av hensyn til notoritet anbefaler NSM at delegering skjer skriftlig.

Autorisasjon skal ikke gis hvis autorisasjonsansvarlig har opplysninger som gjør det tvilsomt om personen er sikkerhetsmessig til å stole på.

Vilkår for å gi autorisasjon (virksomhetsikkerhetsforskriften § 67, jf. § 7)

  • Identitetskontroll er foretatt
  • Tjenstlig behov
  • Nødvendig klarering iht. sikkerhetsloven § 8-1
  • Taushetserklæring er undertegnet
  • Kjennskap til de relevante delene av styringssystemet for sikkerhet
  • Tilstrekkelig kompetanse om sikkerhet
  • Informere om endringer i kravene til sikkerheten
  • Kjennskap til relevante sikkerhetstrusler og sikkerhetsbestemmelser
  • Autorisasjonssamtale er gjennomført
  • Sikkerhetsmessig skikkethet er avklart

Autorisasjonssamtale

Når man er sikkerhetsklarert, må man autoriseres for å få tilgang til skjermingsverdig informasjon på arbeidsplassen. Man får kun tilgang til informasjon man har tjenstlig behov for (need-to-know).

For å bli autorisert, gjennomføres en autorisasjonssamtale mellom autorisasjonsansvarlig og den som skal autoriseres. Autorisasjonssamtalen er en formell samtale, og er et verktøy for autorisasjonsansvarlig i virksomheten som et ledd i arbeidet med forebyggende sikkerhet. Hensikten er å avklare om autorisasjonsansvarlig har nødvendig tillit til at personen vil håndtere skjermingsverdig og/eller sikkerhetsgradert informasjon i henhold til lov, forskrifter, instruks og lokalt regelverk, og at personen er sikkerhetsmessig skikket.

Under en autorisasjonssamtale undertegner man taushetserklæring. Taushetserklæringen skal undertegnes som bekreftelse på at den som skal autoriseres har satt seg inn i sikkerhetsbestemmelsene og for å bevisstgjøre taushetsplikten. Taushetserklæringen er en skriftlig dokumentasjon på dette jf. sikkerhetsloven § 5-4.

Personen har taushetsplikt etter at vedkommende har sluttet i stillingen (også etter klareringen har gått ut på tid). 

Autorisasjonssamtale skal gjennomføres (virksomhetsikkerhetsforskriften § 68):

  • Før det gis autorisasjon 
  • Når en autorisert person selv ber om det
  • Ved ny forespørsel om sikkerhetsklarering (reklarering)
  • Når autorisasjonsansvarlig ellers finner grunn til det

Autorisasjonssamtalens innhold (virksomhetsikkerhetsforskriften § 68)

Gjennom autorisasjonssamtalen skal autorisasjonsansvarlig forsikre seg om at den som skal autoriseres, kjenner til relevante sikkerhetstrusler og sikkerhetsbestemmelser og forstår sin rolle i sikkerhetsarbeidet til virksomheten.

Autorisasjonsansvarlig skal også kontrollere at opplysningene den som skal autoriseres gir, er tilstrekkelige og oppdaterte.

I løpet av samtalen skal autorisasjonsansvarlig og den som skal autoriseres drøfte eventuelle risikofaktorer ved personen som er relevante for personellsikkerheten, og drøfte tiltak som kan redusere risikofaktorer ved personen, eller som kan oppfylle vilkår som klareringsmyndigheten har gitt for klareringen.

Dersom personen har vært autorisert før, skal den som autoriserer, hente inn opplysninger av betydning fra forrige autorisasjonsavgjørelse.

 

Autorisasjon av utenlandske statsborgere – virksomhetsikkerhetsforskriften § 70

Med utenlandske statsborgere menes personer som har statsborgerskap fra et annet land en Norge, har dobbelt statsborgerskap, er statsløse eller har uavklart statsborgerskap.  Før en utenlandsk statsborger, som ikke har klarering, kan autoriseres for informasjon gradert BEGRENSET skal autorisasjonsansvarlig vurdere om personens tilknytning til hjemlandet og hjemlandets sikkerhetsmessige betydning utgjør en akseptabel risiko. Dersom det oppstår usikkerhet vedrørende dette kan autorisasjonsansvarlig ta kontakt med klareringsmyndigheten om en slik vurdering av hjemlandets sikkerhetsmessige betydning. Dersom personen kommer fra en stat Politiets sikkerhetstjeneste (PST) mener utgjør en høy sikkerhetsrisiko mot Norge må autorisasjonsansvarlig innhente samtykke fra klareringsmyndigheten før den utenlandske statsborgeren kan autoriseres for BEGRENSET.

Den utenlandske statsborgeren kan bare autoriseres for til informasjon sikkerhetsgradert av en fremmed stat dersom personen er borger av denne staten eller dersom NSM har innhentet tillatelse fra statens myndigheter. Utenlandske statsborgere kan også bare autoriseres for tilgang til informasjon sikkerhetsgradert av en internasjonal organisasjon dersom staten personen er borger av, er medlem av organisasjonen eller dersom NSM har innhentet tillatelse fra organisasjonen. 

Ny utgave av autorisasjonsboka er under utarbeidelse og vil komme i løpet av våren 2019.