Det här är en opinionstext. Åsikter som uttrycks är skribenternas egna. Sammanfattning Den 1 december 2021 infördes nya bestämmelser i säkerhetsskyddslagen, vilka gav tillsynsmyndigheterna mandat att ta ut administrativa sanktionsavgifter av verksamhetsutövare som inte uppfyller de väsentliga skyldigheterna i säkerhetsskyddslagstiftningen. En sanktionsavgift får endast beslutas för överträdelser som skett efter ikraftträdandet av bestämmelserna. Beloppsintervallen ligger […]
Uppdaterad: 25 mars 2025Publicerad: 3 oktober 2023
Det här är en opinionstext. Åsikter som uttrycks är skribenternas egna.
Sammanfattning
Den 1 december 2021 infördes nya bestämmelser i säkerhetsskyddslagen, vilka gav tillsynsmyndigheterna mandat att ta ut administrativa sanktionsavgifter av verksamhetsutövare som inte uppfyller de väsentliga skyldigheterna i säkerhetsskyddslagstiftningen. En sanktionsavgift får endast beslutas för överträdelser som skett efter ikraftträdandet av bestämmelserna. Beloppsintervallen ligger mellan 25 000 kr och 50 000 000 kr, men för statliga myndigheter, kommuner och regioner gäller maxbeloppet 10 000 000 kr.
Ett beslut om sanktionsavgift kan överklagas till Förvaltningsrätten i Stockholm. Förvaltningsrättens dom kan överklagas till kammarrätten men kräver prövningstillstånd. Överklagande av kammarrättens dom förutsätter prövningstillstånd i Högsta förvaltningsdomstolen.
Jag har begärt ut uppgifter från Förvaltningsrätten i Stockholm om domstolens samtliga pågående eller avslutade mål som gäller sanktionsavgift enligt säkerhetsskyddslagen. I det följande ges en sammanfattning av dessa mål samt mina kommentarer till respektive ärende. Sammanställningen är uppdaterad till och med september 20231.
I april 2022 inledde Länsstyrelsen i Skåne tillsyn mot kommunalförbundet VA SYD, som levererar dricksvatten till drygt en halv miljon invånare i Skåne. Länsstyrelsen ansåg att VA SYD hade åsidosatt ett flertal skyldigheter enligt säkerhetsskyddslagen. Överträdelserna bestod i underlåtenhet att anmäla säkerhetskänslig verksamhet, att ha en säkerhetsskyddschef, att ha en uppdaterad säkerhetsskyddsanalys, att ha en dokumenterad systematisk uppföljning av säkerhetsskyddsarbetet samt att genomföra säkerhetsprövning av personer som ska delta i säkerhetskänslig verksamhet. Den bristande säkerhetsprövningen avsåg ett sjuttiotal anställda samt ett fåtal personer från leverantörer. Länsstyrelsen bedömde att VA SYD hade orsakat en betydande sårbarhet för Sveriges säkerhet som skulle kunnat leda till mycket allvarliga konsekvenser. Då överträdelserna bedömdes som mycket allvarliga bestämdes sanktionsavgiften till 7 000 000 kr (av maxbeloppet 10 000 000 kr som gäller för kommunalförbund).
Beslutet överklagades till Förvaltningsrätten i Stockholm, som fann att överträdelserna inte kunde betraktas som annat än omfattande och allvarliga, vilka gett upphov till en betydande sårbarhet för Sveriges säkerhet. Sanktionsavgiften sänktes till 6 000 000 kr, bland annat med hänsyn till att överträdelserna hade pågått under kort tid (tre-fyra månader sedan ikraftträdandet av sanktionsbestämmelserna).
Kammarrätten i Stockholm meddelade prövningstillstånd. Av domskälen framgår att VA SYD hade uppdaterat sin säkerhetsskyddsanalys efter förvaltningsrättens dom, där man identifierat ett antal befattningar med åtkomst till bl.a. säkerhetsskyddsklassificerade uppgifter. För samtliga befattningar avsåg åtkomsten begränsat hemliga uppgifter i ringa omfattning med konsekvensnivån ringa skada för Sveriges säkerhet. Befattningarna hade placerats i säkerhetsklass 3.
