• Digital säkerhet
  • Traditionell säkerhet
  • I FOKUS
  • Nyhetsbrev

Säkerhetsprövning 2.0: En balans mellan compliance, riskhantering och den personliga integriteten

I en tid av ökande säkerhetshot är säkerhetsprövningar avgörande för att skydda Sveriges känsligaste verksamheter. Men hur balanseras nationens säkerhet med respekten för individens integritet? Anders Spalding och Loise Backryd diskuterar hur säkerhetsprövningar kan bli mer effektiva, rättvisa och proportionerliga, samtidigt som de möter dagens krav på riskhantering och skydd av känslig information.

-

I en tid då Sveriges säkerhet står inför flera utmaningar har säkerhetsprövning blivit ett ord på allas läppar när det kommer till att skydda känslig information och samhällsviktiga funktioner. Men hur långt kan vi gå för att stärka säkerheten utan att samtidigt inskränka individens rättigheter? Den ökande användningen av säkerhetsprövningar och bakgrundskontroller väcker frågan om hur vi hittar rätt balans mellan riskhantering och skyddet av den personlig integriteten. Hur säkerställer vi även att de åtgärder som vidtas är proportionerliga och inte överdrivet inkräktande på individens fri- och rättigheter? Syftet med denna artikel är att diskutera några av de utmaningar som finns gällande säkerhetsprövningar och hur olika faktorer – som befattningsanalys, riskhantering och hantering av avvikelser – kan bidra till en effektiv och rättvis process som både skyddar nationen och respekterar individens integritet.

Befattningsanalysen – en form av kravställning på grundutredningen

En av de stora utmaningarna med säkerhetsprövning är att säkerställa att insamlingen och hanteringen av personuppgifter alltid har en tydlig och välgrundad rättslig grund. Grundutredningen innebär ofta insamling och bearbetning av stora mängder känslig personlig information. Detta kan leda till att individer upplever att deras integritet kränks, särskilt om insamlingen känns oproportionerlig i relation till den befattning som söks. För att en säkerhetsprövning ska vara rättsenlig måste den vila på en tydlig och välgrundad rättslig grund. Det innebär att varje uppgift som samlas in måste vara kopplad till verksamhetens skyddsvärden, den säkerhetskänsliga verksamheten, tillgång till säkerhetsskyddsklassificerade uppgifter och andra relevanta aspekter associerade med befattningen. En grundlig befattningsanalys spelar här en central roll, då den avgör vilka kontroller som är nödvändiga och proportionerliga för att skydda verksamheten utan att samla in onödig information. Genom en sådan analys tillses att kravställningen på grundutredningen är i takt med verksamhetens behov, vilket minskar risken för integritetsintrång och samtidigt stärker förtroendet för säkerhetsprövningsprocessen.

Hantering av avvikelser – en kritisk faktor

Hur resultatet av en säkerhetsprövning hanteras är avgörande, både för verksamheten och för individen. Ett felaktigt eller slarvigt hanterad avvikelse kan leda till stora konsekvenser – för verksamheten, genom att potentiella risker inte hanteras korrekt, och för individen, genom att denne orättvist utesluts eller stigmatiseras. Det är därför nödvändigt att det finns tydliga riktlinjer och processer för hur man går vidare när oegentligheter eller riskfaktorer identifieras under en prövning – och hur de kommuniceras med den prövade. Utan en noggrann bedömning av de risker som framkommer blir säkerhetsprövningen ett byråkratiskt ”tick the box”-verktyg, mer inriktat på regelefterlevnad än på att identifiera faktiska risker. Det är varken ”riskmitigerande” eller rättvist mot individer när organisationer inte vet hur de ska hantera avvikelser. Så med fördel kan verksamhetsutövare ställa sig själv frågan – ”Vet min organisation hur vi ska hantera den information som eventuellt identifieras?”. 

Säkerhetsprövningar bör inte heller ses som en process för att antingen godkänna eller avslå en individ för en specifik befattning. I många fall handlar det snarare om att identifiera och hantera potentiella risker, vilket kan innebära att en individ tilldelas en roll med särskilda skyddsåtgärder eller restriktioner – under förutsättning att risken går att hantera. Det är viktigt att förstå att säkerhetsprövningar inte alltid är en binär process där utfallet är antingen ett ”ja” eller ”nej”. Genom att tillämpa ett riskbaserat tillvägagångssätt kan organisationer anpassa sina säkerhetsåtgärder efter den specifika situationen och individens riskprofil. Detta kan innebära att särskilda kontroller införs, ökad medvetenhet om direkta eller indirekta sårbarheter eller att den prövade personen får utbildning och vägledning för att minimera riskerna. De största hoten kommer inte nödvändigtvis från de sårbarheter vi känner till och kan hantera, utan från de oupptäckta som inte kan hanteras. Genom att fokusera på riskhantering, snarare än en strikt bedömning om en individ är helt pålitlig, totalt saknar sårbarheter eller är fullständigt lojal (en sådan människa finns inte), kan organisationer skapa en mer nyanserad och effektiv säkerhetsprövningsprocess. Detta möjliggör att man kan tillvarata viktiga talanger samtidigt som man bibehåller hög säkerhet.

