Skriftlig spørsmål fra Ingvild Wetrhus Thorsvik (V) til justis- og beredskapsministeren

Dokument nr. 15:229 (2022-2023)
Innlevert: 25.10.2022
Sendt: 26.10.2022
Besvart: 31.10.2022 av justis- og beredskapsminister Emilie Mehl

Ingvild Wetrhus Thorsvik (V)

Spørsmål

Ingvild Wetrhus Thorsvik (V): Er PSTs krav om dobbel autorisasjon lovlig og når ble kravet om at lokale PST-ledere skal gjennomgå en slik autorisasjon eventuelt innført?

Begrunnelse

VG har den siste tiden skrevet om en leder i PST som ble pålagt dobbel autorisasjon jf. https://www.vg.no/nyheter/innenriks/i/LllRaV/justisdepartementet-nekter-aa-svare-paa-om-pst-krav-er-lovlig. Flere jurister har stilt spørsmål ved hvorvidt dette er lovlig. I sine svar til VG viser departementet til PST, og svarer ikke på hvorvidt slik dobbelautorisasjon kan hjemles i sikkerhetsloven. Departementet har det øverste ansvaret for enheten og sikkerhetsloven med forskrifter. Usikkerhet knyttet til hva som faktisk har skjedd og hva som er tillatt kan bidra til å svekke folks tillit til instansen.

Emilie Mehl (Sp)

Svar

Emilie Mehl: Departementets vurdering, basert på sikkerhetsloven med forskrifter, er at man kan ha to (eller flere) autoriserende virksomhetsledere. Tilsvarende gjaldt for øvrig etter sikkerhetsloven av 1998. Det er viktig å merke seg at en virksomhetsleders ansvar ikke bare dreier seg om personell, men også om forvaltning av virksomhetens informasjon. Lederen er ansvarlig for at virksomhetens graderte informasjon ikke tilflyter personer som ikke har et tjenstlig behov, eller ikke er skikket for tilgang til informasjonen. Dette ivaretas blant annet gjennom kravet om autorisasjon.
En virksomhetsleder er ansvarlig for og forvalter den graderte informasjonen som tilvirkes av virksomheten, og skal autorisere personer som skal ha tilgang til denne informasjonen. Motsetningsvis kan ikke en virksomhetsleder autorisere sine egne ansatte for informasjon som eies eller forvaltes av en annen virksomhet.
Fagmyndigheten Nasjonal sikkerhetsmyndighet har blant annet i veiledning til virksomhetssikkerhetsforskriften § 73 lagt til grunn at en autorisasjon i egen virksomhet

«ikke gir den enkelte noen rett til, eller krav på, å behandle sikkerhetsgradert informasjon tilhørende en annen virksomhet enn den vedkommende tilhører».

PST har opplyst at innføring av ny sikkerhetslov og løpende fagligutvikling i PSTs sikkerhetsarbeid har medført at det delte autorisasjonsansvaret over tid har blitt presisert, senest ved innføring av styringsdokument for sikkerhet fra 2019. Videre er det opplyst at det delte autorisasjonsansvaret i realiteten også har vært lagt til grunn tidligere, blant annet i en intern rapport i PST om organisering av distriktsenhetene fra 2017.