Kammarrätten framhöll att säkerhetsskyddet för dricksvattenförsörjningen är av central betydelse för Sveriges säkerhet och att sårbarheter i denna försörjning kan ge upphov till stor skada för samhället. Den bristande säkerhetsprövningen avsåg ett relativt stort antal personer, men avsåg å andra sidan den lägsta säkerhetsklassen. De sanktionsgrundande överträdelserna hade dessutom pågått under en förhållandevis kort tid. Sammanfattningsvis bedömdes att en sårbarhet för Sveriges säkerhet hade uppstått men att denna inte, till skillnad från vad länsstyrelsen och förvaltningsrätten ansett, kunde betraktas som betydande. Med hänsyn till att ett flertal skyldigheter enligt säkerhetsskyddslagen åsidosatts och avsaknaden av tillräcklig aktivitet från ledningens sida, fann kammarrätten att VA SYD hade agerat grovt oaktsamt. Dessa omständigheter motiverade en hög sanktionsavgift, men det var inte fråga om en sådan allvarlig överträdelse att den övre halvan av beloppsintervallet kom i fråga. Sanktionsavgiften bestämdes till 3 000 000 kr.
Kammarrättens dom har överklagats till Högsta förvaltningsdomstolen av båda parter3.
Kommentar
VA SYD är hittills det enda fall av sanktionsavgift som prövats i domstol, dessutom i två instanser. Att kammarrätten halverade det sanktionsbelopp som förvaltningsrätten dömt ut borde väga tungt för framtida beslut av tillsynsmyndigheterna. I domen hänvisas till uttalandet i förarbetena om att den övre halvan av beloppsintervallet endast bör komma i fråga för mycket allvarliga överträdelser4, varefter kammarrätten fastslår att ett grovt oaktsamt agerande i förhållande till ett flertal centrala skyldigheter inte når upp till denna nivå.
Värt att notera är att VA SYD anges ha uppdaterat sin befattningsanalys och kommit fram till att ett antal befattningar har åtkomst till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen begränsat hemlig i ringa omfattning (konsekvensnivå ringa skada). Samtliga dessa befattningar har placerats i säkerhetsklass 3. Denna säkerhetsklass avser emellertid den som får del av uppgifter i säkerhetsskyddsklassen konfidentiell, som i ringa omfattning får del av uppgifter i säkerhetsskyddsklassen hemlig, eller som till följd av sitt deltagande i verksamheten har möjlighet att orsaka skada som inte är obetydlig för Sveriges säkerhet. Utifrån uppgifterna i domen synes det därför som att VA SYD har placerat befattningar i säkerhetsklass 3 utan stöd i lagstiftningen. Dessa befattningar skulle rätteligen vara föremål för säkerhetsprövning utan placering i säkerhetsklass (på grund av sin åtkomst till begränsat hemliga uppgifter). Förutom att placering i säkerhetsklass ska användas med restriktivitet, bland annat på grund av det integritetsintrång som följer med en registerkontroll, skulle kammarrätten möjligen skulle ha gjort en mildare bedömning om de aktuella befattningarna inte varit placerade i säkerhetsklass.
I april 2022 inledde Post- och telestyrelsen (PTS) tillsyn över Telenors säkerhetsskydd, där det framkom att Telenor inte hade ansökt om placering i säkerhetsklass för vissa befattningar som enligt bolagets säkerhetsskyddsanalys skulle vara placerade i säkerhetsklass 3.