Compliance vs Risk – en felaktig prioritering?

Ett av de största problemen med dagens säkerhetsprövningar är att de har en stel complianceinriktning snarare än att bedöma de faktiska risker en person kan utgöra. Traditionellt har fokus legat på exempelvis brottslighet och medborgarskap, trots att forskning även visar på att vissa personlighetsdrag kan utgöra en betydande risk i relation till insiderhandlingar. Personlighetsdrag som narcissism, manipulativt beteende och impulsivitet är starkt kopplade till ökad risk för säkerhetsrelaterade incidenter. Dessa drag påverkar individers pålitlighet, sårbarhet och lojalitet, vilka är de centrala bedömningsfaktorer i säkerhetsprövningen. Organisationer behöver ofta bli bättre på att utveckla en förmåga att identifiera och hantera risktypiska personlighetsdrag i samband med säkerhetsprövningar.

Ett exempel på när tunnelseende gällande compliance, riskerar att tappa syftet för prövningen och därmed även kvalitén, är användningen av webb- och online-baserade intervjuer. Dessa metoder marknadsförs som tidseffektiva och högkvalitativa, trots att dessa intervjuer inte kan ersätta den mänskliga kontakten och de subtila insikter som ett fysiskt möte ger. Sannolikt är utföraren medveten om detta men lyckas ändå sälja in tjänsten billigare än en konkurrent till en mottagare med begränsad kunskap om hantverket. Ansikte-mot-ansikte-interaktioner tillåter bedömningar av kroppsspråk, tonfall och reaktioner som kan vara avgörande för att upptäcka inkonsekvenser eller det som professionella intervjuare kallar ”motstånd i samtal”. Den mänskliga aspekten av säkerhetsprövningar är central för att skapa en helhetsbild av en individs pålitlighet, lojalitet och sårbarheter. Att förlita sig på webbintervjuer riskerar helt enkelt att reducera säkerhetsprövningen till en ytlig och formalistisk process som enbart existerar för att underlätta en löpande band-princip på bekostnad av kvalité. Organisationer måste sluta hitta ohållbara genvägar och återgå till att prioritera kvalitet och djup i prövningen – det kommer att göra säkerhetsprövningen både mer effektiv, pålitlig och rättssäker.

Säkerhetsprövningens syfte måste ändå vara att hantera och reducera risker – inte att enbart följa lagkrav, formella regler och rutiner.

Säkerhetsprövning – ett skydd för Sveriges säkerhet

Säkerhetsprövning har ett övergripande syfte: att skydda Sveriges säkerhet. När det gäller säkerhetsskydd och Sveriges säkerhet bör vi inte kompromissa på kvalitén. Det är skillnad på en larmdosa, kameraövervakning, en dörrs tjocklek och säkerhetsprövningen – människan går helt enkelt inte att ”mäta” på samma sätt och vi måste våga prata om riskhantering inom ett område som är mer abstrakt. Det är lätt att fastna i de juridiska och administrativa detaljerna, men vi får inte glömma att säkerhetsprövning inte existerar för att komplicera rekryteringsprocessen eller utsätta individer för onödiga kontroller. Det är ett verktyg för att förhindra att olämpliga personer får tillgång till säkerhetskänslig verksamhet eller säkerhetsskyddsklassificerade uppgifter. Varje individ spelar en avgörande roll i skyddet av Sveriges säkerhet, och det är viktigt att komma ihåg att vi aldrig med 100 % säkerhet kan veta vilken information eller verksamhet som är av intresse. Även till synes obetydliga uppgifter kan vara värdefulla i fel händer. Hotbilden mot Sverige förändras ständigt, och riskerna är ofta svåra att förutse.

Anders Spalding är tidigare underrättelseofficer med specialisering inom HUMINT (Human Intelligence), med över 15 års erfarenhet inom underrättelseverksamhet och säkerhetstjänst, huvudsakligen från befattningar inom den Militära underrättelse- och säkerhetstjänsten (Must).
Loise Backryd har en bakgrund av säkerhetsarbete på koncernnivå, med spetskompetens inom insiderhot, säkerhetsprövningar och dataskydd. Arbetet har bland annat omfattat operativa insatser, att navigera komplexa regelverk och att utveckla hållbara säkerhetslösningar.

Slutsats

Säkerhetsprövning är en nödvändighet i en tid där hoten mot Sveriges säkerhet är högst påtagliga. Men för att säkerställa att de utförs på ett sätt som både skyddar Sveriges säkerhet och respekterar individens rättigheter, måste de genomföras professionellt, med omsorg och baseras på tydliga rättsliga grunder. Genom att fokusera på riskhantering – parallellt med compliance – kan vi anpassa säkerhetsprövning till hotbilden och för varje verksamhet skapa en process som är både effektiv och rättvis. På så sätt blir säkerhetsprövningar inte bara ett verktyg för att skydda mot aktörsdrivna säkerhetshot, utan också en metod för att säkerställa att individer behandlas med respekt och integritet.

REKLAMSAMARBETE

Informationssäkerhet måste skapas längs hela leverantörskedjan

I en tid av ökad digitalisering och allt mer komplexa hotbilder är kontroll av leverantörskedjor kritiskt för att skydda samhällsviktig verksamhet. Eftersom dagens tekniska...

FLER NYHETER

Smart integration – en underskattad del i säkerhetsarbetet

En ofta förbisedd men viktig komponent i säkerhetsarbetet är integrationen av it-system. Genom smart integration kan företag minska sårbarheter och stärka sitt försvar mot...

REKLAMSAMARBETE

Kurs i NIS2 förbereder företag för kommande cybersäkerhetskrav

Från tisdag till torsdag vecka 6 och vecka 11 erbjuds två tredagars distanskurser med fokus på det kommande NIS2-direktivet, som väntas bli lag i...

Nya metoder att arkivera material

På Riksarkivets hemsida står att myndighetens handlingar ”under hela bevarandetiden” ska hanteras, förvaras och skyddas så att den fysiska och logiska kvaliteten bibehålls. För...

REKLAMSAMARBETE

6 Reasons to choose Milestone XProtect

In today’s dynamic world, basic video recording barely scratches the surface of what your security system needs. You require a vigilant security posture, capable...

Växande oro bland chefer – säkerhetshot på arbetsplatser ökar

Chefsorganisationen Ledarna inom Privat Tjänstesektor (LPT), har låtit göra en omfattande undersökning bland över 2000 medlemmar, med syfte att belysa de säkerhetsutmaningar som chefer...

Säkerhet och innovation i Norden ligger högt på prioriteringslistan för AWS

Aktörer i Norden som använder sig av AWS molnlösningar är flera, däribland DNB i Norge, Danske Bank i Danmark och Postnord i Sverige. Kellen...

REKLAMSAMARBETE

”Vi delar syfte – stärka Sveriges förmåga att hantera komplexa säkerhetsutmaningar”

Hallå där Pernilla Hörnfeldt, Mötesplats Samhällssäkerhet, i år är ni med som sponsor av Säkerhetsgalan som går av stapeln den 30 september i Stockholm...

Hackerdriven filosofi ska hjälpa svenska företag med cybersäkerhet

David Jacoby, nytillträdd strategichef för Syndis, kommenterar satsningen:– Vår strategi är att inte fokusera på de hundra största bolagen i Sverige – vi vill att...

Cybersäkerhetsnod Norr bjuder in till seminarium 

Hallå där Karl Andersson, professor vid Luleå Tekniska Universitet och ämnesföreträdare i cybersäkerhet,Ni anordnar ett evenemang om cybersäkerhet den 26 februari - berätta!–...

Hackare, AI och Digitala Blodkroppar: Dags att Bygga Cybernetiska Djungler

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.Kaffet var kallt och klockan för mycket när en fråga dök upp i huvudet:...

Kampen fortsätter

Under de senaste åren har vi sett en dramatisk ökning av cyberbrottslighet. Stora dataintrång, som drabbar allt från små företag till globala koncerner, leder...

Fyra gripna i Europol-lett tillslag mot ransomwareliga

I samband med tillslaget kunde 27 servrar som var kopplade till det kriminella nätverket kopplas ner.De fyra personer som blivit frihetsberövade är alla...

Säkerhetsindex 2025: Allt fler upplever en allvarlig hotbild mot Sverige

Trots en växande upplevd hotbild har allmänhetens tilltro till beslutsfattares förmåga att skydda samhällsviktig infrastruktur minskat. I dag uppger 29 procent att de har...

Ny vd och koncernchef för Omegapoint

Jonas Hasselberg kommer närmast från rollen som koncernchef för det börsnoterade Proact AB, ett ledande it-företag som levererar affärskritiska molnlösningar till storbolag i Europa....

Ny affärsområdeschef inom Human Risk Management på 2Secure

– Personalsäkerhet och insiderprevention har blivit en allt viktigare fråga givet samhällsutvecklingen och omvärldsläget. Oskar har lång erfarenhet och har jobbat med olika typer...

Strategiskt partnerskap ska leverera heltäckande molnsäkerhet

Samarbetet syftar till att möta de växande utmaningar företag ställs inför vid säkerställandet av hybridmolnsmiljöer genom en sömlös integration av molnnätverkssäkerhet och Cloud Native...

AI-driven lösning ska bidra till säker maskning

Pixedit använder avancerad AI-teknologi för att automatiskt identifiera och maskera sekretessbelagd information såsom personnummer, namn och e-postadresser.Teknologin säkerställer att alla konfidentiella uppgifter fångas upp...