PTS konstaterade att 24 personer, däribland säkerhetsskyddschefen, under i vart fall åtta månader hade varit verksamma i Telenors säkerhetskänsliga verksamhet utan att vara behöriga. Telenor ansågs genom överträdelsen av bestämmelserna om säkerhetsprövning ha orsakat en sårbarhet för Sveriges säkerhet som hade kunnat leda till en inte obetydlig skada för Sveriges säkerhet. Att andra aktörer hade genomfört säkerhetsprövning inklusive registerkontroll avseende de aktuella personerna medförde ingen annan bedömning. Sanktionsavgiften bestämdes till 12 500 000 miljoner kr.
Telenor har överklagat beslutet och gör gällande att det i efterhand har visat sig att Telenor gjort en alltför extensiv tolkning i sin säkerhetsskyddsanalys och att ingen av de aktuella befattningarna rätteligen skulle ha placerats i säkerhetsklass.
Kommentar
Ansvaret för bedömningarna i säkerhetsskyddsanalysen och att vidta de säkerhetsskyddsåtgärder som motiveras av analysen åvilar verksamhetsutövaren. Det är således verksamhetsutövaren som i sin befattningsanalys ska avgöra vilka befattningar som ska placeras i säkerhetsklass, varefter en ansökan om sådan placering ska tillsändas tillsynsmyndigheten. I detta fall grundas sanktionsbeslutet på en formellt konstaterbar överträdelse – att Telenor inte har ansökt om registerkontroller i enlighet med bolagets egen befattningsanalys – men frågan är om det även finns utrymme för en materiell prövning av analysen som sådan. Telenor menar att bolagets egen analys är felaktig och att det inte funnits grund för placering i säkerhetsklass. Om så skulle vara fallet har det följaktligen inte funnits lagstöd för någon registerkontroll. Kan då verksamhetsutövaren ändå åläggas en straffliknande sanktionsavgift för underlåtenhet att fullfölja sin oriktiga analys?
Malin Arentoft, jurist
Man kan även tänka sig ett exempel med en motsatt situation, d.v.s. att verksamhetsutövaren har undervärderat en befattnings åtkomst/skadepotential och därmed underlåtit att ansöka om placering i säkerhetsklass trots att så borde vara fallet. I ett sådant exempel skulle det krävas en materiell prövning av tillsynsmyndigheten för att kunna fastslå en underlåtenhet att vidta personalsäkerhetsåtgärder. Såvitt känt finns hittills ingen sanktionsavgift som har meddelats på grund av bristande analys eller kvalitet i säkerhetsskyddsarbetet, men det är en intressant fråga om det endast ska vara de formellt konstaterbara säkerhetsskyddsåtgärderna som ska vara avgörande och inte dess innehåll eller utförande.
Resterande ärenden som ingår i denna sammanfattning publiceras på torsdag den 5 oktober.
Notera att det kan finnas sanktionsbeslut som har beslutats av tillsynsmyndigheterna men som inte har överklagats till förvaltningsrätten. ↩︎
Länsstyrelsen i Skåne läns beslut 2022-05-02 i ärende 451-12458-2022, Förvaltningsrätten i Stockholms dom 2022-11-18 i mål nr 12373-22, Kammarrätten i Stockholms dom 2023-05-31 i mål nr 7209-22, överklagad till Högsta Förvaltningsdomstolen, mål nr 3934-23. ↩︎
Länsstyrelsen har i första hand yrkat att målet återförvisas till kammarrätten eftersom domen har meddelats utan att domstolen tagit del av länsstyrelsens inskickade yttrande i målet. ↩︎
Post- och telestyrelsens beslut 2023-02-16 i ärende 22–11253, överklagat till Förvaltningsrätten i Stockholm, mål nr SM 1-23. ↩︎
ANNONS
#förvaltningsrätten
#säkerhetsskyddslagen
#sanktionsavgift
Dela artikeln
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
Manage Consent
To provide the best experiences, we use technologies like cookies to store and/or access device information. Consenting to these technologies will allow us to process data such as browsing behavior or unique IDs on this site. Not consenting or withdrawing consent, may adversely affect certain features and functions.
Functional Always active
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistics
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
